Virus? Internetexplorer öffnet sich selbstständig

[aero]

Hallo liebe Community,

wie der Titel verrät, spinnt mein Laptop. In unregelmäßigen Abständen, aber das konstant, öffnet sich der Intenetexplorer (ich benutze ausschließlich Firefox) mit Seiten, die ich weder kenne, noch jemals angeklickt habe. Dabei sehen die Seiten nicht dubios aus --- zumindest sind es keine Pornoseiten. Ich werde beim nächsten mal den link aufschreiben und nochmal schicken, sollte das von Belang sein.

Ich weiß nicht, woran das liegt und auch nicht, wie man es wieder beseitigen kann. Mein Antivir ist auf dem aktuellen Stand und kann nichts finden. Gleiches gilt für AdAware.

Ab und an kam davor eine Fehlermeldung, die ich einfach weggeklickt habe --- dort ging es um die cscrs Datei, die ich aber garnicht finden kann (versteckte Dateien habe ich auf sichtbar gestellt - kein Erfolg). Die genaue Fehlermeldung habe ich nicht im Kopf und sie taucht auch nicht mehr auf.

Ich bin mir bewußt, dass nun Schelte kommen wird a la "du musst das aufschreiben, sonst können wir dir nicht helfen" und ich bekenne mich schuldig, es nicht getan zu haben. Ändern kann ich es momentan jedoch leider nicht mehr.

Ich weiß nicht, ob es etwas nützt, aber mir wurde angeraten, ein Programm namens HiJack zu benutzen. Dies ist das Ergebniss:

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:25:05, on 14.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
C:\Programme\ATKGFNEX\GFNEXSrv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINXP\system32\csrcs.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe
C:\WINXP\system32\rpcnet.exe
C:\WINXP\system32\svchost.exe
C:\Programme\ASUS\ATK Media\DMedia.exe
C:\Programme\ASUS\ATK Hotkey\MsgTranAgt.exe
C:\Programme\ASUS\ATK Hotkey\HControlUser.exe
C:\Programme\ASUS\ATK Hotkey\HControl.exe
C:\Programme\ASUS\ATKOSD2\ATKOSD2.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINXP\system32\igfxtray.exe
C:\WINXP\system32\hkcmd.exe
C:\WINXP\system32\igfxsrvc.exe
C:\WINXP\system32\igfxpers.exe
C:\Programme\Elantech\ETDCtrl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\msa.exe
C:\Programme\ASUS\ATK Hotkey\ATKOSD.exe
C:\Programme\ASUS\ATK Hotkey\WDC.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Trillian\trillian.exe
C:\WINXP\system32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\DOKUME~1\XXX\LOKALE~1\Temp\c.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url]http://go.microsoft.com/fwlink/?LinkId=74005[/url]
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MI7967~1\Office14\URLREDIR.DLL
O4 - HKLM\..\Run: [ATKMEDIA] C:\Programme\ASUS\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [MsgTranAgt] C:\Programme\ASUS\ATK Hotkey\MsgTranAgt.exe
O4 - HKLM\..\Run: [HControlUser] C:\Programme\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKHOTKEY] C:\Programme\ASUS\ATK Hotkey\HControl.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Programme\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [IgfxTray] C:\WINXP\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINXP\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINXP\system32\igfxpers.exe
O4 - HKLM\..\Run: [ETDWare] C:\Programme\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [YNO00BFRKM] C:\DOKUME~1\XXX\LOKALE~1\Temp\c.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINXP\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Save YouTube Video - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O9 - Extra 'Tools' menuitem: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.line6.net
O16 - DPF: 55963676-2F5E-4BAF-AC28-CF26AA587566 - vpnweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7560B7E-D712-457B-AB6E-0710F327A13F}: NameServer = 141.44.1.2,141.44.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B02CBD59-7690-49CC-8589-2B907B99CD10}: NameServer = 141.44.1.9,141.44.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Programme\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NIHardwareService - Native Instruments GmbH - C:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe
O23 - Service: Remote Procedure Call (RPC) Net (rpcnet) - Absolute Software Corp. - C:\WINXP\system32\rpcnet.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Programme\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe

--
End of file - 7746 bytes

Habt ihr Ideen und Ratschläge? Ich bedank mich für eure Mühen bereits im Voraus.

Viele Grüße
aero

Ergänzung (14. Januar 2010)

Hat keiner eine Idee?

 

[frogger9]

C:\WINXP\system32\csrcs.exe

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O4 - HKCU\..\Run: [YNO00BFRKM] C:\DOKUME~1\XXX\LOKALE~1\Temp\c.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINXP\system32\csrcs.exe

Eine csrcs.exe gibt es nicht in Windows, nur die csrss.exe.

Das ist ein Backdoor-Trojaner mit Rootkit Funktion. Deshalb Daten sichern mit einem Linux Live OS(Ubuntu oä.) und neu aufsetzen(Formatieren). Am besten dann auch die Passwörter für wie Email usw. ändern.

 

[aero]

Hab vielen dank für deinen Hinweis.

Bei der Datei habe ich mich tatsächlich verschrieben. Also muss ich komplett formatieren? Wenn ich meine Dateien nun auf eine externe Festplatte überspiele, als Sicherung, überspiele ich damit auch den virus auf die externe festplatte?
Linux Live OS(Ubuntu oä.) => gibt es da eine Schritt für Schritt Anleitung für komplette Anfänger? Ansonsten google ich mal danach...

-----

So, nun meldet Antivir ständig diesen Virus - egal ich lösche oder verweigere --- es kommt immer wieder die meldung (siehe Anhang). Hat das was mit dem anderen Problem zu tun?

Muss ich schon sagen, klasse Tag heute.

Viele Grüße
aero

 

[Antimon]

Säubern eines gefährdeten Systems

Sie haben also die Patches nicht installiert, und nun wurde Ihr System zum Opfer eines Hackerangriffs. Was können Sie tun? Mal sehen:
•

Sie können ein gefährdetes System nicht säubern, indem Sie Patches installieren. Mit einem Patch wird lediglich die jeweilige Sicherheitslücke geschlossen. Wenn ein Angreifer einmal in Ihr System eindringen konnte, hat er sich in diesem Zuge sicherlich schon eine Reihe anderer Wege eröffnet, um sich erneut Zugriff zu verschaffen.
•

Sie können ein gefährdetes System auch nicht säubern, indem Sie die Hintertüren (die so genannten Backdoors) schließen. Die Tatsache, dass Sie keine Hintertüren mehr finden, bedeutet ggf. nur, dass Sie nicht wissen, wo Sie noch suchen müssen oder dass das System bereits so infiltriert ist, dass das, was Sie sehen, gar nicht mehr dem entspricht, was tatsächlich vorgeht.
•

Sie können ein gefährdetes System auch nicht säubern, indem Sie irgendeinen "Schwachstellenentferner" nutzen. Einmal angenommen, Ihr System wurde von Blaster befallen. Zahlreichen Anbieter (u. a. auch Microsoft) haben Tools veröffentlicht, um Blaster abzuwehren. Aber können Sie einem von Blaster befallenen System wirklich wieder vertrauen, nachdem das Tool ausgeführt wurde? Ich täte das nicht. Wenn das System von Blaster befallen wurde, war es auch anfällig für eine Reihe anderer Angriffe. Können Sie garantieren, dass keiner dieser Angriffe erfolgt ist? Wahrscheinlich nicht.
•

Sie können ein gefährdetes System auch nicht säubern, indem Sie einen Virenscanner verwenden. Um die Wahrheit zu sagen, einem vollständig kompromittierten System ist einfach nicht mehr zu trauen. Auch Virenscanner müssen sich an irgendeinem Punkt darauf verlassen können, dass die Rückmeldungen des Systems der Realität entsprechen. Und auf die Frage, ob eine bestimmte Datei vorhanden ist, antwortet der Angreifer ggf. einfach mit einem Tool, das falsche Tatsachen vorspiegelt. Nur wenn Sie garantieren können, dass das System lediglich von einem bestimmten Virus oder Wurm befallen wurde, nur wenn Sie wissen, dass dieses Virus keine Hintertüren installiert hat, und nur wenn die von dem Virus verwendete Schwachstelle nicht von Remotestandorten aus genutzt werden kann, kann das System mit einem Virenscanner gesäubert werden. Beispielsweise wird ein Großteil der E-Mail-Würmer erst aktiviert, wenn der Benutzer den infizierten Anhang öffnet. In diesem speziellen Fall ist es möglich, dass die Infektion des Systems ausschließlich von dem Anhang verursacht wurde, der den Wurm enthielt. Wenn die von dem Wurm verwendete Schwachstelle allerdings ohne Zutun des Benutzers von einem Remotestandort aus genutzt werden konnte, können Sie nicht garantieren, dass diese nur von diesem speziellen Wurm genutzt wurde. In diesem Fall ist es durchaus möglich, dass die gleiche Schwachstellen bereits von jemand anderem genutzt wurden. Und dies bedeutet, dass es mit dem einfachen Patchen des Systems nicht getan ist.
•

Sie können ein befallenes System auch nicht säubern, indem Sie das Betriebssystem über die vorhandene Installation neu installieren. Denn auch für diesen Fall verfügt der Angreifer höchstwahrscheinlich über Tools, die dem Installationsprogramm unzutreffende Informationen übermitteln. Und wenn dies passiert, kann das Installationsprogramm die befallenen Dateien möglicherweise gar nicht entfernen. Darüber hinaus kann der Angreifer auch Komponenten des Systems mit Hintertüren versehen haben, die nicht zum Betriebssystem gehören.
•

Sie können keinerlei Daten vertrauen, die von einem kompromittierten System kopiert wurden. Nachdem ein Angreifer seinen Weg in das System gefunden hat, können alle hierauf befindlichen Daten geändert worden sein. Im besten Fall erhalten Sie mit dem Kopieren von Daten von einem befallenen System auf ein sauberes System potenziell unzuverlässige Daten. Und im schlimmsten Fall haben Sie eine Hintertür kopiert, die sich in den Daten verborgen hat.
•

Sie können auf einem befallenen System auch kein Vertrauen in die Ereignisprotokolle setzen. Denn nachdem sich der Angreifer Vollzugriff auf ein System verschafft hat, ist es für ihn ein Leichtes, Ereignisprotokolle auf diesem System zu manipulieren, um seine Spuren zu verwischen. Wenn Sie sich auf die Ereignisprotokolle als Informationsquelle für die Vorgänge verlassen, die auf Ihrem System ablaufen, lesen Sie ggf. nur das, was der Angreifer Sie lesen lassen möchte.
•

Sie können noch nicht einmal der neuesten Datensicherung vertrauen. Woher wollen Sie denn wissen, wann der eigentliche Angriff stattgefunden hat? Auf die Stimmigkeit der Ereignisprotokolle können Sie jedenfalls nicht setzen. Und ohne dieses Wissen ist auch die letzte Datensicherung nichts wert. Möglicherweise stammen die Hintertüren, die sich aktuell auf dem System befinden, sogar aus einer Datensicherung.
•

Die einzige Möglichkeit zum Säubern eines befallenen Systems besteht darin, es vollkommen neu aufzubauen. So viel ist gewiss. Wenn Ihr System vollständig kompromittiert wurde, gibt es nur noch einen Weg: Systemfestplatte formatieren und System neu aufsetzen (d. h. Windows und sämtliche Anwendungen neu installieren). Alternativ könnten Sie natürlich auch an einer Neuauflage Ihrer Bewerbungsunterlagen arbeiten, aber so weit wollen wir es erst gar nicht kommen lassen, nicht wahr?

Diese Liste hat Sie sicher überzeugt, dass Patches gar nicht so schlecht sind, oder? Möglicherweise finden Sie Patches grässlich, aber die Alternative hierzu ist entschieden schlimmer.

Das Thema des nächsten Artikels wird noch diskutiert. Wenn Sie irgendwelche Vorschläge, Kommentare oder Anmerkungen haben, können Sie wie immer auf den nachstehende Link "Kontakt" klicken und mit mir in Verbindung treten.

Quelle

Daten sichern, System neu aufsetzen, Virenscanner installieren erst dann die externe Platte ran hängen und als erstes die externe Festplatte mit´m Virenscanner prüfen.

 

[frogger9]

für Ubuntu gibt es ein Wiki. Die Live CD ist genauso einfach zu handhaben wie Windows. Du hast einen Desktop und dort werden dir deine Laufwerke angezeigt.

http://wiki.ubuntuusers.de/

Wenn du nicht mit Linux zurecht kommst, kannst du dir auch eine Window PE Version erstellen.

http://www.wintotal.de/Artikel/pebuilder/pebuilder.php

 

[aero]

Hey,

danke für eure Antworten. Lese nacher in Ruhe - bin momentan nur auf dem Sprung.
Eventuell erklärt aber auch das hier ein wenig:

Sicherheitsleck. Bundesamt warnt vor Benutzung von Internet Explorer: http://www.spiegel.de/netzwelt/web/0,1518,596687,00.html (Das sollte auch bei Computerbase einen NEWS-Eintrag wert sein)

Viele Grüße
aero

 

[frogger9]

vllt. solltest du einen alternativen Browser mal verwenden, Mozilla Firefox oder Opera.

Bei allen Browsern gilt immer, aktuelle Version mit aktuellen Sicherheitspatches verwenden.

 

[aero]

Ich nutze NUR den Firefox - siehe meinen ersten Beitrag.

Lest euch bitte den SPIEGEL-ONLINE link durch. Das ist das Problem.