Hallo, seit einer Woche krieg ich diesen "crsss.exe" *lol* nicht mehr weg - was kann ich bloß tun?

hier mein logfile: (hab prozess "crsss.exe" im taskmanager gerade beendet, kommt aber immer wieder)

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0E35F84-8AB0-4B5D-93D9-FF4B83650E4A}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Bitte editiere deinen Post noch ein mal um das Komplette log sehen zu können. Da so Version und OS angegeben ist....Danke

Hi genau das selbe problem hab ich auch mit der firewall lässt sich dies nur aufhalten leider aber nicht behebn auch mit verschiedenen virenscans bekomme ich es nicht weg! auch in meiner dfü einstellung sieht man dann nur noch tosw-international.
naja cu

jessinessi hat geschrieben:Hi genau das selbe problem hab ich auch mit der firewall lässt sich dies nur aufhalten leider aber nicht behebn auch mit verschiedenen virenscans bekomme ich es nicht weg! auch in meiner dfü einstellung sieht man dann nur noch tosw-international.
naja cu

Wenn auch Du dieses Problem hast, solltest Du dir HijackThis runterladen:
HJT
und poste das Log hier. Sonst können wir Dir nicht helfen.

Gibt es auch eine i-net seite für das proggy mein i-net macht es irgendwie nich mit das downzuloaden Internetverbindung hat fehler zeigt er mir an

jessinessi hat geschrieben:Gibt es auch eine i-net seite für das proggy mein i-net macht es irgendwie nich mit das downzuloaden Internetverbindung hat fehler zeigt er mir an

Hier:
Nikita's Tools

jessinessi hat geschrieben:Logfile of HijackThis v1.99.0
Scan saved at 14:42:00, on 30.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
.....

Oke. Werd mich Heute Abend noch mal melden....

okay thx

jessinessi hat geschrieben:okay thx

Du hast W32/RBot-SZ eingefangen.
Sophos
Werde hier Schritt für Schritt erklären was de machen musst:

• Lade Adaware, und e-scan herunter
• Lade ausserdem die KillBox runter
• Gehe in den Abgesicherten Mode
• Deaktiviere die Systemwiederherstellung Systemwiederherstellung
• gehe in die Registry --> [Start] --> [Ausführen] --> Regedit
  dann suche und lösche :
  
  HKEY_LOCAL_MACHINE>Software>Microsoft>OLE
  löschen:
  [Windows media service] crsss.exe
  
  HKEY_LOCAL_USER>Software>Microsoft>OLE
  löschen:
  [Windows media service] crsss.exe
  
  
• Öffne HijackThis --> Button 'Scan' --> Häckchen setzen (s.u.) -->
  Button 'Fix checked'

Code: Alles auswählen

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.popupsearches.com/sidesearch.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.popupsearches.com/sidesearch.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: C:\WINDOWS\LBBHO.DLL - {E4579F20-448F-11D9-95F6-0050BFA67719} - C:\WINDOWS\LBBHO.DLL (file missing)
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\SYSTEM\WINB2S32.DLL (file missing)
O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\SYSTEM\DSKTRF.DLL (file missing)

O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\SYSTEM\RSYNCMON.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL

O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\SYSTEM\WINB2S32.DLL (file missing)

O4 - HKLM\..\Run: [j2FTB1fkc] C:\LXEYOJA.EXE

O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\Run: [¢‰¸ï04Ã4}¤Áœ5]C:\Programme\ISTsvc\istsvc.exe] C:\LXEYOJA.EXE

O4 - HKLM\..\Run: [Windows ControlAd] C:\PROGRAM FILES\WINDOWS CONTROLAD\WINCTLAD.EXE

O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRAMME\YAHOO!\MESSENGER\ypager.exe -quiet

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (HKCU)


Bei diesen Einträgen musst Du gucken ob Sie dir bekannt vorkommen:

Code: Alles auswählen

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c9.cab

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab

O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/InstallationsAssistent.ocx
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.addictivetechnologies.net/DM0/cab/rdaerafrrl.cab


Neustart

• Datenträgerbereinigung:
  --> [Start] --> [Ausführen] --> cleanmgr
  
  lösche nur die Temporären Internet Dateien &
  die Temporären Datein.
• Extrahiere Mwav mit Hilfe von winzip oder winrar in das Verzeichnis:
  C:\bases WICHTiG!
  -->führe dort dann die Datei kavupd.exe aus (oder unter
  [Start] --> [Ausfuehren] --> %temp% die kavupd.exe suchen)
  
• Beim Start von e-scan sollten folgende Optionen aktiviert sein:
  
• Starte die KillBox
  --> view log --> suche nach infected
  --> gefundene Datei markieren, kopieren, und unter Full path
  of File to delete einfügen
  --> danach den roten Kreis mit dem weißen 'X' klicken
  --> wenn gefragt wird, ob "Do you want to reboot? "----> klicke
  
  auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
  
• Suche in der Registry nach den bei KillBox angegebenen Dateien
  und lösche diese manuel
  
  Neustart
  
• Aktiviere Systemwiederherstellung und poste noch mal einen HJT Log

Hallo@Yourhighness

das ist das Problem, wenn die Leute doppelt posten--> wir haben die doppelte Arbeit (bin echt erbost

http://www.informationsarchiv.net/foren ... nessi.html

nun fuer dich:

die 016-Eintraege kann man so nicht mit der Killbox loeschen....., das findet man in den
O16 -Auflistung verdeachtiger <ActiveX-Controls< im Ordner 'Downloaded Program Files'

C:\WINDOWS\Downloaded Program Files\......

und in:

C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MJ0S20XX
explorer25[1].cab

die Leute surfen also mit dem IE und haben ActiveX-Controls aktiviert.
Da reicht es dann, dass man auf eine vorpraeparierte Seite geht und schon hat man einen Virus.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)

#C:\Windows\Downloaded Programm Files\ -->löschen

ActiveX-Controls
Schalter Einstellungen
Klicke auf den Button Objekte anzeigen. Eine Liste aller lokalen
ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein
vertrauenswürdiges Programm handelt, reicht es in der Regel aus,
den Urheber der Komponente ausfindig zu machen.
5. Markiere dazu einen Eintrag mit der rechten Maustaste, und
wähle <Eigenschaften< aus dem Kontextmenü.
http://www.microsoft.com/germany/ms/win ... ctivex.htm

ActiveX loeschen:
http://www.microsoft.com/germany/ms/win ... ctivex.htm
ActiveX ist eine Technologie, die von Microsoft als
Konkurrenz zu Java entwickelt und inzwischen in fast alle seine
Programme integriert worden ist. ActiveX soll dafür sorgen, dass
bestimmte Windows-Eigenschaften von Webseiten genutzt werden
können. Dies geschieht über so genannte Controls, die auf den
Computer geladen werden und dort ausgeführt werden. Dabei
werden sie als Bestandteil von Windows gehandhabt und
unterliegen keinen weiteren Beschränkungen. Darin liegt aber die
große Gefahr, die von ActiveX ausgeht, denn es ist auf
diese Weise ein Leichtes, private oder sicherheitsrelevante Daten
auszulesen, zu löschen, zu manipulieren, den Rechner
umzukonfigurieren oder einen Virus oder ein Trojanisches Pferd zu
installieren.

-->Tipp: Wenn Sie wirklich auf Nummer Sicher gehen wollen, sollten
Sie ActiveX im Microsoft Internet Explorer deaktivieren oder einen
anderen Browser verwenden.
Alternative Browser wie Mozilla oder Firefox bieten den gleichen
Surfkomfort - ohne ActiveX
http://www.mozilla-europe.org/de/

nikita hat geschrieben:Hallo@Yourhighness

das ist das Problem, wenn die Leute doppelt posten--> wir haben die doppelte Arbeit (bin echt erbost

http://www.informationsarchiv.net/foren ... nessi.html

nun fuer dich:

die 016-Eintraege kann man so nicht mit der Killbox loeschen....., das findet man in den
O16 -Auflistung verdeachtiger <ActiveX-Controls< im Ordner 'Downloaded Program Files'

Danke. Hab mehr als 2 Stunden für meine Antwort gebraucht .

-Edit- Muss blind gewesen sein. Hab extra versucht per Forum Suche nach ähnlichen zusuchen! Es sei denn, der andere Post wurde während der u.g. 2 Stunden produziert .

Das mit den O16 Einträgen ist mir von der Formatierung misglückt. Eigentlich sollte jessini nur sehen welche davon absichtlich installiert sind, da ich das so ja nicht beurteielen kann.
DANKE aber für deine Info. Hab schon seit Ewigkeiten versucht gute Infos über z.B. O16 Beiträge zu finden.
Gespeichert und ausgedruckt
LG,

Hallo@Yourhighness

Schau mal hier:

es geht ein wenig durcheinander, aber ich kann damit arbeiten:

http://www.informationsarchiv.net/foren ... -7257.html

Hey Leute habe nun meine Festplatte formatiert und Xp draufgepackt tut mir leid wegen doppelposting! aber nochmals danke für eure hILFE