csrss.exe Virus

[ulki99]

Ich hab heute den Pc angemacht und Avira hat mir gleich 20 Virenmeldungen gegeben, die sich alle auf die Datei C:\WINDOWS\Config\csrss.exe beziehen. Die Datei sollte sich eigentlich in system32 befinden (wo auch ein csrss.exe ist),lässt sich aber nicht entfernen, da sie schreibgeschützt ist, da sie die ganze Zeit läuft. Wenn man versucht sie mit Taskmanager zu schließen, kommt "Der Task-Manager konnte diesen kritischen Systemprozess nicht beenden."
Weiß jemand Rat??

 

[schrubby67]

Hallo lese mal da

http://www.file.net/prozess/csrss.exe.htmlhttp://www.neuber.com/taskmanager/deutsch/prozess/csrss.exe.html

 

[ulki99]

da steht aber nicht wie man die datei entfernt

 

[schrubby67]

Schonmal versucht den Narichtendienst zu beenden ?

mache das mal

HijackThis Logfileauswertung

oben rechts auf direktdownload

und da mal
http://www.neuber.com/taskmanager/deutsch/prozess/csrss.exe.html

 

[Sarge_70]

@ulki99:


öffne den Registrierungs-Editor : "Ausführen", dann "regedit" eintippen, öffnen und klicke dann auf : "Bearbeiten", dann auf "Suchen", und gib dann mal : C:\WINDOWS\Config\csrss.exe ein. Wenn ein Eintrag gefunden wird, dann lösch ihn und starte deinen PC neu.



Mfg

 

[ghostadmin]

Ja wieso der Task-Manager den Prozess nicht beenden konnte... oder du die Datei nicht löschen.... Vielleicht weil dieser zu Windows gehört?

 

[Sarge_70]

Rischtigg, hätte ich noch hinzufügen können....

 

[ulki99]

@e-freak: danke hat geholfen, aber jetzt fragt er mich beim starten immer nach der datei
@ghostadmin: die Datei gehört eben nicht zu windows sondern ist ein virus der sich als windows datei tarnt

 

[Sarge_70]

Schau mal, ob die csrss.exe im Taskmanager unter "Prozesse" aufgeführt wird.

Was fragt Windows da genau, hast du einen Screenshot davon ?

Du hast mit dem Löschen des Registry-Wertes einen Eintrag des Virus gelöscht, ein Überbleibsel also.

Was meldet denn Antivir jetzt ?

PS: Ghost hat da schon Recht, die crss.exe ist eine wichtige Windows-Datei, du hast aber anscheinend einen Virus erwischt, der sich wie du schon sagst, als csrss.exe tarnt.

Hast du eventuell auch eine Hijackthis Logfile-Auswertung von deinem System ?

Systemdateien lassen sich durch den Befehl SFC/Scannow wieder herstellen(Windows Datenträger benötigt), eine Kopie der Systemdatei csrss.exe befindet sich auch im Ordner %WinDir%\System32\dllcache.

Du hast aber lediglich den Registry-Schlüssel für C:\WINDOWS\Config\csrss.exe (einen Virus) gelöscht, denn da gehört die csrss.exe nicht hin.

Gestartet wird die csrss.exe über diesen Schlüssel :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems

Die eigentliche csrss.exe müsste sich imo also immer noch unter > Prozesse im Taskmanager befinden.

 

[ulki99]

okay hat sich erledigt, hab in der registry noch einen shell-eintrag der datei gefunden und gelöscht.
nun ist alles ok danke an alle

 

[Sarge_70]

Na Super, freut mich.


Mfg

 

[moe]

hey,
ich hab das problem auch. hab auch schon so ziemlich alles ausprobiert.

aber eine sache ist ziemlich seltsam: hijack this zeigt mir an, dass die csrss.exe in dem ordner "C:\Programme\Windows Install" ist. diesen ordner gibt es aber gar nicht!! (es ist kein versteckter ordner).

die csrss.exe im system32 ordner scheint in ordnung zu sein. anti vir meldet nix und sie ist auch nur 6kb groß, also so groß wie die "gesunde" datei.

wie krieg ich den virus jetzt wieder los?

 

[Jever_Pilsener]

Mit einem Live-Linux (vom Stick oder CD starten) kann man, wenn es auf Windows-Partitionen schreiben kann, beliebige Dateien löschen.

 

[moe]

aber eine sache ist ziemlich seltsam: hijack this zeigt mir an, dass die csrss.exe in dem ordner "C:\Programme\Windows Install" ist. diesen ordner gibt es aber gar nicht!! (es ist kein versteckter ordner).

naja, wie gesagt, der ordner bzw. die datei in dem angeblichen ordner existiert nicht! also kann ich sie auch nicht löschen!


€: ich hab grade probiert, die werte aus der registrierung zu löschen, die die schädliche, nicht existierende datei aufrufen, aber die sind immer wieder da, wenn ich die reg erneut durchsuche. wie kann das denn sein?

zu allem übel sind das auch noch werte in anderen schlüsseln, z.b. dem schlüssel für nero oder die t-online software. ich kann ja jetzt schlecht den ganzen schlüssel löschen, dann mach ich doch mit sicherheit was kaputt, oder?


€²: problem gelöst. ich hatte bei ordneroptionen die option "geschützte systemordner zeigen" nicht aktiviert und konnte den ordner deswegen nicht sehen. ich hab die datei einfach gelöscht und jetzt scheints zu funktionieren.