Trojan Agent dwm.exe / csrss.exe in C:\Dokumente und Einstellungen\Anwendungsdaten\dwm.exe

mezodine

Hallo!

Ich habe mir wohl einen hartnäckigen Trojaner?? eingefangen. Beim hochfahren des PC´s bekomme ich die Meldung:

"C:/Dokumente und Einstellungen/Lokale17Temp/csrss.exe
Ein anderes Programm greift gerade auf die Datei zu. OK?"

Bei Bestätigung dieser Abfrage dann:
"Die in der Registrieung angegebene Anwendung konnte nicht geladen oder gestartet werden. Stellen sie sicher, dass die Datei vorhanden ist, oder entfernen sie den Eintrag mit Bezug auf diese Datei aus der Registrierung"

Ein erster Scan und die automatische Auswertung mit HijackThis erbrachte:

F3 - REG:win.ini: load=C:\DOKUME~1\xxxx\LOKALE~1\Temp\csrss.exe

Schädlich (2.23 / 5.00)


C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\dwm.exe



Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen.
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Prozess läuft nicht im System32 Ordner!

C:\DOKUME~1\xxxx\LOKALE~1\Temp\csrss.exe



Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen.
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Prozess läuft nicht im System32 Ordner!


Symptome konnte ich bisher nicht feststellen, außer dass Google anfragen auf bubiose Seiten umgeleitet werden, aber auch nicht regelmäßig. Weitere Recherechen im Internet erbrachten, dass ich mit dem Problem wohl nicht ganz alleine dastehe, allerdings ohne eine konkrete Lösungsmöglichkeit anzubieten.

Im Trojaner Board gibt es einen sehr ähnlichen Fall unter:

www.trojaner-board.de/96596-csrss-exe-dwm-exe-und-conhost-exe-erscheinen-imer-wieder.html

Allerdings funktioniert auch hier die vorgeschlagene Lösung nicht für meinen Fall.

Hat vielleicht jemand eine Idee? Da wäre ich sehr dankbar.
Mit besten Grüßen Timo

Anbei die beiden ODT und der Malewarebytes Auszug

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6174

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

26.03.2011 18:31:25
mbam-log-2011-03-26 (18-31-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|K:\|L:\|N:\|O:\|)
Durchsuchte Objekte: 167510
Laufzeit: 2 Stunde(n), 35 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{50CCD00A-66B6-4D95-AAEF-8EE959498F92} (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\timo\anwendungsdaten\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken.
c:\dokumente und einstellungen\timo\lokale einstellungen\Temp\55.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\TEMP\USS667.tmp (Trojan.Agent) -> No action taken.
c:\WINDOWS\TEMP\USS668.tmp (Trojan.Agent) -> No action taken.