csrss.exe
- Status
Volgens mij is dit niet gevaarlijk en hoort het gewoon bij Windows. Wat wel eens kan doen is dit http://www.pctuts.be/f404/vermoeden-een-infectie-volg-eerst-deze-stappen-35570/
zoals alle bestanden kan ook het windows-proces csrss.exe besmet geraken door een injectie van kwaadwillende code.
als het niet besmet is, is het een essentieel onderdeel van windows: het Client/Server Run-time SubSystem zorgt voor de aanmaak/verwijdering van threads in de windows-console op programmaniveau en helpt bij het toepassen van de 16-bit virtual MS-DOS-omgeving. als het op de juiste plaats in je pc staat vindt je het terug in de %system%-directory, maar je kan het op de meest onmogelijke plaatsen tegenkomen als het een besmette versie is, die daar geplaatst is door een malwaregen.
omdat het zo'n essentieel deel is van windows is het zo gevoelig aan aanvallen, omdat dat de aanvaller virtueel vrij spel geeft om je pc te herprogrammeren...
de reden waarom je vaak verwarrende info vindt over een bestand op het internet is dus omdat niet alle versies van het bestand die gecontrolleerd worden besmet zijn. in DEZE database bijvoorbeeld zijn er 353 versies van csrss.exe bekend, waarvan 50% besmette. hoe weet je nu welke 'versie' je hebt? elk bestand krijgt een unieke sleutel of hash, die bekend staat als MD5, een soort van algoritme dat de integriteit van een bestand kan nakijken. het is eigenlijk een soort geheimschrift dat een unieke verificatiecode uitvindt voor alles wat je maar kan typen. het heeft een 128-bit encryptie (zoals ook SSL) en is dus als erg veilig bekend. met een eenvoudig programma als ShowMD5:Bekijk bijlage showmd5.rar kan je elke hash van een programma opvragen en op basis daarvan online laten controleren.
een voorbeeldje: de MD5: 342271F6142E7C70805B8A81E1BA5F5C van csrss.exe is NIET besmet en de MD5: 2AF65D0A85EC82B2FF223915A1226B4A is WEL besmet.
alle antivirusprogramma's hebben in hun database een lijst met gekende besmette bestanden op basis van MD5 en herkennen zo malware.
een voorbeeldje: 8e1a45488b807b0bb03c6cb10eb0ce98 is in de MD5-taal de vertaling van "pctuts is de beste site ter wereld" als ik nu een hacker ben en die zin verander naar "pctuts is niet de beste site ter wereld" wordt dit vertaalt in md5 naar 0193ffe74ed15a696efad0634fb96f92. mijn antivirus gaat dus tilt slaan als die ergens in de besmette pc de hash 0193ffe74ed15a696efad0634fb96f92 tegenkomt en herkent op basis van zijn database, want natuurlijk is pctuts wél de beste site ter wereld
daarom krijg je de tip van Tuts om te scannen met MBAM. dan kan je zeker zijn of jou csrss.exe niet besmet is :duimop:
als het niet besmet is, is het een essentieel onderdeel van windows: het Client/Server Run-time SubSystem zorgt voor de aanmaak/verwijdering van threads in de windows-console op programmaniveau en helpt bij het toepassen van de 16-bit virtual MS-DOS-omgeving. als het op de juiste plaats in je pc staat vindt je het terug in de %system%-directory, maar je kan het op de meest onmogelijke plaatsen tegenkomen als het een besmette versie is, die daar geplaatst is door een malwaregen.
omdat het zo'n essentieel deel is van windows is het zo gevoelig aan aanvallen, omdat dat de aanvaller virtueel vrij spel geeft om je pc te herprogrammeren...
de reden waarom je vaak verwarrende info vindt over een bestand op het internet is dus omdat niet alle versies van het bestand die gecontrolleerd worden besmet zijn. in DEZE database bijvoorbeeld zijn er 353 versies van csrss.exe bekend, waarvan 50% besmette. hoe weet je nu welke 'versie' je hebt? elk bestand krijgt een unieke sleutel of hash, die bekend staat als MD5, een soort van algoritme dat de integriteit van een bestand kan nakijken. het is eigenlijk een soort geheimschrift dat een unieke verificatiecode uitvindt voor alles wat je maar kan typen. het heeft een 128-bit encryptie (zoals ook SSL) en is dus als erg veilig bekend. met een eenvoudig programma als ShowMD5:Bekijk bijlage showmd5.rar kan je elke hash van een programma opvragen en op basis daarvan online laten controleren.
een voorbeeldje: de MD5: 342271F6142E7C70805B8A81E1BA5F5C van csrss.exe is NIET besmet en de MD5: 2AF65D0A85EC82B2FF223915A1226B4A is WEL besmet.
alle antivirusprogramma's hebben in hun database een lijst met gekende besmette bestanden op basis van MD5 en herkennen zo malware.
een voorbeeldje: 8e1a45488b807b0bb03c6cb10eb0ce98 is in de MD5-taal de vertaling van "pctuts is de beste site ter wereld" als ik nu een hacker ben en die zin verander naar "pctuts is niet de beste site ter wereld" wordt dit vertaalt in md5 naar 0193ffe74ed15a696efad0634fb96f92. mijn antivirus gaat dus tilt slaan als die ergens in de besmette pc de hash 0193ffe74ed15a696efad0634fb96f92 tegenkomt en herkent op basis van zijn database, want natuurlijk is pctuts wél de beste site ter wereld
daarom krijg je de tip van Tuts om te scannen met MBAM. dan kan je zeker zijn of jou csrss.exe niet besmet is :duimop:
Laatst bewerkt:
laatste activiteit van Roytje op de site: gisteren om 18.35u. Blijkbaar heeft ie geen zin om op de post nog te antwoorden. hier gaat een slot op. we houden ook rekening met al-dan-niet-snelle opvolging van zijn volgende vra(a)g(en).
- Status