csrss.exe infected und WinFixer problem

#0
14.11.2005, 15:32
...neu hier

Beiträge: 2
#1 Hallo,

seit heute habe ich ein Problem mit dem WinFixer; ständig kommen PopUps.
Habe Win2000.
Außerdem ist das System extrem langsam geworden.
Beim Systemstart kommt ein RUNDLL Fenster hoch:

"Fehler beim Laden von ^
Das angegeben Modul wurde nicht gefunden"

Die Datei csrss,exe scheint ja infiziert.
Dazu noch eine Anmerkung:
die Datei ist NUR im Verzeichnis winnt\system32
NICHT direkt unter winnt (alle dateien eingeblendet)
Im Taskmanager sehe ich, daß 2 Prozesse laufen:
1. csrss.exe und
2. CSRSS.EXE (groß geschrieben)


Hier das Ergebnis von eScan:
Mon Nov 14 11:51:03 2005 => Regvalue RestrictAnonymous Reset. This could be part of a worm!!!
Mon Nov 14 12:20:51 2005 => File C:\WINNT\csrss.exe infected by "Backdoor.Win32.Agobot.afk" Virus! Action Taken: No Action Taken.
Mon Nov 14 12:21:02 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Mon Nov 14 12:21:04 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Mon Nov 14 12:22:39 2005 => File C:\WINNT\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken.

Mon Nov 14 13:58:58 2005 => Total Objects Scanned: 59488
Mon Nov 14 13:58:58 2005 => Total Virus(es) Found: 4
Mon Nov 14 13:58:58 2005 => Total Disinfected Files: 0
Mon Nov 14 13:58:58 2005 => Total Files Renamed: 0
Mon Nov 14 13:58:58 2005 => Total Deleted Objects: 0
Mon Nov 14 13:58:58 2005 => Total Errors: 67
Mon Nov 14 13:58:58 2005 => Time Elapsed: 02:06:29
Mon Nov 14 13:58:58 2005 => ***** Scanning complete. *****
Mon Nov 14 13:58:58 2005 => Virus Database Date: 2005/11/14
Mon Nov 14 13:58:58 2005 => Virus Database Count: 159701

Mon Nov 14 13:58:58 2005 => Scan Completed.


Hier mein hijackthis.log:
Logfile of HijackThis v1.99.1
Scan saved at 14:21:56, on 14.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\csrss.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\system32\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\hijack\HijackThis.exe

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\system32\ssttr.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\jkhgd.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Edit with Altova X&MLSpy - C:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSpy2005\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSpy2005\spy.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4C2B007-1661-4791-A71B-B1BA7EC8BF01}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: jkhgd - C:\WINNT\system32\jkhgd.dll
O20 - Winlogon Notify: ssttr - C:\WINNT\SYSTEM32\ssttr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe



Bitte um Hilfe!
Mit besten Grüßen,
Britta
Seitenanfang Seitenende
15.11.2005, 11:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@brichy

Start -- Ausführen -- schreib rein: cmd

sc stop Windows Time Sync

-->[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete Windows Time Sync

-->[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

del C:\WINNT\csrss.exe

-->[klicke "enter"]

----------------------------------------------------------------------

wenn das erledigt ist:
CCleaner
http://virus-protect.org/temp.html
ösche alle temp-Dateien

kopiere hier die 4 Textdateien
http://virus-protect.org/datfindbat.html

(den Winfixer erledigen wir zum Schluss...das ist er mal nicht so wichtig)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2005, 08:54
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Sabina,

VIELEN Dank für Deine Antwort!

Da ich komplett genervt war, meinen PC dringend für die Arbeit brauchte und die Befürchtung hatte, das System nie wieder richtig stabil zu bekommen, habe ich noch in der Nacht (vor Deiner Antwort) alles "plattgemacht" und Win2000 neu installiert.

Jetzt bitte ich Dich um Deine Meinung:
natürlich möchte ich verhindern, daß mein System wieder so infiziert wird (obwohl ich wirklich dachte, alle Sicherheitsvorkehrungen getroffen zu haben..)

Konfiguration:
Desktop mit Win2000, Laptop mit XP (SP2), verbunden über Fritz DSL Router.

Sicherheitsvorkehrungen:
1. Desktop Win2000
* Fritz Protect
* AntiVir Personal Freeware
* IE nur noch für WinUpdate, sonst Firefox
* Spybot Serach and Destroy
* arbeiten mit eingeschränktem Benutzerkonto

2. Laptop XP
* FritzProtect
* XP Firewall
* AntiVir Personal Freeware
* IE nur noch für WinUpdate, sonst Firefox
* Spybot Serach and Destroy
* arbeiten mit eingeschränktem Benutzerkonto NICHT möglich, da ich JAVA Entwicklung mit Eclipse mache
und Eclipse erfodert zur Ausführung Administratorrechte

Denkst Du, das ist soweit OK?
Soll/kann ich mehr tun?

Was hälst Du von der neuen AntiVir Personal Edition Premium (€20)?
Gibt die mir mehr/besseren Schutz?

Hast Du eine Idee, wie die Infektion von csrrs.exe enstehen konnte?

Bzgl. WinFixer: ich habe gehört, daß www.ebay.de Schuld sein könnte?!
Sollte ich momentan nicht auf die EBay Seite gehen?

Freue mich sehr auf Deine Antworten!
Brichy
Seitenanfang Seitenende
16.11.2005, 12:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@brichy

ich bin mir nicht sicher, aber diese C:\WINNT\csrss.exe
Infektion koennte ein W32/Netsky gewesen sein, also ueber eine verseuchte email auf dein System gekommen sein. (ein .pif -Anhang)
Man muss sehr vorsichtig mit den emails umgehen.
Winfixer und ebay....von dieser Kombination habe ich noch nie was gehoert...aber es gibt ja inzwischen mehrere Varianten und es ist schwer, nachzuvollziehen, wo die User sich das einfangen.

Deine Systeme sind gut abgesichert, aber mit den emails und bestimmten Seiten sollte man vorsichtig sein.
Vielleicht erinnerst du dich, wo du den Winfixer eingefangen hast und kehrst nicht mehr zu diesen Seiten zurueck.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: