"csmss.exe" in system32-ordner ??? |
||
---|---|---|
#0
| ||
06.11.2004, 21:07
...neu hier
Beiträge: 6 |
||
|
||
06.11.2004, 21:22
...neu hier
Themenstarter Beiträge: 6 |
#2
hier nochmal das hijackthis-logfile:
Logfile of HijackThis v1.98.2 Scan saved at 21:21:34, on 06.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit 2004\AVKService.exe C:\Programme\AntiVirenKit 2004\AVKWCtl.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\GEARSec.exe C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Customizer XP\RAM_2K.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Gemeinsame Dateien\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Steganos AntiSpyware 7\aspy7.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\SlimBrowser\sbrowser.exe E:\Sammlung 47\PrcView 3.7.3.11\PrcView.exe E:\Sammlung 47\Hijack This 1.98\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [RAM Idle] C:\Programme\Customizer XP\RAM_2K.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NexusServer] "C:\Programme\Gemeinsame Dateien\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx grüße, krawinkel |
|
|
||
06.11.2004, 21:26
Moderator
Beiträge: 7805 |
#3
Teste diese Datei c:\windows\system32\csmss.exe bitte mal hier:
http://virusscan.jotti.dhs.org/ und schreib, wer in der Dati was findet. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2004, 21:39
...neu hier
Themenstarter Beiträge: 6 |
#4
da hat niemand ausser nod32 etwas gefunden, nur dieser hinweis stand dabei:
POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database) Packers detected: FSG nod32 gab diesen hinweis: probably unknown NewHeur_PE (probable variant) (5.00 seconds taken) danke für die schnelle antwort, krawinkel |
|
|
||
06.11.2004, 21:53
Moderator
Beiträge: 7805 |
||
|
||
06.11.2004, 22:35
Moderator
Beiträge: 7805 |
#6
Zumindest hat Nod32 recht, die Datei ist boese. Starte sie und sie faengt an Daten aus dem Internet herunterzuladen. Es eereugt ein Ordner im Windowsordner und pakt dort ein paar Dateien hin. U.a. ein trojanspy.agent.n und andere Dateien. Dein Browser sollte auch nun als Startseite about:blank haben. Hast du in letzter Zeit auf einen Link in iner Spymmail geklickt? Eine in sehr schlechtem Deutsch geschriebene?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.11.2004, 23:19
Moderator
Beiträge: 7805 |
#7
Starte mal deien Rechner im abgesicherten Modus un loesche das VErzeichniss
C:\WINDOWS\tgbcde und diese Dateien in Windows\system32 winacpi.dll me.exe csmss.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.11.2004, 03:40
...neu hier
Themenstarter Beiträge: 6 |
||
|
||
07.11.2004, 03:54
...neu hier
Themenstarter Beiträge: 6 |
#9
also, angeklickt habe ich diesen link, damit fing alles an:
hXXp://dominaohio.xxx/ hatte dummerweise meinen gdata-antivirus kurz vorher ausgestellt, und in null komma nix war der rechner voll mit trojanern, trojandroppern und konsorten. habe bis auf die blöde datei da oben alles wegbekommen. grüße, krawinkel |
|
|
||
07.11.2004, 08:59
Moderator
Beiträge: 7805 |
#10
Danke, fuer die Info. Wo hattest du den Link her? Ich frage nur, da ich so einen aehnlichen via Spammail erhalten habe. Die Hijacker Programmierer scheinen einen neuen weg zur Verbreitung zu finden.
Wenn es eine Mail gewesen sein sollte, koenntest du mir die an virus@protecus.de weiterleiten? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.11.2004, 16:01
...neu hier
Themenstarter Beiträge: 6 |
#11
nein, es war ein link aus einem russischen forum:
(bin da auch nur mit online-übersetzer klargekommen) http://www.wapbbs.com/bbs/index.php. ich muss dir nochmal danken, raman, dein tipp war super, das system scheint nun wieder rein... die winacpi.dll wars wohl, die bei jedem neustart für eine neu-infizierung gesorgt hat. grüße, krawinkel |
|
|
||
13.11.2004, 19:08
...neu hier
Beiträge: 10 |
#12
hm ich hab das seleb problem allerdings gibt es bei mir keinen "C:\WINDOWS\tgbcde" ordner und im abgesicherten modus laesst sich die winacpi.dll auch nicht löschen. ich weiss echt nicht was ich machen soll :/
|
|
|
||
13.11.2004, 19:18
Moderator
Beiträge: 7805 |
#13
Kennst du noch die Seite,auf der du infiziert wurdest? Wenn du es nicht mehr weist, erstelle bitte im abgesicherten Modus ein Logfile.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.11.2004, 20:26
...neu hier
Beiträge: 10 |
#14
also ich hab auf der seite hxxp://www.xxx/index.shtml?index-1.shtml nach gute programmen gesucht. dann hab ich das gypsse downgeloadet wo das jez genau war weiss ich nimmer sollte irgendwo auf den ersten seiten gewesen sein und dann gings glaubich los.
|
|
|
||
13.11.2004, 20:27
...neu hier
Beiträge: 10 |
#15
ah da auf seite 2 des dritte von oben sollte es sein!
|
|
|
||
habe meinen einstand gleich mit einer frage:
ich habe seit kurzer zeit ein problem mit einer sehr hartnackigen datei namens "csmss.exe". bei sophos habe ich gelesen, dass "Troj/Agent-CO" sich unter diesem namen ins system einschleicht. gdata antivir 2004, pestpatrol uns spybot habe ich schon draufgehetzt, doch diese kleine datei kommt ständig neu. lösche ich sie unter dos aus system32, kommt sie nach relativ kurzer zeit wieder. dann auch mal eine neue datei wie "me.exe".
kann mir jemand sagen, wo ich das ding an der wurzel packen muss?
ich freu mich über jede mail,
danke im voraus.
grüße,
krawinkel