[TheDragon007]

Hallo Leute, ich komme mit einem großen Problem zu euch. Als erstes möchte ich euch meinen PC vorstellen: Vista 64 bit home premium. 4gb Ram. GTX 285 grafikkarte Intel i 920. (Nett, was? ) Vor einigen Tagen habe ich entdeckt, dass sich auf meinem schönen PC ein Virus namens Brontok sich eingenistet hat. Ich war ganz erschrocken. Die Folgen waren folgendes: Alle 15min öffnete sich eine Website wo drauf stand, dass ich keine Drogen nehmen soll und ich solle ja prostitution stoppen. Mal abgesehen davon, dass ich noch nie eine Zigarette oder sonstigen Drogenmist in den Mund genommen habe, fragte ich mich was das sollte. Nun ist ja auch egal. Dank AntiVir konnte der Virus erfolgreich besiegt werden. Da ich noch nicht zufrieden war formatierte ich den PC.(Vonvorne beginnen/alles löschen) Ich machte den Tab manager an un siehe da: Ich sah Prozesse bei denen nichts stand, keine Informationen und soweiter. Die Prozesse heißen "csrss.exe"und "Winlogon.exe" Wenn ich versuche den Task manager durch Adminasatrator Rechte zu öffnen und dann csrss.exe abzuschalten erhalte ich den allseits beliebten Blue screen of death.
Fazit: Viren oder muss das so sein?
Meine Frage ist jetzt: An alle vista user, steht bei eurem Task manger das gleiche also auch csrss.exe oder winlogon.exe bitte schaut nach. (Ich habe das Gefühl mein PC ist nicht ganz so schnell wie er hätte sein müssen und er müsste nämlich sehr schnell sein.

MFG TheDragon

[gosha16]

Die Dateinamen bei google eingeben ist wohl zu schwer für dich?
Das sind Systemprozesse. Ganz klar das dein System abschmiert wenn du die killst.

[TheDragon007]

Zitat:

Zitat von gosha16

Die Dateinamen bei google eingeben ist wohl zu schwer für dich?
Das sind Systemprozesse. Ganz klar das dein System abschmiert wenn du die killst.

Tut mir leid dich zu enttäuschen, das habe ich bereits über 2 Stunden gemacht, da aber soviele Fehlermeldungen gepostet haben konnt ich mich nicht darauf einigen ob es wirklich ein System Prozess ist. Danke für deine Antwort trotzdem. Aber die Frage geht weiter: Habt ihr die Prozesse auch in eurem Task manager? (NUR VISTA NATÜRLICH)

[matty3d]

Nein Du hast vollkommen recht, mit deiner Sorge csrss.exe kann ein Trojaner sein (W32.AGOBOT.GH Worm/Ahlem.A Worm) der es erlaubt, von außen auf denen PC zuzugreifen.
Es laufen mehrere Instanzen von diesem Prozess von denen einige nicht sauber sein könnten. Ich würde Dir raten mit einem vernünftigen Virenscanner dein System zu scannen.
Da dieser Prozess auch zum Betriebssystem gehört, schau mal nach ob Du unter den erweiterten Eigenschaften dieser Datei das Erstellungsdatum einsehen kannst, sollte es neuer sein als dein System, könnte es sich um einen Trojaner handeln.

[gosha16]

matty3d, wenn es ein Trojaner wäre, würde das beschriebene Verhalten nicht auftreten...

[matty3d]

Entschuldige will ja nicht naseweis klingen:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Es kann durchaus sein das diese Datei verseucht ist, muss aber nicht sein, um das herauszufinden, habe ich ja auch geschrieben:

"Da dieser Prozess auch zum Betriebssystem gehört, schau mal nach ob Du unter den erweiterten Eigenschaften dieser Datei das Erstellungsdatum einsehen kannst, sollte es neuer sein als dein System, könnte es sich um einen Trojaner handeln."

[TheDragon007]

Zitat:

Zitat von matty3d

Entschuldige will ja nicht naseweis klingen:

"http://www.liutilities.com/products/wintaskspro/processlibrary/csrss/"

"http://www.neuber.com/taskmanager/process/csrss.exe.html"

"http://process.networktechs.com/csrss.exe.php"

Es kann durchaus sein das diese Datei verseucht ist, muss aber nicht sein, um das herauszufinden, habe ich ja auch geschrieben:

"Da dieser Prozess auch zum Betriebssystem gehört, schau mal nach ob Du unter den erweiterten Eigenschaften dieser Datei das Erstellungsdatum einsehen kannst, sollte es neuer sein als dein System, könnte es sich um einen Trojaner handeln."

Gescannt habe ich mein System, es zeigt keine Funde sondern nur eine 1 Warnung. Ich kann nicht sehen wann die Datei erstellt worden ist. Immer wenn ich auf Dateipfad klicke erscheint nichts..... (Schlechtes Zeichen) Die Frage steht übrigens ob bei euch auch die oben gennanten Prozesse laufen.
EDIT: Winlogon wurde 2006 erstellt csrss auch.

[gosha16]

Zitat:

Zitat von matty3d

Entschuldige will ja nicht naseweis klingen:

"http://www.liutilities.com/products/wintaskspro/processlibrary/csrss/"

"http://www.neuber.com/taskmanager/process/csrss.exe.html"

"http://process.networktechs.com/csrss.exe.php"

Es kann durchaus sein das diese Datei verseucht ist, muss aber nicht sein, um das herauszufinden, habe ich ja auch geschrieben:

"Da dieser Prozess auch zum Betriebssystem gehört, schau mal nach ob Du unter den erweiterten Eigenschaften dieser Datei das Erstellungsdatum einsehen kannst, sollte es neuer sein als dein System, könnte es sich um einen Trojaner handeln."

Himmel... er hat diesen Prozess EINMAL... Wenn er ihn killt stürzt das System ab. Ganz klar wenn er den WM und den Threadhandler killt...
Zu deinem Tip: Was wenn das ding zwischendurch mal geupdatet wurde?

[ThePinsel]

Wenn ich dich richtig verstanden hab, hast du Vista neu installiert? Warum sollte dann die csrss.exe immer noch einen Trojaner darstellen? Direkt von der Microsoft-DVD?

Zitat:

Das Client/Server Runtime Subsystem, kurz csrss.exe, verwaltet und steuert die Fenster von Anwendungen sowie das Anlegen und Beenden von Threads einer laufenden Anwendung.

Das macht diese Datei. Wie du schon zweifelsfrei bemerkt hast, schmiert dein System ab, wenn der Prozess gekillt wird. Um den Dateipfad der csrss.exe zu sehen, musst du den Taskmanager als Admin ausführen, dann klappt das auch. Die Datei sollte unter C:\Windows\System32 liegen. (Auch beim 64-Bit-System...hab das grad bei Win 7 64-Bit nochmal gecheckt.)

[L™ Ryuuzaki]

Zitat:

Zitat von cobhc939

Wenn ich dich richtig verstanden hab, hast du Vista neu installiert? Warum sollte dann die csrss.exe immer noch einen Trojaner darstellen? Direkt von der Microsoft-DVD?



Das macht diese Datei. Wie du schon zweifelsfrei bemerkt hast, schmiert dein System ab, wenn der Prozess gekillt wird. Um den Dateipfad der csrss.exe zu sehen, musst du den Taskmanager als Admin ausführen, dann klappt das auch. Die Datei sollte unter C:\Windows\System32 liegen. (Auch beim 64-Bit-System...hab das grad bei Win 7 64-Bit nochmal gecheckt.)

wenn ich bei den eigenschaften von dieser datei auf sicherheit klicke steht trustedInstaller bei gruppen- oder benutzernamen. ist das normal?

[ThePinsel]

Zitat:

Zitat von L™ Ryuuzaki

wenn ich bei den eigenschaften von dieser datei auf sicherheit klicke steht trustedInstaller bei gruppen- oder benutzernamen. ist das normal?

Um es kurz zu halten: Ja. Das ist eine Systemgruppe für Installationsprozesse, die von Microsoft als vertrauenswürdig eingestuft wurden. Zum Beispiel ihre eigenen Updates

[L™ Ryuuzaki]

Zitat:

Zitat von cobhc939

Um es kurz zu halten: Ja. Das ist eine Systemgruppe für Installationsprozesse, die von Microsoft als vertrauenswürdig eingestuft wurden. Zum Beispiel ihre eigenen Updates

ah, dann bin ich beruhigt danke