Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Komische Prozesse unter WinXP ->Viren/Trojaner?

Thovan / 7 Antworten / Baumansicht Nickles

Hallo,

wenn ich unter WindXP Prof. in\'s Internet gehen will, dann bekomme ich keine Verbindung zu den Internetseiten bzw. kann die nicht anzeigen lassen oder es dauert wirklich sehr sehr lange (und bei 192kbps sollte das nicht sooOOO lange dauern).

Beim Suchen der Fehlerquelle bin ich auf einige komische Prozesse gestossen, die ich nicht zuordnen kann.

Beende ich einige davon, klappts mit dem Internet.

Da ich mir aber nicht sicher bin, ob es sich um Viren/Trojaner handelt, will ich die nicht einfach aus der Registry rauswerfen.

Zumal die Suche nach dem Ordner in dem Sie liegen keine Suchergebnisse hervorbrachte, so dass ich Sie nciht manuell löschen kann.

Konkret betrifft es folgende Prozesse:
exename2.exe
ati2xxx.exe
wdfmgr.exe
winlogon.exe
wscntfy.exe
htpatch.exe
ctfmon.exe
csrs.exe
smss.exe
sysrecover.exe

verdächtig ist auch der Prozess "System" da er nur 64K beansprucht laut taskmgr.

Könnt Ihr mir zu diesen Prozessen was sagen?
Wofür Sie gut sind und falls es Viren/Malware/Trojaner sind, wie ich die loswerde?
AntiVir findet irgendwie leider nicht alles, deshalb lasse ich gerade schon den online-Scann von http://housecall.antivirus.com/housecall/start_corp.asp laufen

bei Antwort benachrichtigen
Wolfsburger Thovan „Komische Prozesse unter WinXP ->Viren/Trojaner?“
Optionen

Oho leider keine gute Nachrichten für dich :(
csrs.exe bedeutet:
W32/Agobot-NI ist ein Backdoor-Trojaner und ein Wurm, der sich auf Computer verbreitet, die durch einfache Kennwörter geschützt sind.
Wenn er erstmals ausgeführt wird, kopiert sich W32/Agobot-NI als csrs.exe in den Windows-Systemordner.
Der Trojaner läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den Computer.
htpacth.exe:
htpatch.exe" ist ein SiS AGP patch (nur sinnvoll bei HyperThreading processoren)
wscntfy.exe
Mit dem Service Pack 2 von Microsoft, kamen einige neue Prozesse hinzu. Unter anderem auch die wscntfy / wscntfy.exe .
Erinnern Sie sich an das Fenster, welches sich nach dem Update des Service Pack 2 gezeigt hat (oder haben sollte) ? Das mit den Statusmeldungen der Windows Firewall, der Überwachung von Virenprogrammen und die Anzeige, ob automatische Windows Updates aktiviert sind?
Genau - es handelt sich um das so genannte Sicherheitscenter von Microsoft, welches bei vielen Usern nun als wscntfy.exe im Task Manager auftaucht.
Dieser lässt sich per Task Manager auch nicht einfach so beenden, da sich das Programm selber am Leben erhält.

Die anderen Prozesse mit Ausnahme von:
sysrecover.exe, exename2.exe
sind normale Windoof Prozesse aber alleine aufgrund des Trojaners muss ich dir leider zu
Format C: raten :-(

bei Antwort benachrichtigen
_Quax Thovan „Komische Prozesse unter WinXP ->Viren/Trojaner?“
Optionen

Es wäre gut zu wissen, welche Anwendungen bei Dir laufen, so kann ich Dir nur einige Prozesse auflisten, die bei mir nicht laufen:
exename2 , wscntfy , htpatch , sysrecover .
Meine Meinung zu AntiVir ist nicht so toll, mein System wird von Bitdefender sauber gehalten - nicht gratis. Und der System-Prozess ist hier nur 40 kb klein.

cu _Quax

bei Antwort benachrichtigen
SirMAD Thovan „Komische Prozesse unter WinXP ->Viren/Trojaner?“
Optionen

Warum immer gleich formatieren???????
Es gibt auch Lösungen die das System bestehen lassen und den Trojaner trotzdem beseitigen!!
Schau mal unter:
http://board.protecus.de/board.php?boardid=7
nach.
Dort kann dir besser geholfen werden.

bei Antwort benachrichtigen
T-Rex SirMAD „Warum immer gleich formatieren??????? Es gibt auch Lösungen die das System...“
Optionen

Du bist ein Optimist.

Zitat:
csrs.exe bedeutet:
W32/Agobot-NI ist ein Backdoor-Trojaner und ein Wurm, der sich auf Computer verbreitet, die durch einfache Kennwörter geschützt sind.
Wenn er erstmals ausgeführt wird, kopiert sich W32/Agobot-NI als csrs.exe in den Windows-Systemordner.
Der Trojaner läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den Computer.


Der Rechner hat also eine Backdoor. Backdoor bedeutet, daß irgendjemand auf den Rechner kommt und irgendetwas machen kann.

Entfernst Du jetzt also den Wurm, ist die Backdoor logischerweise auch weg. Was nicht weg ist, ist das, was über die Backdoor installiert wurde. Und was das ist, kannst Du nicht mal im Entferntesten wissen. Derjenige, der sich über die Backddor eingeloggt hat, kann bereits eine weitere Backdoor installiert haben.

Aber was rede ich groß rum. Wenn Dein Rechner infiziert ist und Du es beim Entfernen des Wurms beläßt, sind das ja nicht meine Kennwörter, meine PINs, meine TANs (sollte man sowieso nicht auf dem Rechner speichern), meine IP, über die gespammt oder KiPo verbreitet wird.

Kiste plätten und komplett neu aufsetzen ist die einzig sichere Methode, die Kiste in einen sicheren Zustand zu versetzen.

Und vielleicht sollte man sich mal Gedanken machen, wie dieser Kram in Zukunft vermieden werden kann.

 GrüßeT-Rex 
bei Antwort benachrichtigen
Mario32 T-Rex „Du bist ein Optimist. Zitat: Der Rechner hat also eine Backdoor. Backdoor...“
Optionen

und son Pc hat über 65000 Türchen die aufstehen können. Da ist die nummer mit dem Adventskalender grade zu mikrig gegen! Und wir wissen alle wie kirre uns diese türchenwarterei bei nur 24 stück macht, aber bei 65000!!!!!!!!!! P.S: heute ist türchen 6 dran!

bei Antwort benachrichtigen
Thovan Nachtrag zu: „Komische Prozesse unter WinXP ->Viren/Trojaner?“
Optionen

Danke erstmal für die Infos.

Kurz bevor ich mein System (der Logik von T-Rex folgend) neu aufsetzen wollte (es war ja noch frisch & jungfräulich), viel mir auf, dass ich einen Schreibfehler im ersten Beitrag hatte.

Der Dienst heißt csrss.exe und ist laut Internet "clean".

bleibt nur noch die Frage, was es mit exename2.exe auf sich hat.

bsplyr.exe -> Wurm/Trojaner

Allerdings ist die Datei dazu nicht zu finden!?

Dann habe ich den Dienst winxpdriver gefunden. Was macht der?
Antivir meinte dazu "WARNUNG! Ungültige Startadresse!"

Software die bei mir noch läuft:
antivir
OpenOffice
T-Online

Kann mir da noch jmd helfen?

bei Antwort benachrichtigen
Mario32 Thovan „Danke erstmal für die Infos. Kurz bevor ich mein System der Logik von T-Rex...“
Optionen

GRUNDSÄTZLICH gilt: Namen sind Schall und Rauch! es ist egal wie das Programm sich nennt, du kannst auf einen Briefumschlag als absender ja auch schreiben was du willst. Ich prüfe dann; ob das Paket das angeblich von einem vertrauenswürdigen Absender kommt; anhalt des Inhaltes, ob es das auch ist. Bei Software ist das prüfen des Inhaltes für dich als nicht MSprogrammierer bzw. Hacker mit Zugriff auf den Quellcode der Originaldateien nicht möglich den Inhalt zu checken. Es spielt also garkeien Rolle mehr was sich wie auf einem System nennt das nachweisbar von IRGENDEINER MALWARE befallen ist/war. weil eben alle angaben nach befall als kompromitiert (nicht wahr,gelogen, falsch anzeigend usw.) betrachtet werden müssen!!!
Gibst du bei deiner "PERSONAL-Firewall" an das programm iexplore.exe darf ins internet weil es ja (vermeintlich) dein browser ist, hat sich möglicherweise grade trotzdem ein trojaner zugriff verschafft, weil er sich den NAmensstempel auf seinen Paketumschlag geschrieben hat!!

www.warriorsofthe.net/movie

bei Antwort benachrichtigen