WINDOWS XP fragt beim Start nach einer Datei csrcs.exe

Guten Tag.

Auf dem PC meines Kollegen kommt beim Start von Windows XP seit einiger Zeit jedesmal die Mitteilung, daß die Datei csrcs.exe nicht gefunden wird.

Unsere Recherchen ergaben, daß es sich um eine Datei handelt, die Windows nicht benötigt und die man auch nirgens finden (anzeigen) kann. Es sei eine Art Backdoor für Viren und Trojaner.

Leider konnte ich nirgens etwas finden, wie man diese Datei bzw. die Abfrage danach entfernen kann. Der Antivir findet nichts, ad-aware auch nicht. Der Registry-Cleaner hat sie mit angezeigt, aber nach dem Entfernen und einem Neustart ist die Abfrage wieder da.

Im Autostart und im Systemstart (msconfig) finde ich nichts.

Beim googlen kommt man auf

http://www.file.net/prozess/csrcs.exe.html

Aber auch die dort angebotenen Wege lösten das Problem nicht. In den Registryeinträgen, die da genannt sind, steht die Datei nicht drin und ich kann auch nichts verdächtiges da sehen.

Wo fragt XP noch nach zu startenden Programmen? Andere Orte in der Registry? Der Registry-Cleaner findet nichts mehr.

Für eine zweckdienliche Hilfe wären wir sehr dankbar!

Hmmm, scan dein System doch bitte mal mit Hijackthis und poste mal das Ergebnis

Also der Dateiname hat wohl die Aufgabe, auf den ersten Blick wie der Systemprozess csrss.exe zu wirken, von daher würde ich auch wetten, dass es sich um Malware handelt. Zusätzlich zu dem Hijackthis-Log schlage ich vor, einmal nach der Datei zu suchen. Wenn sie nicht gefunden werden kann, würde das entweder auf ein Rootkit hindeuten oder darauf, dass vielleicht dein AV die Datei stillschweigend schon gelöscht hat. Also ggf. noch einen Bericht mit Rootkit Unhooker o.Ä. anfertigen, sofern dich Hijackthis nicht auf die richtige Spur bringt.

Danke erst mal für Eure Tipps - hier geht es leider manchmal nicht so schnell voran. Wir haben HijackThis laufen lassen und der findet auch was (Zeile F2).

Meine Kenntnisse hören aber da auf - ich weiß nicht, ob wir die ganze Zeile einfach mit fix checked löschen können. Bitte noch mal um einen Rat.

Danke

Uli

_____________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:03:37, on 11/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2007 DVD\EDICT.EXE
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Skype\Plugin Manager\skypePM.exe
C:\Archivos de programa\Internet Download Manager\IDMan.exe
C:\Archivos de programa\Internet Download Manager\IEMonitor.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\4.1.509.6972\swg.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [L07EXLRD_8969781] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2007 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download All Links with IDM - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CD90E58-1A34-4615-9AE9-3AA9662FF5FA}: NameServer = 10.7.83.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{92A7A42B-8285-4D14-88CA-102768550E4B}: NameServer = 200.85.32.2,200.85.32.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal ? Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal ? Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

--
End of file - 5776 bytes

Also, du sässt HJT nochmal laufen. Im Programmfenster kannst du vor den von dir genannten Eintrag ein Häkchen setzen. Danach Fix Checked klicken.

Normalerweise würdest du das im abgesicherten Modus tun (damit diese nicht geladen wird und sich so gegen die Änderung wehrt) und dort dann auch die Datei noch per Hand löschen, aber da die Datei bereits nicht mehr gefunden wird, wird sie wohl auch nicht mehr automatisch geladen werden
Zur Sicherheit kannst ja trotzdem nochmal alle Festplatten nach der Datei durchsuchen

Wunderbar - Dank Eurer Hilfe klappt es jetzt wieder. Die Abfrage kommt beim Systemstart nicht mehr. Das Teil selbst hat er mit "suchen" ja ohnehin nicht gefunden.

Also - alles wieder in Ordnung. Vielen Dank für die Hilfe!