Virus oder nicht

Loesche im abgesicherten Modus:
C:\WINDOWS\System32\crsss.exe [Gaobot Trojan.]


Removing autostart entries from the registry prevents the malware from executing at startup.

   1. Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
   2. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>Run
   3. In the right panel, locate and delete the entry:
      Win32 USB2.0 Driver= "W32USB2.EXE"
   4. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>Runservices
   5. In the right panel, locate and delete the entry:
      Win32 USB2.0 Driver= "W32USB2.EXE"
   6. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>Runonce
   7. In the right panel, locate and delete the entry:
      Win32 USB2.0 Driver= "W32USB2.EXE"
   8. In the left panel, double-click the following:
      HKEY_CURRENT_USER>Software>Microsoft>
      Windows>CurrentVersion>Run
   9. In the right panel, locate and delete the entry:
      Win32 USB2.0 Driver= "W32USB2.EXE"
  10. In the left panel, double-click the following:
      HKEY_CURRENT_USER>Software>Microsoft>
      Windows>CurrentVersion>Runonce
  11. In the right panel, locate and delete the entry:
      Win32 USB2.0 Driver= "W32USB2.EXE"
  12. In the left panel, locate and delete the following keys:
          * HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
            \Win32 USB2.0 Driver
          * HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root
            \LEGACY_WIN32_USB2.0_DRIVER
          * HKEY_LOCAL_MACHINE\System\ControlSet001\Services
            \Win32 USB2.0 Driver
          * Close Registry Editor.

NOTE: If you were not able to terminate the malware process as described in the previous procedure, restart your system.


zu den anderen prozessen hab ich nix gefunden.
zur sicherheit nochmal im abgesicherten modus mit a² free, ad-aware 6 und Spybot scannen.

hab auch seit WEihncahten diesen Prozeß auf meinem Computer. Wollte den Löschvorgang durchführen, in der Registry heiß das bei mir aber nicht "W32USB..:" sondern "start uploading". Bin da zu sehr Laie, aber nehme an der Name ist egal, Hauptsache alles wo crsss.exe vorkommt wird gelöscht, oder ?
Kann mir das irgendwer bitte bestätigen !
Danke

Hallo, das ist schon richtig so.

Danke, rolwei, Danke !

Hab alles mit crsss.exe in der Registry gelöscht, und siehe da, schon führt meine Firewall diesen Prozeß nicht mehr an.

Vielleicht hast Du ja auch eine Ahnung was der Prozeß "qsosrv.exe" ist, der war auch von einem Backdoorvirus (Rbot.gen) befallen. Konnte bisher aber nirgends eine ähnliche Löschanleitung finden.
Auf jedne Fall will der dauernd zu einer externen Adresse verbinden (hat meine Firewall allerdings unterbunden), hier der Firewalleintrag:

QSOSRV.EXE   fkn0wn3d.sytes.net   6667   Aktivität für diese Anwendung blockieren QSOSRV.EXE   0 Bytes   0 Bytes   0 bps   OUT REFUSED CLOSING    22:29:29   07 sec(s)   localhost:any   TCP   1188   ---

Soll ich da auch einfach in der Registy alles mit diesem Namen löschen. Bei all diesen Prozessen bin ich mir nie sicher ob der normal ist und nur befallen oder ob der vonirgendwem speziell auf meinem PC installiert wurde.

Vielleicht hast Du oder sonst wer ja eine Ahnung.

Danke

Hallo, mach doch mal ein HijackThis-Log und kopier das in das Feld der automatischen Auswertungsseite.
Darnach auf 'Analyze' klicken und alle roten Einträge nach einem erneuten Scan mit HijackThis fixen.
(die gelben mit Überlegung) http://www.wintotal.de/Tipps/Eintrag.php?TID=873
Automatische Auswertung: http://www.hijackthis.de/

(Da sollte dein Prozess auch dabei sein - du kannst das Log sonst hier posten)

Nochmals danke rolwei!

Hab den log analysieren lassen und es war nichts rotes dabei, fast alles grün, bis auf ein paar gelbe, wobei ich die meisten aber kenne. Bloß 1-2 sind dabei, die unnötig sind, aber nicht schaden.
Besteht zum glück also kein Bedarf den log zu posten und sich weiter sorgen zu machen.

Nochmals danke !

Tipp topp, hier noch ein paar Hinweise:

Vorsorge: (Natürlich einen Virenscanner benutzen)

1. Einen anderen Browser benützen
(Den IE nur für Windows-Update und das auch gleich benützen)

http://firebird-browser.de/

2. Spybot und Spyware-Blaster laden und jede Woche updaten.

http://spybot.safer-networking.org/index.php?lang=de&page=download
SpywareBlaster: http://www.zdnet.de/downloads/prg/3/7/en10196637-wc.html
Bei Spybot den 'erweiterten Modus' aktivieren und die Werzeuge:
BHO's, Browser-Seiten, IE-Spielereien, und Host-Datei, sowie Prozess-Liste und System Innnereien aktivieren.  Innerhalb beider Programme Updates und Immunisierung durchführen.

3. Bei XPSp2 den Firewall benutzen (nicht abstellen)
oder einen anderen Firewall installieren.

http://download.zonelabs.com/bin/free/de/download/znalmZAAV.html

4. Bei Einwahlmodems antidialler Software installieren und sich vor einem Schadenfall informieren:

http://www.dialerschutz.de/home.php
http://www.dialerhilfe.de/start/start.php