"csmss.exe" in system32-ordner ???

#0
13.11.2004, 21:51
Moderator

Beiträge: 7805
#16 Habe das mal editiert. Ist wieder was haeftiges. Wenn du da noch was retten moechtst, kannst du es mit Escan/Kaspersky versuchen. Es wird so ca 80 infizierte Dateien finden.

Als erste Massnahme, kannst du mal diese DAteien im abgesicherten Modus loeschen. Mit der child.dll wirst du probleme haben, du musst den Explorer Task abschiessen, bevor du die Datei loeschen kannst. starte mal Wizip/winrar damit du danach die DAtei noch loeschen kannst, oder killbox, oder im Dosfenster, wenn du dich mit dos auskennst.

Entschuldige, das das ein wenig gequetscht aussieht, geht aber auf die schnelle nicht anders.:

 C:\WINDOWS\system32\angelex.exe¶ 16:22 26.10.04 86016 !

C:\WINDOWS\system32\basexinfo.txt 10:00 31.10.02 12 
C:\WINDOWS\system32\basexuk.txt 10:00 31.10.02 33 
C:\WINDOWS\system32\bbchk.exe¶ 15:24 09.02.04 12560 
C:\WINDOWS\system32\child.dll 09:59 31.10.02 8192 
C:\WINDOWS\system32\dktibs.exe¶ 09:58 31.10.02 25088 
C:\WINDOWS\system32\exdl.exe§ 19:53 14.09.04 102400 
C:\WINDOWS\system32\exdl0.exe§ 16:23 26.10.04 114688 
C:\WINDOWS\system32\exdl1.exe§ 16:23 26.10.04 114688 
C:\WINDOWS\system32\exul.exe¶ 16:24 26.10.04 36864 
C:\WINDOWS\system32\exul1.exe¶ 16:24 26.10.04 36864 
C:\WINDOWS\system32\instsrv.exe¶ 00:01 03.09.94 32596
C:\WINDOWS\system32\javexulm.vxd¶ 16:24 26.10.04 36864 
C:\WINDOWS\system32\mac80ex.idf 10:04 31.10.02 1036538 
C:\WINDOWS\system32\mqexdlm.srg§ 16:23 26.10.04 114688 
C:\WINDOWS\system32\msbe.dll¶ 16:23 26.10.04 57344 
C:\WINDOWS\system32\msexreg.exe¶ 19:53 02.09.04 20480 
C:\WINDOWS\system32\msrexe.exe¶ 09:59 31.10.02 31744 !
C:\WINDOWS\system32\netut80ex.vxd§ 10:04 31.10.02 145361 
C:\WINDOWS\system32\systime.exe 09:58 31.10.02 2560 
C:\WINDOWS\system32\vx0.nls 10:04 31.10.02 8192 
C:\WINDOWS\system32\vx1.nls 10:04 31.10.02 8192 
C:\WINDOWS\system32\vx1x.nls 10:04 31.10.02 8192
C:\WINDOWS\system32\xyjnacog.exe¶ 15:33 20.07.04 38400
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.11.2004, 22:24
...neu hier

Beiträge: 10
#17 ok das hab ich jez gemacht allerdings waren die meisten datein von denen schon gelöscht (hab ja schon bischen herumprobiert wie der weggeht). ausserdem hab ich jez unter normaler windows suche alle datein die sich am 16.10 in den windows oder system32 ordner kopiert haben gelöscht (hab ja an dem tag sonst nichts besonderes getan)

aber eins haben wir jez immerhin geschaft sie öffnet sich nichtmehr beim startup. löschen geht sie aber auch nicht :/..
Dieser Beitrag wurde am 13.11.2004 um 22:25 Uhr von VanCy editiert.
Seitenanfang Seitenende
13.11.2004, 22:25
Moderator

Beiträge: 7805
#18 Bi Winxp/Me haette eine Systemwiederherstellung auh nicht geschadet. ;)

Also lass zur Sicherheit nochmal eScan scannen und/oder poste noch ein Hijackthis log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.11.2004, 22:28
...neu hier

Beiträge: 10
#19 Logfile of HijackThis v1.97.7
Scan saved at 22:27:53, on 21.10.2002
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\Sven\Eigene Dateien\Progamme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - (no file)
O2 - BHO: (no name) - {6DDA302F-B411-5099-8006-115578A07F4A} - C:\WINDOWS\System32\gknexnta.dll (file missing)
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - Startup: Trillian.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O16 - DPF: {8F24DE00-0D66-4F93-9405-3F21E97AEE99} (TestingCtl Control) - http://esb.alcena.com/ESBAdultInstaller.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C176613-6AFD-4A6D-ABD8-D02515886AAF}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C176613-6AFD-4A6D-ABD8-D02515886AAF}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2C176613-6AFD-4A6D-ABD8-D02515886AAF}: NameServer = 192.168.0.1

also hier is log

sind das da oben lauter porno seiten oder was Oo?
also so nötig hab ichs nun auch wieder nicht dass da gleich 20 pornoseiten oben stehn ^^
Dieser Beitrag wurde am 13.11.2004 um 22:33 Uhr von VanCy editiert.
Seitenanfang Seitenende
13.11.2004, 22:33
Moderator

Beiträge: 7805
#20 DAs musst du fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - (no file)
O2 - BHO: (no name) - {6DDA302F-B411-5099-8006-115578A07F4A} - C:\WINDOWS\System32\gknexnta.dll (file missing)
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O16 - DPF: {8F24DE00-0D66-4F93-9405-3F21E97AEE99} (TestingCtl Control) - http://esb.alcena.com/ESBAdultInstaller.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Ein Windowsupdate ist bei dir auch angesagt! Sprich installiere mal SP2!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.11.2004, 22:37
...neu hier

Beiträge: 10
#21 jo hatte ich auch vor nur war da dann die CD beschädigt -.-'

und danke, mal schaun obs hilft ^^
Dieser Beitrag wurde am 13.11.2004 um 22:38 Uhr von VanCy editiert.
Seitenanfang Seitenende
13.11.2004, 22:44
...neu hier

Beiträge: 10
#22 also das hab ich jez gemacht aber die dateien lassen sich immernoch nicht löschen ;).

aber wenigstens öffnet sie sich nicht mehr von selbst is ja schon mal was.
Dieser Beitrag wurde am 13.11.2004 um 22:45 Uhr von VanCy editiert.
Seitenanfang Seitenende
13.11.2004, 22:45
Moderator

Beiträge: 7805
#23 Welche Dateien meinst du genau?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.11.2004, 22:47
...neu hier

Beiträge: 10
#24 die winacpi.dll und die csmss.exe

das sind doch die 2 "bösen" oder?
Seitenanfang Seitenende
13.11.2004, 22:50
Moderator

Beiträge: 7805
#25 Ja! Nutz mal Killbox dazu:

http://www.rokop-security.de/board/index.php?showtopic=3867

Kann sein, das du delete after Reboot aktivieren musst, bzw winacpi.dll kannst du nur loeschen, wenn die Explorer.exe nicht im Taskmanager auftaucht.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.11.2004, 23:12
...neu hier

Beiträge: 10
#26 Hehe weg is die sau ;) und er kommt nicht wieder nach reboot !!
hab auch gleich mit escan gescannt der hat mir die wsock32.dll als virus angezeigt das kann nur ein fehler sein oder?

also tausend dank hast mir wirklich sehr geholfen (und ich hab auch gelcieh paar neue programme kennengelernt die ich noch garnet vorher gesehn hab ^^)!
Dieser Beitrag wurde am 13.11.2004 um 23:16 Uhr von VanCy editiert.
Seitenanfang Seitenende
13.11.2004, 23:56
Moderator

Beiträge: 7805
#27 Teste die Datei mal hier: http://virusscan.jotti.dhs.org/ und/oder schicke sie mal an virus@protecus.de
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.11.2004, 11:52
...neu hier

Beiträge: 10
#28 jo i hab das jez geamcht und steht halt immer "no virus detectet" aber in dem ordner is noch eine andere darei (auch wsock32.DL) also keine dll sondern dl (wahrscheinlich irgendweine fehlerhafte datei) und die hat escan glaub ich gemeint. die hab ich jez löschen porbiert aber die scheint nicht zu existieren :/.
vl weisst du wie man sowas noch wegkrigt

aber ansonsten scheint jetzt wieder alles sauber ;)

nochmal danke
Dieser Beitrag wurde am 14.11.2004 um 12:07 Uhr von VanCy editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: