csrss.exe - smss.exe

Hallo Leute,

ich habe mir an meinem MD 8800 mal die laufenden Prozesse etwas näher angesehen und dabei ist mir folgendes aufgefallen:

Die Prozesse csrss.exe und smss.exe werden zweimal ausgeführt. Da ich nun wissen wollte, um was es sich dabei handelt, habe ich "gegoogelt" und erfahren, dass csrss.exe eine Systemdatei ist und sich nur im Ordner Windows/System32 befinden darf. Falls sie woanders ist, kann es sich um einen Wurm handeln.

(Zitat: Die Datei "csrss.exe" befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei csrss.exe um einen Virus, Spyware, Trojaner oder Worm! Der Wurm "W32.NIMDA.E@mm" kopiert sich als csrss.exe in Form einer Variablen in die entsprechende Datei!)

Wenn ihr euch mal die Screenshots anschaut seht ihr, dass sich eine Datei im Windows/System32 befindet und die andere in Windows/System. Auch die Erklärungen zu beiden Dateien sind deutlich unterschiedlich und achtet mal auf die verschiedenen Icons der Dateien.

Weder Bitdefender, Ad-aware, Spywaredoctor noch das Symantec-Entfernungstool für NIMDA.E erkennen das als Wurm.

Mit dem Taskmanager kann ich keinen der beiden Prozesse unterbrechen. Wenn ich es hingegen mit dem Processmanager von Tune-up mache, wird der Prozess vom Ordner System gestoppt aber es passiert sonst nichts erkennbares. Beim Stoppen der Datei im Ordner System32 "knallt" der PC sofort runter, was nachvollziehbar ist, und fährt wieder hoch.

Braucht mein PC jetzt eine Wurmkur?

Henry

 

Ja. Mach mal.
SpyBot, AntiVir, AdAware, Blacklight,....Das volle Programm. Oder gleich Neuinstallation?

Das lass mal.
Den csrss.exe im System Ordner beenden, dann die .exe löschen.
Wo is die 2te smss.exe?

Bei den 50 Prozessen sind doch bestimmt 20 dabei, welche nicht gebraucht werden.

http://www.pcwelt.de/forum/sicherhe...bedingt-lesen-posten-von-hijackthis-logs.html

Aber Anleitung befolgen.

 

Ich hab die Datein jetzt mal von "Virustotal" scannen lassen. 5 von 29 haben csrss.exe im Ordner Windows/System als Virus eingestuft. Ebenso smss.exe im Ordner Windows Media Player\Skins\Data. Beide Dateien im Ordner System32 sind sauber.
Selbst im abgesicherten Modus lassen sie sich nicht löschen. Man kann sie zwar umbennen aber sie tragen sich sofort wieder mir ihrem ursprünglichen Namen ein.
Hijackthis stuft sie auch als schädlich ein.
http://www.hijackthis.de/logfiles/6586272979a51f16e5b0b7705ef57037.html

Ausser neu aufsetzen muß den Biestern doch irgendwie beizukommen sein.

Henry

 

Was passiert, wenn du die Dateien im Ordner System stoppst? Klick mal auf Start > Ausführen und gibt dort mal msconfig ein. Klick dann mal auf den Reiter den Reiter Systemstart und überprüf mal, ob du dort die beiden Dateien findest, die sich im Verzeichnis "System" befinden. Wenn ja, dann entferne mal den Haken vor diesen Einträgen.

Zur Sicherheit klickst du nochmal auf den Reiter Dienste und schaust hier ebenfalls, ob die beiden Dateien aus dem Verzeichnis "System" evtl. als Dienste starten.

Im übrigen ist deine Java-Version veraltet. Bitte deinstallieren und von http://www.pcwelt.de/index.cfm?pid=300&pk=21203&dl=1946&p=2 das Java Runtime Environment (JRE) 6 herunterladen und installieren.

Gruß
Nevok

 

Weder im Systemstart noch unter Dienste sind diese Dateien zu finden.
Beenden kann ich die beiden nur mit dem Processmanager von Tune-up. Der Windows-Taskmanager läßt das nicht zu. Wenn ich die "falschen" Prozesse stoppe, verschwinden sie aus der Tabelle aber es passiert nichts auffälliges.

Henry

 

HijackThis bietet die Möglichkeit, Dateien beim Neustart des Systems zu löschen. Starte dazu HijackThis, klick auf "Config...", dann auf "Misc-Tools" und dann auf "Delete a file on reboot". Wähle dann die Dateien im System-Verzeichnis.

Es lässt sich aber immer nur eine Datei löschen, d. h., du musst den Vorgang für die andere Datei wiederholen.

Überprüf nach Beendigung des 2. Vorgangs bitte mal, ob die Dateien neu erstellt werden.

 

Ich habe diese Dateien mit dem Processmanager von Tune-up gestoppt und dann gelöscht. Nach dem Neustart waren sie wieder da. Das gleiche leider auch mit deinem Vorschlag unter Hijackthis.
Irgendwo nisten sich die Kameraden in der Registry ein aber wo? Etwas deutliches habe ich dort nicht gefunden.

Henry

 

Vielleicht werden die Dateien auch durch die Systemwiederherstellung wiederhergestellt. Deaktiviere mal die Systemwiederherstellung und lösch die Dateien nochmal, wie beschrieben, über HijackThis.

 

Die Systemwiederherstellung hatte ich schon zu Beginn der ganzen Aktion deaktiviert. Irgendwo muß was versteckt sein, dass die Dateien beim Neustart wieder aufruft.

Henry

 

Ich würde das System mal mit Spybot Search & Destroy scannen, vielleicht findet das Programm noch was. Ansonsten würde ich mal die Registry nach den beiden Dateien durchsuchen und alle Einträge, die auf das System-Verzeichnis verweisen, entfernen. Vorher aber eine Sicherung der Registry anlegen.

Sollte das auch nicht helfen, dann schau dir mal die folgenden Links an:

http://www.bsi.bund.de/av/vb/netskyab.htm
http://www.bsi.de/av/vb/soberl.htm
http://www.bsi.de/av/vb/soberp.htm
http://www.bsi.de/av/vb/sobero.htm

Gruß
Nevok

 

Mal gemacht?

http://www.spybot.info/de/index.html
http://www.free-av.de/antivirus/allinoned.html
http://www.lavasoft.de/products/ad-aware_se_personal.php
http://www.f-secure.com/blacklight/
http://www.kaspersky.com/de/


Als Admin im abgesicherten Modus rein. Von deinem Online-geh-Benutzerkonto die Temp-Ordner leeren.
C:\Dokumente und Einstellungen\Henry0105\Cookies ->index.dat löschen
C:\Dokumente und Einstellungen\Henry0105\Lokale Einstellungen\Temporary Internet Files -> den Content.IE5-Ordner löschen
C:\Dokumente und Einstellungen\Henry0105\Lokale Einstellungen\Temp ->leeren
C:\WINDOWS\Temp ->leeren


Was vergessen? Surfverhalten ändern?

 

Der Online-Scanner von F-Secure scheint es geschafft zu haben.
Nachdem ich die beiden falschen Prozesse gestoppt habe, liess ich das System scannen. Es wurden weitere Dateien gefunden, die auf den Wurm "W32/Quatim.C" hinwiesen. Sie befanden sich im Ordner Windows/System32 und nannten sich userimit.exe bzw. userinig.exe, userinit.exe ist ja die Originaldatei. Nach löschen und Neustart waren sie weg.
Ob jetzt wirklich wieder alles sauber ist, sei mal dahingestellt. Über kurz oder lang werde ich das System wohl neu aufsetzen. Denn wie schon hier beschrieben steht: http://www.cidres-security.de/neuaufsetzen.html
Erstaunlich ist es ja schon, das bei Virustotal von 29 eingesetzten Scannern nur 5 etwas fanden und davon auch nur einer, der auf W32/Quatim.C hinwies. Das sagt ja doch schon einiges über AV-Pogramme aus. Der Name scheint auch nicht verbreitet zu sein, denn es ist wenig darüber zu finden.

..........Surfverhalten ändern? Naja, wenn ich noch vorsichtiger werde, brauchte ich beinahe gar nicht mehr ins Netz zu gehen. Ich öffne keine mir unbekannten E-mailanhänge, lade keine dubiosen Programme und bei einer Web-Site, die ich zum Ersten mal besuche, kann ich nicht wissen was dahinter steckt. Bisher hat mein Echtzeitscanner gut auf solche Situationen reagiert. Ich habe mittlerweile eher das Gefühl. dass ich mir den Wurm über eine CD eingefangen habe.

Danke für eure Hilfe und Vorschläge.

Henry