hi!

Topic = Frage

ich habe leider keine brauchbare information gefunden - handelt es sich ev. um einen trojaner?

PS: um besagten prozeß handelt es sich nicht um csrss.exe!!!

thx
cya

PS: um besagten prozeß handelt es sich nicht um csrss.exe!!!

dann ist es mit Sicherheit ein Virus ...
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SPYBOT.UK

mmm...

Da hat Sephirot wohl recht. Welchen Browser/ EMail-Dingsbums benutzt du? IE und Outlook Express oder sowas?

Schaut nach dem hier aus:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SPYBOT.UK

edit: Doh! Zu langsam. Das kommt davon, wenn man 2 dutzend Tabs in Opera offen hat *grmbl*

so, hab das ding jetzt eliminiert :D

mich wundert es aber wie ich zu diesem virus gekommen bin - verwende opera u. firefox, habe eine personal-firewall, lasse spybot S&D und virenscanner regelmäßig durchlaufen....

cya

Hab den auch:ugly:

und mein viresncanner hat auch ned angeschlagen, trotz regelmäßiger updates :eek:








Nach einiger Zeit..........



Son scheiss, im Taskmanager lässt das ding sich ned schließen, und die beschreibung wie man den aus der registry rausbekommt funktioniert auch ned, bei mir gibt es die gesagte daei nicht, sowie RunServices.


Hat das ding auch sowas wie´n kleiner bruder???

bei mir läuft da auch noch smss.exe mit, und die lässt sich auch ned killen :(


Weis jemand einen download link zu einem removal programm wo nur nach dieser datei sucht???Hab nämmlich keinen bock nen ganzes AV Prog runterzuladen (56k Modem lässt grüßen :ugly:)




PanicPanicPanicPanicPanicPanicPanic!!!!!!

mmm...

Mit HijackThis ein Log erstellen und auf der Seite auswerten lassen, dann kannst das Teil finden. Als Alternative kannst du es auch hier posten ... du hast die S's aber auch gezählt, oder? es gibt auch einen Windows- Dienst, der so heisst, allerdings hat der nur 2 S's im Namen ...

mmm...

Mit HijackThis ein Log erstellen und auf der Seite auswerten lassen, dann kannst das Teil finden. Als Alternative kannst du es auch hier posten ... du hast die S's aber auch gezählt, oder? es gibt auch einen Windows- Dienst, der so heisst, allerdings hat der nur 2 S's im Namen ...

Logfile of HijackThis v1.97.7
Scan saved at 19:37:27, on 10.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
F:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\Programme\CDBurnerXP Pro 3\Tools\NMSAccess.exe
C:\windows\system32\nvsvc32.exe
C:\windows\system32\oodag.exe
F:\Programme\OO Software\CleverCache\OOCCSVC.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
F:\Programme\ASUS\Probe\AsusProb.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\Programme\D-Tools\daemon.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\CpuIdlePro\cpuidle.exe
F:\Programme\aTuner\aTuner.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
F:\Programme\OnlineChargerPro\OnlineChargerPro.EXE
F:\Programme\OO Software\Defrag Professional\oodcnt.exe
C:\windows\system32\taskmgr.exe
F:\Programme\Opera 7.0\Opera.exe
F:\Programme\ICQLite\ICQLite.exe
F:\Programme\Winamp\winamp.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\FlashGet\flashget.exe
C:\windows\system32\ntvdm.exe
C:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe
F:\Programme\AVPersonal\AVWIN.EXE
F:\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startnow.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ASUS Probe] F:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [CpuIdle] F:\Programme\CpuIdlePro\cpuidle.exe
O4 - HKLM\..\Run: [aTuner] F:\Programme\aTuner\aTuner.exe -autostart
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - F:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - F:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://c:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0788BD5-3270-4A41-A963-ECC1012999C8}: NameServer = 62.104.191.241 62.104.196.134

Das war der Log.

http://img56.exs.cx/img56/4533/8864.jpg



Und das sind die beiden Anwendungen Crss und der kleine bruder smss die sich beide erfolgreich gegen ein beenden wehren ;(

Schonmal versucht die Prozesse mit dem Process Explorer (http://www.chip.de/downloads/c_downloads_8832076.html) zu killen?

http://img56.exs.cx/img56/4533/8864.jpg



Und das sind die beiden Anwendungen Crss und der kleine bruder smss die sich beide erfolgreich gegen ein beenden wehren ;(
Sind die Prozesse einmal vorhanden oder mehrmals.
Normal sind beide 1x aufgeführt.

csrss.exe = Microsoft Client/Server Runtime Server Subsystem
http://www.liutilities.com/products/wintaskspro/processlibrary/csrss/

smss.exe = Session Manager Subsystem
http://www.liutilities.com/products/wintaskspro/processlibrary/smss/

Am besten du suchst auf der Platte erstmal nach den Dateien und schaust in den Eigenschaften nach.
Die sollten beide von M$ kommen.

PS. Und wenn beide zu Windows gehören, wirst du sie auch nicht so einfach abschießen können.

http://img56.exs.cx/img56/4533/8864.jpg



Und das sind die beiden Anwendungen Crss und der kleine bruder smss die sich beide erfolgreich gegen ein beenden wehren ;(
Die beiden sind harmlos, wichtig und gehören zu Windows.
Verwechsel csrss.exe nicht mit crsss.exe!

Die beiden sind harmlos, wichtig und gehören zu Windows.
Verwechsel csrss.exe nicht mit crsss.exe!





Ups sorry.......................bitte ned öffentlich steinigen...........:sneak:



Hab das ganz verwechselt.........:sneak::whistle:



Sorry für die aufregung die ich gemacht Hab;(