Trojaner-Board - csrss.exe Registry

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - csrss.exe Registry (https://www.trojaner-board.de/27087-csrss-exe-registry.html)

csrss.exe Registry

Hallo,

habe gerade mal wieder einen Virenscan durchgeführt und es wurden zwei gefunden und gelöscht (mit AntiVir).
Es scheint aber auch alles in Ordnung zu sein, außer das ich wenn der Rechner startet die meldung bekomme, dass C:\windows\system32\zoajwfopez\csrss.exe nicht gefunden wurde und nicht ausgeführt wird. Und das der eintrag aus der Registry gelöscht werden soll wenn er nicht mehr vorhanden ist.
Ich habe nun die Vermutung, das einer der Viren sich an der Registry zu schaffen gemacht hat. Kenne mich da aber gar nicht aus und trau mich deshalb nicht da irgendetwas zu löschen.
Oder hat AntiVir etwas gelöscht das nicht gelöscht werden sollte??
Danke für eure Hilfe!!

Hallo RudeGirl,
sage bitte genau was Antivir gefunden hat und wo es gefunden wurde.
Mache ein HijackThis-Log und poste es hier.Beachte die Anleitung dazu genau !
http://www.trojaner-board.de/showthread.php?t=17493
Irrlicht

Hijack mach ich gleich!!

Das ist der Report von AntiVir:

Zitat:

Erstellungsdatum der Reportdatei: Donnerstag, 23. Februar 2006 01:05

Job Name: 'Lokale Laufwerke'

Es wird nach 318319 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Helena
Computername: HELL

Versionsinformationen:
AVSCAN.EXE : 7.0.0.21 528424 31.01.2006 10:54:42
AVSCAN.DLL : 7.0.0.21 46632 31.01.2006 10:54:42
LUKE.DLL : 7.0.0.21 114728 31.01.2006 10:54:42
LUKERES.DLL : 7.0.0.21 28200 31.01.2006 10:54:42
ANTIVIR0.VDF : 6.32.0.60 4323840 06.12.2005 10:47:34
ANTIVIR1.VDF : 6.33.0.207 1160192 08.02.2006 08:09:40
ANTIVIR2.VDF : 6.33.1.4 144896 23.02.2006 00:04:18
ANTIVIR3.VDF : 6.33.1.19 31744 23.02.2006 00:04:18
AVEWIN32.DLL : 6.33.0.36 1163776 23.02.2006 00:04:18
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 12:05:54
AVREP.DLL : 6.33.1.0 2392104 23.02.2006 00:04:18
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 09:03:38
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:48
NETNW.DLL : 6.32.0.0 9768 27.09.2005 07:56:48

Beginn des Suchlaufs: Donnerstag, 23. Februar 2006 01:05

C:\WINDOWS\system32\zoajwfopez\smss.exe
[FUND] Ist das Trojanische Pferd TR/Spy.VB.LO
C:\WINDOWS\system32\zoajwfopez\csrss.exe
[FUND] Ist das Trojanische Pferd TR/Spy.VB.LO.1
C:\WINDOWS\system32\zoajwfopez\csrss.exe
[FUND] Ist das Trojanische Pferd TR/Spy.VB.LO.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 446efd00.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\zoajwfopez\smss.exe
[FUND] Ist das Trojanische Pferd TR/Spy.VB.LO
[INFO] Eine Sicherungskopie wurde unter dem Namen 446ffd05.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:'
[HINWEIS] Im Laufwerk 'A:' ist kein Datenträger eingelegt!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.

Die Registry wurde durchsucht ( 46 Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Helena\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Helena\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Helena\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Helena\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Helena\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T8VE7NDF\unknown@hotmail[1].com
[FUND] Ist das Trojanische Pferd TR/Spy.VB.LO.1
[INFO] Eine Sicherungskopie wurde unter dem Namen 4467fdfa.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Auf dem Datenträger befindet sich kein erkanntes Dateisystem.
Stellen Sie sicher, dass alle benötigten Dateisystemtreiber geladen sind und dass der Datenträger nicht beschädigt ist.

Ende des Suchlaufs: Donnerstag, 23. Februar 2006 01:50
Benötigte Zeit: 44:10 min

Der Suchlauf wurde vollständig durchgeführt.

4064 Verzeichnisse wurden überprüft
274779 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1198 Archive wurden durchsucht
46 Warnungen
0 Hinweise

Hijackthis log file:

Zitat:

D:\Programme\Itunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
D:\Programme\Xfire\Xfire.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Tools\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F3 - REG:win.ini: load=C:\WINDOWS\system32\zoajwfopez\csrss.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\zoajwfopez\csrss.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QOELOADER] D:\Programme\Qurb\QSP-2.1.213.4\QOELoader.exe
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\Itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] C:\Programme\Radeon Omega Drivers\v2.6.61\ATI Tray Tools\atitray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = D:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{57E4DD31-955D-4CAF-8CB4-81E26A819BA2}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

Hallo RudeGirl,
ddiese beiden Sachen gefallen mir nicht :
F3 - REG:win.ini: load=C:\WINDOWS\system32\zoajwfopez\csrss.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\zoajwfopez\csrss.exe
ch weiß das "load" und "run" bei alten Windows-Versionen benutzt wurde.Dein XP macht das nur noch um alte Programme zum laufen zu bringen.
Dein Antivir hat es in Quaratäne gesperrt und es trojanisches Pferd genannt.Ich bekomme mit Google kein klares Ergebniss,auch die automatische Auswertung sagt alles in Ordnung.
Kurz und knapp-ich steh aufm Schlauch !
Du tust erstmal gar nix.Ich schau mal das ich einen größeren Experten(von denen hats hier reichlich) für dein Problem begeistern kann.
Irrlicht

Hallo,
das sind sehr wahrscheinlich Einträge von Malware die über die win.ini gestartet werden soll.
Überprüfe mal die Dateien 446efd00.qua und 446ffd05.qua (müssten im Quarantäneordner liegen) hier und poste das Ergebnis.

Grüße Wildone

Die Daten sind in Quarantäne, aber wie kann ich sie auswählen damit ich sie bei dem Link prüfen lassen kann??

Hallo,
merke dir mal in welchem Ordner sie sind, knippse dann den Antivir Guard aus und überprüfe sie dann.

Grüße Wildone

Hab es versucht, bekomme dann aber die Meldung, dass die Datei zu groß ist...mehr als 10MB

Hallo,
hmm, mach mal einen Onlinescan bei Kaspersky und poste danach den Report.

Grüße Wildone

Das geht irgendwie nicht...habe auch noch andere Online Scanner verwendet. Ich habe die Datei ja auch gelöscht...deshalb kann ja auch beim Start nicht mehr auf sie zugegriffen werden. Oder?? Bin etwas verwirrt. Die Fehlermeldung am Anfang sagt mir ja das genau diese Anwendung nicht gefunden werden kann : c:windows\system32\zoajwfopez\csrss.exe
Da sie nicht mehr vorhanden ist kann ich sie ja auch nicht mehr scannen oder??

Hallo,
ich will mir nur einen Überblick über das Gefahrenpotenzial der Datei verschaffen deswegen der Rat zum Onlinescan. Und gelöscht ist die Datei schon, aber es gibt ja noch eine Kopie im Quarantäneordner.
Versuche mal mit der Escan Anleitung (MWAV) klar zu kommen, und nach dem scan postest du das Logfile mit Hilfe der find.bat.

Grüße Wildone

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 23 17:59:44 2006 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
Thu Feb 23 17:59:44 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.
Thu Feb 23 17:59:58 2006 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\*.*
Thu Feb 23 17:59:58 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\446efd00.qua [**]
Thu Feb 23 17:59:58 2006 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\446ffd05.qua [**]
Thu Feb 23 18:12:05 2006 => Scanning File C:\Programme\Valve\Steam\SteamApps\SourceMods\CombineDestiny\sound\HL1\fvox\infected.wav
Thu Feb 23 18:25:25 2006 => Total Disinfected Objects: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 23 18:18:15 2006 => File D:\Downloads\mirc616.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Thu Feb 23 18:20:05 2006 => File D:\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 23 17:59:18 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Thu Feb 23 17:59:43 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Thu Feb 23 17:59:43 2006 => Offending Key found: HKLM\Software\limewire !!!
Thu Feb 23 17:59:44 2006 => Offending Folder found: C:\Programme\limewire
Thu Feb 23 17:59:44 2006 => Offending file found: C:\Dokumente und Einstellungen\Helena\Desktop\internet.lnk
Thu Feb 23 17:59:44 2006 => Offending file found: C:\Dokumente und Einstellungen\Helena\Favoriten\ebay.url
Thu Feb 23 17:59:45 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Helena\Startmenü\programme\limewire
Thu Feb 23 17:59:45 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Helena\Startmenü\Programme\limewire
Thu Feb 23 17:59:54 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Dokumente\monolith productions\fear\save
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Feb 23 18:25:25 2006 => Total Objects Scanned: 61769
Thu Feb 23 18:25:25 2006 => Total Critical Objects: 11
Thu Feb 23 18:25:25 2006 => Total Disinfected Objects: 0
Thu Feb 23 18:25:25 2006 => Total Deleted Objects: 0
Thu Feb 23 18:25:25 2006 => Total Errors: 6
Thu Feb 23 18:25:25 2006 => Time Elapsed: 00:26:39
Thu Feb 23 17:54:46 2006 => Virus Database Date: 2/16/2006
Thu Feb 23 17:58:40 2006 => Virus Database Date: 2/23/2006
Thu Feb 23 18:25:25 2006 => Virus Database Date: 2/23/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Hoffe das ist was du brauchst!

Hallo,
ja ist es, aber Kaspersky sieht es nicht mal als Trojaner. Im Prinzip habe ich jetzt die faxen dicke, fixe einfach (Haken davor und auf "fix checked") die beiden F3 Einträge mit HijackThis. Dann sollte sich die Meldung am Anfang erledigt haben.
Wo du dir den Kram eingefangen hast ist schwer zu sagen, schmöker für allgemeine Informationen mal hier ein wenig rum.

Grüße Wildone

Hab ich gemacht, und die Meldungen am Anfang sind weg.
Danke für die Hilfe, werde später noch mal nen scan machen und hoffen das dann alles ok ist!