WinFuture-Forum.de: Cssrs.exe - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

Cssrs.exe Ist das ein Wurm?


#1 Mitglied ist offline   eifelbaer 

  • Gruppe: Mitglieder
  • Beiträge: 14
  • Beigetreten: 07. Juli 05
  • Reputation: 0

geschrieben 18. Juli 2005 - 05:58

Hallo,

nachdem ich es gechafft hatte, mir das ATV-Kit zu installieren, habe ich mir wahrscheinlich einen Wurm oder so was eingefangen. Das Ding heißt cssrs.exe und hat sich im Verzeichnis c:/WINNT/System32 eingenistet. Es wird zwar regelmäßig als Virus ("Behaves like TrojanDownloader..") erkannt, allerdings schafft das System es nicht, das Ding isolieren oder zu löschen. Ein weiterer unangenehmer Nebeneffekt ist, dass ich nun den Task-Manager nicht mehr aufrufen kann (die Schaltfläche ist lediglich grau dargestellt und lässt sich nicht mehr anklicken. Kann mir jemand helfen?

Gruß vom
eifelbaer
0

Anzeige



#2 Mitglied ist offline   eifelbaer 

  • Gruppe: Mitglieder
  • Beiträge: 14
  • Beigetreten: 07. Juli 05
  • Reputation: 0

geschrieben 18. Juli 2005 - 07:30

Zusatz:

Unmittelbar nach dem Hochfahren des Rechners versucht irgendwas auf das Internet zuzugreifen, der Zähler von cFos springt dann auch an, obwohl ich nach der obligatorischen Abfrage die Verbindung nicht herstelle, sondern abbreche. Ich selbst komme gar nicht mehr ins Internet und kann auch mit outlook keine Verbindung mehr herstellen.

Gruß
eifelbaer
0

#3 Mitglied ist offline   Regenwurm 

  • Gruppe: aktive Mitglieder
  • Beiträge: 241
  • Beigetreten: 29. März 05
  • Reputation: 0
  • Wohnort:nähe Köln

geschrieben 18. Juli 2005 - 07:40

Wäre es die csrss.exe, dann wäre es eine Systemdatei. Du scheinst dir also wirklich was eingefangen zu haben. Die sauberste und vor allem sicherste Methode wäre wahrscheinlich das System zu formatieren.

Du kannst den Wurm/Virus/whatever zwar auch so entfernen, allerding kannst du dabei nie ganz sicher sein, ob er auch wirklich gelöscht ist, bzw. ob dein System wieder sauber ist.
Eingefügtes Bild

Whatever happened to sex drugs and rock n roll? Now we just have aids crack and techno...
0

#4 Mitglied ist offline   Strider 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.816
  • Beigetreten: 04. Dezember 03
  • Reputation: 2
  • Wohnort:Luxemburg
  • Interessen:Musik, Hardware, Windows, Informatik im allgemeinen

geschrieben 18. Juli 2005 - 08:53

Hi,

Poste mal ein Hijackthis-Log hierhin bzw der link zur Auswertung.
Gleichermaßen die größte wie auch die am unmöglichsten zu bewerkstelligende Herausforderung ist die, allen Menschen immer und überall gerecht werden zu wollen.

Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
0

#5 Mitglied ist offline   eifelbaer 

  • Gruppe: Mitglieder
  • Beiträge: 14
  • Beigetreten: 07. Juli 05
  • Reputation: 0

geschrieben 18. Juli 2005 - 09:03

Tut mir leid, kann ich von hier aus leider nicht. Ich müsste dafür nach Hause, bin nämlich im Dienst. Und daheim komme ich ja gar nicht mehr ins Internet ...

Gruß
eifelbaer
0

#6 Mitglied ist offline   Strider 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.816
  • Beigetreten: 04. Dezember 03
  • Reputation: 2
  • Wohnort:Luxemburg
  • Interessen:Musik, Hardware, Windows, Informatik im allgemeinen

geschrieben 18. Juli 2005 - 09:12

Lade es dir jetzt runter, auf Diskette/USB Stick speichern, zu Hause ausführen, Log abspeichern (.txt) und morgen hier posten.... falls das möglich ist :)

Ansonsten: Spyware Search&Destroy, Ad-Aware und/oder Pest Patrol im abgesicherten Modus (F8 vorm eigentlichen Windows-boot drücken) ausführen, gefundenes löschen. Nicht vergessen, zuvor die Windows-interne Systemwiederherstellung zu deaktivieren.

Bedenke, dass du keine Garantie hast, dass dein System danach auch 100% sauber ist. An deiner Stelle würde ich lieber formatieren... die Kompromitierung scheint recht fortgeschritten zu sein, wenn du nicht mal mehr ins I-Net kommst.

Dieser Beitrag wurde von Strider bearbeitet: 18. Juli 2005 - 09:17

Gleichermaßen die größte wie auch die am unmöglichsten zu bewerkstelligende Herausforderung ist die, allen Menschen immer und überall gerecht werden zu wollen.

Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
0

#7 Mitglied ist offline   eifelbaer 

  • Gruppe: Mitglieder
  • Beiträge: 14
  • Beigetreten: 07. Juli 05
  • Reputation: 0

geschrieben 18. Juli 2005 - 12:01

Zur Info an alle: Dies hat mir noch ein Freund zugemailt. Vielleicht klappt es ja damit! :wink:

Hallo eifelbaer,

folgendes habe ich noch im Netz gefunden:



cssrs.exe Schädlinge (C:\Windows\System; system32) siehe Troj/LdPinch-BA



Nach weiterer Recherche habe ich herausgefunden, dass sich auf deinem System, sofern es sich
um den Troj/LdPinch-BA handelt, auch noch die Datei vr_sys.dll befinden muss, welche als
gleichermaßen schädlich einzustufen ist. Sie befindet sich angeblich im WINNT-Verzeichnis.



Spezifikation dieses Schädlings:

- Klau von Informationen

- Installiert sich selbst in der Registry.



Virus-Typ:

- Spyware Trojaner



Bekannt unter den Namen:

- Trojan.LdPinch-19

- TROJ_PSWPINCH.A

- W32/Spybot.KJP



Troj/LdPinch-BA ist ein Passwort-Diebstahl Trojaner, der auf dem Rechner nach Informationen
zu den folgenden Anwendungen und Diensten sucht:

- Passwortspeicherungen in BadMail und The BAT FTP - Client

- Mirabilis ICQ

- Trillian Passwörter

- Fernzugriffsdienst (RAS)

- Cute FTP - Passwort

- WS_FTP - Passwort

- In Opera oder Mozilla gespeicherte Passwörter (also auch Firefox)

- Im Internetexplorer gespeicherte Passwörter

- Windows NT - Benutzername

- Einträge im lokalen Telefonbuch



Der Trojaner sendet nach der Suche die Informationen zu einer vorkonfigurierten E-Mail-Adresse.
Er beinhaltet die Funktion heimliche Up- und Downloads durch- und neue Software auszuführen und
sendet Rückmeldungen an die Gegenstelle.



Bevor du den Rechner jedoch neu installierst, versuche folgendes:



Du könntest den Virus beseitigen, wenn du folgendes tust:

Lösche (sie werden beide vom Virus erzeugt und können also auch beide bedenkenlos gelöscht werden):

C:\Winnt\System32\cssrs.exe

C:\Winnt\vr_sys.dll



Klicke auf Start à Ausführen und gebe REGEDIT ein

Klicke dort auf Arbeitsplatz und drücke die Tastenkombination Strg+F

Schreibe dort hinein: {CC570D7A-39DB-4431-837B-AF18D44CAB5E}

Sollte dein Rechner diese Buchstaben-/Zahlenkombination finden, lösche sie vollständig.

Drücke anschließend die Taste F3. Die Suche wird nun fortgesetzt. Dein Rechner wird wohl
erneut diese Kombination finden. Lösche sie ebenfalls.

Starte nun deinen Rechner neu. Der Schädling müsste erfolgreich bekämpft worden sein.

Viel Glück!
0

#8 _moep_

  • Gruppe: Gäste

geschrieben 18. Juli 2005 - 13:45

Zitat

Er beinhaltet die Funktion heimliche Up- und Downloads durch- und neue Software auszuführen und
sendet Rückmeldungen an die Gegenstelle.


Ähm ja mit diesem Satz ist doch wohl klar das nicht mehr sicher zustellen ist was zur Zeit auf deinem Rechner haust als platt damit.
0

#9 Mitglied ist offline   eifelbaer 

  • Gruppe: Mitglieder
  • Beiträge: 14
  • Beigetreten: 07. Juli 05
  • Reputation: 0

geschrieben 19. Juli 2005 - 13:31

@alle: Danke für die Hilfe und die Ratschläge

Mit dem Tipp von meinem Kumpel (siehe zwei Einträge weiter oben) hats leider nicht geklappt, denn in C:\WINNT\System32 kann ich die Datei cssrs.exe plötzlich nicht mehr finden, sie ist aber noch da, weil der Virenscanner sie jedesmal anzeigt. Kann es sein, dass sich die Datei umbenannt hat oder sich sonst irgendwo versteckt hat?

Wenn gar nichts mehr hilft, werde ich wohl oder über Format C: machen müssen ... :blink:
0

#10 Mitglied ist offline   Witi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.947
  • Beigetreten: 13. Dezember 04
  • Reputation: 43
  • Geschlecht:Männlich
  • Wohnort:Kingsvillage
  • Interessen:Frickeln

geschrieben 19. Juli 2005 - 13:36

vielleicht ist sie einfach nur versteckt. Über Ordneroption kannst du dir auch die verstecksten anzeigen lassen.
Du kannst es auch über die Kommandozeile machen:
Start -> Ausführen: cmd
dir C:\WINNT\System32\css*
0

#11 Mitglied ist offline   eifelbaer 

  • Gruppe: Mitglieder
  • Beiträge: 14
  • Beigetreten: 07. Juli 05
  • Reputation: 0

geschrieben 19. Juli 2005 - 13:39

Merci! Heute Abend kommt noch ein Spezi bei mir vorbei, der dasselbe Problem schon mal gelöst hat. Ich werde versuchen, (wenns klappt) die einzelnen Schritte zu dokumentieren und dann morgen oder übermorgen im Forum darüber berichten.

Gruß
eifelbaer
0

#12 Mitglied ist offline   andreasm 

  • Gruppe: aktive Mitglieder
  • Beiträge: 707
  • Beigetreten: 19. Juni 05
  • Reputation: 0
  • Wohnort:Saarland
  • Interessen:Elektrotechnik, Elektronik, Programmierung (PHP, MYSQL, Pascal, C++), Energie allgemein, alternative Energiequellen, sonstige Umweltthemen, Digitale Fotografie, Heimwerken, Partys, Fernsehen, .... also von allem etwas :-)

geschrieben 19. Juli 2005 - 14:03

Zitat (Regenwurm: 18.07.2005, 08:40)

Wäre es die csrss.exe, dann wäre es eine Systemdatei. Du scheinst dir also wirklich was eingefangen zu haben. Die sauberste und vor allem sicherste Methode wäre wahrscheinlich das System zu formatieren.


wenn man keine Ahnung hat... ist man lieber ruhig :blink:

nee im ernst, was soll immer diese Formatiererei bringen?
Duch die Formatiererei hat man ja dann noch viel mehr Probleme: Treiber neu besorgen, diese funktionieren evtl. nicht mehr, Service Packs müssen wieder draufgemacht werden usw.

-> "never touch a running system"

und so ein Wurm ist keine Sache. Virenscanner oder removal tool und weg isser.
Danach sollte man jedoch zur Sicherheit alle Passwörter (Email, icq, internet, ...) ändern!

Daher: Formatierung nur wenn das System total hinüber ist und nichts mehr geht....


PS: Formatierung bringt übrigens auch nichts, wenn man sich nicht vorher ein gutes Sicherheitskonzept überlegt. Sonst hat man nach dem Neuaufsetzen des Systems und dem Surfen im WWW gleich wieder Würmer eingefangen.... :)
Aber man kann ja dann wieder formatieren... wir haben ja alle Zeit der Welt :)

Dieser Beitrag wurde von andreasm bearbeitet: 19. Juli 2005 - 14:08

0

#13 Mitglied ist offline   nomzamo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 925
  • Beigetreten: 17. März 04
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 19. Juli 2005 - 14:06

das formatieren und neuaufsetzen solltest du trotzdem in betracht ziehen. auch wenn dein kumpel dieses problem mit der exe löst ist nicht sichergestellt, daß dein rechner nicht anderweitig kompromitiert ist.

ist aber wie gesagt nur ein tipp.
Eingefügtes Bild
0

#14 _moep_

  • Gruppe: Gäste

geschrieben 19. Juli 2005 - 14:08

Zitat

wenn man keine Ahnung hat... ist man lieber ruhig

Eigentor?

Zitat

nee im ernst, was soll immer diese Formatiererei bringen?

Sicherheit das die Malware weg ist!?

Zitat

"never touch a running system"

Den Satz hast du falsch interprtiert, den das System läuft nicht mehr richtig

Zitat

Virenscanner oder removal tool und weg isser.

un genau das ist nicht der Fall un wenn du nur mal ein bissl hier rumsuchst wirst du merken wie wenig so ein Virenscanner wirklich löschen kann.
So von wegen:"Kann Wurm X nicht löschen".



Edit2: *letzten Satz gelöscht* Sry mein Fehler hab das vorher in nem falschen Zusammenhang gelesen.

Dieser Beitrag wurde von moep bearbeitet: 19. Juli 2005 - 14:13

0

#15 Mitglied ist offline   andreasm 

  • Gruppe: aktive Mitglieder
  • Beiträge: 707
  • Beigetreten: 19. Juni 05
  • Reputation: 0
  • Wohnort:Saarland
  • Interessen:Elektrotechnik, Elektronik, Programmierung (PHP, MYSQL, Pascal, C++), Energie allgemein, alternative Energiequellen, sonstige Umweltthemen, Digitale Fotografie, Heimwerken, Partys, Fernsehen, .... also von allem etwas :-)

geschrieben 19. Juli 2005 - 14:14

@moep: Eigentor? Willste damit behaupten, dass ich keine Ahnung habe? :blink:

Obwohl ich täglich mehrere Stunden am PC bin und viel surfe, musste ich meinen PC in den letzten 10 Jahren wegen Viren, Trojanern usw. noch NIE formatieren. Da ich eben noch keine draufhatte.

Also nochmal, ist ganz wichtig: Formatierung bringt rein gar nichts, wenn man sich nicht VOR dem formatieren überlegt, wie man sich zukünftig vor Viren, Trojaner usw. schützt. Wenn man das nicht tut, braucht man auch nicht formatieren, da man dann schnell wieder was eingefangen hat...
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0