Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Programme und Spiele verlieren häufig den Fokus (https://www.trojaner-board.de/65211-programme-spiele-verlieren-haeufig-fokus.html)

sub0 26.11.2008 08:17

Programme und Spiele verlieren häufig den Fokus
 
Hallo zusammen,

nachdem ich einige Zeit erfolglos nach dem Problem gegoogelt habe, möchte ich nun hier ein paar Experten befragen und mein HijackThis-Logfile zeigen.

Das Problem ist, dass in letzter Zeit häufiger Programme und Spiele den Fokus verlieren und (bei Spielen) z.B. plötzlich der Desktop erscheint. Ausserdem habe ich von Bitdefender einmal eine Meldung bekommen, dass er einen Generic-irgendwas-Trojaner gefunden hat. Leider Gottes gibt es in Bitdefender Internet Security 2009 momentan noch keine Möglichkeit, dass so ein Trojaner in die Quarantäne verschoben wird anstatt ihn gleich zu löschen (obwohl so etwas in früheren Versionen ging). Und da die Software dummerweise nicht automatisch ein Logfile anlegt, kann ich im Nachhinein nicht mehr sagen, wie der angebliche Trojaner hies. Bin mir auch nicht wirklich sicher, ob es nicht ein Fehlalarm war.

Aber dass die Programme plötzlich den Fokus verlieren ist sehr ärgerlich - gerade wenn man etwas in einer Textverarbeitung tippt und dann merkt, dass das Programm ohne Fokus die Eingabe überhaupt nicht mitbekommt. Bisher kann ich nicht reproduzieren, unter welchen Umständen dies passiert. Aber vielleicht seht Ihr ja etwas Auffälliges im Logfile.

Vielen Dank schonmal im voraus für Eure Hilfe


Grüße
-SubZero-

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:54:13, on 26.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
D:\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\WINDOWS\Explorer.EXE
H:\Acronis\TrueImageHome\TrueImageMonitor.exe
H:\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
D:\iTunes\iTunesHelper.exe
D:\HP\ToolBoxFX\bin\HPTLBXFX.exe
D:\HP\HP UT\bin\hppusg.exe
D:\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\CTXFIHLP.EXE
D:\BitDefender\BitDefender 2009\bdagent.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
D:\Logitech\SetPoint\SetPoint.exe
D:\DSL-Manager\DslMgr.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
I:\Download\_Treiber\Logitech G15 2.02\Applets\NetSpeed\G15NetSpeed.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
D:\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\svchost.exe
D:\DSL-Manager\DslMgrSvc.exe
D:\BitDefender\BitDefender 2009\seccenter.exe
D:\WinTasks\wintasks.exe
D:\Mozilla Firefox\firefox.exe
I:\Download\_Programme\Hijack This\HijackThis_v2.02.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://mail.google.com/mail/?hl=de&tab=wm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\STARDO~1\SDIEInt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - D:\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [TrueImageMonitor.exe] H:\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] H:\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [\***\*******] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P35 "\\***\*******" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [\\***\*******] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P19 "\\***\*******" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "D:\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [HPUsageTracking] "D:\HP\HP UT\bin\hppusg.exe" "D:\HP\HP UT\"
O4 - HKLM\..\Run: [HP Software Update] D:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [BDAgent] "D:\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "D:\BitDefender\BitDefender 2009\IEShow.exe"
O4 - S-1-5-18 Startup: DSL-Manager.lnk = D:\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = D:\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: DSL-Manager.lnk = D:\DSL-Manager\DslMgr.exe
O4 - Global Startup: ColorVisionStartup.lnk = D:\ColorVision\Utility\ColorVisionStartup.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download with Star Downloader - D:\Star Downloader\sdie.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202230620578
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7C04BD7-33DD-4FEB-AC7A-EFAADAB41DC8}: NameServer = ***.***.***.***
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe Version Cue CS3 {de_DE}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. h**p://www.bitdefender.com - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Events Log (Event) - Unknown owner - C:\WINDOWS\system32\drivers\csrss.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - D:\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - D:\OpenVPN\bin\openvpnserv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - D:\DSL-Manager\DslMgrSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - D:\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 11614 bytes


sub0 02.12.2008 12:05

Schade, dass sich niemand aufraffen kann. Fehlen noch Infos? :(

Chris4You 02.12.2008 12:35

Hi,

dann werde ich meine müden, alten Knochen mal "aufraffen":


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:

C:\WINDOWS\system32\drivers\csrss.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fall die Datei erkannt wurde, hier weiter:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:

Files to delete:
C:\WINDOWS\system32\drivers\csrss.exe


3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:

O23 - Service: Events Log (Event) - Unknown owner - C:\WINDOWS\system32\drivers\csrss.exe
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Poste neben den Logs der Tools auch noch ein neues HJ-Log..

Chris

sub0 02.12.2008 13:00

Danke für die schnelle Antwort. Werde das sobald ich nach Hause komme testen. Eine Frage vorweg: Ist csrss.exe verdächtig? Eigentlich kommt die von meinem Bitdefender Antivirusprogramm...

Chris4You 03.12.2008 07:23

Hi,

lass mal prüfen, nur das Script laufen lassen, wenn erkannt...

chris

sub0 03.12.2008 08:25

ok, hier das Ergebnis:

Code:

Datei csrss.exe empfangen 2008.12.03 08:17:22 (CET)
Status: Beendet
Ergebnis: 0/37 (0%)

Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.12.2.2        2008.12.03        -
AntiVir        7.9.0.36        2008.12.02        -
Authentium        5.1.0.4        2008.12.02        -
Avast        4.8.1281.0        2008.12.02        -
AVG        8.0.0.199        2008.12.03        -
BitDefender        7.2        2008.12.03        -
CAT-QuickHeal        10.00        2008.12.03        -
ClamAV        0.94.1        2008.12.03        -
DrWeb        4.44.0.09170        2008.12.03        -
eSafe        7.0.17.0        2008.12.02        -
eTrust-Vet        31.6.6240        2008.12.03        -
Ewido        4.0        2008.12.02        -
F-Prot        4.4.4.56        2008.12.02        -
F-Secure        8.0.14332.0        2008.12.03        -
Fortinet        3.117.0.0        2008.12.03        -
GData        19        2008.12.03        -
Ikarus        T3.1.1.45.0        2008.12.03        -
K7AntiVirus        7.10.540        2008.12.02        -
Kaspersky        7.0.0.125        2008.12.03        -
McAfee        5452        2008.12.02        -
McAfee+Artemis        5452        2008.12.02        -
Microsoft        1.4205        2008.12.03        -
NOD32        3659        2008.12.02        -
Norman        5.80.02        2008.12.02        -
Panda        9.0.0.4        2008.12.02        -
PCTools        4.4.2.0        2008.12.02        -
Prevx1        V2        2008.12.03        -
Rising        21.06.20.00        2008.12.03        -
SecureWeb-Gateway        6.7.6        2008.12.03        -
Sophos        4.36.0        2008.12.03        -
Sunbelt        3.1.1832.2        2008.12.01        -
Symantec        10        2008.12.03        -
TheHacker        6.3.1.2.172        2008.12.02        -
TrendMicro        8.700.0.1004        2008.12.03        -
VBA32        3.12.8.10        2008.12.02        -
ViRobot        2008.12.3.1497        2008.12.03        -
VirusBuster        4.5.11.0        2008.12.02        -
weitere Informationen
File size: 1 bytes
MD5...: c4ca4238a0b923820dcc509a6f75849b
SHA1..: 356a192b7913b04c54574d18c28d46e6395428ab
SHA256: 6b86b273ff34fce19d6b804eff5a3f5747ada4eaa22f1d49c01e52ddb7875b4b
SHA512: 4dff4ea340f0a823f15d3f4f01ab62eae0e5da579ccb851f8db9dfe84c58b2b3
7b89903a740e1ee172da793a6e79d560e5f7f9bd058a12a280433ed6fa46510a
ssdeep: 3:U:U
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -


-SkY- 03.12.2008 10:45

Yay, du hast dir irgendwas komplett neues eingefangen.
Packe das Ding bitte in ein rar oder zip-Archiv mit dem Passwort "infected" und sende es an http://aboutip.de/spambot/spam_prote...gcolor]=FFFFFF

lg, Sky

sub0 03.12.2008 11:35

Ich verstehe nicht ganz, warum die Datei überhaupt infiziert sein sollte?! Woran machst du das fest, Sky, wo soviele Scan-Engines es nicht als Bedrohung erkennen... ? :confused:

Ich werd es vorher mal noch dem Kundendienst von Bitdefender über die eingebaute Quarantäne schicken. Schließlich zahle ich deren Gehalt :taenzer:

Melde mich dann wieder.

-SkY- 03.12.2008 11:44

Es kann auch sein dass der File gar nicht infizert ist.
Ich habe auch eine csrss.exe auf meinem System, nur liegt die in C:\Windows\system32\.
Ausführbare Dateien haben im drivers Ordner generell nix verloren, und deswegen würde ich die gerne weiter analysieren.
Ich bin ehrlichgesagt ziemlich neugierig was das ist :)

lg, Sky

sub0 04.12.2008 13:38

ok, Mail an dich ist eben raus :singsing:

-SkY- 05.12.2008 14:03

Zitat:

Zitat von sub0 (Beitrag 396864)
ok, Mail an dich ist eben raus :singsing:

Hmm, GMail will nich..

Dann lads mal bei file-upload.net oder so hoch

sub0 05.12.2008 15:10

so: http://www.file-upload.net/download-...ivers.zip.html :Boogie:

-SkY- 06.12.2008 18:42

Hm, das ist irgendwie SEHR komisch..
Das ist eine simple Textdatei mit dem Inhalt "1" (ohne Anführungszeichen), die als csrss.exe abgepeichert wurde o_O

Edit:
Das is mir nich geheuer, machen wir mal ein paar Deepscans deines Systems:

Hast du außerdem mal geguckt ob die csrss wiederkommt?

1. MBAM: http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html

2. DrWeb

3. SASW

4. Rootkitscans:
  1. Blacklight
  2. GMER

5. MBR überprüfen: mbr.exe

sub0 08.12.2008 08:37

Hallo Sky,

vielen Dank für die Anleitung, aber ich möchte noch den einen oder anderen Tag mit der Durchführung abwarten, bis von Bitdefender die Antwort zur csrss.exe und csrss.pif gekommen ist. Denn sollten die nochmal ne Datei brauchen, die bis dahin durch z.B. MBAM gelöscht wurde, hätte ich ein Erklärungsproblem. ;-) Ich melde mich, sobald ich die Anleitung durchgeführt habe.

Zitat:

Zitat von -SkY- (Beitrag 397269)
Hast du außerdem mal geguckt ob die csrss wiederkommt?

Warum sollte sie weg sein? Ich habe sie bisher nicht gelöscht.


Viele Grüße
Sub0

-SkY- 08.12.2008 16:00

Wie gesagt, die csrss.exe ist eine 1 Byte Datei, mit dem simplen Inhalt "1".
Malware kann sich dadrin definitiv und zu 101% NICHT "verstecken".
Die csrss.exe wurde von Avenger gelöscht. Oder etwa nicht?
Bei dir müsste in deinem root-Verzeichnis C:\ ein Ordner namens Avenger befinden, in dem ein Archiv sein sollte. Lade dieses bitte bei file-upload.net hoch.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131