csrss lastet System voll aus

  • Bitte um Hilfe!!!
    Ich hatte vor einigen Wochen über eine Website einen Virus (davon gehe ich zumindest aus), der mir meinen Desktop Hintergrund umgewandelt hat in irgendeinen Text ("Computer is infected..." oder so ähnlich).
    Das habe ich recht schnell wieder losbekommen, aber seither ist mein System ohne offene Programme zwischen 60% und 100% ausgelastet. Das scheint am Prozess csrss zu liegen.
    Ich habe schon alle Tipps, die ich gefunden habe, ausprobiert (inkl. SmitfraudFix, Fixwareout, AVG, Regcleaner etc.), nix hilft.


    Ich wäre sehr dankbar für Hilfe!!!
    Hier mein HijackThis File:


    Logfile of HijackThis v1.99.1
    Scan saved at 14:13:30, on 10.02.2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  • Hallo,


    #Bitte folgende Dateien hier Hochladen:
    http://www.emsisoft.de/de/support/submit/
    Als Beschreibung:

    Zitat

    Es handelt sich hierbei um vermutlich neue/unbekannte Malware mit dem Namen aus http://www.paules-pc-forum.de


    Diese Dateien:

    Zitat

    C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
    C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\polymorph.dll
    C:\WINDOWS\System32\rpcc.dll
    C:\WINDOWS\System32\scsiusr4.dll


    #Lade dir AVG Anti-Spyware unbeding Update,noch nicht scannen.


    #Lade dir SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter, den Anweisungen auf dem Bildschirm folgen.


    #PC neustarten
    #Mache a-squared Web Malware Scanner Online Scan (Am besten mit Internet Explorer!)


    #PC neustarten--> abgesicherter Modus
    Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
    O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file)
    O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
    O20 - Winlogon Notify: polymorphreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\polymorph.dll (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
    O20 - Winlogon Notify: scsiusr4 - scsiusr4.dll (file missing)
    O21 - SSODL: CDRecorder029 - {A3BC5E20-0235-1ABF-9CE1-00AA00512029} - (no file)


    Gehe auf Start/Ausführen oder Microsoft Taste + r,folgende code eingeben & bestätigen mit OK (Einfach kopieren & einfügen)


    Code
    regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\polymorph.dll"

    OK


    Auch

    Code
    regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll"

    OK


    Auch

    Code
    regsvr32 /u C:\WINDOWS\System32\rpcc.dll

    OK


    Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> Extras/Ordneroptionen ->
    Ansicht -> Alle Dateien und Ordner anzeigen
    aktivieren -> "OK"

    Loesche:
    C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
    C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\polymorph.dll
    C:\WINDOWS\System32\rpcc.dll
    C:\WINDOWS\System32\scsiusr4.dll


    #PC neustarten--> abgesicherter Modus
    #Starte AVG Anti-Spyware, mach Kompletter System-Scan mit,wenn Scan fertig ist klicke unten auf Löschen,dann auf Alle Aktionen übernehmen,die Funde zu loeschen


    #Inhalt folgende ordner loeschen:
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
    C:\WINDOWS\temp---> Inhalt löschen
    C:\WINDOWS\Prefetch---> Inhalt löschen


    #PC neustarten
    #Lade dir Registry Search hier http://www.bleepingcomputer.com/files/regsearch.php auf dem Desktop speichern & entpacken,doppelklick auf RegSearch.exe
    *Oben klicke auf search strings eingeben oder reinkopieren artm_new.dll dann klicke auf OK,am Ende Scan Report speichern & hier posten
    *Oben klicke auf search strings eingeben oder reinkopieren polymorph.dll dann klicke auf OK,am Ende Scan Report speichern & hier posten


    #Alle wichtigten Passwärter ändern!


    PC neustarten!
    #Neuer HijackThis log & Registry Search Ergebnis posten


    Gruss
    Mopao

  • Hi Mopao,


    vielen vielen Dank für die Hilfe, mein csrss Problem ist gelöst :)


    Eine kurze Frage habe ich noch:
    C:\WINDOWS\System32\rpcc.dll kann nicht gelöscht werden, da es "von einem anderen Programm genutzt wird" (auch im abgesicherten Modus).


    Was kann ich da tun?


    lg


  • Das dürfte auf TR/Proxy.Dlena.AT beruhen, du solltest so vorgehen wie beschrieben und alle angeführten Reporte posten!

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!