Nach Löschen von csrss-Virus bei jedem Neustart sofortige automatische Abmeldung
csrss-Virus-Befall mit Kaspersky AV 6.0 gelöscht, danach Anmeldung an WinXP nicht mehr möglich, sofortige Abmeldung erfolgt automatisch
Habe ein großes Problem mit der csrss.exe. Kaspersky AV 6.0 hat einen Trojaner gefunden, der sich als csrss.exe tarnt... meines Wissens müßte sich die crss.exe im /system32-Ordner befinden, aber bei mir war csrss.exe im c://windows/winsock/csrss.exe. Kaspersky AV hat die Datei gelöscht. Nach dem Neustart des PC konnte ich mich nicht mehr anmelden, Benutzerdaten wurden zwar geladen, danach erfolgte jedoch sofort wieder die Abmeldung. Das gilt für alle eingerichteten Konten, auch das Admin-Konto.
Komme nun leider gar nicht mehr an das System, selbst im Abgesicherten Modus tritt das Problem auf.
System: WinXP Prof SP2, Kaspersky AV 6.0 uptodate
Vielleicht kann mir jemand einen Tipp geben, wie ich wenigstens wieder an das System komme. Client neu aufsetzen ist dabei momentan keine Option, ebenso auch kein Booten mit Linux-CD etc. - sitze hier ohne meine Software in the middle of nowhere am PC eines Verwandten, INet über 56k-Modem . Zum Glück mein Notebook dabei...
Gruß Guck
Habe ein großes Problem mit der csrss.exe. Kaspersky AV 6.0 hat einen Trojaner gefunden, der sich als csrss.exe tarnt... meines Wissens müßte sich die crss.exe im /system32-Ordner befinden, aber bei mir war csrss.exe im c://windows/winsock/csrss.exe. Kaspersky AV hat die Datei gelöscht. Nach dem Neustart des PC konnte ich mich nicht mehr anmelden, Benutzerdaten wurden zwar geladen, danach erfolgte jedoch sofort wieder die Abmeldung. Das gilt für alle eingerichteten Konten, auch das Admin-Konto.
Komme nun leider gar nicht mehr an das System, selbst im Abgesicherten Modus tritt das Problem auf.
System: WinXP Prof SP2, Kaspersky AV 6.0 uptodate
Vielleicht kann mir jemand einen Tipp geben, wie ich wenigstens wieder an das System komme. Client neu aufsetzen ist dabei momentan keine Option, ebenso auch kein Booten mit Linux-CD etc. - sitze hier ohne meine Software in the middle of nowhere am PC eines Verwandten, INet über 56k-Modem . Zum Glück mein Notebook dabei...
Gruß Guck
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 34376
Url: https://administrator.de/forum/nach-loeschen-von-csrss-virus-bei-jedem-neustart-sofortige-automatische-abmeldung-34376.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
3 Kommentare
Neuester Kommentar
Zum Glück mein Notbook dabei...
Aus Wikipedia: In Windows NT und seinen Nachfolgern (eingeschlossen alle modernen Windows Versionen), werden Win32 Aufrufe durch zwei Module ausgeführt, csrss.exe (engl. Client/Server Runtime Server Subsystem) im User Modus und win32k.sys im Kernel Modus. Dies dient dem Schutz des Betriebssystems und verhindert das laufende Anwendungen des Benutzers kritische Daten des Betriebssystems modifizieren oder darauf zugreifen können. Die Modi werden direkt vom Prozessor zur Verfügung gestellt.
Wenn der Trojaner im Windowsverzeichnis eine gleichlautende Datei mit schädlichem Inhalt hatte, könnte die originale Datei entweder umbenannt oder gelöscht worden sein.
Damit Du Dich auf die Suche machen kannst: Die Datei hat exakt 6144 Bytes Größe und folgende weiteren Daten bei mir:
Dateiversion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
Firma: Microsoft Corporation
Interner Name: CSRSS.Exe
Originalname: CSRSS.Exe
Produktname: Microsoft® Windows® Operating System
Produktversion: 5.1.2600.2180
Sprache: Englisch (USA)
Nun fragst Du Dich, wie Du denn suchen sollst, wenn Du Dich nicht mal anmelden kannst?
Über´s Netzwerk! Entweder Notebook und ProblemPC über Netzwekkarte und Cross-Over-Kabel direkt oder uber Switch (auch die LAN-Ports am Router sind eigentlich ein Switch) und 2 Patch-Kabel.
Dann, da Du sicher nicht im gleichen Netzwerk mit den selben Benutzernamen bist über die IP verbnden.
Das geht so: Ordnerfenster öffnen, unter 'Extras' 'Netzlaufwerk verbinden' auswählen. 'Laufwerk' ist der Laufwerksbuchstabe, der dann für die gleich zu verbindende Netzwerkressource vergeben wird - ganz egal, hauptsache irgendein Buchstabe.
'Ordner' ist jetzt interessanter, das sieht wie folgt aufgebaut aus:
\\192.168.2.100\C$
\\ gibt an, dass es eine Netzwerkressource ist
192.168.2.100 ist hier eine Beispiel-IP-Adresse, die mit Sicherheit nicht bei Dir stimmt. Es muß die IP des Problemrechners angegeben werden. Dazu kannst Du Glück haben und Du siehst den Namen des Rechners im Netzwerk. Dann kannst Du ihn namendlich anpingen und erhälst so seine IP. Hat der ProblemPC eine statische IP, musst Du sie wissen, damit Du Dein Notebook ins selbe Netz stellen kannst und anschließend die Verbindung aufnehmen kannst. Mit DHCP-Server (z.B. Router) ist´s etwas verzwickter, geht aber auch, sag Bescheid, wenn das die Netzwerkkonfiguration ist. Ist keine statische IP vergeben, kein DHCP-server verfügbar, vergibt sich Windows eine beliebige IP aus dem Bereich 169.254.x.x (APIPA) - bist Du in der selben Arbeitsgruppe, siehst Du den Rechnernamen im Netzwerk und kämst auch über Ping an die IP heran. Grundsätzlich ginge zwar auch \\Rechnername\C$, aber mitunter läuft es mit IP problemloser.
\ ist die Abtrennung von Rechneradressierunf zu freigegebenem Ordener
C$ ist hier die zusammensetzung des Laufwerksbuchstabens, in dem sich das Windows-Verzeichnis befindet. Ist auf dem ProblemPC das Windowsverzeichnis unter D:\ zu finden, käme natürlich hier D$ hin.
Das '$' ist die 'administrative Freigabe', über die Du auf jedes lokale Laufwerk eines Windows-Rechners im Netzwerk über das Netzwerk zugreifen kannst (wenn er das nicht über ein Startscript abgeschaltet hat). Um so Zugriff auf den fremden PC zu erlangen, musst Du von einem Benutzer mit Administratorrechten auf dem ProblemPC das Kennwort wissen.
Unter 'Verbindung unter anderem Benutzernamen herstellen' gibst Du dann Benutzername und dazugehöriges Kennwort von dem entsprechenden Account des ProblemPC´s auf Deinem Notebook ein.
Jetzt noch auf 'fertigstellen' und Du hast ein Netzlaufwerk unter 'Arbeitsplatz' mit dem oben gewählten Laufwerksbuchstaben.
Alles mit gewissen Hindernissen. Hat der Administrator dort z.B. kein Kennwort, kannst Du nix machen. Läuft auf dem ProblemPC eine Firewall, die den Zugriff verhindert, hast Du auch Pech gehabt. Ist keine statische IP vergeben und kein DHCP-Server verfügbar, ginge höchstens einen schlanken DHCP-Server aus dem Internet zu ziehen, auf dem Notebook einzurichten, nur eine IP im Pool freizugeben und dann weisst Du die IP, die der ProblemPC erhalten wird.
Hast Du keine Möglichkeit, eine Netzwerkverbindung herzustellen (keine Kabel, keine Netzwerkkarte an einem der Rechner), geht´s auch nicht - ohne Handwerkszeug geht´s halt nicht so.
Was Dir dann noch bliebe ist der Ausbau der Festplatte und sie an einen anderen Desktop-PC (mit aktuellem Antivirus-Programm) mit ranhängen. Vom Notebook auf geht es nunmal nicht mit nichts in den Händen. Vielleicht ein USB-Festplattengehäuse noch irgendwo? Ein kleiner NAS-Server, der irgendwo vor sich hinstaubt? Ein freundlicher Nachbar mit hilfreicher Hardware? Mit dem Noti geht´s sonst eben nicht.
Gruß - ybBln