ich habe festgestellt, dass ich alle paar tage, wenn ich meinen Upload Öffner (der ist im LAN freigegeben, aber zur Zeit hängt niemand an meinem LAN) 3 Dateien sind....Setup.exe und Uninstall.exe so wie eine inf-datei, die Setup.exe starten soll.

Mein Virenscanner schlug immer Alarm, wenn ich den Upload geöffnet habe. Jetzt war der Kram schon wieder drin....aber Antivir hat diesmal nichts gemeldet.

Alle Festplatten sind mit meinem Virenscanner darafuhin durchscannt worden und auch mit Spybot wurde nichts gefunden.

Jetzt habe ich nochmals (habe ich schon gleich beim ersten Auftreten des Problems gemacht) bei Microsoft nach updates gesucht....jetzt ist eins da für den Iexplorer, obwohl ich eh ausschliesslich Firefox nutze habe ich es gerade runtergeladen und installiert.....war es das nun, oder meint ihr, ich habe immernoch ein Sicherheitsloch ?

Ich habe keine Idee, wie die Dateien in meinen Upload gelangen konnten.....ich lasse den PC halt über nacht online und daher muss der Zugriff erfolgt sein....aber wie ?

Also wenn ich das Setup starte (weil Antivir nichts gemeckert hat, hab ich das mal getestet), dann startet sich der Prozess "csmss.exe" und kopiert sich in das system32 verzeichnis, sowie in den autostart...dort bekommt die csmss.exe verschiedene namen....WindowsInstaller oder Mediplayer oder der gleichen.
(habe natürlich die csmss.exe entfernt und auch die autostarteinträge).

mmm...

Wenn du dich mit dem Namen nicht vertippt hast, ist es was neues. Dann solltest du das Teil mal an Antivir schicken, nachdem du deinen Scanner upgedatet hast und es immernoch nicht die Datei erkennt. Ansonsten würde ich einen kompletten Portscan von deiner Kiste empfehlen, um herauszufinden, welche Ports offen sind ... in der Ereignisanzeige solltest du einige Schritte nachvollziehen können, zumindest, ob sich jemand angemeldet hat usw. ...

Habe gerade mal nach csmss.exe gegoogelt, normalerweise findet man da ja eine Beschreibung...
Najo, es ist allerdings nur das (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_RICCAIRA.A) bei rausgekommen.
Das ist ne Anleitung, um diesen Trojaner (backdoor?), der sich in csmss.exe versteckt, zu entfernen...

Original geschrieben von t-master
Habe gerade mal nach csmss.exe gegoogelt, normalerweise findet man da ja eine Beschreibung...
Najo, es ist allerdings nur das (http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_RICCAIRA.A) bei rausgekommen.
Das ist ne Anleitung, um diesen Trojaner (backdoor?), der sich in csmss.exe versteckt, zu entfernen...
Jo, das ist echt auch schon alles, was ich dazu gefunden habe.
Er ist ja schon wieder bei mir runter (in den HOTS Dateien stehen die Einträge gar nicht drinne), aber der scheint also recht neu zu sein.

Ich habe ja das eine Windwosupdate jetzt gemacht (gab's vor einigen Tagen aber noch nicht und ist nur für den ollen IExplorer).

Ich werde dann einfach mal warten, bis ich die Dateien wieder im Upload habe und dann nochmal gucken, was Antivir dazu sagt....hat bisher immer so 2-3 Tage gedauert, bis ich die Dateien wieder im Upload hatte und bis dahin gibt's sicher schon wieder neue Antivir updates.

* Sry