Forum
Tipps
News
Menu-Icon

Virus oder nicht

Hi ich hab sehr merkwürdige Prozesse, seit dem ich mal kurz ohne Firewall ins Internet gegangen bin, die den Namen
crsss.exe
gybcma.exe
pmegfie.exe
w32usb2.exe
Sind das Viren oder nicht. ichbin mal mit dem anti vir drüber gegangen (neues update) der hat 7 viren gefunden die hat er aber alle geslöscht. jetzt fragt  mich ständig wenn ich ins internet die Firewall ob ich crsss.exe ausführen möchte ich breche natürlich ab. Aber er wird trotzdem ausgeführt.
Könnt ihr mir helfen. ich kenne diesen Prozess nicht.
MFG Figo



Antworten zu Virus oder nicht:

Loesche im abgesicherten Modus:
C:\WINDOWS\System32\crsss.exe [Gaobot Trojan.]


Removing autostart entries from the registry prevents the malware from executing at startup.

   1. Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
   2. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>Run
   3. In the right panel, locate and delete the entry:
      Win32 USB2.0 Driver= "W32USB2.EXE"
   4. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>Runservices
   5. In the right panel, locate and delete the entry:
      Win32 USB2.0 Driver= "W32USB2.EXE"
   6. In the left panel, double-click the following:
      HKEY_LOCAL_MACHINE>Software>Microsoft>
      Windows>CurrentVersion>Runonce
   7. In the right panel, locate and delete the entry:
      Win32 USB2.0 Driver= "W32USB2.EXE"
   8. In the left panel, double-click the following:
      HKEY_CURRENT_USER>Software>Microsoft>
      Windows>CurrentVersion>Run
   9. In the right panel, locate and delete the entry:
      Win32 USB2.0 Driver= "W32USB2.EXE"
  10. In the left panel, double-click the following:
      HKEY_CURRENT_USER>Software>Microsoft>
      Windows>CurrentVersion>Runonce
  11. In the right panel, locate and delete the entry:
      Win32 USB2.0 Driver= "W32USB2.EXE"
  12. In the left panel, locate and delete the following keys:
          * HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
            \Win32 USB2.0 Driver
          * HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root
            \LEGACY_WIN32_USB2.0_DRIVER
          * HKEY_LOCAL_MACHINE\System\ControlSet001\Services
            \Win32 USB2.0 Driver
          * Close Registry Editor.

NOTE: If you were not able to terminate the malware process as described in the previous procedure, restart your system.


zu den anderen prozessen hab ich nix gefunden.
zur sicherheit nochmal im abgesicherten modus mit a² free, ad-aware 6 und Spybot scannen.

hab auch seit WEihncahten diesen Prozeß auf meinem Computer. Wollte den Löschvorgang durchführen, in der Registry heiß das bei mir aber nicht "W32USB..:" sondern "start uploading". Bin da zu sehr Laie, aber nehme an der Name ist egal, Hauptsache alles wo crsss.exe vorkommt wird gelöscht, oder ?
Kann mir das irgendwer bitte bestätigen !
Danke

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo, das ist schon richtig so.

Danke, rolwei, Danke !

Hab alles mit crsss.exe in der Registry gelöscht, und siehe da, schon führt meine Firewall diesen Prozeß nicht mehr an.

Vielleicht hast Du ja auch eine Ahnung was der Prozeß "qsosrv.exe" ist, der war auch von einem Backdoorvirus (Rbot.gen) befallen. Konnte bisher aber nirgends eine ähnliche Löschanleitung finden.
Auf jedne Fall will der dauernd zu einer externen Adresse verbinden (hat meine Firewall allerdings unterbunden), hier der Firewalleintrag:

QSOSRV.EXE   fkn0wn3d.sytes.net   6667   Aktivität für diese Anwendung blockieren QSOSRV.EXE   0 Bytes   0 Bytes   0 bps   OUT REFUSED CLOSING    22:29:29   07 sec(s)   localhost:any   TCP   1188   ---

Soll ich da auch einfach in der Registy alles mit diesem Namen löschen. Bei all diesen Prozessen bin ich mir nie sicher ob der normal ist und nur befallen oder ob der vonirgendwem speziell auf meinem PC installiert wurde.

Vielleicht hast Du oder sonst wer ja eine Ahnung.

Danke

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo, mach doch mal ein HijackThis-Log und kopier das in das Feld der automatischen Auswertungsseite.
Darnach auf 'Analyze' klicken und alle roten Einträge nach einem erneuten Scan mit HijackThis fixen.
(die gelben mit Überlegung) http://www.wintotal.de/Tipps/Eintrag.php?TID=873
Automatische Auswertung: http://www.hijackthis.de/

(Da sollte dein Prozess auch dabei sein - du kannst das Log sonst hier posten)

Nochmals danke rolwei!

Hab den log analysieren lassen und es war nichts rotes dabei, fast alles grün, bis auf ein paar gelbe, wobei ich die meisten aber kenne. Bloß 1-2 sind dabei, die unnötig sind, aber nicht schaden.
Besteht zum glück also kein Bedarf den log zu posten und sich weiter sorgen zu machen.

Nochmals danke !

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Tipp topp, hier noch ein paar Hinweise:

Vorsorge: (Natürlich einen Virenscanner benutzen)

1. Einen anderen Browser benützen
(Den IE nur für Windows-Update und das auch gleich benützen)

http://firebird-browser.de/

2. Spybot und Spyware-Blaster laden und jede Woche updaten.

http://spybot.safer-networking.org/index.php?lang=de&page=download
SpywareBlaster: http://www.zdnet.de/downloads/prg/3/7/en10196637-wc.html
Bei Spybot den 'erweiterten Modus' aktivieren und die Werzeuge:
BHO's, Browser-Seiten, IE-Spielereien, und Host-Datei, sowie Prozess-Liste und System Innnereien aktivieren.  Innerhalb beider Programme Updates und Immunisierung durchführen.


3. Bei XPSp2 den Firewall benutzen (nicht abstellen)
oder einen anderen Firewall installieren.

http://download.zonelabs.com/bin/free/de/download/znalmZAAV.html

4. Bei Einwahlmodems antidialler Software installieren und sich vor einem Schadenfall informieren:

http://www.dialerschutz.de/home.php
http://www.dialerhilfe.de/start/start.php


« spywareAntiVir hängt »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Firewall
  Die Firewall (englisch für Brandschutzwand) agiert als Barriere und Schutz zwischen dem internen Netzwerk (z.B. einem Heim- oder Unternehmensnetzwerk - LAN...

Internet
Das Internet, ein aus den Worten "International" und "Network" zusammengesetzter Begriff, ist ein globales Netzwerk (WAN: Wide Area Network), das eine Vielzahl von Comput...

Internet Time
Siehe Swatch Internet Time. ...