|
Trojan Agent dwm.exe / csrss.exe in C:\Dokumente und Einstellungen\Anwendungsdaten\dwm.exe Hallo! Ich habe mir wohl einen hartnäckigen Trojaner?? eingefangen. Beim hochfahren des PC´s bekomme ich die Meldung: "C:/Dokumente und Einstellungen/Lokale17Temp/csrss.exe Ein anderes Programm greift gerade auf die Datei zu. OK?" Bei Bestätigung dieser Abfrage dann: "Die in der Registrieung angegebene Anwendung konnte nicht geladen oder gestartet werden. Stellen sie sicher, dass die Datei vorhanden ist, oder entfernen sie den Eintrag mit Bezug auf diese Datei aus der Registrierung" Ein erster Scan und die automatische Auswertung mit Hijackthis erbrachte: F3 - REG:win.ini: load=C:\DOKUME~1\xxxx\LOKALE~1\Temp\csrss.exe Schädlich (2.23 / 5.00) C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\dwm.exe Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Prozess läuft nicht im System32 Ordner! C:\DOKUME~1\xxxx\LOKALE~1\Temp\csrss.exe Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als schädlich einzustufen. Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Prozess läuft nicht im System32 Ordner! Symptome konnte ich bisher nicht feststellen, außer dass Google anfragen auf bubiose Seiten umgeleitet werden, aber auch nicht regelmäßig. Weitere Recherechen im Internet erbrachten, dass ich mit dem Problem wohl nicht ganz alleine dastehe, allerdings ohne eine konkrete Lösungsmöglichkeit anzubieten. Im Trojaner Board gibt es einen sehr ähnlichen Fall unter: www.trojaner-board.de/96596-csrss-exe-dwm-exe-und-conhost-exe-erscheinen-imer-wieder.html Allerdings funktioniert auch hier die vorgeschlagene Lösung nicht für meinen Fall. Hat vielleicht jemand eine Idee? Da wäre ich sehr dankbar. Mit besten Grüßen Timo Anbei die beiden ODT und der Malewarebytes Auszug Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6174 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 26.03.2011 18:31:25 mbam-log-2011-03-26 (18-31-08).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|K:\|L:\|N:\|O:\|) Durchsuchte Objekte: 167510 Laufzeit: 2 Stunde(n), 35 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Typelib\{50CCD00A-66B6-4D95-AAEF-8EE959498F92} (Trojan.FakeAlert) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\timo\anwendungsdaten\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken. c:\dokumente und einstellungen\timo\lokale einstellungen\Temp\55.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\TEMP\USS667.tmp (Trojan.Agent) -> No action taken. c:\WINDOWS\TEMP\USS668.tmp (Trojan.Agent) -> No action taken. |
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. |
Hallo, vielen Dank für die Antwort. Anbei ein aktueller Scan von Malewarebytes: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 6228 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 31.03.2011 19:16:48 mbam-log-2011-03-31 (19-16-31).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 168060 Laufzeit: 10 Minute(n), 58 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: c:\dokumente und einstellungen\timo\anwendungsdaten\microsoft\conhost.exe (Trojan.Agent) -> 3188 -> No action taken. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOKUME~1\timo\LOKALE~1\Temp\csrss.exe) Good: () -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\timo\anwendungsdaten\microsoft\conhost.exe (Trojan.Agent) -> No action taken. c:\dokumente und einstellungen\timo\lokale einstellungen\Temp\csrss.exe (Trojan.Agent) -> No action taken. c:\WINDOWS\bm8f067b6d.txt (Trojan.Vundo) -> No action taken. |
Zitat:
Zitat:
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Ok, ich habe jetzt alle Funde entfernt (siehe Anhang mbam-log-2011-03-31 (19-51-38).txt) und daraufhin den Computer neu gestartet. Danach einen weiteren Quick Scan durchgeführt (diesmal nur noch eine infizierte Datei) (siehe Anhang mbam-log-2011-03-31 (20-14-50).txt ) und den Computer wieder neu gestartet. Dann nochmal einen QuickScan durchgeführt (Siehe Anhang mbam-log-2011-03-31 (20-36-47).txt ) mit dem Ergebnis, dass jetzt keine Infizierte datei mehr gefunden wurde. Was sonst noch auffällig ist: 1. Es gibt keine Fehlermeldung mehr beim Hochfahren des Computers 2. Firefox läuft nicht mehr mit der Fehlermeldung: Fehler: Proxy-Server verweigert die Verbindung Firefox wurde konfiguriert, einen Proxy-Server zu nutzen, der die Verbindung zurückweist. Der MS Internet Explorer funktioniert aber. Wie sollte ich denn jetzt vorgehen? |
Zur zeit haben irgendwie viele diesen Trojaner, auch aus meinem Privaten Freundeskreis. Ich habe ähnliche "symptome" wie du =D Irgendwie ändert der Trojaner beim Löschen etwas im System, damit firefox über einen Proxy connectet, der aber nicht funktioniert. Mal schaun ob ich noch was finde. mfg daniel |
http://www.trojaner-board.de/images/icons/icon4.gif@Russel_Crowe: http://www.trojaner-board.de/images/icons/icon4.gif Kannst du mal aufhören in fremde Stränge zu posten?!! :balla: Bitte mach - wie jeder andere hier auch - für Dein Anliegen einen eigenen Strang auf! Nur so ist sichergestellt, dass jedem übersichtlich und indivuell geholfen werden werden! |
Hallo, konnte das Problem mit dem Firefox und der fehlenden Proxy Verbindung noch nicht lösen. Zudem habe ich jetzt dazu noch eine Mail von meinem Provider erhalten, dass wohl von meinem Postfach Mails verschickt wurden, die einen Virus enthalten :-( Wäre für weitere Ideen sehr dankbar |
Sry dein Strang ist untergegangen :o Mach bitte einen neuen Vollscan mit Malwarebytes, denk an das vorherige Update bitte! |
Ok, prima, im Anhang jetzt also der Scan. |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Ich bin beeindruckt, der Firefox läuft wieder. Anbei nochmal der OTL Logfile |
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Falls du durch die Infektion auf die Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Ok, habe ich gemacht. Kaspersky findet eine Datei, die als verdächtig eingestuft wird. Ich habe das das erste Mal gelöscht, danach ist der Computer aber nicht mehr hoch gefahren und und ich musste über die "letzte als funktional bekannte Version" (oder so ähnlich) hochfahren. Scheint also wohl was wichtiges zu sein, das sich nicht so ohne weiteres löschen lässt. Anbei das Logfile |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Gut, hier sind die Ergebnisse des Combofix Checks |
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code: File::4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! |
Hallo, anbei die CombofixLog Datei |
Da steht nichts vom CFscript. Hast die die Anleitung 1:1 umgesetzt? |
Oh ja, sorry, mein Fehler. Hatte nach dem ersten Mal den Log nicht gespeichert und dann nach dem Neustart nochmal combofix ausgeführt in der Annahme, dass das CfScript bereits Teil des Programms ist. Jetzt nochmal mit Copy und Paste einen neuen Versuch gestartet. Sollte jetzt eigentlich richtig sein |
Bitte Windows neu starten und zur Kontrolle ein neues Log mit dem Kaspersky-TDSS-Killer machen. |
Hallo, anbei das neue Kaspersky Log |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Ok, hat etwas länger gedauert aber hier sind die verschiedenen Logs (Anhang) |
Zitat:
|
ok, ' habe die beiden Einträge gelöscht, was auch von Osam bestätigt wurde. Anbei ein aktueller Osam Log. Habe Kaspersky-TDSS-Killer nochmal durchlaufen lassen und der findet jetzt nichts mehr. Bin ich geheilt? :-) |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hallo Cosinus alias Arne, seit zwei Monaten funktioniert der Computer wieder ohne Probleme und ich will an dieser Stelle - wenn auch verspätet- ein dickes Dankeschön an Dich aussprechen, für deine Zeit und deine Expertise. Ich finde es großartig, dass es ein solches Forum gibt und Leute wie Dich, die sich der Probleme fachkundig annehmen. Respekt. |
Die Kontrollscans solltest du aber schon machen - zur Kontrolle ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board