csrss.exe ein Virus?

[Smokey_Bud]

Hallo zusammen,

mein Anti-Virus Programm (AVG) hat mir plötzlich gemeldet, dass es die Datei csrss.exe blockiert hat.

Ich hab natürlich sofort gegoogelt, was es mit der Datei auf sich hat. Bei dem was ich gefunden habe, kann es sich bei der Datei um einen Virus handeln, wenn sie sich nicht im üblichen Ordner, nämlich C:\Windows\System32 befindet. Ist sie in einem anderen Ordner, ist es sehr wahrscheinlich ein Virus.

Der Prozess csrss.exe darf nicht einfach so beendet werden, da man sonst einen Bluescreen bekommt. Daher gehe ich mal davon aus, dass wenn man die echte csrss.exe blockiert, man Probleme mit seinem System bekommt.

So gelesen z. B. hier: https://www.netzwelt.de/task/162912-csrssexe-prozess-virus-gehoert-datei-windows.html

Das Problem ist, die Datei die mein Antiviren-Programm als gefährlich erkannt hat, liegt im richtigen Ordner, also dort, wo sie liegen sollte, wenn es sich um die original Systemdatei von Windows handelt, in C:\Windows\System32.

Ist das jetzt ein Virus oder nicht? Ich möchte nicht fälschlicherweise die echte Datei in die Qurantäne schieben und mein System schrotten. Aber warum sollte AVG die echte Datei als Malware anzeigen? Und wenn das Malware ist, wo ist dann die echte Datei? Vielleicht handelt es sich auch um ein bekanntes Fehlverhalten von AVG? Was soll ich machen?

 

[Slashchat]

If the csrss.exe file is in any other directory, you have a problem. Some malware programs disguise themselves as csrss.exe to avoid suspicion. (Additional copies of the file may be in other directories, but they shouldn’t be running from that directory.)

RELATED: What’s the Best Antivirus for Windows 10? (Is Windows Defender Good Enough?)

Whether you see a csrss.exe file in the wrong folder or you’re just concerned you might have malware in general, you should run a system scan with your preferred antivirus tool. It will check your PC for malware and remove anything it finds.

online anti malware laufen lassen wenn kein tool auf dem rechner ist.

 

[bin/bash]

Hi,
also IDP.ALEXA.51 ist in der Tat ein Trojaner, entweder ist das nur eine Falschmeldung seitens AVG oder der Trojaner getarnt. Du könntest eventuell den Hash der Datei prüfen ob der von anderen abweicht. Die .exe sollte auf alle Fälle von Microsoft signiert sein, siehe Eigenschaften.

Gruß

 

[BFF]

Bei AVG ein Ticket aufmachen.
Waere nicht das erste Mal, das eine AV eine Systemdatei "killen" will.

https://support.avg.com/answers?id=906b0000000LTe4AAG

BFF

 

[xxMuahdibxx]

weiterhin kann man auch die Dateigröße sich mal anschauen ... wenn die Abweichend ist von dem was so im Web steht kann man auch eher von einer Infektion ausgehen ... sowie mal das Änderungsdatum sich anschauen.

 

[Smokey_Bud]

Habe mal beim Support von AVG angefragt. Wie im Link von BFF zu sehen ist, scheint AVG ja schon mal genau diesen Trojaner fälschlicher Weise "entdeckt" zu haben. Auf der anderen Seite passt die Dateigröße z. B. mit keiner der Dateigrößen zusammen, die auf dieser Seite hier angegeben werden: https://www.file.net/prozess/csrss.exe.html

Wie groß ist die Datei denn bei euch?

 

[Keine Geduld!]

Oder Du deinstallierst AVG und lässt das mittlerweile sehr gute Win10 (Windows

Defender) den Job machen.

 

[Sephe]

Klick Mal auf digitale Signaturen

 

[BFF]

Welches OS hast Du denn genau? Schau nach mit "winver". Vermutlich hast Du noch W10 1803.
Die Dateigroesse variiert mit den Versionen und lokalen Sprachen.

Kannst die Datei ja mal bei Virustotal hoch laden.

BFF

 

[M@rsupil@mi]

Auf der anderen Seite passt die Dateigröße z. B. mit keiner der Dateigrößen zusammen, die auf dieser Seite hier angegeben werden:

Die Datei hat bei mir exakt die gleiche Größe 17.696 Bytes, das gleiche Datum (12.04 und 01:34:22) und ist von MS digital signiert.

 

[CMDCake]

mein Anti-Virus Programm (AVG) hat mir plötzlich gemeldet, dass es die Datei csrss.exe blockiert hat

AVG ist hier in diesem Fall die Maleware. Hier wird versucht das System zu sabotieren indem wichtige Systemdateien gelöscht werden. Ich würde Abstand von dem Crap nehmen und den Defender nutzen, aber hier kommen sicherlich gleich wieder die üblichen Verdächtigen die auch das wieder kleinreden

 

[abulafia]

Das steht auch was von "Verhaltensschutz". Wird also die Heuristik sein, die über Ziel hinausschießt.

 

[0-8-15 User]

Ich würde ebenfalls empfehlen das Antivirusprogramm zu deinstallieren. Der Nutzen geht gegen null, und der potenzielle Schaden, den es anrichten kann, ist groß. Oben drauf kommt noch der Performanceverlust, der mit der "Liveüberwachung", einhergeht.

 

[chrigu]

Die Datei bei virustotal scannen lassen

 

[hantelfix]

mal adwcleaner benutzen
https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

[Smokey_Bud]

Habe ein Ticket bei AVG geöffnet. Es ist wohl tatsächlich ein False Positive.

Weil jemand hier die digitale Signatur sehen wollte:

Ich denke es ist wirklich alles in Ordnung damit. Hier ist der VirusTotal Upload:
https://www.virustotal.com/gui/file...f0d07c7915be86cfd595cc4c222504e98b1/detection

Also wenn der Windows Defender tatsächlich mittlerweile so gut ist, werd ich mal drüber nachdenken AVG einfach vom Rechner zu schmeißen. Gibt es wahrscheinlich sicher solche und solche Meinungen wie du schon sagst @CMDCacke.

 

[purzelbär]

Ich würde ebenfalls empfehlen das Antivirusprogramm zu deinstallieren. Der Nutzen geht gegen null, und der potenzielle Schaden, den es anrichten kann, ist groß. Oben drauf kommt noch der Performanceverlust, der mit der "Liveüberwachung", einhergeht.

Performanceverlust hat er mit jedem Virenschutz Programm mit Echtzeitschutz, auch mit dem in Windows 10 integrierten Windows Defender Antivirus. Ich würde bei mir bei so einer Meldung die Datei nicht in Quarantäne verschiebem lassen, sondern zu Ausnahmen hinzufügen und diese dann als False Positive Meldung an AVG bzw in meinem Fall an Avast schicken mit der Bitte diese erneut zu prüfen und dann zeitnah auch manuell die Signaturendatenbank aktualisieren. Wegen der Angst das Windows durch so etwas zerschossen werden kann: auch dafür hat man als mitdenkender User zeitnahe Systemsicherungen/images/backups seiner Windows Partition auf einer externen USB Festplatte gespeichert. Wenn nicht, dann haben solche User Pech und machen das vielleicht zukünftig.

 

[Smokey_Bud]

Also laut diverser Artikel ist der Windows Defender zwar deutlich besser geworden, aber kann immer noch nicht mit den gängigen Anti-Viren-Programmen mithalten, wie man z. B. hier lesen kann:
https://www.netzsieger.de/ratgeber/windows-defender-als-virenschutz-ausreichend

z. B. Zero-Day-Schädlinge kann der Windows Defender überhaupt nicht erkennen.

Kommt glaub ich ein bisschen auf das eigene Nutzerverhalten an, ob der Windows Defender ausreichend ist oder nicht. Ich würde für mich behaupten, dass es für meine Zwecke doch besser ist, ein etwas besseres Anti-Viren-Programm zu haben, das auch neue Viren-Varianten möglichst zuverlässig erkennt.

 

[cbtestarossa]

Schau dir besser mal Kaspersky Free an
Habe so gut wie alle AVs getestet und bin nun auch bei Kaspersky.
Benötigt wenig Power und super konfigurierbar.

Ansonsten bleibt noch der Defender oder Bezahlversionen von anderen AVs.

 

[purzelbär]

Unabhängig davon welchen Virenschutz du verwenden möchtest, mach dir Gedanken darum wie du dein Windows sonst noch absichern kannst und mach regelmässige Backups dir wichtiger Dateien und von Windows wenn du es noch nicht machst. Für Systembackups gibt es genug kostenlose Backup/Image Programme mit denen du das machen kannst: Aomei Backupper Standard, Macrium Reflect Free, Easeus Todo Backup Free, Paragon Bacckup & Recovery Free um nur mal 4 zu nennen.