Csrss.exe

[baloew]

Ik heb sinds kort elke keer als ik mijn computer opstart een error dat C:\WINDOWS\Config\csrss.exe niet helemaal uitgevoerd is.

Het rare is, als ik naar het bestand ga en mijn muis erop houd dat er staat dat ie 30 april gemaakt is. Dit is dus geen Microsoft bestand die al op mijn computer stond..

Zou dit een virus kunnen zijn, en moet ik het bestand verwijderen?

[Fredpascal]

Nope is geen virus:

http://www.processlibrary.com/directory/files/csrss.exe/

Csrss.exe is van windows 'Microsoft Client/Server Runtime'

Maar de volgende virussen kunnen er misbruik van maken:

Trojan.W32.Beagle

Trojan.W32.Rontokbro

Trojan.W32.Dropper

Trojan.W32.Sober

Trojan.W32.VIRKEL

Daarom raad ik aan het bestand even door virustotal te laten scannen:

www.virustotal.com/nl/

[baloew]

Ik heb het gescant maar kan er niet helemaal uithalen wat het betekent..

Bestand csrss.exe ontvangen op 2008.05.06 09:18:47 (CET)

Huidig status: Einde

Resultaat: 4/32 (12.50%)

Antivirus Versie Laatst geüpdatet Resultaat

AhnLab-V3 - - -

AntiVir - - -

Authentium - - -

Avast - - -

AVG - - -

BitDefender - - -

CAT-QuickHeal - - -

ClamAV - - -

DrWeb - - -

eSafe - - -

eTrust-Vet - - -

Ewido - - -

F-Prot - - -

F-Secure - - -

FileAdvisor - - -

Fortinet - - -

Ikarus - - Backdoor.Win32.VB.brg

Kaspersky - - -

McAfee - - -

Microsoft - - -

NOD32v2 - - -

Norman - - -

Panda - - Suspicious file

Prevx1 - - Cloaked Malware

Rising - - -

Sophos - - Sus/UnkPacker

Sunbelt - - -

Symantec - - -

TheHacker - - -

VBA32 - - -

VirusBuster - - -

Webwasher-Gateway - - -

Extra informatie

MD5: 9b81be2028d8548b479529adc43ea193

SHA1: e23a019c9071b35a53d38ef412295b9755aed3ba

SHA256: c99cc7ea65bb207a11e520055eadb5f5094f7861bbbab988d20dfc1bb136332b

SHA512: 0f23605819fae947f0731fe601f9e28d19fc67395e976576afb94ed21810ba225e180fef212d61a420090f42304aa130b90e7bbd9ebaaf6e732d7c8723270666

[Fredpascal]

Bij mij komt er dit uit:

Bestand csrss.exe ontvangen op 2008.05.14 17:15:12 (CET)

Antivirus Versie Laatst geüpdatet Resultaat

AhnLab-V3 2008.5.10.0 2008.05.13 -

AntiVir 7.8.0.17 2008.05.13 -

Authentium 5.1.0.4 2008.05.14 -

Avast 4.8.1169.0 2008.05.12 -

AVG 7.5.0.516 2008.05.13 -

BitDefender 7.2 2008.05.08 -

CAT-QuickHeal 9.50 2008.05.12 -

ClamAV 0.92.1 2008.05.13 -

DrWeb 4.44.0.09170 2008.05.13 -

eSafe 7.0.15.0 2008.05.12 -

eTrust-Vet 31.4.5784 2008.05.13 -

Ewido 4.0 2008.05.13 -

F-Prot 4.4.2.54 2008.05.13 -

F-Secure 6.70.13260.0 2008.05.13 -

Fortinet 3.14.0.0 2008.05.13 -

GData 2.0.7306.1023 2008.05.14 -

Ikarus T3.1.1.26.0 2008.05.13 -

Kaspersky 7.0.0.125 2008.05.13 -

McAfee 5293 2008.05.12 -

Microsoft 1.3408 2008.05.13 -

NOD32v2 3095 2008.05.13 -

Norman 5.80.02 2008.05.09 -

Panda 9.0.0.4 2008.05.12 -

Rising 20.44.12.00 2008.05.13 -

Sophos 4.29.0 2008.05.13 -

Sunbelt 3.0.1114.0 2008.05.12 -

Symantec 10 2008.05.13 -

TheHacker 6.2.92.309 2008.05.13 -

VBA32 3.12.6.6 2008.05.13 -

VirusBuster 4.3.26:9 2008.05.12 -

Webwasher-Gateway 6.6.2 2008.05.13 -

Extra informatie

File size: 6144 bytes

MD5...: 56332b8fb030700e276e0ea5314b1ba6

SHA1..: 7c19e97777b6766200935678eba3149793aa67ea

SHA256: 39ad1b5f9ec40f10bb3730d6ecb748a9b1523ab2a3d99f6c40ba30a86b9a04ea

SHA512: 28b9b502cd70e1569841bafaea1d6e727bb8b39f2e387ce3d6e4aed5a0cab94a

da9258ac0ead8d401f64085abe1c38f78ed66be481c7a4fe09671aa1d9638c53

PEiD..: -

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x4a6811a3

timedatestamp.....: 0x48025221 (Sun Apr 13 18:34:09 2008)

machinetype.......: 0x14c (I386)

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xaa0 0xc00 5.98 fa0c571421a196d4fae61512326cfa25

.data 0x2000 0x6c 0x200 0.20 86a789a893c60d5e207d053188cdc250

.rsrc 0x3000 0x3f0 0x400 3.38 a1b1210d4202f9f8ec0ef222a75ef0d8

.reloc 0x4000 0x94 0x200 1.57 a631a49183888ee1140addc408980653

( 2 imports )

> ntdll.dll: NtTerminateProcess, NtRaiseHardError, NtTerminateThread, RtlUnwind, NtQueryVirtualMemory, RtlSetProcessIsCritical, NtSetInformationProcess, DbgBreakPoint, RtlAllocateHeap, RtlUnicodeStringToAnsiString, RtlNormalizeProcessParams

> CSRSRV.dll: CsrServerInitialization

( 0 exports )

Het kan zijn dat je Csrss.exe besmet is, weet je ook waar die staat bij mij stond hij namelijk hier:

C:/WINDOWS/system32/

[baloew]

Ja, bij mij staat ie óók daar...

Dus op twee plekken.

Deze is gemaakt op 2-9-2004 een groot verschil dus met die ander..

Die ander was 30/4/2008...

Hij dus dus gewoon aangemaakt... Is het dan een verkeerd bestand?

[Fredpascal]

Je zegt dat je twee versie's hebt?

Waar staan ze allebei?

en volgens mij is de vroegste de non-virus.

[baloew]

De vroegste (2004) staat in C:\WINDOWS\system32

De laatste (2008) staat in C:\WINDOWS\Config

Dus ik denk dat ik de laatste moet verwijderen toch? Het kan geen kwaad denk ik want hij is 30 april 2008 aangemaakt en daarvoor deed mn computer het nog beter

[Fredpascal]

Bij config moet hij inderdaad weg, en als het geen kwaad kan, waarom niet.

Topic kan op slot.

[Piraatje]

Vergeten jullie alsjeblieft de VPN verbinding niet? Je internet provider zoals Ziggo of KPN kan door gebruik van de VPN niet zien wat er gebeurd op je internet verbinding en ben je volledig anoniem voor iedereen. Een vereiste tegenwoordig.... We een uitgebreide handleiding geschreven met informatie. 

Deze vindt je hier:   https://www.duken.nl/forums/handleidingen/downloaden/vpn-verbinding-en-anoniem-downloaden-r35/