Cssrs.exe Ist das ein Wurm?
#1
geschrieben 18. Juli 2005 - 05:58
nachdem ich es gechafft hatte, mir das ATV-Kit zu installieren, habe ich mir wahrscheinlich einen Wurm oder so was eingefangen. Das Ding heißt cssrs.exe und hat sich im Verzeichnis c:/WINNT/System32 eingenistet. Es wird zwar regelmäßig als Virus ("Behaves like TrojanDownloader..") erkannt, allerdings schafft das System es nicht, das Ding isolieren oder zu löschen. Ein weiterer unangenehmer Nebeneffekt ist, dass ich nun den Task-Manager nicht mehr aufrufen kann (die Schaltfläche ist lediglich grau dargestellt und lässt sich nicht mehr anklicken. Kann mir jemand helfen?
Gruß vom
eifelbaer
Anzeige
#2
geschrieben 18. Juli 2005 - 07:30
Unmittelbar nach dem Hochfahren des Rechners versucht irgendwas auf das Internet zuzugreifen, der Zähler von cFos springt dann auch an, obwohl ich nach der obligatorischen Abfrage die Verbindung nicht herstelle, sondern abbreche. Ich selbst komme gar nicht mehr ins Internet und kann auch mit outlook keine Verbindung mehr herstellen.
Gruß
eifelbaer
#3
geschrieben 18. Juli 2005 - 07:40
Du kannst den Wurm/Virus/whatever zwar auch so entfernen, allerding kannst du dabei nie ganz sicher sein, ob er auch wirklich gelöscht ist, bzw. ob dein System wieder sauber ist.
#4
geschrieben 18. Juli 2005 - 08:53
Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
#5
geschrieben 18. Juli 2005 - 09:03
Gruß
eifelbaer
#6
geschrieben 18. Juli 2005 - 09:12
Ansonsten: Spyware Search&Destroy, Ad-Aware und/oder Pest Patrol im abgesicherten Modus (F8 vorm eigentlichen Windows-boot drücken) ausführen, gefundenes löschen. Nicht vergessen, zuvor die Windows-interne Systemwiederherstellung zu deaktivieren.
Bedenke, dass du keine Garantie hast, dass dein System danach auch 100% sauber ist. An deiner Stelle würde ich lieber formatieren... die Kompromitierung scheint recht fortgeschritten zu sein, wenn du nicht mal mehr ins I-Net kommst.
Dieser Beitrag wurde von Strider bearbeitet: 18. Juli 2005 - 09:17
Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
#7
geschrieben 18. Juli 2005 - 12:01
Hallo eifelbaer,
folgendes habe ich noch im Netz gefunden:
cssrs.exe Schädlinge (C:\Windows\System; system32) siehe Troj/LdPinch-BA
Nach weiterer Recherche habe ich herausgefunden, dass sich auf deinem System, sofern es sich
um den Troj/LdPinch-BA handelt, auch noch die Datei vr_sys.dll befinden muss, welche als
gleichermaßen schädlich einzustufen ist. Sie befindet sich angeblich im WINNT-Verzeichnis.
Spezifikation dieses Schädlings:
- Klau von Informationen
- Installiert sich selbst in der Registry.
Virus-Typ:
- Spyware Trojaner
Bekannt unter den Namen:
- Trojan.LdPinch-19
- TROJ_PSWPINCH.A
- W32/Spybot.KJP
Troj/LdPinch-BA ist ein Passwort-Diebstahl Trojaner, der auf dem Rechner nach Informationen
zu den folgenden Anwendungen und Diensten sucht:
- Passwortspeicherungen in BadMail und The BAT FTP - Client
- Mirabilis ICQ
- Trillian Passwörter
- Fernzugriffsdienst (RAS)
- Cute FTP - Passwort
- WS_FTP - Passwort
- In Opera oder Mozilla gespeicherte Passwörter (also auch Firefox)
- Im Internetexplorer gespeicherte Passwörter
- Windows NT - Benutzername
- Einträge im lokalen Telefonbuch
Der Trojaner sendet nach der Suche die Informationen zu einer vorkonfigurierten E-Mail-Adresse.
Er beinhaltet die Funktion heimliche Up- und Downloads durch- und neue Software auszuführen und
sendet Rückmeldungen an die Gegenstelle.
Bevor du den Rechner jedoch neu installierst, versuche folgendes:
Du könntest den Virus beseitigen, wenn du folgendes tust:
Lösche (sie werden beide vom Virus erzeugt und können also auch beide bedenkenlos gelöscht werden):
C:\Winnt\System32\cssrs.exe
C:\Winnt\vr_sys.dll
Klicke auf Start à Ausführen und gebe REGEDIT ein
Klicke dort auf Arbeitsplatz und drücke die Tastenkombination Strg+F
Schreibe dort hinein: {CC570D7A-39DB-4431-837B-AF18D44CAB5E}
Sollte dein Rechner diese Buchstaben-/Zahlenkombination finden, lösche sie vollständig.
Drücke anschließend die Taste F3. Die Suche wird nun fortgesetzt. Dein Rechner wird wohl
erneut diese Kombination finden. Lösche sie ebenfalls.
Starte nun deinen Rechner neu. Der Schädling müsste erfolgreich bekämpft worden sein.
Viel Glück!
#8 _moep_
geschrieben 18. Juli 2005 - 13:45
Zitat
sendet Rückmeldungen an die Gegenstelle.
Ähm ja mit diesem Satz ist doch wohl klar das nicht mehr sicher zustellen ist was zur Zeit auf deinem Rechner haust als platt damit.
#9
geschrieben 19. Juli 2005 - 13:31
Mit dem Tipp von meinem Kumpel (siehe zwei Einträge weiter oben) hats leider nicht geklappt, denn in C:\WINNT\System32 kann ich die Datei cssrs.exe plötzlich nicht mehr finden, sie ist aber noch da, weil der Virenscanner sie jedesmal anzeigt. Kann es sein, dass sich die Datei umbenannt hat oder sich sonst irgendwo versteckt hat?
Wenn gar nichts mehr hilft, werde ich wohl oder über Format C: machen müssen ...
#10
geschrieben 19. Juli 2005 - 13:36
Du kannst es auch über die Kommandozeile machen:
Start -> Ausführen: cmd
dir C:\WINNT\System32\css*
#11
geschrieben 19. Juli 2005 - 13:39
Gruß
eifelbaer
#12
geschrieben 19. Juli 2005 - 14:03
Zitat (Regenwurm: 18.07.2005, 08:40)
wenn man keine Ahnung hat... ist man lieber ruhig
nee im ernst, was soll immer diese Formatiererei bringen?
Duch die Formatiererei hat man ja dann noch viel mehr Probleme: Treiber neu besorgen, diese funktionieren evtl. nicht mehr, Service Packs müssen wieder draufgemacht werden usw.
-> "never touch a running system"
und so ein Wurm ist keine Sache. Virenscanner oder removal tool und weg isser.
Danach sollte man jedoch zur Sicherheit alle Passwörter (Email, icq, internet, ...) ändern!
Daher: Formatierung nur wenn das System total hinüber ist und nichts mehr geht....
PS: Formatierung bringt übrigens auch nichts, wenn man sich nicht vorher ein gutes Sicherheitskonzept überlegt. Sonst hat man nach dem Neuaufsetzen des Systems und dem Surfen im WWW gleich wieder Würmer eingefangen....
Aber man kann ja dann wieder formatieren... wir haben ja alle Zeit der Welt
Dieser Beitrag wurde von andreasm bearbeitet: 19. Juli 2005 - 14:08
#13
geschrieben 19. Juli 2005 - 14:06
ist aber wie gesagt nur ein tipp.
#14 _moep_
geschrieben 19. Juli 2005 - 14:08
Zitat
Eigentor?
Zitat
Sicherheit das die Malware weg ist!?
Zitat
Den Satz hast du falsch interprtiert, den das System läuft nicht mehr richtig
Zitat
un genau das ist nicht der Fall un wenn du nur mal ein bissl hier rumsuchst wirst du merken wie wenig so ein Virenscanner wirklich löschen kann.
So von wegen:"Kann Wurm X nicht löschen".
Edit2: *letzten Satz gelöscht* Sry mein Fehler hab das vorher in nem falschen Zusammenhang gelesen.
Dieser Beitrag wurde von moep bearbeitet: 19. Juli 2005 - 14:13
#15
geschrieben 19. Juli 2005 - 14:14
Obwohl ich täglich mehrere Stunden am PC bin und viel surfe, musste ich meinen PC in den letzten 10 Jahren wegen Viren, Trojanern usw. noch NIE formatieren. Da ich eben noch keine draufhatte.
Also nochmal, ist ganz wichtig: Formatierung bringt rein gar nichts, wenn man sich nicht VOR dem formatieren überlegt, wie man sich zukünftig vor Viren, Trojaner usw. schützt. Wenn man das nicht tut, braucht man auch nicht formatieren, da man dann schnell wieder was eingefangen hat...