Hallo liebes Trojaner-Board Team.

Ich bin mir leider unsicher ob ich mir über Facebook einen Virus eingefangen habe oder nicht. ("24 lustigsten Blitzerfotos")
Lediglich aufgefallen sind mir seither die schon im Titel genannten Prozesse im Taskmanager: csrss.exe aticlxx.exe und winlogon.exe die ohne Benutzer & Beschreibung laufen. (Sind mit bewusst vorher nie aufgefallen).
Hierzu hab ich nun schon ettliche Foren durchsucht, aber je länger ich gesucht habe desto unsicherer wurde ich mir, ob das nun normal ist oder nicht.
Jedenfalls werden erst Dateipfade, Beschreibung und Benutzer sichtbar, wenn man sich die Prozesse aller Benutzer anzeigen lässt.

Ansonsten fallen mir zu den 3 Prozessen keine ungewöhnlichen Aktivitäten wie zB übermäßige CPU-Auslastung auf.

Auch Scans mit Sophos, und Malewarebytes ergaben keine Treffer.
Das einzigste was auffiel war eine Datei die Sophos nicht scannen konnte (places.sqlite-shm , die nur "vorhanden" ist solange Firefox geöffnet ist:
Sie befindet sich in fogendem Verzeichnis C:\Users\Nutzer\AppData\Roaming\Mozilla\Firefox\Profiles\e5ybor3e.default)

Trotzdem wollte ich nochmal auf Nummer sicher gehen und eine qualifizierte Meinung einholen.
Kann ja auch gut sein dass ietwas anderes noch im Argen liegt.

Außerdem brauch ich, falls alles ok sein sollte die "Erlaubnis" mit Defogger die virtuellen Laufwerke zu re-enablen.

Vielen Dank im Voraus schonmal für euere Mühen und euer Engangement.

Als Anlage alle Logs von bisher durchgeführten Scans:

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

• "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
  - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
  - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
• Charakteristische Merkmale/Profilinformationen:
  - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
• Die Systemprüfung und Bereinigung:
  - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
• Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
• Innerhalb der Betreuungszeit:
  - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
• Die Reihenfolge:
  - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
• GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
• Ansonsten unsere Forumsregeln:
  - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
• Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

► Dein Log deutet nichts auf eine Infektion hin

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Hast du den Rechner bereits auf Viren überprüft? Folgende Ergebnisse möchte ich noch sehen:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes
         

(alle vorhandenen Protokolle)

2.
CD-Emulatoren mit DeFogger deaktivieren

Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer installiert. Da diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach bösartigen Rootkits verfälschen und erschweren. Aus diesem Grund bitte entweder das folgende Tool zum Deaktivieren laufen lassen oder die Software über Systemsteuerung => Software/Programme deinstallieren. Berichte mir, für welche Variante Du Dich entschieden hast. Die Deaktivierung können wir nach der Bereinigung rückgängig machen.

Lade DeFogger herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

• Es öffnet sich das Programm-Fenster des Tools.
• Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
• Klicke Ja, um fortzufahren.
• Wenn die Nachricht 'Finished!' erscheint,
• klicke OK.
• DeFogger wird nun einen Reboot erfragen - klicke OK
• Poste mir das defogger_disable.log hier in den Thread.

Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird.

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

Hallo Kira, danke für deine Antwort.

Was ich noch vergaß zu erwähnen; auf erwähnter Facebook Seite öffnete sich kein Fenster für ieinen Download (vll blockierte mein FF das auch), weiß ich nicht mehr)
Bin ich auf jeden Fall schonmal froh das bisher nichts auf eine Infektion schließen lässt, bin aber froh auf eine weitere Suche unter Anleitung.

Zu 1.)
Ja habe mit Malewarebytes und Sophos geprüft -> Keine Viren keine anderen Funde

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Database version: 7723

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

15.09.2011 23:20:22
mbam-log-2011-09-15 (23-20-22).txt

Scan type: Quick scan
Objects scanned: 142107
Time elapsed: 4 minute(s), 3 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
         

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Database version: 7723

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

16.09.2011 00:12:17
mbam-log-2011-09-16 (00-12-17).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 286970
Time elapsed: 28 minute(s), 41 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
         

Zu 2.)
Habe vor allen Scans wie in der Anleitung für neue Posts mit Defogger Laufwerke disabled

Code: Alles auswählenAufklappen

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:24 on 16/09/2011 (Philip)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
HKCU:DAEMON Tools Lite -> Removed

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-
         

Zu 3.)

Code: Alles auswählenAufklappen

ATTFilter

7-Zip 4.65		19.05.2010		
Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	20.05.2010		10.0.22.87
Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	28.06.2011	6,00MB	10.3.181.26
Adobe Reader 9.4.6 - Deutsch	Adobe Systems Incorporated	15.09.2011	203,6MB	9.4.6
Akamai NetSession Interface		15.03.2011		
Alice Software 4.10.0	HanseNet Telekommunikation GmbH	08.03.2011		4.10.0
Alice-Installationsdateien entfernen		08.03.2011		
AMD OverDrive	Advanced Micro Devices, Inc.	19.05.2010	21,9MB	3.0.2.0289
ArmA Uninstall		20.05.2010		
ATI Catalyst Install Manager	ATI Technologies, Inc.	19.05.2010	16,5MB	3.0.769.0
BattlEye Uninstall		20.05.2010		
Bionic Commando	Capcom Entertainment, Inc	20.05.2010		1.0
Brother MFL-Pro Suite MFC-990CW	Brother Industries, Ltd.	29.08.2011		1.0.1.0
CCleaner	Piriform	19.05.2010		2.31
Cisco Systems VPN Client 5.0.05.0290	Cisco Systems, Inc.	19.05.2010	12,3MB	5.0.5
Command & Conquer Generals	Electronic Arts	20.05.2010	1.588,5MB	0.50.0000
Command and ConquerTM Generals Zero Hour	Electronic Arts	20.05.2010	1.228,8MB	1.00.0000
Crazy Machines II	FAKT Software GmbH	02.07.2011	418,4MB	1.03
DAEMON Tools Lite	DT Soft Ltd	13.07.2011		4.40.2.0131
ESET Online Scanner v3		15.09.2011		
Free Audio CD Burner version 1.4.7	DVDVideoSoft Limited.	24.03.2011	10,7MB	
Free YouTube to MP3 Converter version 3.9.35.324	DVDVideoSoft Limited.	24.03.2011	36,0MB	
FreePDF (Remove only)		19.05.2010		
Google Earth	Google	06.01.2011	84,3MB	6.0.1.2032
GPL Ghostscript 8.70		19.05.2010		
Grand Theft Auto IV	Rockstar	01.08.2011		
Grand Theft Auto San Andreas	Rockstar Games	07.11.2010		1.00.00001
Grand Theft Auto: Episodes from Liberty City	Rockstar	01.08.2011		
GreenPowerCenterII	MSI, Inc.	19.05.2010				
Liveupdate4	MSI, Inc.	19.05.2010		
LogMeIn Hamachi	LogMeIn, Inc.	16.08.2011		2.1.0.122
Magic The Gathering - Duels of the Planeswalkers		09.08.2011		
Malwarebytes' Anti-Malware Version 1.51.2.1300	Malwarebytes Corporation	14.09.2011	13,8MB	1.51.2.1300
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	25.06.2010	38,8MB	4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack	Microsoft Corporation	25.06.2010	2,94MB	4.0.30319
Microsoft Age of Empires II		09.01.2011		
Microsoft Games for Windows - LIVE Redistributable	Microsoft Corporation	06.05.2011	31,3MB	3.5.88.0
Microsoft Games for Windows Marketplace	Microsoft Corporation	06.05.2011	6,04MB	3.5.50.0
Microsoft Office Enterprise 2007	Microsoft Corporation	20.05.2010		12.0.6425.1000
Microsoft Office File Validation Add-In	Microsoft Corporation	14.09.2011	7,95MB	14.0.5130.5003
Microsoft Office Language Pack 2007 - German/Deutsch	Microsoft Corporation	21.05.2010		12.0.6425.1000
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053	Microsoft Corporation	20.05.2010	0,25MB	8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	16.06.2011	0,29MB	8.0.59193
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570	Microsoft Corporation	27.04.2011	0,58MB	9.0.30729.5570
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	15.03.2011	0,23MB	9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	19.05.2010	0,58MB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161	Microsoft Corporation	16.06.2011	0,59MB	9.0.30729.6161
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319	Microsoft Corporation	27.04.2011	11,0MB	10.0.30319
Mobile Partner	Huawei Technologies Co.,Ltd	15.01.2011		16.002.03.04.800
Mozilla Firefox (3.5.4)	Mozilla	19.05.2010		3.5.4 (de)
Mozilla Firefox 6.0.2 (x86 de)	Mozilla	07.09.2011	35,1MB	6.0.2
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	19.05.2010	37,00KB	4.20.9870.0
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	19.05.2010	1,33MB	4.20.9876.0
Need for Speed™ Most Wanted		07.11.2010		
NVIDIA PhysX	NVIDIA Corporation	01.09.2011	73,8MB	9.10.0224
OpenAL		20.05.2010		
OverclockingCenter	MSI, Inc.	19.05.2010		
PaperPort Image Printer	Nuance Communications, Inc.	29.08.2011	0,51MB	1.00.0000
Pro Evolution Soccer 2010	KONAMI	16.07.2010	5.439,1MB	1.00.0000
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	19.05.2010		6.0.1.5898
Red Faction Guerrilla	Volition Inc.	15.07.2010	7.909,5MB	1.00.0000
RedMon - Redirection Port Monitor		19.05.2010		
Risen	Deep Silver	02.07.2011		1.00.0000
SAMSUNG Mobile Composite Device Software		02.07.2011		
SAMSUNG Mobile Modem Driver Set		02.07.2011		
Samsung Mobile phone USB driver Drive Software		02.07.2011		
SAMSUNG Mobile USB Modem 1.0 Software		02.07.2011		
SAMSUNG Mobile USB Modem Software		02.07.2011		
Samsung PC Studio 3	Samsung Electronics Co., Ltd.	02.07.2011		3.2.1.80301
Sanctum		31.08.2011		
ScanSoft PaperPort 11	Nuance Communications, Inc.	29.08.2011	147,1MB	11.2.0000
Silkroad		30.08.2010		
Skype™ 4.2	Skype Technologies S.A.	21.09.2010	31,7MB	4.2.187
Sophos Anti-Virus	Sophos Limited	31.08.2011	36,6MB	9.7.5
Sophos AutoUpdate	Sophos Limited	31.08.2011	12,8MB	2.5.10
Steam	Valve Corporation	01.08.2011	42,3MB	1.0.0.0
SWAT 4	Sierra Entertainment, Inc.	20.05.2010	1.716,2MB	1.0.31763
Sweet Home 3D version 2.4	eTeks	10.08.2010		
TeamSpeak 3 Client	TeamSpeak Systems GmbH	20.06.2010		
Trillian	Cerulean Studios, LLC	20.05.2010		
Uninstall 1.0.0.1		24.03.2011	10,9MB	
Verbindungsassistent	Verbindungsassistent	09.12.2010		2.1
VirtualCloneDrive	Elaborate Bytes	20.05.2010		
VLC media player 1.0.5	VideoLAN Team	20.05.2010		1.0.5
Warcraft III		09.01.2011		
Windows Live ID Sign-in Assistant	Microsoft Corporation	18.12.2010	5,52MB	6.500.3165.0
Wippien 2.3		24.05.2010		
Xfire (remove only)		20.05.2010
         

Was ist nun eigtl. mit den 3 Prozessen ohne Beschreibung?
Konnte mir iwie immer noch niemand sagen ob das normal ist oder nicht...

Bei den Programmen hab ich selbst gesehn dass man da vmtl wieder ein paar alte Leichen entsorgen könnte... ich warte aber erstmal auf Antwort.

Vielen Dank schonmal so weit.

Zitat:

csrss.exe -> http://www.neuber.com/taskmanager/de...csrss.exe.html

aticlxx.exe (gemeint ist "atieclxx.exe" : -> http://www.file.net/prozess/atieclxx.exe.html

und winlogon.exe -> http://www.neuber.com/taskmanager/de...logon.exe.html

1.
Adobe Reader aktualisieren :
- Bei Installation aufpassen/mitlesen!: Wenn irgendeine Software, Toolbar etc angeboten wird, bitte abwählen! - (z.B "McAfee Security Scan Plus")
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

2.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

ansonsten keine Auffälligkeiten!

Hallo Kira,

danke soweit für deine Einschätzungen und Mühen.
Bei atieclxx.exe hatte ich wohl ausversehn ein "e" verschluckt
Ansonsten liegen die Dateien da wo sie sollen.
Also ist es nun normal dass nur die 3 ohne Benutzer und Beschreibung im TM laufen?!

Adobe Acrobat Reader hab ich neue Version 10.1.1 runtergeladen und die alte deinstalliiert ( ein Update direkt war nicht möglich).

System hab ich mit CC-Cleaner bereinigt ( mache ich eh von Zeit zu Zeit mal )

Sind wir soweit dann durch oder benötigen wir noch etwas?
Ansonsten müsstest du mir noch sagen wie ich mit Defogger die Laufwerke reanable bzw ob/wann ich dies machen darf, damit ich nicht noch am Ende ietwas falsch mache

Soweit aber nochmals Vielen Dank für die genaue und nette Hilfe!

Liebe Grüße

Zitat:

Microsoft Office Enterprise 2007 Microsoft Corporation 20.05.2010 12.0.6425.1000

Ist das ein Firmenrechner?

Nein, wieso?
Sollte ich bzgl Office lieber auf was neueres umsteigen?

Weil die Version nur als Volumenlizenz für Firmen erhältlich ist. Und ich daher sehr verwundert bin das du so eine Version besitzt.

Also wenn ich mich recht entsinne haben wir das über die Uni bekommen...

Hallo Kira,
hab jetzt einige Tage nichts mehr gehört....

Sind wir soweit mit der Suche fertig?
Ist ja nichts aufgetaucht.

Kann ich dann mit Defogger reanablen?
Und wenn ja muss ich dabei noch ietwas beachten?

Und danke nochmal soweit für deine / eure Hilfe!

Liebe Grüße

Philip