![]() |
Programme und Spiele verlieren häufig den Fokus Hallo zusammen, nachdem ich einige Zeit erfolglos nach dem Problem gegoogelt habe, möchte ich nun hier ein paar Experten befragen und mein HijackThis-Logfile zeigen. Das Problem ist, dass in letzter Zeit häufiger Programme und Spiele den Fokus verlieren und (bei Spielen) z.B. plötzlich der Desktop erscheint. Ausserdem habe ich von Bitdefender einmal eine Meldung bekommen, dass er einen Generic-irgendwas-Trojaner gefunden hat. Leider Gottes gibt es in Bitdefender Internet Security 2009 momentan noch keine Möglichkeit, dass so ein Trojaner in die Quarantäne verschoben wird anstatt ihn gleich zu löschen (obwohl so etwas in früheren Versionen ging). Und da die Software dummerweise nicht automatisch ein Logfile anlegt, kann ich im Nachhinein nicht mehr sagen, wie der angebliche Trojaner hies. Bin mir auch nicht wirklich sicher, ob es nicht ein Fehlalarm war. Aber dass die Programme plötzlich den Fokus verlieren ist sehr ärgerlich - gerade wenn man etwas in einer Textverarbeitung tippt und dann merkt, dass das Programm ohne Fokus die Eingabe überhaupt nicht mitbekommt. Bisher kann ich nicht reproduzieren, unter welchen Umständen dies passiert. Aber vielleicht seht Ihr ja etwas Auffälliges im Logfile. Vielen Dank schonmal im voraus für Eure Hilfe Grüße -SubZero- Code: Logfile of Trend Micro HijackThis v2.0.2 |
Schade, dass sich niemand aufraffen kann. Fehlen noch Infos? :( |
Hi, dann werde ich meine müden, alten Knochen mal "aufraffen": Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\drivers\csrss.exe
Fall die Datei erkannt wurde, hier weiter: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete: 3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O23 - Service: Events Log (Event) - Unknown owner - C:\WINDOWS\system32\drivers\csrss.exe Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Fullscan und alles bereinigen lassen! Log posten. Poste neben den Logs der Tools auch noch ein neues HJ-Log.. Chris |
Danke für die schnelle Antwort. Werde das sobald ich nach Hause komme testen. Eine Frage vorweg: Ist csrss.exe verdächtig? Eigentlich kommt die von meinem Bitdefender Antivirusprogramm... |
Hi, lass mal prüfen, nur das Script laufen lassen, wenn erkannt... chris |
ok, hier das Ergebnis: Code: Datei csrss.exe empfangen 2008.12.03 08:17:22 (CET) |
Yay, du hast dir irgendwas komplett neues eingefangen. Packe das Ding bitte in ein rar oder zip-Archiv mit dem Passwort "infected" und sende es an http://aboutip.de/spambot/spam_prote...gcolor]=FFFFFF lg, Sky |
Ich verstehe nicht ganz, warum die Datei überhaupt infiziert sein sollte?! Woran machst du das fest, Sky, wo soviele Scan-Engines es nicht als Bedrohung erkennen... ? :confused: Ich werd es vorher mal noch dem Kundendienst von Bitdefender über die eingebaute Quarantäne schicken. Schließlich zahle ich deren Gehalt :taenzer: Melde mich dann wieder. |
Es kann auch sein dass der File gar nicht infizert ist. Ich habe auch eine csrss.exe auf meinem System, nur liegt die in C:\Windows\system32\. Ausführbare Dateien haben im drivers Ordner generell nix verloren, und deswegen würde ich die gerne weiter analysieren. Ich bin ehrlichgesagt ziemlich neugierig was das ist :) lg, Sky |
ok, Mail an dich ist eben raus :singsing: |
Zitat:
Dann lads mal bei file-upload.net oder so hoch |
|
Hm, das ist irgendwie SEHR komisch.. Das ist eine simple Textdatei mit dem Inhalt "1" (ohne Anführungszeichen), die als csrss.exe abgepeichert wurde o_O Edit: Das is mir nich geheuer, machen wir mal ein paar Deepscans deines Systems: Hast du außerdem mal geguckt ob die csrss wiederkommt? 1. MBAM: http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html 2. DrWeb 3. SASW 4. Rootkitscans: 5. MBR überprüfen: mbr.exe |
Hallo Sky, vielen Dank für die Anleitung, aber ich möchte noch den einen oder anderen Tag mit der Durchführung abwarten, bis von Bitdefender die Antwort zur csrss.exe und csrss.pif gekommen ist. Denn sollten die nochmal ne Datei brauchen, die bis dahin durch z.B. MBAM gelöscht wurde, hätte ich ein Erklärungsproblem. ;-) Ich melde mich, sobald ich die Anleitung durchgeführt habe. Zitat:
Viele Grüße Sub0 |
Wie gesagt, die csrss.exe ist eine 1 Byte Datei, mit dem simplen Inhalt "1". Malware kann sich dadrin definitiv und zu 101% NICHT "verstecken". Die csrss.exe wurde von Avenger gelöscht. Oder etwa nicht? Bei dir müsste in deinem root-Verzeichnis C:\ ein Ordner namens Avenger befinden, in dem ein Archiv sein sollte. Lade dieses bitte bei file-upload.net hoch. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board