Toon posts:

[Malware] windows\csrss.exe = IRC Trojan

Pagina: 1
Acties:

vrijdag 1 oktober 2004 23:35

Acties:
  • Silent Thunder
  • Registratie: Maart 2002
  • Laatst online: 30-11 18:28

Silent Thunder

Topicstarter
Mijn NAV 2004 laat net zien dat csrss.exe in de Windows-map geinfecteerd is.

Ik heb dit met Google opgezocht en het blijkt een systemproces te zijn. Vandaar dat het me ook niet lukt om 'em te verwijderen?

Wat kan ik nu het beste doen? Misschien een mogelijkheid om een (schone) versie ergens te downloaden en replacen? Waar vind ik dat?

Afbeeldingslocatie: http://img72.exs.cx/img72/1774/5578.jpg

http://www.liutilities.co...pro/processlibrary/csrss/

vrijdag 1 oktober 2004 23:46

Acties:

Verwijderd

Kijk eens naar de directory waar die instaat. :)

De windowsfile behoort in %systemdir% - niet in %windowsdir%.
Dit is dus niets anders dan de trojan zelf.

Toevallig net een verdachte file gerund/site bezocht/whatever?
Het is natuurlijk wel handig om te weten hoe lang dit beestje actief heeft kunnen zijn alvorens ontdekt te worden.

Verder is het nog wel handig om eens te kijken waar we _precies_ mee te maken hebben.
Kijk eens of je process explorer - van sysinternals - het betreffende proces kan killen, schakel NAV dan even uit en scan de file eens hier. http://www.kaspersky.com/scanforvirus.html

Titel ietsje aangepast. :)

vrijdag 1 oktober 2004 23:59

Acties:
  • Occy74
  • Registratie: September 2000
  • Laatst online: 16-11 19:01

Occy74

Verwijderd schreef op 01 oktober 2004 @ 23:46:.......
Kijk eens of je met behulp van process explorer - van sysinternals - het betreffende proces kan killen, schakel NAV dan even uit en scan de file eens hier. http://www.kaspersky.com/scanforvirus.html

Titel ietsje aangepast. :)
heb je even verbeterd want nu lijkt het net alsof je zegt dat process explorer die csrss.exe is :)

Systeem Specs

zaterdag 2 oktober 2004 00:01

Acties:
  • Silent Thunder
  • Registratie: Maart 2002
  • Laatst online: 30-11 18:28

Silent Thunder

Topicstarter
Verwijderd schreef op 01 oktober 2004 @ 23:46:
Kijk eens naar de directory waar die instaat. :)

De windowsfile behoort in %systemdir% - niet in %windowsdir%.
Dit is dus niets anders dan de trojan zelf.
De geinfecteerde file staat idd in de windowsdir
Verwijderd schreef op 01 oktober 2004 @ 23:46:
Toevallig net een verdachte file gerund/site bezocht/whatever?
Het is natuurlijk wel handig om te weten hoe lang dit beestje actief heeft kunnen zijn alvorens ontdekt te worden.
Hmm... ik iig geval niet. Misschien me broertje :? Maar in die 1,5jr. dat deze windowsinstallatie loopt is er nog nooit een virus op geweest; dus er word best safe mee omgegaan.

Als ik de eigenschappen van bestand bekijk zie ik het volgende:

Afbeeldingslocatie: http://img31.exs.cx/img31/5231/efefe.jpg
Verwijderd schreef op 01 oktober 2004 @ 23:46:
Verder is het nog wel handig om eens te kijken waar we _precies_ mee te maken hebben.
Kijk eens of je process explorer - van sysinternals - het betreffende proces kan killen, schakel NAV dan even uit en scan de file eens hier. http://www.kaspersky.com/scanforvirus.html
Ok, ik ga proberen :)

zaterdag 2 oktober 2004 00:07

Acties:
  • Silent Thunder
  • Registratie: Maart 2002
  • Laatst online: 30-11 18:28

Silent Thunder

Topicstarter
code:
1
2
3
4
5
6
7
8
9
10
11

---------------------------
Scanned file:   csrss.exe
 
csrss.exe - infected by Backdoor.VB.rz 


Statistics:
Known viruses: 99876 Updated: 01-10-2004 
File size (Kb): 272 Virus bodies: 1 
Files: 1 Warnings: 0 
Archives: 0 Suspicious: 0


Aangezien hij zeg maar niet in de system32 staat zoals je aangeeft, kan hij dan gewoon verwijderd worden? Of moet ik met een fix-tooltje ofzo te werk gaan?

zaterdag 2 oktober 2004 00:16

Acties:

Verwijderd

Removal tools worden alleen gemaakt voor wijdverspreide zooi, kans is redelijk klein tot nihil dat die er voor deze backdoor is. :)

In principe zou je dit zo moeten kunnen verwijderen, kijk alleen je systeem nog eens goed na of deze malware niet uit meerdere componenten bestaat. :)

zaterdag 2 oktober 2004 00:19

Acties:
  • Superseb
  • Registratie: September 2003
  • Laatst online: 21:25

Superseb

Wat je ook kan proberen is de file uit te schakelen bij het opstarten, oftewel uit vinken bij msconfig -> opstarten, opnieuw op te starten en dan een volledige scan uit voeren.

Of je probeert het in Veilige modus, weet alleen niet zeker of dat gaat :)

zaterdag 2 oktober 2004 00:29

Acties:
  • Silent Thunder
  • Registratie: Maart 2002
  • Laatst online: 30-11 18:28

Silent Thunder

Topicstarter
Ik had 'em idd eerst via msconfig moeten uitschakelen, omdat het anders moeilijk was om hem te verwijderden aangezien hij een draaiend proces was wat ik niet kon afsluiten; omdat het volgens windows 'essentieel' was.

maar hij is nu weg; en ik draai voor de zekerheid nog ff een scan ter nacheck.

iig bedankt all; en vooral Schouw :)

[ Voor 14% gewijzigd door Silent Thunder op 02-10-2004 00:30 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq