Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

crsrr.exe will online gehen. Kennt jemand diese WinXP Datei?

Andreas Thürmer / 5 Antworten / Baumansicht Nickles

Hallo,
ich benutze Win XP SP1 und die Firewall von Sygate. Seit ein paar
Tagen meldet mir die Firewall direkt nach dem Systemstart daß die
Datei crsrr.exe aus dem Windows\\System32 Verzeichnis online gehen
will. Sie versucht dann mit der IP 66.35.250.150 bei www.slashdot.org
Kontakt aufzunehmen. Allerdings ergab eine Überprüfung bei Arin/Whois,
dass es sich bei der IP um den amerikanischen Provider Savvis handelt.

Kennt jemand die Datei crsrr.exe näher? Laut WinXP Info handelt es
sich um das Client Server Runtime Services Modul. Aber warum sollte
dies "telefonieren"?

Vilen Dank für Eure Infos,
Andreas

bei Antwort benachrichtigen
T-Rex Andreas Thürmer „crsrr.exe will online gehen. Kennt jemand diese WinXP Datei?“
Optionen

Vielleicht hilft das weiter:
http://www.techspot.com/vb/archive/index/t-11430.html

 GrüßeT-Rex 
bei Antwort benachrichtigen
Andreas Thürmer T-Rex „Vielleicht hilft das weiter: http://www.techspot.com/vb/archive/index/t-11430.html“
Optionen

Vielen Dank T-Rex, das hatte ich auch schon gelesen.
Folgende Ergänzung ist wohl noch wichtig: Ich habe schon das komplette System mit den neuesten Signaturen nach Viren abgescannt. Es wurde nichts gefunden. Gegoogled habe ich nach der crsrr.exe auch schon. Da wird aber nicht viel gefunden.
Gruß, Andreas

bei Antwort benachrichtigen
Andreas Thürmer Nachtrag zu: „crsrr.exe will online gehen. Kennt jemand diese WinXP Datei?“
Optionen

Weiteres was mir gestern Abend aufgefallen ist:

Die csrss.exe, wie in dem englischen Beitrag erwähnt, gibt es in meinem System32 Verzeichnis natürlich auch. Die macht auch keine Probleme.

Aber ZUSÄTZLICH gibt es eben auch noch die crsrr.exe, die telefonieren will. Ich habe gestern abend festgestellt daß sie im RUN Verzeichnis der Registry eingetragen ist und sie dort erstmal deaktiviert.

Sie war dort mit der Beschreibung "Printer Service" eingetragen. Da ich einen Canon Drucker habe und in dem Dateinamen auch ein "C" vorkommt, mag das seine Richtigkeit haben. Aber da die Datei online gehen will spricht auch wieder etwas dagegen.

Wenn also jemand auch einen Canon S520 haben sollte, wäre es interessant zu wissen ob dort auch diese Datei vorhanden ist.
Gruß, Andreas

bei Antwort benachrichtigen
T-Rex Andreas Thürmer „Weitere Erkenntnisse zu crsrr.exe“
Optionen

Schau Dir mal die Eigenschaften der Datei an.
Von welchem Hersteller ist die Datei?

 GrüßeT-Rex 
bei Antwort benachrichtigen
Andreas Thürmer T-Rex „Weitere Erkenntnisse zu crsrr.exe“
Optionen

Mittlerweile bin ich mir ziemlich sicher daß es sich hier um eine Spyware handelt.
Es ist erstaunlich, der Urheber dieser crsrr.exe hat ihr die gleichen Eigenschaften
verpasst wie sie die csrss.exe von Windows hat:

Dateiversion: 5.1.2600.0
Firma: Microsoft Corporation
Interner Name: CRSRR.Exe
Originaldateiname: CRSRR.Exe
Produktname: Microsoft® Windows® Operating System
Produktversion: 5, 1, 2600, 0
Sprache: Englisch (USA)
Größe: 51,0 KB (52.224 Bytes)
Größe auf Datenträger: 52,0 KB (53.248 Bytes)

Aber ich habe immer noch keine Ahnung, zu welcher Spyware/Virus die Datei gehört.

Gruß, Andreas

bei Antwort benachrichtigen