Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   csrss.exe Virus? Firewall deaktiviert und gesperrt (https://www.trojaner-board.de/101484-csrss-exe-virus-firewall-deaktiviert-gesperrt.html)

schoermi 19.07.2011 11:52
csrss.exe Virus? Firewall deaktiviert und gesperrt
 
Hallo Leute,

seit gestern Abend ist meine Firewall deaktiviert. Im Task Manager wird ein Prozess namens csrss.exe angezeigt. Dieser kann nicht beendet werden Malwarebytes zeigt öfter folgende Meldung:

http://s1.directupload.net/images/110719/dafpg3bi.jpg


Ich hoffe ihr könnt mir helfen

cosinus 19.07.2011 12:30
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

schoermi 19.07.2011 13:50
ok Malware scan:

Code:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7198

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

19.07.2011 14:49:29
mbam-log-2011-07-19 (14-49-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 314694
Laufzeit: 34 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

schoermi 19.07.2011 14:10
Und hier der 2 Schritt als zip

Danke schon einmal für die Hilfe

cosinus 19.07.2011 14:11
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

schoermi 19.07.2011 14:15
Auch von heute aber etwas früherer Zeitpunkt. Mehr habe ich nicht Programm ist neu installiert.

Code:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7194

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

19.07.2011 11:16:44
mbam-log-2011-07-19 (11-16-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 309600
Laufzeit: 38 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 19.07.2011 14:17
Ich vermute bei dir dieses ZeroAccess-Rootkit, hatte heute erst einen ähnlichen Fall.

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung) Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

schoermi 19.07.2011 14:27
So hier aswMBR.txt

Code:
aswMBR version 0.9.7.777 Copyright(c) 2011 AVAST Software
Run date: 2011-07-19 15:20:25
-----------------------------
15:20:25.895    OS Version: Windows x64 6.1.7601 Service Pack 1
15:20:25.895    Number of processors: 4 586 0x2505
15:20:25.895    ComputerName: TOBI-VAIO  UserName: Tobi
15:20:26.831    Initialize success
15:21:17.164    AVAST engine defs: 11071900
15:21:26.680    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1
15:21:26.680    Disk 0 Vendor: WDC_WD50 01.0 Size: 476940MB BusType: 3
15:21:26.680    Disk 1  \Device\Harddisk1\DR1 -> \Device\00000064
15:21:26.680    Disk 1 Vendor: RICOH 02 Size: 476940MB BusType: 0
15:21:26.680    Disk 2  \Device\Harddisk2\DR2 -> \Device\00000065
15:21:26.696    Disk 2 Vendor: RICOH 02 Size: 476940MB BusType: 0
15:21:26.712    Disk 0 MBR read successfully
15:21:26.712    Disk 0 MBR scan
15:21:26.712    Disk 0 Windows 7 default MBR code
15:21:26.727    Service scanning
15:21:27.648    Disk 0 trace - called modules:
15:21:27.679    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys iaStor.sys hal.dll
15:21:27.694    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80063a0060]
15:21:27.694    3 CLASSPNP.SYS[fffff8800180143f] -> nt!IofCallDriver -> [0xfffffa800356c320]
15:21:27.694    5 ACPI.sys[fffff88000f847a1] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa800432e050]
15:21:30.097    AVAST engine scan C:\Windows
15:21:32.312    AVAST engine scan C:\Windows\system32
15:21:41.828    File: C:\Windows\system32\consrv.dll  **INFECTED** Win32:Malware-gen
15:23:00.546    AVAST engine scan C:\Windows\system32\drivers
15:23:12.636    AVAST engine scan C:\Users\Tobi
15:25:31.866    AVAST engine scan C:\ProgramData
15:26:31.177    Scan finished successfully
15:27:04.561    Disk 0 MBR has been saved successfully to "C:\Users\Tobi\Desktop\MBR.dat"
15:27:04.561    The log file has been saved successfully to "C:\Users\Tobi\Desktop\aswMBR.txt"

schoermi 19.07.2011 14:48
soweit alles richtig?

cosinus 19.07.2011 14:51
Zitat:
File: C:\Windows\system32\consrv.dll **INFECTED** Win32:Malware-gen
Jupp, da isser. Meine Vermutung stimmt (leider :balla: )

Hast du eine Live-CD von Ubuntu zur Hand? Wenn nicht folge mal als Leitfaden dem 2. Link in meiner Signatur. Da wird auch kurz der Ubuntu-Desktop erklärt.

Geht jetzt aber nicht ums Datensichern (was du aber natürlich machen kannst, schadet nicht!) sondern ums umbenennen dieser Datei.

Oben über Orte wird dir u.a. auch die Windows-Partition angezeigt, bitte dahinklicken und zu Windows\system32 navigieren. Such dort die Datei consrv.dll heraus und benenn sie um in consrv.dll.vir

Versuch dann man bitte Windows wieder zu starten.

schoermi 19.07.2011 15:02
OK Datei ist umbenannt.
Was ich mit Ubuntu machen soll habe ich noch nicht so ganz verstanden. Habe keine CD davon.
Starte den PC jetzt neu

cosinus 19.07.2011 15:10
Wie hast du die Datei denn umbenannt? Unter Windows? :confused:

Du hast auf auf die Schreibweise geachtet? Umbenennen sollst du consrv.dll

NICHT zu verwechseln mit conserv.dll

Normalweise lassen sich solche Dateien nicht einfach so unter Windows umbenennen.

schoermi 19.07.2011 15:22
uiuiui als ich den PC neu gestartet habe hat sich automatisch ein reperaturtool gestartet.. Pc läuft unverädnert wie vorher.. Firewall immernoch deaktiviert..

cosinus 19.07.2011 15:31
So deswegen der Schritt mit Ubuntu. Mach den mal bitte.
Zusätzlich nach dem Umbenennen der Datei consrv.dll in consrv.dll.vir mal Folgendes testen: diese in consrv.dll umbenannte Datei => File-Upload.net - consrv.dll
runterladen und nach system32 abspeichern. Alles bitte über Ubuntu machen.

schoermi 19.07.2011 15:40
OK lade Ubuntu versuche die Schritte auszuführen und melde mich dann wieder! Danke


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:16 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131