Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Wieder mal csrss.exe, wisptis.exe doppelt

Wieder mal csrss.exe, wisptis.exe doppelt


Plagegeister aller Art und deren Bekämpfung: Wieder mal csrss.exe, wisptis.exe doppelt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.03.2013, 00:38   #1
nescio180
 
Wieder mal csrss.exe, wisptis.exe doppelt - Unglücklich

Wieder mal csrss.exe, wisptis.exe doppelt


Hallo liebe Community,

habe im Task-Manager zweimal die csrss.exe und zweimal die wisptis.exe. Die wisptis.exe wird einmal mit meinem Benutzernamen ausgeführt und einmal ganz ohne Benutzernamen und Pfad. Wenn ich die erste im Task-Manager beende, taucht sie sofort wieder auf, die zweite kann ich gar nicht erst beenden.
Die csrss.exe sehe ich nur einmal allerdings dann im abgesicherten Modus zweimal. Im abgesicherten Modus wird die pfadlose wisptis.exe dann mit dem Benutzernamen System ausgeführt.
Seitdem leidet die Performance leider ein wenig.

So ziemlich das gleiche Problem wurde schon einmal besprochen (siehe: http://www.trojaner-board.de/113531-...e-doppelt.html). Allerdings wird dann bei der Lösung gewarnt:
Zitat:
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
Was ich bis jetzt getan habe:
1. Defogger -> disable
2. Scan mit Malwarebytes
3. ESET Online Scanner

Malwarebytes hat nichts gefunden, ESET hat 5 Trojaner gefunden.

Malwarebytes Log:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2013.03.08.16

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: ***-VAIO [limitiert]

Schutz: Deaktiviert

09.03.2013 00:22:44
mbam-log-2013-03-09 (00-22-44).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 180415
Laufzeit: 6 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ESET Online Scanner Log:
Code:
ATTFilter
   ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=ccdfd4e9c124df438fc431e72cdca019
# engine=13339
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-03-08 11:14:58
# local_time=2013-03-09 12:14:58 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=3591 16777213 100 95 198477 125381083 0 0
# compatibility_mode=5893 16776574 100 94 177777 114414348 0 0
# scanned=375788
# found=5
# cleaned=0
# scan_time=12290
sh=95DD7F7A544B6708599F1E312415DB33C3DFC430 ft=0 fh=0000000000000000 vn="Win32/Reveton.N trojan" ac=I fn="C:\Windows\pss\wpbt0.dll.lnk.Startup"
sh=A6360EAA11C110D830995895262B772E370081EC ft=1 fh=c71c001119aa5a4a vn="a variant of Win32/Mediyes.I trojan" ac=I fn="C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\MSI1075.tmp"
sh=AC0E36CCDE5F3F5CBC0B4F7A8D959E296511EA4B ft=1 fh=c71c0011361e85e5 vn="a variant of Win32/Mediyes.Q trojan" ac=I fn="C:\Windows\System32\nspf9rct.dll"
sh=AC0E36CCDE5F3F5CBC0B4F7A8D959E296511EA4B ft=1 fh=c71c0011361e85e5 vn="a variant of Win32/Mediyes.Q trojan" ac=I fn="C:\Windows\SysWOW64\nspf9rct.dll"
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="a variant of Win32/Mediyes.Q trojan" ac=I fn="${Memory}"

Vielen Dank schonmal im Voraus.

Alt 09.03.2013, 14:18   #2
M-K-D-B
/// TB-Ausbilder
 
Wieder mal csrss.exe, wisptis.exe doppelt - Standard

Wieder mal csrss.exe, wisptis.exe doppelt





Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:
  • Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
    Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
  • Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
  • Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
  • Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
    Solltest du einmal länger abwesend sein, so gib mir bitte Bescheid!
  • Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
    Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
    Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.





Du bist mit einem speziellen Trojaner infiziert. Wir kümmern uns darum. Aber zuerst benötige ich ein paar Informationen:




Schritt 1
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).
  • Starte bitte die OTL.exe.
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
  • Setze einen Haken bei Scanne alle Benutzer.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Telephony\Providers
HKEY_LOCAL_MACHINE\software\Wow6432Node\microsoft\Windows\CurrentVersion\Telephony\Providers
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation /S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache /S
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost
HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost
HKEY_LOCAL_MACHINE\SOFTWARE\Joosoft.com
%SystemRoot%\system32\*.tsp
%SystemRoot%\system32\*.tsp /64
C:\Windows\system32\*.dll /480
C:\Windows\SysNative\*.dll /480
C:\Windows\SysWOW64\*.dll /480
CREATERESTOREPOINT
  • Schließe bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Scan Button.
  • Am Ende des Suchlaufs werden 2 Logdateien erstellt.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread





Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
  • Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
  • Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
  • Wenn der Scan beendet wurde (Finished), klicke auf OK.
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
  • Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.
Klicke den Re-enable Button nicht ohne Anweisung!





Schritt 3
Bitte lade dir GMER Rootkit Scanner GMER herunter: (Dateiname zufällig)
  • Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
  • Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei: IAT/EAT und Show All
  • Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
  • Starte den Scan mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Tauchen Probleme auf?
  • Probiere alternativ den abgesicherten Modus.
  • Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.






Bitte poste mit deiner nächsten Antwort
  • die beiden Logdateien von OTL,
  • die Logdatei von DeFogger,
  • die Logdatei von GMER.
__________________
Alt 10.03.2013, 20:12   #3
nescio180
 
Wieder mal csrss.exe, wisptis.exe doppelt - Standard

Wieder mal csrss.exe, wisptis.exe doppelt


Hallo Matthias,

vielen Dank für die schnelle Antwort.

gmer ist beim ersten mal abgestüzt, kein bluescreen, nur das Programm ist abgestürzt. Habe es dann nochmal ohne den Haken bei "Devices" laufen lassen. Dann hats geklappt.

OTL und Extras log waren zu lang, deshalb im Anhang in einer rar.

defogger log:
Code:
ATTFilter
 defogger_disable by jpshortstuff (23.02.10.1)
Log created at 20:39 on 08/03/2013 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-

gmer log:
GMER Logfile:
Code:
ATTFilter
GMER 2.1.19155 - hxxp://www.gmer.net
Rootkit scan 2013-03-10 19:55:51
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 TOSHIBA_ rev.GJ00 465,76GB
Running: gmer_2.1.19155.exe; Driver: C:\Users\***\AppData\Local\Temp\ugtyrpod.sys


---- User code sections - GMER 2.1 ----

.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtClose                                                                                    0000000077c21400 5 bytes [FF, 25, 00, 00, 00]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtClose + 6                                                                                0000000077c21406 8 bytes [30, 07, 41, 01, 00, 00, 00, ...]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtQueryVirtualMemory                                                                       0000000077c21540 5 bytes [FF, 25, 00, 00, 00]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtQueryVirtualMemory + 6                                                                   0000000077c21546 8 bytes [80, 07, 41, 01, 00, 00, 00, ...]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection                                                                         0000000077c21590 5 bytes [FF, 25, 00, 00, 00]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtMapViewOfSection + 6                                                                     0000000077c21596 8 bytes [D0, 02, 41, 01, 00, 00, 00, ...]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection                                                                       0000000077c215b0 5 bytes [FF, 25, 00, 00, 00]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtUnmapViewOfSection + 6                                                                   0000000077c215b6 8 bytes [C0, 03, 41, 01, 00, 00, 00, ...]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                                                                                 0000000077c21640 5 bytes [FF, 25, 00, 00, 00]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile + 6                                                                             0000000077c21646 8 bytes [90, 06, 41, 01, 00, 00, 00, ...]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                              0000000077c21680 5 bytes [FF, 25, 00, 00, 00]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection + 6                                                                          0000000077c21686 8 bytes [C0, 01, 41, 01, 00, 00, 00, ...]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile                                                                      0000000077c216e0 5 bytes [FF, 25, 00, 00, 00]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile + 6                                                                  0000000077c216e6 8 bytes [E0, 05, 41, 01, 00, 00, 00, ...]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                            0000000077c217b0 5 bytes [FF, 25, 00, 00, 00]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection + 6                                                                        0000000077c217b6 8 bytes [30, 02, 41, 01, 00, 00, 00, ...]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtQuerySection                                                                             0000000077c21820 5 bytes [FF, 25, 00, 00, 00]
.text    C:\Windows\system32\svchost.exe[364] C:\Windows\SYSTEM32\ntdll.dll!NtQuerySection + 6                                                                         0000000077c21826 8 bytes [20, 04, 41, 01, 00, 00, 00, ...]
.text    C:\Program Files (x86)\SONY\VAIO Event Service\VESMgr.exe[2920] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                       00000000754f1465 2 bytes [4F, 75]
.text    C:\Program Files (x86)\SONY\VAIO Event Service\VESMgr.exe[2920] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                      00000000754f14bb 2 bytes [4F, 75]
.text    ...                                                                                                                                                           * 2
.text    C:\Program Files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe[2980] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69            00000000754f1465 2 bytes [4F, 75]
.text    C:\Program Files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe[2980] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155           00000000754f14bb 2 bytes [4F, 75]
.text    ...                                                                                                                                                           * 2
.text    C:\Program Files (x86)\SONY\VAIO Event Service\VESMgrSub.exe[3124] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                    00000000754f1465 2 bytes [4F, 75]
.text    C:\Program Files (x86)\SONY\VAIO Event Service\VESMgrSub.exe[3124] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                   00000000754f14bb 2 bytes [4F, 75]
.text    ...                                                                                                                                                           * 2
.text    C:\Program Files (x86)\TechSmith\Snagit 10\SnagPriv.exe[5376] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                                         00000000754f1465 2 bytes [4F, 75]
.text    C:\Program Files (x86)\TechSmith\Snagit 10\SnagPriv.exe[5376] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                                        00000000754f14bb 2 bytes [4F, 75]
.text    ...                                                                                                                                                           * 2
.text    C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\Magic-i Visual Effects.exe[5188] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69              00000000754f1465 2 bytes [4F, 75]
.text    C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\Magic-i Visual Effects.exe[5188] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155             00000000754f14bb 2 bytes [4F, 75]
.text    ...                                                                                                                                                           * 2
.text    C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\Magic-i Visual Effects.exe[5188] C:\Windows\SysWOW64\d3d8thk.dll!OsThunkDdWaitForVerticalBlank + 195  0000000072491b41 2 bytes [49, 72]
.text    C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\Magic-i Visual Effects.exe[5188] C:\Windows\SysWOW64\d3d8thk.dll!OsThunkDdWaitForVerticalBlank + 362  0000000072491be8 2 bytes [49, 72]
.text    C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\Magic-i Visual Effects.exe[5188] C:\Windows\SysWOW64\d3d8thk.dll!OsThunkDdWaitForVerticalBlank + 418  0000000072491c20 2 bytes [49, 72]
.text    C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\Magic-i Visual Effects.exe[5188] C:\Windows\SysWOW64\d3d8thk.dll!OsThunkDdWaitForVerticalBlank + 596  0000000072491cd2 2 bytes [49, 72]
.text    C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\Magic-i Visual Effects.exe[5188] C:\Windows\SysWOW64\d3d8thk.dll!OsThunkDdWaitForVerticalBlank + 628  0000000072491cf2 2 bytes [49, 72]
.text    C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe[5160] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69                  00000000754f1465 2 bytes [4F, 75]
.text    C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe[5160] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155                 00000000754f14bb 2 bytes [4F, 75]
.text    ...                                                                                                                                                           * 2
---- Processes - GMER 2.1 ----

Library  C:\Windows\system32\n7som.dll (*** suspicious ***) @ C:\Windows\system32\svchost.exe [364]                                                                    00000000073e0000

---- Registry - GMER 2.1 ----

Reg      HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\0c6076a27b10                                                                                   
Reg      HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\f07bcbd3eda5                                                                                   
Reg      HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\f07bcbd3eda5@18879605d302                                                                      0xAB 0x0C 0x3D 0x77 ...
Reg      HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\f07bcbd3eda5@002237060825                                                                      0x6E 0x1D 0x56 0x1B ...
Reg      HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\0c6076a27b10 (not active ControlSet)                                                               
Reg      HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\f07bcbd3eda5 (not active ControlSet)                                                               
Reg      HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\f07bcbd3eda5@18879605d302                                                                          0xAB 0x0C 0x3D 0x77 ...
Reg      HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\f07bcbd3eda5@002237060825                                                                          0x6E 0x1D 0x56 0x1B ...
Reg      HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4FB468B2-62C3-58AD-DDC0-4E978D0D8DFD}                                               
Reg      HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4FB468B2-62C3-58AD-DDC0-4E978D0D8DFD}@gaomjklehaeeaa                                0x61 0x63 0x62 0x6D ...
Reg      HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{EDE32328-8F72-6421-3361-3BF5AC680F4A}                                               
Reg      HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{EDE32328-8F72-6421-3361-3BF5AC680F4A}@iakocningcencfbmcj                            0x6A 0x61 0x67 0x70 ...
Reg      HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{EDE32328-8F72-6421-3361-3BF5AC680F4A}@haepigmfnjloniol                              0x6A 0x61 0x67 0x70 ...

---- EOF - GMER 2.1 ----
--- --- ---
__________________
Geändert von nescio180 (10.03.2013 um 20:19 Uhr) Grund: Namen durch "***" ersetzt

Alt 11.03.2013, 18:09   #4
M-K-D-B
/// TB-Ausbilder
 
Wieder mal csrss.exe, wisptis.exe doppelt - Standard

Wieder mal csrss.exe, wisptis.exe doppelt


Servus,



Aus deiner Logdatei:
Zitat:
O1 - Hosts: 127.0.0.1 secure.tune-up.com
O1 - Hosts: 127.0.0.1 65.52.240.48
O1 - Hosts: 127.0.0.1 activation.cloud.techsmith.com
O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 adobe.activate.com
O1 - Hosts: 127.0.0.1 hl2rcv.adobe.com
Die von mir gelisteten Einträge deuten stark darauf hin, dass auf diesem Rechner Software benutzt wird, die nicht legal erworben wurde.

Supportstopp
Lesestoff:
Cracks und Keygens
Den Kopierschutz von Software zu umgehen ist nach geltendem Recht illegal. Die Logfiles deuten stark darauf hin, dass du nicht legal erworbene Software einsetzt. Zudem sind Cracks und Patches aus dubioser Quelle sehr oft mit Schädlingen versehen, womit man sich also fast vorsätzlich infiziert.

Wir haben uns hier auf dem Board darauf geeinigt, dass wir an dieser Stelle nicht weiter bereinigen, da wir ein solches Vorgehen nicht unterstützen. Hinzu kommt, dass wir dich in unserer Anleitung und auch in diesem Wichtig-Thema unmissverständlich darauf hingewiesen haben, wie wir damit umgehen werden. Saubere, gute Software hat seinen Preis und die Softwarefirmen leben von diesen Einnahmen.

Unsere Hilfe beschränkt sich daher nur auf das Neuaufsetzen und Absichern deines Systems.
Fragen dazu beantworten wir dir aber weiterhin gerne und zwar in unserem Forum.
Damit ist das Thema beendet.

Antwort

Themen zu Wieder mal csrss.exe, wisptis.exe doppelt
anti-malware, appdata, autostart, csrss.exe, doppelt, downloader, escan, explorer, lösung, online, performance, problem, rechner, speicher, system, system32, task-manager, variant, win32/mediyes.i, win32/mediyes.q, win32/reveton., win32/reveton.n, wisptis.exe doppelt, wisptisexe


« System repair wizard trojaner | Firefox sowie Internet Explorer starten nicht mehr »


Ähnliche Themen: Wieder mal csrss.exe, wisptis.exe doppelt


  1. wisptis 2x im Taskmanager und lässt sich nicht beenden
    Plagegeister aller Art und deren Bekämpfung - 24.05.2015 (29)
  2. Windows7 / Seiten hängen/ Dialoge im TV doppelt /Reklame doppelt gesendet
    Plagegeister aller Art und deren Bekämpfung - 04.01.2015 (16)
  3. Anwendungen werden "in den Hintergrund" geschoben, "wisptis.exe" doppelt
    Log-Analyse und Auswertung - 28.07.2014 (11)
  4. Firefox, doppelt unterstrichene, grüne Textstellen, bei Mauszeigerkontakt Pop-up Werbung (schon wieder einer)
    Plagegeister aller Art und deren Bekämpfung - 21.01.2014 (12)
  5. kann keine Windows Updates machen alles wird wieder rückgängig gemacht, habe auch die csrss.exe zweimal
    Log-Analyse und Auswertung - 17.03.2013 (21)
  6. Bump.exe, csrss.exe und Find.exe tauchen immer wieder im Task-Manager auf. CPU bei 80%
    Log-Analyse und Auswertung - 13.07.2012 (2)
  7. wisptis.exe doppelt - Ist das System sauber/sicher?
    Log-Analyse und Auswertung - 25.04.2012 (17)
  8. csrss.exe, wisptis.exe doppelt
    Plagegeister aller Art und deren Bekämpfung - 17.04.2012 (35)
  9. Trojaner noch da? csrss.exe doppelt vorhanden
    Log-Analyse und Auswertung - 13.04.2012 (3)
  10. wisptis.exe, csrss... (Prozesse doppelt, nicht deaktivierbar), schädlich?
    Mülltonne - 11.04.2012 (0)
  11. csrss.exe doppelt im Taskmanager - Trojanerbefall?
    Log-Analyse und Auswertung - 25.12.2011 (3)
  12. [doppelt]mein OTL-Logfile; Problem: sein kurzem immer wieder CPU-Auslastung
    Mülltonne - 07.11.2011 (1)
  13. csrss.exe, dwm.exe und conhost.exe erscheinen imer wieder
    Plagegeister aller Art und deren Bekämpfung - 01.04.2011 (9)
  14. mal wieder csrss.exe
    Log-Analyse und Auswertung - 18.10.2008 (0)
  15. csrss.exe was is das ?????
    Plagegeister aller Art und deren Bekämpfung - 15.07.2008 (9)
  16. log file und wisptis.exe
    Log-Analyse und Auswertung - 15.11.2004 (1)
  17. Wisptis.exe ?!?
    Plagegeister aller Art und deren Bekämpfung - 06.02.2004 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Wieder mal csrss.exe, wisptis.exe doppelt - Hallo liebe Community, habe im Task-Manager zweimal die csrss.exe und zweimal die wisptis.exe. Die wisptis.exe wird einmal mit meinem Benutzernamen ausgeführt und einmal ganz ohne Benutzernamen und Pfad. Wenn ich - Wieder mal csrss.exe, wisptis.exe doppelt...
Archiv
Du betrachtest: Wieder mal csrss.exe, wisptis.exe doppelt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131