Google verlinkt aus andere Websites, Problem mit csrss.exe

Snake777

Hallo zusammen,

vor zwei Tagen startet Windows mit der Meldung, dass die Datei ...temp/csrss.exe nicht geöffnet werden kann.

Anschließend wurde ich bei Google aus den Suchergebnissen auf falsche Websites (Werbung, Porno etc.) weitergeleitet. Zudem wurden die Firefox-Einstellungen nach einiger Zeit auf Proxy konfiguriert.

Auf der Suche nach dem Problem habe ich mit Antivir und Spybot unter anderem Win32.Palevo und Win32.Fakealert gefunden. Nach dem entfernen der Viren blieb das Problem jedoch bestehen.

Anschließend bin ich hier im Forum gelandet. Ich habe mit Malwarebytes einen Scan durchgeführt und die 15 gefundenen Viren gelöscht. Ein zweiter Scan führte zu keinem Treffer mehr. Das Problem bei Google ist behoben.

Ich poste hier die beiden Logfiles (mit und ohne Treffer)

Scan mit Treffern:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6218

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.03.2011 19:38:06
mbam-log-2011-03-30 (19-38-06).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 160019
Laufzeit: 3 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 6

Infizierte Speicherprozesse:
c:\dokumente und einstellungen\Bine\anwendungsdaten\DWM.EXE (Trojan.Downloader) -> 568 -> Unloaded process successfully.
c:\dokumente und einstellungen\Bine\anwendungsdaten\DWM.EXE (Trojan.Downloader) -> 704 -> Unloaded process successfully.
c:\dokumente und einstellungen\Bine\anwendungsdaten\microsoft\CONHOST.EXE (Trojan.Agent) -> 2896 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494E6CEC-7483-A4EE-0938-895519A84BC7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOKUME~1\Bine\LOKALE~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\dokumente und einstellungen\Bine\anwendungsdaten\DWM.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Dokumente und Einstellungen\Bine\Lokale Einstellungen\Temp\csrss.exe (Trojan.Agent) -> Delete on reboot.
c:\dokumente und einstellungen\Bine\anwendungsdaten\microsoft\CONHOST.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\TimL\anwendungsdaten\microsoft\conhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Bine\lokale einstellungen\Temp\8.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Bine\lokale einstellungen\Temp\C.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Scan ohne Treffer
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6218

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30.03.2011 20:02:45
mbam-log-2011-03-30 (20-02-45).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 159698
Laufzeit: 3 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Ist das Problem somit gelöst?

Vielen Dank im Voraus!
Snake