"csmss.exe" in system32-ordner ???

#1 hallo,

habe meinen einstand gleich mit einer frage:
ich habe seit kurzer zeit ein problem mit einer sehr hartnackigen datei namens "csmss.exe". bei sophos habe ich gelesen, dass "Troj/Agent-CO" sich unter diesem namen ins system einschleicht. gdata antivir 2004, pestpatrol uns spybot habe ich schon draufgehetzt, doch diese kleine datei kommt ständig neu. lösche ich sie unter dos aus system32, kommt sie nach relativ kurzer zeit wieder. dann auch mal eine neue datei wie "me.exe".

kann mir jemand sagen, wo ich das ding an der wurzel packen muss?

ich freu mich über jede mail,
danke im voraus.

grüße,
krawinkel

#2 hier nochmal das hijackthis-logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:21:34, on 06.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Customizer XP\RAM_2K.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Steganos AntiSpyware 7\aspy7.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\SlimBrowser\sbrowser.exe
E:\Sammlung 47\PrcView 3.7.3.11\PrcView.exe
E:\Sammlung 47\Hijack This 1.98\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [RAM Idle] C:\Programme\Customizer XP\RAM_2K.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NexusServer] "C:\Programme\Gemeinsame Dateien\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx

grüße,
krawinkel

#3 Teste diese Datei c:\windows\system32\csmss.exe bitte mal hier:
http://virusscan.jotti.dhs.org/ und schreib, wer in der Dati was findet.
__________
MfG Ralf
SEO-Spam Hunter

#4 da hat niemand ausser nod32 etwas gefunden, nur dieser hinweis stand dabei:

POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
Packers detected: FSG

nod32 gab diesen hinweis:
probably unknown NewHeur_PE (probable variant) (5.00 seconds taken)

danke für die schnelle antwort,

krawinkel

#5 Hm, schicke die Datei bitte mal an virus@protecus.de
__________
MfG Ralf
SEO-Spam Hunter

#6 Zumindest hat Nod32 recht, die Datei ist boese. Starte sie und sie faengt an Daten aus dem Internet herunterzuladen. Es eereugt ein Ordner im Windowsordner und pakt dort ein paar Dateien hin. U.a. ein trojanspy.agent.n und andere Dateien. Dein Browser sollte auch nun als Startseite about:blank haben. Hast du in letzter Zeit auf einen Link in iner Spymmail geklickt? Eine in sehr schlechtem Deutsch geschriebene?
__________
MfG Ralf
SEO-Spam Hunter

#7 Starte mal deien Rechner im abgesicherten Modus un loesche das VErzeichniss

C:\WINDOWS\tgbcde
und diese Dateien in Windows\system32

winacpi.dll
me.exe
csmss.exe
__________
MfG Ralf
SEO-Spam Hunter

#8 super, danke für den tipp. werde das mal probieren!

grüße,
krawinkel

#9 also, angeklickt habe ich diesen link, damit fing alles an:
hXXp://dominaohio.xxx/

hatte dummerweise meinen gdata-antivirus kurz vorher ausgestellt, und in null komma nix war der rechner voll mit trojanern, trojandroppern und konsorten.
habe bis auf die blöde datei da oben alles wegbekommen.

grüße,
krawinkel

#10 Danke, fuer die Info. Wo hattest du den Link her? Ich frage nur, da ich so einen aehnlichen via Spammail erhalten habe. Die Hijacker Programmierer scheinen einen neuen weg zur Verbreitung zu finden.

Wenn es eine Mail gewesen sein sollte, koenntest du mir die an virus@protecus.de weiterleiten?
__________
MfG Ralf
SEO-Spam Hunter

#11 nein, es war ein link aus einem russischen forum:
(bin da auch nur mit online-übersetzer klargekommen)

http://www.wapbbs.com/bbs/index.php.

ich muss dir nochmal danken, raman, dein tipp war super, das system scheint nun wieder rein...
die winacpi.dll wars wohl, die bei jedem neustart für eine neu-infizierung gesorgt hat.

grüße,
krawinkel

#12 hm ich hab das seleb problem allerdings gibt es bei mir keinen "C:\WINDOWS\tgbcde" ordner und im abgesicherten modus laesst sich die winacpi.dll auch nicht löschen. ich weiss echt nicht was ich machen soll :/

#13 Kennst du noch die Seite,auf der du infiziert wurdest? Wenn du es nicht mehr weist, erstelle bitte im abgesicherten Modus ein Logfile.
__________
MfG Ralf
SEO-Spam Hunter

#14 also ich hab auf der seite hxxp://www.xxx/index.shtml?index-1.shtml nach gute programmen gesucht. dann hab ich das gypsse downgeloadet wo das jez genau war weiss ich nimmer sollte irgendwo auf den ersten seiten gewesen sein und dann gings glaubich los.

#15 ah da auf seite 2 des dritte von oben sollte es sein!