Virus (csrss.exe/winlogon.exe) nach mbr und normaler Formatierung immer noch da
 

Nabend,
wie im Titel schon kurz angerissen, habe ich vermutlich in den beiden genannten .exen vermutlich nen Virus, obwohl ich meine Festplatte schon mehfach formatiert habe und unter Linux den MBR formatiert habe.


Nochmal ganz von vorne, es handelt sich bei dem Computer eigentlich um einen komplett neu zusammengebauten Rechner, nur eine alte HDD wurde übernommen
(habe nachdem ich sie eingebaut hatte Windows von C: gelöscht) und nach und nach Programme nach der Neuinstallation auf der neuen SSD von der alten Platte runtergeschmissen.
Der Rechner in dem die alte Festplatte vorher verbaut war hatte ein paar Macken, die aber eher nach Hardwarefehlern, als nach nem Virus aussahen (wollte bei jedem Runterfahren ein Windows Update aufpielen, was im bluescreen endete).


Die ersten paar Tage sah beim neuen PC alles gut aus, bis er plötzlich ewig langsam hochfuhr (Eingabe des Benutzer-Passwortes geschah nur verzögert und der Begrüssungssound wurde abgehackt und verzerrt abgespielt)
desweiteren lief die CPU häufig auf 100% Leistung, ohne das ein Programm auch nur 1% auslasten würde.
Im Task-Manager traten dann csrss.exe und winlogon.exe ohne Benutzername und Beschreibung auf und man konnte ihren Dateipfad nich öffnen, noch ihre Eigenschaften aufrufen.

Dieses Phänomen mit csrss.exe und winlogon.exe bleibt nun nach x-facher Formatierung/Neuinstallation von Windows 7 64bit/und löschen des MBR unter Linux von CD gestarten immer noch komisch im Taskmanager.
Die alte Festplatte, von der ich vermute, dass der Virus kam habe ich nun abgestöpselt, sodass nur noch die neue PLatte benutzt wird, der Fehler bleibt aber weiterhin.

Gibt es noch weitere Möglichekeiten sowas zu entfernen, außer Formatieren/MBR löschen und wenn ja, habe ich eine danach eine Möglichkeit die Daten der alten Festplatte (habe sie auf ne externe gezogen) wieder zu bekommen, ohne das ganze Spiel wieder von vorne zu beginnen?

Hoffe mir kann geholfen werden, danke schonmal an alle die meinen zu langen Text lesen^^.

anbei noch die log files

:hallo:

Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem
• Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Poste die Logfiles direkt in deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 2 Tagen nichts von mir hörst, dann schreibe mir bitte eine PM.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und bei einem Befall durch Malware immer der sicherste Weg. Adware lässt sich in den allermeisten Fällen problemlos entfernen.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Posten in Code Tags
Bitte füge die Logs immer in Code-Tags ein. Wenn Du das nicht machst, erschwert es mir sehr das Auswerten. Danke.
Dazu:

• Klicke über dem Antwortfenster auf die Raute #, dann steht dort in eckigen Klammern [] CODE /CODE.
• Zwischen den beiden code-Bausteinen fügst Du dann deine Logfiles ein. Also CODE Logfile /CODE
• Wenn die Logs zu lang sein sollten, dann teile sie bitte auf und poste sie dann hier in Deinem Thread, notfalls in mehreren Antworten.

Schritt 1
Bitte poste deine Logfiles hier in Code-Tags ( Anleitung siehe oben) in deinen Thread

Ok habe sie als Code-Tags eingefügt.

defogger disable logFRST log
FRST Logfile:
--- --- ---


FRST Addition log Gmer log

Hallo,

zuerst, es ist normal, dass du von diesen Dateien den Benutzer und den Dateipfad nicht angezeigt bekommst.
Hast du diesen Ordner und diese Datei unter Windows erstellt?
Schritt 1

• öffne den Taskmanager
• gehe auf Prozesse
• klicke auf Prozesse aller Benutzer anzeigen (unten links)
• suche die Prozesse winlogon.exe und csrss.exe
• Rechtsklicke auf die jeweilige Datei
• wähle Eigenschaften aus (linksklick)
• poste mir den Dateipfad der dort steht

csrss.exe C:\Windows\System32

winlogon.exe C:\Windows\System32


Das es normal ist, dass diese beiden keine Dateipfad/Beschreibung haben, ist bei zwei anderen PCs von mir jedoch nicht der Fall, bei diesen sind von Anfang an die Beschreibungen beider Prozesse da,
bei einem dritten PC, mit dem ich es nun verglichen habe jedoch nicht.

Vielleicht ist der Fehler ja weg,
es hat nach dem Formatieren immer einige Zeit gebraucht, bis die Fehler (verzögerte Eingabe des Passworts, verzerrte Sounds beim Hochfahren) auftraten.

Momentan läuft der PC rund, aber es ist auch nur Windows + der Lan Treiber drauf (und die Porgramme um die drei Logs zu erstellen).

Der Pc lief nun ein paar Stunden wieder normal, aber jetzt fängt er (wenn auch leichter) wieder damit an den Begrüßungssound leicht verzerrt abzuspielen und bei der Eingabe des Benutzerpassworts alles leicht verzögert anzunehmen.
Sobald man dann aufm desktop ist, ist alles normal.

Hallo Gen,

hattest du meine Frage nach der csrss.exe und dem Ordner gelesen?

Es ist in diesem Fall normal, weil dir die entsprechenden administrativen Berechtigungen fehlen.
Die Pfade sind absolut in Ordnung.

Wenn du den PC formatiert hast, ist es sehr unwahrscheinlich, dass diese Fehler von Malware kommen.

Ja, das Log sieht auch recht nackig aus. :D

Welche Frage meinst du jetzt genau zu der csrss.exe: "Hast du diesen Ordner und diese Datei unter Windows erstellt?" also von Hand habe ich nix gemacht, wird ja wohl bei der Installation von Windows gemacht, den Ort der beiden Dateien hatte ich dir gepostet.

Aber ich glaube mittlerweile nicht mehr, dass es sich um nen Virus handelt,
(das die beiden genannten exen manchmal ohne Beschreibung im Taskmanager sind habe ich nun gelernt)
irgentwo im Netz hatte ich halt aufgeschnappt, dass das nicht normal ist und zwei andere Rechner die als Vergleich dienten hatten mir dies ja auch bestätigt.
Meine jetzige Vermutung ist, dass die neue Festplatte beschädigt ist (installiere morgen mal zum Testen auf einer anderen) und das hat im Zusammenspiel mit einem mal gefundenen Virus, der wohl drauf war so ausgesehen, als wenn der immernoch da ist.



Sollte es nicht an der Festplatte liegen wäre ich aber sehr ratlos, bei 50% der Hochfahrvorgänge hängt der PC sich halt halb auf und der Sound stottert, läuft danach aber 100% einwandfrei.

Trotzdem danke für die Hilfe und Mühe, hoffentlich klärt sich das nachher auf.

Ok es hat sich geklärt, es liegt an der neuen/kaputt gelieferten Festplatte...
Und das mit dem csrss.exe und winlogon.exe hat sich auch geklärt, wenn man die Benutzerkontensteuerung auf's niedrigste stellt wird alles angezeigt...

Naja trotzdem danke nochmal, Problem hat sich gelöst^^.

Hallo Gen,

sehr schön, dass sich das Problem gelöst hat.

Alles Gute.

Somit ist dieses Thema erledigt, falls du noch Fragen haben solltest oder es Probleme gibt, so schicke mir bitte eine PN

Jeder andere bitte hier klicken und einen eigenen Thread erstellen