Trojaner-Board - Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook (https://www.trojaner-board.de/103442-prozesse-ohne-beschreibung-benutzer-csrss-exe-aticlxx-exe-winlogon-exe-evtl-virus-facebook.html)

Prozesse ohne Beschreibung & Benutzer (csrss.exe aticlxx.exe winlogon.exe) evtl Virus von Facebook

Hallo liebes Trojaner-Board Team.

Ich bin mir leider unsicher ob ich mir über Facebook einen Virus eingefangen habe oder nicht. ("24 lustigsten Blitzerfotos")
Lediglich aufgefallen sind mir seither die schon im Titel genannten Prozesse im Taskmanager: csrss.exe aticlxx.exe und winlogon.exe die ohne Benutzer & Beschreibung laufen. (Sind mit bewusst vorher nie aufgefallen).
Hierzu hab ich nun schon ettliche Foren durchsucht, aber je länger ich gesucht habe desto unsicherer wurde ich mir, ob das nun normal ist oder nicht.
Jedenfalls werden erst Dateipfade, Beschreibung und Benutzer sichtbar, wenn man sich die Prozesse aller Benutzer anzeigen lässt.

Ansonsten fallen mir zu den 3 Prozessen keine ungewöhnlichen Aktivitäten wie zB übermäßige CPU-Auslastung auf.

Auch Scans mit Sophos, und Malewarebytes ergaben keine Treffer.
Das einzigste was auffiel war eine Datei die Sophos nicht scannen konnte (places.sqlite-shm , die nur "vorhanden" ist solange Firefox geöffnet ist:
Sie befindet sich in fogendem Verzeichnis C:\Users\Nutzer\AppData\Roaming\Mozilla\Firefox\Profiles\e5ybor3e.default)

Trotzdem wollte ich nochmal auf Nummer sicher gehen und eine qualifizierte Meinung einholen.
Kann ja auch gut sein dass ietwas anderes noch im Argen liegt.

Außerdem brauch ich, falls alles ok sein sollte die "Erlaubnis" mit Defogger die virtuellen Laufwerke zu re-enablen.

Vielen Dank im Voraus schonmal für euere Mühen und euer Engangement.

Als Anlage alle Logs von bisher durchgeführten Scans:

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)

► Dein Log deutet nichts auf eine Infektion hin

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Hast du den Rechner bereits auf Viren überprüft? Folgende Ergebnisse möchte ich noch sehen:

Code:

Malwarebytes

(alle vorhandenen Protokolle)

2.
CD-Emulatoren mit DeFogger deaktivieren

Du hast CD-Emulatoren wie Alcohol, DaemonTools oder ähnliche auf diesem Computer installiert. Da diese Emulatoren mit Rootkit-Technik arbeiten, können sie die Fahndung nach bösartigen Rootkits verfälschen und erschweren. Aus diesem Grund bitte entweder das folgende Tool zum Deaktivieren laufen lassen oder die Software über Systemsteuerung => Software/Programme deinstallieren. Berichte mir, für welche Variante Du Dich entschieden hast. Die Deaktivierung können wir nach der Bereinigung rückgängig machen.

Lade DeFogger herunter und speichere es auf Deinem Desktop.

Doppelklicke DeFogger, um das Tool zu starten.

Es öffnet sich das Programm-Fenster des Tools.
Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren.
Klicke Ja, um fortzufahren.
Wenn die Nachricht 'Finished!' erscheint,
klicke OK.
DeFogger wird nun einen Reboot erfragen - klicke OK
Poste mir das defogger_disable.log hier in den Thread.

Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird.

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B hjtsanlist o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

Hallo Kira, danke für deine Antwort.

Was ich noch vergaß zu erwähnen; auf erwähnter Facebook Seite öffnete sich kein Fenster für ieinen Download (vll blockierte mein FF das auch), weiß ich nicht mehr)
Bin ich auf jeden Fall schonmal froh das bisher nichts auf eine Infektion schließen lässt, bin aber froh auf eine weitere Suche unter Anleitung.

Zu 1.)
Ja habe mit Malewarebytes und Sophos geprüft -> Keine Viren keine anderen Funde

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Database version: 7723
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 8.0.7601.17514
 

15.09.2011 23:20:22

mbam-log-2011-09-15 (23-20-22).txt
 

Scan type: Quick scan

Objects scanned: 142107

Time elapsed: 4 minute(s), 3 second(s)
 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0
 

Memory Processes Infected:

(No malicious items detected)
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

(No malicious items detected)
 

Registry Values Infected:

(No malicious items detected)
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

(No malicious items detected)

Code:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Database version: 7723
 

Windows 6.1.7601 Service Pack 1

Internet Explorer 8.0.7601.17514
 

16.09.2011 00:12:17

mbam-log-2011-09-16 (00-12-17).txt
 

Scan type: Full scan (C:\|D:\|)

Objects scanned: 286970

Time elapsed: 28 minute(s), 41 second(s)
 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0
 

Memory Processes Infected:

(No malicious items detected)
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

(No malicious items detected)
 

Registry Values Infected:

(No malicious items detected)
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

(No malicious items detected)

Zu 2.)
Habe vor allen Scans wie in der Anleitung für neue Posts mit Defogger Laufwerke disabled

Code:

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 13:24 on 16/09/2011 (Philip)
 

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

HKCU:DAEMON Tools Lite -> Removed
 

Checking for services/drivers...

Unable to read sptd.sys

SPTD -> Disabled (Service running -> reboot required)
 
 

-=E.O.F=-

Zu 3.)

Code:

7-Zip 4.65                19.05.2010                

Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        20.05.2010                10.0.22.87

Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        28.06.2011        6,00MB        10.3.181.26

Adobe Reader 9.4.6 - Deutsch        Adobe Systems Incorporated        15.09.2011        203,6MB        9.4.6

Akamai NetSession Interface                15.03.2011                

Alice Software 4.10.0        HanseNet Telekommunikation GmbH        08.03.2011                4.10.0

Alice-Installationsdateien entfernen                08.03.2011                

AMD OverDrive        Advanced Micro Devices, Inc.        19.05.2010        21,9MB        3.0.2.0289

ArmA Uninstall                20.05.2010                

ATI Catalyst Install Manager        ATI Technologies, Inc.        19.05.2010        16,5MB        3.0.769.0

BattlEye Uninstall                20.05.2010                

Bionic Commando        Capcom Entertainment, Inc        20.05.2010                1.0

Brother MFL-Pro Suite MFC-990CW        Brother Industries, Ltd.        29.08.2011                1.0.1.0

CCleaner        Piriform        19.05.2010                2.31

Cisco Systems VPN Client 5.0.05.0290        Cisco Systems, Inc.        19.05.2010        12,3MB        5.0.5

Command & Conquer Generals        Electronic Arts        20.05.2010        1.588,5MB        0.50.0000

Command and ConquerTM Generals Zero Hour        Electronic Arts        20.05.2010        1.228,8MB        1.00.0000

Crazy Machines II        FAKT Software GmbH        02.07.2011        418,4MB        1.03

DAEMON Tools Lite        DT Soft Ltd        13.07.2011                4.40.2.0131

ESET Online Scanner v3                15.09.2011                

Free Audio CD Burner version 1.4.7        DVDVideoSoft Limited.        24.03.2011        10,7MB        

Free YouTube to MP3 Converter version 3.9.35.324        DVDVideoSoft Limited.        24.03.2011        36,0MB        

FreePDF (Remove only)                19.05.2010                

Google Earth        Google        06.01.2011        84,3MB        6.0.1.2032

GPL Ghostscript 8.70                19.05.2010                

Grand Theft Auto IV        Rockstar        01.08.2011                

Grand Theft Auto San Andreas        Rockstar Games        07.11.2010                1.00.00001

Grand Theft Auto: Episodes from Liberty City        Rockstar        01.08.2011                

GreenPowerCenterII        MSI, Inc.        19.05.2010                                

Liveupdate4        MSI, Inc.        19.05.2010                

LogMeIn Hamachi        LogMeIn, Inc.        16.08.2011                2.1.0.122

Magic The Gathering - Duels of the Planeswalkers                09.08.2011                

Malwarebytes' Anti-Malware Version 1.51.2.1300        Malwarebytes Corporation        14.09.2011        13,8MB        1.51.2.1300

Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        25.06.2010        38,8MB        4.0.30319

Microsoft .NET Framework 4 Client Profile DEU Language Pack        Microsoft Corporation        25.06.2010        2,94MB        4.0.30319

Microsoft Age of Empires II                09.01.2011                

Microsoft Games for Windows - LIVE Redistributable        Microsoft Corporation        06.05.2011        31,3MB        3.5.88.0

Microsoft Games for Windows Marketplace        Microsoft Corporation        06.05.2011        6,04MB        3.5.50.0

Microsoft Office Enterprise 2007        Microsoft Corporation        20.05.2010                12.0.6425.1000

Microsoft Office File Validation Add-In        Microsoft Corporation        14.09.2011        7,95MB        14.0.5130.5003

Microsoft Office Language Pack 2007 - German/Deutsch        Microsoft Corporation        21.05.2010                12.0.6425.1000

Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053        Microsoft Corporation        20.05.2010        0,25MB        8.0.50727.4053

Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        16.06.2011        0,29MB        8.0.59193

Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570        Microsoft Corporation        27.04.2011        0,58MB        9.0.30729.5570

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        15.03.2011        0,23MB        9.0.30729

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148        Microsoft Corporation        19.05.2010        0,58MB        9.0.30729.4148

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161        Microsoft Corporation        16.06.2011        0,59MB        9.0.30729.6161

Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319        Microsoft Corporation        27.04.2011        11,0MB        10.0.30319

Mobile Partner        Huawei Technologies Co.,Ltd        15.01.2011                16.002.03.04.800

Mozilla Firefox (3.5.4)        Mozilla        19.05.2010                3.5.4 (de)

Mozilla Firefox 6.0.2 (x86 de)        Mozilla        07.09.2011        35,1MB        6.0.2

MSXML 4.0 SP2 (KB954430)        Microsoft Corporation        19.05.2010        37,00KB        4.20.9870.0

MSXML 4.0 SP2 (KB973688)        Microsoft Corporation        19.05.2010        1,33MB        4.20.9876.0

Need for Speed™ Most Wanted                07.11.2010                

NVIDIA PhysX        NVIDIA Corporation        01.09.2011        73,8MB        9.10.0224

OpenAL                20.05.2010                

OverclockingCenter        MSI, Inc.        19.05.2010                

PaperPort Image Printer        Nuance Communications, Inc.        29.08.2011        0,51MB        1.00.0000

Pro Evolution Soccer 2010        KONAMI        16.07.2010        5.439,1MB        1.00.0000

Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        19.05.2010                6.0.1.5898

Red Faction Guerrilla        Volition Inc.        15.07.2010        7.909,5MB        1.00.0000

RedMon - Redirection Port Monitor                19.05.2010                

Risen        Deep Silver        02.07.2011                1.00.0000

SAMSUNG Mobile Composite Device Software                02.07.2011                

SAMSUNG Mobile Modem Driver Set                02.07.2011                

Samsung Mobile phone USB driver Drive Software                02.07.2011                

SAMSUNG Mobile USB Modem 1.0 Software                02.07.2011                

SAMSUNG Mobile USB Modem Software                02.07.2011                

Samsung PC Studio 3        Samsung Electronics Co., Ltd.        02.07.2011                3.2.1.80301

Sanctum                31.08.2011                

ScanSoft PaperPort 11        Nuance Communications, Inc.        29.08.2011        147,1MB        11.2.0000

Silkroad                30.08.2010                

Skype™ 4.2        Skype Technologies S.A.        21.09.2010        31,7MB        4.2.187

Sophos Anti-Virus        Sophos Limited        31.08.2011        36,6MB        9.7.5

Sophos AutoUpdate        Sophos Limited        31.08.2011        12,8MB        2.5.10

Steam        Valve Corporation        01.08.2011        42,3MB        1.0.0.0

SWAT 4        Sierra Entertainment, Inc.        20.05.2010        1.716,2MB        1.0.31763

Sweet Home 3D version 2.4        eTeks        10.08.2010                

TeamSpeak 3 Client        TeamSpeak Systems GmbH        20.06.2010                

Trillian        Cerulean Studios, LLC        20.05.2010                

Uninstall 1.0.0.1                24.03.2011        10,9MB        

Verbindungsassistent        Verbindungsassistent        09.12.2010                2.1

VirtualCloneDrive        Elaborate Bytes        20.05.2010                

VLC media player 1.0.5        VideoLAN Team        20.05.2010                1.0.5

Warcraft III                09.01.2011                

Windows Live ID Sign-in Assistant        Microsoft Corporation        18.12.2010        5,52MB        6.500.3165.0

Wippien 2.3                24.05.2010                

Xfire (remove only)                20.05.2010

Was ist nun eigtl. mit den 3 Prozessen ohne Beschreibung?
Konnte mir iwie immer noch niemand sagen ob das normal ist oder nicht...

Bei den Programmen hab ich selbst gesehn dass man da vmtl wieder ein paar alte Leichen entsorgen könnte... ich warte aber erstmal auf Antwort.

Vielen Dank schonmal so weit.

Zitat:

csrss.exe -> http://www.neuber.com/taskmanager/de...csrss.exe.html

aticlxx.exe (gemeint ist "atieclxx.exe" : -> http://www.file.net/prozess/atieclxx.exe.html

und winlogon.exe -> http://www.neuber.com/taskmanager/de...logon.exe.html

1.
Adobe Reader aktualisieren :
- Bei Installation aufpassen/mitlesen!: Wenn irgendeine Software, Toolbar etc angeboten wird, bitte abwählen! - (z.B "McAfee Security Scan Plus")
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

2.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

ansonsten keine Auffälligkeiten!

Hallo Kira,

danke soweit für deine Einschätzungen und Mühen.
Bei atieclxx.exe hatte ich wohl ausversehn ein "e" verschluckt :crazy:
Ansonsten liegen die Dateien da wo sie sollen.
Also ist es nun normal dass nur die 3 ohne Benutzer und Beschreibung im TM laufen?!

Adobe Acrobat Reader hab ich neue Version 10.1.1 runtergeladen und die alte deinstalliiert ( ein Update direkt war nicht möglich).

System hab ich mit CC-Cleaner bereinigt ( mache ich eh von Zeit zu Zeit mal )

Sind wir soweit dann durch oder benötigen wir noch etwas?
Ansonsten müsstest du mir noch sagen wie ich mit Defogger die Laufwerke reanable bzw ob/wann ich dies machen darf, damit ich nicht noch am Ende ietwas falsch mache :crazy:

Soweit aber nochmals Vielen Dank für die genaue und nette Hilfe! :bussi:

Liebe Grüße

Zitat:

Microsoft Office Enterprise 2007 Microsoft Corporation 20.05.2010 12.0.6425.1000

Ist das ein Firmenrechner?

Nein, wieso?
Sollte ich bzgl Office lieber auf was neueres umsteigen?

Weil die Version nur als Volumenlizenz für Firmen erhältlich ist. Und ich daher sehr verwundert bin das du so eine Version besitzt.

Also wenn ich mich recht entsinne haben wir das über die Uni bekommen...

Hallo Kira,
hab jetzt einige Tage nichts mehr gehört....

Sind wir soweit mit der Suche fertig?
Ist ja nichts aufgetaucht.

Kann ich dann mit Defogger reanablen?
Und wenn ja muss ich dabei noch ietwas beachten?

Und danke nochmal soweit für deine / eure Hilfe!

Liebe Grüße

Philip