|
Plagegeister aller Art und deren Bekämpfung: Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von FacebookWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.09.2011, 13:43 | #1 |
| Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook Hallo liebes Trojaner-Board Team. Ich bin mir leider unsicher ob ich mir über Facebook einen Virus eingefangen habe oder nicht. ("24 lustigsten Blitzerfotos") Lediglich aufgefallen sind mir seither die schon im Titel genannten Prozesse im Taskmanager: csrss.exe aticlxx.exe und winlogon.exe die ohne Benutzer & Beschreibung laufen. (Sind mit bewusst vorher nie aufgefallen). Hierzu hab ich nun schon ettliche Foren durchsucht, aber je länger ich gesucht habe desto unsicherer wurde ich mir, ob das nun normal ist oder nicht. Jedenfalls werden erst Dateipfade, Beschreibung und Benutzer sichtbar, wenn man sich die Prozesse aller Benutzer anzeigen lässt. Ansonsten fallen mir zu den 3 Prozessen keine ungewöhnlichen Aktivitäten wie zB übermäßige CPU-Auslastung auf. Auch Scans mit Sophos, und Malewarebytes ergaben keine Treffer. Das einzigste was auffiel war eine Datei die Sophos nicht scannen konnte (places.sqlite-shm , die nur "vorhanden" ist solange Firefox geöffnet ist: Sie befindet sich in fogendem Verzeichnis C:\Users\Nutzer\AppData\Roaming\Mozilla\Firefox\Profiles\e5ybor3e.default) Trotzdem wollte ich nochmal auf Nummer sicher gehen und eine qualifizierte Meinung einholen. Kann ja auch gut sein dass ietwas anderes noch im Argen liegt. Außerdem brauch ich, falls alles ok sein sollte die "Erlaubnis" mit Defogger die virtuellen Laufwerke zu re-enablen. Vielen Dank im Voraus schonmal für euere Mühen und euer Engangement. Als Anlage alle Logs von bisher durchgeführten Scans: |
17.09.2011, 04:42 | #2 | ||
/// Helfer-Team | Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook Hallo und Herzlich Willkommen!
__________________Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Für Vista und Win7: Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen! 1. Hast du den Rechner bereits auf Viren überprüft? Folgende Ergebnisse möchte ich noch sehen: Code:
ATTFilter Malwarebytes 2. CD-Emulatoren mit DeFogger deaktivieren Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer installiert. Da diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach bösartigen Rootkits verfälschen und erschweren. Aus diesem Grund bitte entweder das folgende Tool zum Deaktivieren laufen lassen oder die Software über Systemsteuerung => Software/Programme deinstallieren. Berichte mir, für welche Variante Du Dich entschieden hast. Die Deaktivierung können wir nach der Bereinigung rückgängig machen. Lade DeFogger herunter und speichere es auf Deinem Desktop. Doppelklicke DeFogger, um das Tool zu starten.
3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool Ccleaner herunter → Download installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußkira
__________________ |
17.09.2011, 10:57 | #3 |
| Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook Hallo Kira, danke für deine Antwort.
__________________Was ich noch vergaß zu erwähnen; auf erwähnter Facebook Seite öffnete sich kein Fenster für ieinen Download (vll blockierte mein FF das auch), weiß ich nicht mehr) Bin ich auf jeden Fall schonmal froh das bisher nichts auf eine Infektion schließen lässt, bin aber froh auf eine weitere Suche unter Anleitung. Zu 1.) Ja habe mit Malewarebytes und Sophos geprüft -> Keine Viren keine anderen Funde Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Database version: 7723 Windows 6.1.7601 Service Pack 1 Internet Explorer 8.0.7601.17514 15.09.2011 23:20:22 mbam-log-2011-09-15 (23-20-22).txt Scan type: Quick scan Objects scanned: 142107 Time elapsed: 4 minute(s), 3 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Database version: 7723 Windows 6.1.7601 Service Pack 1 Internet Explorer 8.0.7601.17514 16.09.2011 00:12:17 mbam-log-2011-09-16 (00-12-17).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 286970 Time elapsed: 28 minute(s), 41 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) Habe vor allen Scans wie in der Anleitung für neue Posts mit Defogger Laufwerke disabled Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1) Log created at 13:24 on 16/09/2011 (Philip) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. HKCU:DAEMON Tools Lite -> Removed Checking for services/drivers... Unable to read sptd.sys SPTD -> Disabled (Service running -> reboot required) -=E.O.F=- Zu 3.) Code:
ATTFilter 7-Zip 4.65 19.05.2010 Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 20.05.2010 10.0.22.87 Adobe Flash Player 10 Plugin Adobe Systems Incorporated 28.06.2011 6,00MB 10.3.181.26 Adobe Reader 9.4.6 - Deutsch Adobe Systems Incorporated 15.09.2011 203,6MB 9.4.6 Akamai NetSession Interface 15.03.2011 Alice Software 4.10.0 HanseNet Telekommunikation GmbH 08.03.2011 4.10.0 Alice-Installationsdateien entfernen 08.03.2011 AMD OverDrive Advanced Micro Devices, Inc. 19.05.2010 21,9MB 3.0.2.0289 ArmA Uninstall 20.05.2010 ATI Catalyst Install Manager ATI Technologies, Inc. 19.05.2010 16,5MB 3.0.769.0 BattlEye Uninstall 20.05.2010 Bionic Commando Capcom Entertainment, Inc 20.05.2010 1.0 Brother MFL-Pro Suite MFC-990CW Brother Industries, Ltd. 29.08.2011 1.0.1.0 CCleaner Piriform 19.05.2010 2.31 Cisco Systems VPN Client 5.0.05.0290 Cisco Systems, Inc. 19.05.2010 12,3MB 5.0.5 Command & Conquer Generals Electronic Arts 20.05.2010 1.588,5MB 0.50.0000 Command and ConquerTM Generals Zero Hour Electronic Arts 20.05.2010 1.228,8MB 1.00.0000 Crazy Machines II FAKT Software GmbH 02.07.2011 418,4MB 1.03 DAEMON Tools Lite DT Soft Ltd 13.07.2011 4.40.2.0131 ESET Online Scanner v3 15.09.2011 Free Audio CD Burner version 1.4.7 DVDVideoSoft Limited. 24.03.2011 10,7MB Free YouTube to MP3 Converter version 3.9.35.324 DVDVideoSoft Limited. 24.03.2011 36,0MB FreePDF (Remove only) 19.05.2010 Google Earth Google 06.01.2011 84,3MB 6.0.1.2032 GPL Ghostscript 8.70 19.05.2010 Grand Theft Auto IV Rockstar 01.08.2011 Grand Theft Auto San Andreas Rockstar Games 07.11.2010 1.00.00001 Grand Theft Auto: Episodes from Liberty City Rockstar 01.08.2011 GreenPowerCenterII MSI, Inc. 19.05.2010 Liveupdate4 MSI, Inc. 19.05.2010 LogMeIn Hamachi LogMeIn, Inc. 16.08.2011 2.1.0.122 Magic The Gathering - Duels of the Planeswalkers 09.08.2011 Malwarebytes' Anti-Malware Version 1.51.2.1300 Malwarebytes Corporation 14.09.2011 13,8MB 1.51.2.1300 Microsoft .NET Framework 4 Client Profile Microsoft Corporation 25.06.2010 38,8MB 4.0.30319 Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 25.06.2010 2,94MB 4.0.30319 Microsoft Age of Empires II 09.01.2011 Microsoft Games for Windows - LIVE Redistributable Microsoft Corporation 06.05.2011 31,3MB 3.5.88.0 Microsoft Games for Windows Marketplace Microsoft Corporation 06.05.2011 6,04MB 3.5.50.0 Microsoft Office Enterprise 2007 Microsoft Corporation 20.05.2010 12.0.6425.1000 Microsoft Office File Validation Add-In Microsoft Corporation 14.09.2011 7,95MB 14.0.5130.5003 Microsoft Office Language Pack 2007 - German/Deutsch Microsoft Corporation 21.05.2010 12.0.6425.1000 Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 Microsoft Corporation 20.05.2010 0,25MB 8.0.50727.4053 Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 16.06.2011 0,29MB 8.0.59193 Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Corporation 27.04.2011 0,58MB 9.0.30729.5570 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 15.03.2011 0,23MB 9.0.30729 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 19.05.2010 0,58MB 9.0.30729.4148 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 16.06.2011 0,59MB 9.0.30729.6161 Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 Microsoft Corporation 27.04.2011 11,0MB 10.0.30319 Mobile Partner Huawei Technologies Co.,Ltd 15.01.2011 16.002.03.04.800 Mozilla Firefox (3.5.4) Mozilla 19.05.2010 3.5.4 (de) Mozilla Firefox 6.0.2 (x86 de) Mozilla 07.09.2011 35,1MB 6.0.2 MSXML 4.0 SP2 (KB954430) Microsoft Corporation 19.05.2010 37,00KB 4.20.9870.0 MSXML 4.0 SP2 (KB973688) Microsoft Corporation 19.05.2010 1,33MB 4.20.9876.0 Need for Speed™ Most Wanted 07.11.2010 NVIDIA PhysX NVIDIA Corporation 01.09.2011 73,8MB 9.10.0224 OpenAL 20.05.2010 OverclockingCenter MSI, Inc. 19.05.2010 PaperPort Image Printer Nuance Communications, Inc. 29.08.2011 0,51MB 1.00.0000 Pro Evolution Soccer 2010 KONAMI 16.07.2010 5.439,1MB 1.00.0000 Realtek High Definition Audio Driver Realtek Semiconductor Corp. 19.05.2010 6.0.1.5898 Red Faction Guerrilla Volition Inc. 15.07.2010 7.909,5MB 1.00.0000 RedMon - Redirection Port Monitor 19.05.2010 Risen Deep Silver 02.07.2011 1.00.0000 SAMSUNG Mobile Composite Device Software 02.07.2011 SAMSUNG Mobile Modem Driver Set 02.07.2011 Samsung Mobile phone USB driver Drive Software 02.07.2011 SAMSUNG Mobile USB Modem 1.0 Software 02.07.2011 SAMSUNG Mobile USB Modem Software 02.07.2011 Samsung PC Studio 3 Samsung Electronics Co., Ltd. 02.07.2011 3.2.1.80301 Sanctum 31.08.2011 ScanSoft PaperPort 11 Nuance Communications, Inc. 29.08.2011 147,1MB 11.2.0000 Silkroad 30.08.2010 Skype™ 4.2 Skype Technologies S.A. 21.09.2010 31,7MB 4.2.187 Sophos Anti-Virus Sophos Limited 31.08.2011 36,6MB 9.7.5 Sophos AutoUpdate Sophos Limited 31.08.2011 12,8MB 2.5.10 Steam Valve Corporation 01.08.2011 42,3MB 1.0.0.0 SWAT 4 Sierra Entertainment, Inc. 20.05.2010 1.716,2MB 1.0.31763 Sweet Home 3D version 2.4 eTeks 10.08.2010 TeamSpeak 3 Client TeamSpeak Systems GmbH 20.06.2010 Trillian Cerulean Studios, LLC 20.05.2010 Uninstall 1.0.0.1 24.03.2011 10,9MB Verbindungsassistent Verbindungsassistent 09.12.2010 2.1 VirtualCloneDrive Elaborate Bytes 20.05.2010 VLC media player 1.0.5 VideoLAN Team 20.05.2010 1.0.5 Warcraft III 09.01.2011 Windows Live ID Sign-in Assistant Microsoft Corporation 18.12.2010 5,52MB 6.500.3165.0 Wippien 2.3 24.05.2010 Xfire (remove only) 20.05.2010 Was ist nun eigtl. mit den 3 Prozessen ohne Beschreibung? Konnte mir iwie immer noch niemand sagen ob das normal ist oder nicht... Bei den Programmen hab ich selbst gesehn dass man da vmtl wieder ein paar alte Leichen entsorgen könnte... ich warte aber erstmal auf Antwort. Vielen Dank schonmal so weit. Geändert von Naphta (17.09.2011 um 11:06 Uhr) |
18.09.2011, 04:49 | #4 | |
/// Helfer-Team | Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von FacebookZitat:
Adobe Reader aktualisieren : - Bei Installation aufpassen/mitlesen!: Wenn irgendeine Software, Toolbar etc angeboten wird, bitte abwählen! - (z.B "McAfee Security Scan Plus") Adobe Reader Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..." 2. reinige dein System mit Ccleaner:
ansonsten keine Auffälligkeiten!
__________________ Warnung!: Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein! Anhang nicht öffnen, in unserem Forum erst nachfragen! Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten! Bitte diese Warnung weitergeben, wo Du nur kannst! |
18.09.2011, 09:16 | #5 |
| Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook Hallo Kira, danke soweit für deine Einschätzungen und Mühen. Bei atieclxx.exe hatte ich wohl ausversehn ein "e" verschluckt Ansonsten liegen die Dateien da wo sie sollen. Also ist es nun normal dass nur die 3 ohne Benutzer und Beschreibung im TM laufen?! Adobe Acrobat Reader hab ich neue Version 10.1.1 runtergeladen und die alte deinstalliiert ( ein Update direkt war nicht möglich). System hab ich mit CC-Cleaner bereinigt ( mache ich eh von Zeit zu Zeit mal ) Sind wir soweit dann durch oder benötigen wir noch etwas? Ansonsten müsstest du mir noch sagen wie ich mit Defogger die Laufwerke reanable bzw ob/wann ich dies machen darf, damit ich nicht noch am Ende ietwas falsch mache Soweit aber nochmals Vielen Dank für die genaue und nette Hilfe! Liebe Grüße |
18.09.2011, 09:47 | #6 | |
/// Helfer-Team | Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von FacebookZitat:
__________________ --> Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook |
18.09.2011, 09:58 | #7 |
| Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook Nein, wieso? Sollte ich bzgl Office lieber auf was neueres umsteigen? |
18.09.2011, 09:59 | #8 |
/// Helfer-Team | Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook Weil die Version nur als Volumenlizenz für Firmen erhältlich ist. Und ich daher sehr verwundert bin das du so eine Version besitzt.
__________________ Kein Support per PM! |
18.09.2011, 10:06 | #9 |
| Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook Also wenn ich mich recht entsinne haben wir das über die Uni bekommen... |
22.09.2011, 09:44 | #10 |
| Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook Hallo Kira, hab jetzt einige Tage nichts mehr gehört.... Sind wir soweit mit der Suche fertig? Ist ja nichts aufgetaucht. Kann ich dann mit Defogger reanablen? Und wenn ja muss ich dabei noch ietwas beachten? Und danke nochmal soweit für deine / eure Hilfe! Liebe Grüße Philip |
Themen zu Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook |
anderes, anlage, anzeige, anzeigen, appdata, benutzer, bewusst, bli, brauch, cpu-auslastung, csrss.exe, firefox, foren, gen, gesucht, laufwerke, mozilla, prozesse, roaming, scannen, sicherer, sophos, taskmanager, trojaner-board, unsicherer, virus, winlogon.exe |