csrss.exe und winlogon.exe

Hallo,
wenn ich im Taskmanager auf Eigenschaften oder Dateipfad anzeigen klicke, passiert nichts.

Sind das Viren?

Gruß
Dario

 

Schädlich sind sie mit Sicherheit, wenn sie nicht im vorgesehenen Systempfad gespeichert sind.
Du kannst auch mal mit Process Explorer nach gucken.

 

Ist es denn so, das wenn mir kein Systempfad (durch Rechtsklick > Dateipfad anzeigen) angezeigt wird? Oder mache ich das falsch?

Habe das Programm mal installiert, nur was mach ich jetzt damit?

 

Prozess Explorer muss nicht installiert werden. Du startest die exe-Datei.
Was für eine Windows Version hast du?

 

Das meinte ich

Windows 7

 

Mit Windows 7 kann ich leider nicht dienen.
Aber der Process Explorer arbeitet bei allen Windowsen gleich.

 

Im Prozess Explorer erscheinen 2 csrss.exe Dateien.
Einmal csrss.exe und darin befindet sich conhost.exe
und dann einmal csrss.exe ohne conhost.exe

Soll ich mal HJT laufen lassen?

 

Dann kannst du etwas "wurmartiges" am laufen haben.

>Soll ich mal HJT laufen lassen?
Wohin soll es denn laufen.
Machen und Logdatei zeigen.

 

Logdatei von HJT:

 

HJT kann so langsam beerdigen ab Windows 7. Normalerweise sollten da laufende Prozesse (Running processes) angezeigt werden.
Mach mal ein DDS-Log. Da sollte dann alles dabei sein.

 

bitteschön:

ps: Es wurden aber schon running processes angezeigt. (Vorherige Seite)

 

RSIT hatte ich nicht gemeint. Ich habe es mir mal angeguckt, aber nichts schädliches darin gefunden.

 

Ich habe noch Malwarebytes am laufen. Wenns fertig ist mache ich das mit D.D.S.

Vorher nochmal eine Frage: In den "running processes" sind ja die beiden von mir genannten Prozesse nicht dabei. Im Taskmanager sind sie aber noch. Wie kann das?

So, jetzt isser fertig.

DDS im Anhang

 

Die sind tatsächlich nicht dabei. manche dieser Tools haben eine Whitelist, in der bekannte Prozesse stehen und die werden dann nicht angezeigt.

Da du ein Ultimate Windows 7 hast, müsste das funktionieren.

in einen Texteditor folgende Zeilen einfügen und die Datei als tasks.cmd abspeichern:

Code:

net start > c:\tasks.txt
tasklist >> c:\tasks.txt
tasklist /svc >> c:\tasks.txt

Die Datei dann in einer Eingabeaufforderung mit Adminrechten ausführen. c:\tasks.txt dann im Anhang hoch laden.

Für XP Home -> http://windowsxp.mvps.org/utils/tasklist.zip
tasklist.exe nach c:\windows\system32\ entpacken.

 

Irgendwie funzt das nicht. Kann es sein, das ich anstatt c:\, e:\ eingeben muss? Da Win7 unter e:\ läuft?

Ich bae die Datei abgespeichert und mit der Eingabeaufforderung gestartet. Es passiert aber nichts, bis auf ein kurzes "aufblinken" von irgendwas...

 

Dann gib in der Eingabeaufforderung mal cmd ein und starte es. Dann kommt eine dauerhafte Eingabeaufforderung, in dem man die Fehlermeldungen lesen kann. Was auf c: läuft ist egal, solange es das Laufwerk gibt und man Schreibrechte darauf hat.

 

Zugriff verweigert.

Ich habe in diese dos-Dingens die abgespeiherte Datei reingezogen. War das so richtig?

 

Hast du die cmd auch mit Adminrechten gestartet?
Du kannst das auch vergessen und eine Logdatei in Process Explorer abspeichern lassen.

 

Ich denke schon. Oder muss ich da speziell was machen?

Log im Anhang:

 

Bei Winlogon.exe und bei csrss.exe fehlt die Dienstbezeichnung.

Bei mir sieht das so aus

Code:

csrss.exe	580		1.716 K	4.688 K	Client Server Runtime Process	Microsoft Corporation
   winlogon.exe	616		9.088 K	5.716 K	Windows NT-Anmeldung	Microsoft Corporation