csrss.exe mit RootKit infiziert

Hi,

gestern habe ich mir mal was runtergeladen, wie jeden Download lasse ich erst mal meinen Virenscanner über die gedownloadete Datei laufen, da wurde nichts gefunden, als ich dann die datei ausgeführt habe kam von meinem Gdata InternetSecurity 2010 die Frage ob ich zulassen soll, dass die exe einen eintrag in der Registry erstellen soll, (das kommt auch wenn ich ganz normale games (legal gekauftte) installier), aber um wirklich sicher zu gehen, hab ich die exe nochmal auf viren geprüft, wieder nichts, also hab ich auf erlauben geklickt. Alles ging wie normal weiter. da stand auch was von der csrss.exe welche ja ein Windows-Prozess ist, aber da ich auf Viren geprüft hatte und noch keine virenmeldung kam dachte ich eben das ist schon in ordnung war jedoch trotzdem etwas verwundert. zur sicherheit habe ich nach der installation nochmal die csrss.exe in System32 auf Viren geprüft, zu meiner erleichterung wurde nichts gefunden, jetzt habe ich grad eben meinen PC hochgefahren mich angemeldet und dann kam eine Virenmeldung, dass die csrss.exe mit einem RootKit infiziert sei, die einzige möglichkeit ohne die csrss.exe zu löschen, aber den Virus unbrauchbar zu machen war, die Datei, falls desinfizieren nicht möglich ist, in die Quarantäne zu verschieben, was meiner meinung nach aber auch nicht die beste lösung ist, da ja die csrss.exe eigentlich nicht in die Quarantäne gehört, hat jemand eine idee, wie ich das Problem sauber lösen kann? Ich hatte schon gedacht, einfach die csrss.exe zu löschen und dann die Windows-CD einzulegen um das system zu reparieren, würde das fehlerfrei ohne datenverlust gehen? Normal schon, oder, wollt nur lieber fragen bevor ich irgendwas falsch mache und mein Windows nochmal ganz neu aufsetzen darf.

http://download.cnet.com/Panda-Anti-Rootkit/3000-8022_4-10717196.html

http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html

http://www.microsoft.com/downloads/...FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356

...viel Glück!!!

hi, ich hab noch mal was neues entdeckt: ich habe mal in "Msconfig" nachgeschaut was alles im Autostart liegt, und da ist mir aufgefallen, dass es dass Systemstartelement "Update" gibt, dessen hersteller aber unbekannt ist, normal steht ja z.b. Microsoft Corporation, NVIDIA, etc daneben, und was jetzt das wirklich komische ist, dass der Befehl sich auf den Pfad C:\Windows\csrss.exe bezieht, jetzt wollte ich da mal gucken (normal ist die csrss.exe ja in System32), jedoch find ich da nichts, ich habe auch versteckte Dateien eingeblendet und auch geschützte Systemdateien eingeblendet, jedoch ist dort keine csrss.exe zu finden, hat jemand eine idee, wie ich die da weg bring?

meinst du das ernst oder willst du mir nur angst machen, kann man denn nicht5 irgendwie feststellen, ob eine Kompromittierung vorliegt oder nicht, weil ich eig keine lust hatte, mein ganzes system neu aufzusetzen und dann auch och sämtliche Passwörter zu ändern, und am Ende war der ganze aufwand viel zu übertrieben.

mein GData durfte auch mal meinen Rechner auf RootKits prüfen, nach dem Verschieben in die Quarantäne, wurde nichts mehr gefunden

Entweder oder. Nomai hat schon recht. Vielleicht solltest du erst einmal Verstehen, WAS ein RootKit ist und 'macht': http://de.wikipedia.org/wiki/Rootkit
Danach das System neu Aufsetzen.

ich weiss schon was es ist, der name "ROOT" sagt ja schon ziemlich viel aus, das hab ich inzwischen auch gelöscht, ich hab nochmal in der Quarantäne geschaut, die csrss.exe im windows verzeichniss, war das Rootkit, nicht die in System32, naja ich lass mal meine GDATA Boot CD durchlaufen und lösch mal alles bösartige (das vermindert doch immerhin schon mal die gefahr)

Nein, der Name Root sagt da nicht "Alles" aus.
eine hundertprozentige Erkennung von Rootkits ist unmöglich, daher ist die beste Methode zur Entfernung die komplette Neuinstallation.
Es gibt Jedoch viele Standard-Rootkits, z.B. das Sony Rootkit, bereits "Standard"Programme zur Erkennung und Entfernung.

Websurfer schrieb:

Nein, der Name Root sagt da nicht "Alles" aus.

Zum Vergrößern anklicken....

Ich sprach auch von "ziemlich viel", was meiner meinung nach nicht "alles" ist

Na ich denke, wenn ein "Rootkit" sich als csrss.exe in den Windowsordner legt und einen Update-Eintrag als Autostart dazu, dann kanns mit einem Rootkit nicht so weit her sein.

Und nur weil Gdata was von einem Rootkit erzählt, muss es keiner sein.

Check diese csrss.exe mal bei virustotal und mach Dich im Inet schlau dazu.

Hast keine Systemwiederherstellung ?

Beste Grüsse
ppm007

also wie gesagt, die im Windows ordner hab ich getestet und ist infiziert, daher gelöscht, die in System32 hab ich geprüft, nichts gefunden und die im System32 ordner ist eig die normale

falls es denn ein rootkit ist, wovon ich nicht ausgehe (Autostart -> update?!??, ein rootkit hookt in den meisten fällen und fügt nix neues im autostart zu.) würde ich mein System mal auf komische geräte(welche die du nicht installiert hast)und deren Treiber checken, den nicht ausgelagerten Speicher prüfen(da Verstecken sich viele) und evtl löschen und zu guter letzt einen Kerbeldebugger benutzen, viele testeootkits senden noch debugmeldungen. ein Problem bekommst du wenn es sich um ein dkom kit, ein flashkit oder cpucachekit handelt, wovon ich aber keines Wegs ausgehe.