Hilfe
Neues Thema
Antworten
Hallo,
nachdem ich es gechafft hatte, mir das ATV-Kit zu installieren, habe ich mir wahrscheinlich einen Wurm oder so was eingefangen. Das Ding heißt cssrs.exe und hat sich im Verzeichnis c:/WINNT/System32 eingenistet. Es wird zwar regelmäßig als Virus ("Behaves like TrojanDownloader..") erkannt, allerdings schafft das System es nicht, das Ding isolieren oder zu löschen. Ein weiterer unangenehmer Nebeneffekt ist, dass ich nun den Task-Manager nicht mehr aufrufen kann (die Schaltfläche ist lediglich grau dargestellt und lässt sich nicht mehr anklicken. Kann mir jemand helfen?
Gruß vom
eifelbaer
Cssrs.exe Ist das ein Wurm?
#1
eifelbaer 
geschrieben 18. Juli 2005 - 05:58
Nach oben
#2
eifelbaer
geschrieben 18. Juli 2005 - 07:30
Zusatz:
Unmittelbar nach dem Hochfahren des Rechners versucht irgendwas auf das Internet zuzugreifen, der Zähler von cFos springt dann auch an, obwohl ich nach der obligatorischen Abfrage die Verbindung nicht herstelle, sondern abbreche. Ich selbst komme gar nicht mehr ins Internet und kann auch mit outlook keine Verbindung mehr herstellen.
Gruß
eifelbaer
Unmittelbar nach dem Hochfahren des Rechners versucht irgendwas auf das Internet zuzugreifen, der Zähler von cFos springt dann auch an, obwohl ich nach der obligatorischen Abfrage die Verbindung nicht herstelle, sondern abbreche. Ich selbst komme gar nicht mehr ins Internet und kann auch mit outlook keine Verbindung mehr herstellen.
Gruß
eifelbaer
#3
Regenwurm
- Gruppe: aktive Mitglieder
- Beiträge: 241
- Beigetreten: 29. März 05
- Reputation: 0
- Wohnort:nähe Köln
geschrieben 18. Juli 2005 - 07:40
Wäre es die csrss.exe, dann wäre es eine Systemdatei. Du scheinst dir also wirklich was eingefangen zu haben. Die sauberste und vor allem sicherste Methode wäre wahrscheinlich das System zu formatieren.
Du kannst den Wurm/Virus/whatever zwar auch so entfernen, allerding kannst du dabei nie ganz sicher sein, ob er auch wirklich gelöscht ist, bzw. ob dein System wieder sauber ist.
Du kannst den Wurm/Virus/whatever zwar auch so entfernen, allerding kannst du dabei nie ganz sicher sein, ob er auch wirklich gelöscht ist, bzw. ob dein System wieder sauber ist.
Whatever happened to sex drugs and rock n roll? Now we just have aids crack and techno...
#4
Strider
- Gruppe: aktive Mitglieder
- Beiträge: 2.816
- Beigetreten: 04. Dezember 03
- Reputation: 2
- Wohnort:Luxemburg
- Interessen:Musik, Hardware, Windows, Informatik im allgemeinen
geschrieben 18. Juli 2005 - 08:53
Gleichermaßen die größte wie auch die am unmöglichsten zu bewerkstelligende Herausforderung ist die, allen Menschen immer und überall gerecht werden zu wollen.
Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
#5
eifelbaer
geschrieben 18. Juli 2005 - 09:03
Tut mir leid, kann ich von hier aus leider nicht. Ich müsste dafür nach Hause, bin nämlich im Dienst. Und daheim komme ich ja gar nicht mehr ins Internet ...
Gruß
eifelbaer
Gruß
eifelbaer
#6
Strider
- Gruppe: aktive Mitglieder
- Beiträge: 2.816
- Beigetreten: 04. Dezember 03
- Reputation: 2
- Wohnort:Luxemburg
- Interessen:Musik, Hardware, Windows, Informatik im allgemeinen
geschrieben 18. Juli 2005 - 09:12
Lade es dir jetzt runter, auf Diskette/USB Stick speichern, zu Hause ausführen, Log abspeichern (.txt) und morgen hier posten.... falls das möglich ist 
Ansonsten: Spyware Search&Destroy, Ad-Aware und/oder Pest Patrol im abgesicherten Modus (F8 vorm eigentlichen Windows-boot drücken) ausführen, gefundenes löschen. Nicht vergessen, zuvor die Windows-interne Systemwiederherstellung zu deaktivieren.
Bedenke, dass du keine Garantie hast, dass dein System danach auch 100% sauber ist. An deiner Stelle würde ich lieber formatieren... die Kompromitierung scheint recht fortgeschritten zu sein, wenn du nicht mal mehr ins I-Net kommst.
Ansonsten: Spyware Search&Destroy, Ad-Aware und/oder Pest Patrol im abgesicherten Modus (F8 vorm eigentlichen Windows-boot drücken) ausführen, gefundenes löschen. Nicht vergessen, zuvor die Windows-interne Systemwiederherstellung zu deaktivieren.
Bedenke, dass du keine Garantie hast, dass dein System danach auch 100% sauber ist. An deiner Stelle würde ich lieber formatieren... die Kompromitierung scheint recht fortgeschritten zu sein, wenn du nicht mal mehr ins I-Net kommst.
Dieser Beitrag wurde von Strider bearbeitet: 18. Juli 2005 - 09:17
Gleichermaßen die größte wie auch die am unmöglichsten zu bewerkstelligende Herausforderung ist die, allen Menschen immer und überall gerecht werden zu wollen.
Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
#7
eifelbaer
geschrieben 18. Juli 2005 - 12:01
Zur Info an alle: Dies hat mir noch ein Freund zugemailt. Vielleicht klappt es ja damit! 
Hallo eifelbaer,
folgendes habe ich noch im Netz gefunden:
cssrs.exe Schädlinge (C:\Windows\System; system32) siehe Troj/LdPinch-BA
Nach weiterer Recherche habe ich herausgefunden, dass sich auf deinem System, sofern es sich
um den Troj/LdPinch-BA handelt, auch noch die Datei vr_sys.dll befinden muss, welche als
gleichermaßen schädlich einzustufen ist. Sie befindet sich angeblich im WINNT-Verzeichnis.
Spezifikation dieses Schädlings:
- Klau von Informationen
- Installiert sich selbst in der Registry.
Virus-Typ:
- Spyware Trojaner
Bekannt unter den Namen:
- Trojan.LdPinch-19
- TROJ_PSWPINCH.A
- W32/Spybot.KJP
Troj/LdPinch-BA ist ein Passwort-Diebstahl Trojaner, der auf dem Rechner nach Informationen
zu den folgenden Anwendungen und Diensten sucht:
- Passwortspeicherungen in BadMail und The BAT FTP - Client
- Mirabilis ICQ
- Trillian Passwörter
- Fernzugriffsdienst (RAS)
- Cute FTP - Passwort
- WS_FTP - Passwort
- In Opera oder Mozilla gespeicherte Passwörter (also auch Firefox)
- Im Internetexplorer gespeicherte Passwörter
- Windows NT - Benutzername
- Einträge im lokalen Telefonbuch
Der Trojaner sendet nach der Suche die Informationen zu einer vorkonfigurierten E-Mail-Adresse.
Er beinhaltet die Funktion heimliche Up- und Downloads durch- und neue Software auszuführen und
sendet Rückmeldungen an die Gegenstelle.
Bevor du den Rechner jedoch neu installierst, versuche folgendes:
Du könntest den Virus beseitigen, wenn du folgendes tust:
Lösche (sie werden beide vom Virus erzeugt und können also auch beide bedenkenlos gelöscht werden):
C:\Winnt\System32\cssrs.exe
C:\Winnt\vr_sys.dll
Klicke auf Start à Ausführen und gebe REGEDIT ein
Klicke dort auf Arbeitsplatz und drücke die Tastenkombination Strg+F
Schreibe dort hinein: {CC570D7A-39DB-4431-837B-AF18D44CAB5E}
Sollte dein Rechner diese Buchstaben-/Zahlenkombination finden, lösche sie vollständig.
Drücke anschließend die Taste F3. Die Suche wird nun fortgesetzt. Dein Rechner wird wohl
erneut diese Kombination finden. Lösche sie ebenfalls.
Starte nun deinen Rechner neu. Der Schädling müsste erfolgreich bekämpft worden sein.
Viel Glück!
Hallo eifelbaer,
folgendes habe ich noch im Netz gefunden:
cssrs.exe Schädlinge (C:\Windows\System; system32) siehe Troj/LdPinch-BA
Nach weiterer Recherche habe ich herausgefunden, dass sich auf deinem System, sofern es sich
um den Troj/LdPinch-BA handelt, auch noch die Datei vr_sys.dll befinden muss, welche als
gleichermaßen schädlich einzustufen ist. Sie befindet sich angeblich im WINNT-Verzeichnis.
Spezifikation dieses Schädlings:
- Klau von Informationen
- Installiert sich selbst in der Registry.
Virus-Typ:
- Spyware Trojaner
Bekannt unter den Namen:
- Trojan.LdPinch-19
- TROJ_PSWPINCH.A
- W32/Spybot.KJP
Troj/LdPinch-BA ist ein Passwort-Diebstahl Trojaner, der auf dem Rechner nach Informationen
zu den folgenden Anwendungen und Diensten sucht:
- Passwortspeicherungen in BadMail und The BAT FTP - Client
- Mirabilis ICQ
- Trillian Passwörter
- Fernzugriffsdienst (RAS)
- Cute FTP - Passwort
- WS_FTP - Passwort
- In Opera oder Mozilla gespeicherte Passwörter (also auch Firefox)
- Im Internetexplorer gespeicherte Passwörter
- Windows NT - Benutzername
- Einträge im lokalen Telefonbuch
Der Trojaner sendet nach der Suche die Informationen zu einer vorkonfigurierten E-Mail-Adresse.
Er beinhaltet die Funktion heimliche Up- und Downloads durch- und neue Software auszuführen und
sendet Rückmeldungen an die Gegenstelle.
Bevor du den Rechner jedoch neu installierst, versuche folgendes:
Du könntest den Virus beseitigen, wenn du folgendes tust:
Lösche (sie werden beide vom Virus erzeugt und können also auch beide bedenkenlos gelöscht werden):
C:\Winnt\System32\cssrs.exe
C:\Winnt\vr_sys.dll
Klicke auf Start à Ausführen und gebe REGEDIT ein
Klicke dort auf Arbeitsplatz und drücke die Tastenkombination Strg+F
Schreibe dort hinein: {CC570D7A-39DB-4431-837B-AF18D44CAB5E}
Sollte dein Rechner diese Buchstaben-/Zahlenkombination finden, lösche sie vollständig.
Drücke anschließend die Taste F3. Die Suche wird nun fortgesetzt. Dein Rechner wird wohl
erneut diese Kombination finden. Lösche sie ebenfalls.
Starte nun deinen Rechner neu. Der Schädling müsste erfolgreich bekämpft worden sein.
Viel Glück!
#8 _moep_
geschrieben 18. Juli 2005 - 13:45
Zitat
Er beinhaltet die Funktion heimliche Up- und Downloads durch- und neue Software auszuführen und
sendet Rückmeldungen an die Gegenstelle.
sendet Rückmeldungen an die Gegenstelle.
Ähm ja mit diesem Satz ist doch wohl klar das nicht mehr sicher zustellen ist was zur Zeit auf deinem Rechner haust als platt damit.
#9
eifelbaer
geschrieben 19. Juli 2005 - 13:31
@alle: Danke für die Hilfe und die Ratschläge
Mit dem Tipp von meinem Kumpel (siehe zwei Einträge weiter oben) hats leider nicht geklappt, denn in C:\WINNT\System32 kann ich die Datei cssrs.exe plötzlich nicht mehr finden, sie ist aber noch da, weil der Virenscanner sie jedesmal anzeigt. Kann es sein, dass sich die Datei umbenannt hat oder sich sonst irgendwo versteckt hat?
Wenn gar nichts mehr hilft, werde ich wohl oder über Format C: machen müssen ...
Mit dem Tipp von meinem Kumpel (siehe zwei Einträge weiter oben) hats leider nicht geklappt, denn in C:\WINNT\System32 kann ich die Datei cssrs.exe plötzlich nicht mehr finden, sie ist aber noch da, weil der Virenscanner sie jedesmal anzeigt. Kann es sein, dass sich die Datei umbenannt hat oder sich sonst irgendwo versteckt hat?
Wenn gar nichts mehr hilft, werde ich wohl oder über Format C: machen müssen ...
#10
Witi
- Gruppe: aktive Mitglieder
- Beiträge: 5.942
- Beigetreten: 13. Dezember 04
- Reputation: 43
- Geschlecht:Männlich
- Wohnort:Kingsvillage
- Interessen:Frickeln
geschrieben 19. Juli 2005 - 13:36
vielleicht ist sie einfach nur versteckt. Über Ordneroption kannst du dir auch die verstecksten anzeigen lassen.
Du kannst es auch über die Kommandozeile machen:
Start -> Ausführen: cmd
dir C:\WINNT\System32\css*
Du kannst es auch über die Kommandozeile machen:
Start -> Ausführen: cmd
dir C:\WINNT\System32\css*
#11
eifelbaer
geschrieben 19. Juli 2005 - 13:39
Merci! Heute Abend kommt noch ein Spezi bei mir vorbei, der dasselbe Problem schon mal gelöst hat. Ich werde versuchen, (wenns klappt) die einzelnen Schritte zu dokumentieren und dann morgen oder übermorgen im Forum darüber berichten.
Gruß
eifelbaer
Gruß
eifelbaer
#12
andreasm
- Gruppe: aktive Mitglieder
- Beiträge: 707
- Beigetreten: 19. Juni 05
- Reputation: 0
- Wohnort:Saarland
- Interessen:Elektrotechnik, Elektronik, Programmierung (PHP, MYSQL, Pascal, C++), Energie allgemein, alternative Energiequellen, sonstige Umweltthemen, Digitale Fotografie, Heimwerken, Partys, Fernsehen, .... also von allem etwas :-)
geschrieben 19. Juli 2005 - 14:03
Zitat (Regenwurm: 18.07.2005, 08:40)
Wäre es die csrss.exe, dann wäre es eine Systemdatei. Du scheinst dir also wirklich was eingefangen zu haben. Die sauberste und vor allem sicherste Methode wäre wahrscheinlich das System zu formatieren.
wenn man keine Ahnung hat... ist man lieber ruhig
nee im ernst, was soll immer diese Formatiererei bringen?
Duch die Formatiererei hat man ja dann noch viel mehr Probleme: Treiber neu besorgen, diese funktionieren evtl. nicht mehr, Service Packs müssen wieder draufgemacht werden usw.
-> "never touch a running system"
und so ein Wurm ist keine Sache. Virenscanner oder removal tool und weg isser.
Danach sollte man jedoch zur Sicherheit alle Passwörter (Email, icq, internet, ...) ändern!
Daher: Formatierung nur wenn das System total hinüber ist und nichts mehr geht....
PS: Formatierung bringt übrigens auch nichts, wenn man sich nicht vorher ein gutes Sicherheitskonzept überlegt. Sonst hat man nach dem Neuaufsetzen des Systems und dem Surfen im WWW gleich wieder Würmer eingefangen....
Aber man kann ja dann wieder formatieren... wir haben ja alle Zeit der Welt
Dieser Beitrag wurde von andreasm bearbeitet: 19. Juli 2005 - 14:08
#13
nomzamo
- Gruppe: aktive Mitglieder
- Beiträge: 922
- Beigetreten: 17. März 04
- Reputation: 0
- Geschlecht:Männlich
geschrieben 19. Juli 2005 - 14:06
das formatieren und neuaufsetzen solltest du trotzdem in betracht ziehen. auch wenn dein kumpel dieses problem mit der exe löst ist nicht sichergestellt, daß dein rechner nicht anderweitig kompromitiert ist.
ist aber wie gesagt nur ein tipp.
ist aber wie gesagt nur ein tipp.
#14 _moep_
geschrieben 19. Juli 2005 - 14:08
Zitat
wenn man keine Ahnung hat... ist man lieber ruhig
Eigentor?
Zitat
nee im ernst, was soll immer diese Formatiererei bringen?
Sicherheit das die Malware weg ist!?
Zitat
"never touch a running system"
Den Satz hast du falsch interprtiert, den das System läuft nicht mehr richtig
Zitat
Virenscanner oder removal tool und weg isser.
un genau das ist nicht der Fall un wenn du nur mal ein bissl hier rumsuchst wirst du merken wie wenig so ein Virenscanner wirklich löschen kann.
So von wegen:"Kann Wurm X nicht löschen".
Edit2: *letzten Satz gelöscht* Sry mein Fehler hab das vorher in nem falschen Zusammenhang gelesen.
Dieser Beitrag wurde von moep bearbeitet: 19. Juli 2005 - 14:13
#15
andreasm
- Gruppe: aktive Mitglieder
- Beiträge: 707
- Beigetreten: 19. Juni 05
- Reputation: 0
- Wohnort:Saarland
- Interessen:Elektrotechnik, Elektronik, Programmierung (PHP, MYSQL, Pascal, C++), Energie allgemein, alternative Energiequellen, sonstige Umweltthemen, Digitale Fotografie, Heimwerken, Partys, Fernsehen, .... also von allem etwas :-)
geschrieben 19. Juli 2005 - 14:14
@moep: Eigentor? Willste damit behaupten, dass ich keine Ahnung habe?
Obwohl ich täglich mehrere Stunden am PC bin und viel surfe, musste ich meinen PC in den letzten 10 Jahren wegen Viren, Trojanern usw. noch NIE formatieren. Da ich eben noch keine draufhatte.
Also nochmal, ist ganz wichtig: Formatierung bringt rein gar nichts, wenn man sich nicht VOR dem formatieren überlegt, wie man sich zukünftig vor Viren, Trojaner usw. schützt. Wenn man das nicht tut, braucht man auch nicht formatieren, da man dann schnell wieder was eingefangen hat...
Obwohl ich täglich mehrere Stunden am PC bin und viel surfe, musste ich meinen PC in den letzten 10 Jahren wegen Viren, Trojanern usw. noch NIE formatieren. Da ich eben noch keine draufhatte.
Also nochmal, ist ganz wichtig: Formatierung bringt rein gar nichts, wenn man sich nicht VOR dem formatieren überlegt, wie man sich zukünftig vor Viren, Trojaner usw. schützt. Wenn man das nicht tut, braucht man auch nicht formatieren, da man dann schnell wieder was eingefangen hat...
