conhost.exe / csrss.exe - Bin mir unsicher ob die "echten" vom System ausgeführt werden
 

Hallo TB-Team
Könnte falscher Alarm sein, aber ich bin mir mit der conhost.exe und damit auch der csrss.exe auf meinem Spielerechner nicht mehr sicher.

Vor ein paar Tagen ist bei mir eine "conhost.exe" im Taskmanager aufgetaucht, deren Pfad ich mir (auch mit dem Process Explorer von Sysinternals) nicht anzeigen lassen kann.
Ich weiss also nicht, ob die beiden Prozesse die echten sind, oder ob sich da etwas zu tarnen versucht.
Beide Prozesse sind nur 1x im Taskmanager, und lassen sich auch nicht beenden.

Die letzte Installation vor dem Auftauchen der conhost.exe war Diablo 3 via Battle.Net und ne Sprachenänderung vom nem Spiel (Drakensang) via Steam, davor Wochenlang nichts am System geändert.

OS ist nen legales Win7 64b. Keine Warez oder ähnliches Zeugs aus dubiosen Quellen auf dem Rechner.
Mbam und AntiVir haben im Komplettscan nichts gefunden. Das System verhält sich auch normal.
Einzigster Verdachtsmoment ist, das ich wie gesagt den Pfad nicht feststellen kann.

Daemon Tools ist Installiert und wurde via Defogger für die Scans abgeschaltet

Vielen Dank für die Mühe der Plattform hier. :)

FRST und Gmer Logs:



FRST Logfile:
--- --- ---

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell wie möglich mit weiteren Anweisungen.

Hallo Madcat1982 und
:hallo:

Mein Name ist Sandra und ich werde Dir bei Deinem Problem behilflich sein.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem
• Führe bitte nur Scans durch zu denen Du von mir aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab.
• Poste die Logfiles direkt in deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 2 Tagen nichts von mir hörst, dann schreibe mir bitte eine PM.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis Dir jemand vom Team sagt, dass Du clean bist.

Schritt 1
In deinem Log sehe ich nichts auffälliges, mache einmal folgendes

• öffne den Taskmanager
• gehe unten links auf Prozesse aller Benutzer anzeigen
• schaue dann, ob du da den Pfadnamen sehen kannst, wenn du auf den Prozeß rechtsklickst und dann auf Dateipfad gehst

Huhu
Hatte gestern vormittag vor deinem Post, selbst noch weiter geforscht, nen Monitoring drauf angesetzt und musste dann zur Spätschicht.

Ausgeführt werden die beiden richtigen Prozesse, liegen in "C:\Windows\System32" und sind laut MS auch sauber. Wenn ich als Admin starte, seh ich auch direkt den Pfad, nur mit den eingeschränkten Rechten meines normalen Userkontos nicht. Mit der Anzeige aller Benutzer, ist es auch sichtbar.

Der "Verursacher" der Aktion ist der Battle.net Launcher.
Kann das Monitoring noch nen paar Tage laufen lassen, gehe aber bereits jetzt davon aus, das alles in Ordnung ist. Die externen Aufnahme- und Lagerplatten haben sich auch als clean erwiesen.

Wollte, solang potenziell was faul sein könnte, aufkeinen Fall auf nen Konto mit vollen Rechten wechseln, hätt ichs gemacht, hätt ich mir den Post hier sparen können. :(

Sorry für die Umstände
-Madcat

Hallo Madcat1982,

Das ist vollkommen normal.

Ich möchte dir trotzdem, nur um ganz sicherzugehen, unsere Kontrollscans ans Herz legen :) Danach müssten wir noch unsere Tools entfernen und ein paar sicherheitsrelevante Programme auf den neuesten Stand bringen und dann wären wir eigentlich fertig, wenn du nichts mehr hast. :)
Schritt 1
Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2
Da der Scan mit Eset sehr gründlich ist, kann er unter Umständen mehrere Stunden dauern :kaffee:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 3
Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, wird ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Huhu
MBAM hat nichts gefunden, läuft auch immer wöchentlich durch, genauso wie der Virenscanner.

ESET

Hallo Madcat1982,

Das ist sehr löblich :daumenhoc

>OK<

So wie ich es sehe, haben wir damit alles Schadhafte entfernt. Deine Logs sind sauber.
Abschließend räumen wir noch etwas auf, führen Updates durch und dann bekommst du noch etwas Lesestoff von mir.


Schritt 1
Falls Du den ESET-Onlinescan nicht mehr benötigst, kannst Du den einfach über die Programmdeinstallation deinstallieren.

Schritt 2
Bitte starte Defogger noch einmal und klicke auf re-enable.

Schritt 3
Downloade dir bitte delfix auf deinen Desktop.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.
• DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.

Updates / Programme aktualisieren

• Mozilla Firefox
  Lade dir bitte von hier den aktuellen Firefox herunter.

• FlashPlayer

Dein FlashPlayer für den InternetExplorer (ActiveX) ist nicht mehr aktuell.

• deinstalliere die alten Versionen.
• Öffne mit dem InternetExplorer folgenden Link Adobe - Adobe Flash Player installieren
• Lade Dir von dort die neueste Version herunter und entferne den Haken bei McAfee Security Plus

Aktualisierung einstellen
Stelle sicher, dass dein FlashPlayer nach Updates sucht. Den FlashPlayer kann man direkt bei der Installation so konfigurieren, dass er nach Updates automatisch sucht, nachträglich kann man das über folgenden Link machen:
Adobe - Flash Player: Einstellungsmanager - Globale Benachrichtigungseinstellungen

• Java

Dein Java ist nicht mehr aktuell.
Java ist eine große Sicherheitslücke auf deinem System, es werden immer wieder neue Schwachstellen entdeckt, die ausgenutzt werden um Rechner zu infizieren.
Sofern du Java nicht zwingend benötigst, solltest du es komplett deinstallieren.

Windows XP
Gehe auf:
Start --> Systemsteuerung --> Software --> Javaversionen auswählen --> entfernen
Windows Vista
Gehe auf:
Start --> Systemsteuerung -- > Programme --> Programme deinstallieren --> Javaversionen suchen --> entfernen
Windows 7
Dazu gehe auf:
den Windowsbutton in der Taskleiste --> Systemsteuerung --> Programme (Unterpunkt Programme deinstallieren) --> Javaversionen auswählen --> entfernen
Windows 8
Dazu drücke auf:
Windowstaste und X
dann:
Programme und Funktionen -->Javaversionen auswählen --> entfernen

Falls du Java doch unbedingt benötigst, dann

• Downloade dir bitte die neueste Java-Version von hier
• Speichere die jxpiinstall.exe
• Schließe alle laufenden Programme. Speziell deinen Browser.
• Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 51 ) herunter laden.
• Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
• Wenn die Installation beendet wurde
  Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
• Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

• Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
• Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
• Klicke auf Dateien löschen....
• Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
• Klicke erneut OK.

und sorge dafür, dass Java automatisch updated.
Dazu:

• öffne Java
• klicke auf den Reiter Update
• klicke auf: Benachrichtung ausgeben: Vor dem Download setze den Haken bei Automatisch nach Updates suchen
• klicke auf Erweitert
• ändere das Intervall mindestens auf wöchentlich

und schalte das Browser-Plugin aus.
Hier findest du eine Anleitung dazu.

Nun zum Schluss noch ein paar Tipps zur Absicherung deines Systems.

Aktualität des Systems
Es ist extrem wichtig, dass sowohl dein System als auch die darauf installierte sicherheitsrelevante Software (Flash Player, PDF-Reader und besonders Java, sofern vorhanden) aktuell sind.

• Bitte überprüfe, ob dein System Windows Updates automatisch herunter lädt
• Windows Updates
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
• Gehe sicher das die automatischen Updates aktiviert sind.

Antivirensoftware

• Gehe sicher immer eine Antiviren Software installiert zu haben und halte diese unbedingt aktuell.

Zusätzlicher Schutz

• MalwareBytes Anti-Malware
  Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On-Demand Scantool welches viele aktuelle Malware erkennt und auch entfernt.
  Aktualisiere das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
  Ein Tutorial zur Verwendung findest Du hier.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der Internet Explorer, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

• Opera
• Mozilla Firefox.
  • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
  • NoScript
    Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    
  • AdblockPlus
    Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf einen Banner um diesen zu AdBlockPlus hinzuzufügen reicht und dieser wird nicht mehr geladen.
    Es spart ausserdem Downloadkapazität.

Systemleistung
Lösche regelmäßig deine temporären Dateien. Ich empfehle hierzu TFC
Halte dich fern von jeglichen Registry Cleanern.
Diese schaden deinem System mehr als dass sie es schneller machen.

Verhaltensregeln zum sichereren Surfen

• Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
• verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
• Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
• Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
• Achte besonders bei der Installation von Programmen darauf, ob sich weitere Software mitinstallieren möchte, wähle wo immer es geht die benutzerdefinierte Installation und wähle alles ab, was nichts mit dem Programm zu tun hat, welches du dir installieren möchtest.

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

Falls Du Lob oder Kritik abgeben möchtest, kannst Du das sehr gerne hier tun.

Wenn Du etwas für das Forum und unsere Arbeit spenden möchtest, so kannst Du das hier tun.

Bin durch :)
Den IE nutze ich nicht, würd ich am liebsten vom Rechner runterwerfen. Daher sind keine Plugins für den drauf, die von MS ausgenommen. Meine Plugins fürs Feuerfüchsle sieht man ja oben.

Ah, neues (64b) Java, das hatte ich noch nicht. Sind beide geupdatet.
Win Update steht auf Benachrichtigen, wird aber immer am selben Tag gemacht.
AV und MBAM siehe oben.

Hallo Madcat1982,

vielen Dank für deine Rückmeldung.
Ok. Dann gucke bitte noch einmal unter Systemsteuerung -> Programme deinstallieren nach: Adobe Flash Player 11 ActiveX und deinstalliere den, falls er vorhanden ist.
:)