Ich kann einen Prozess nicht beenden / entfernen, den ich für einen Keylogger halte

5166
TheJarrHead

Ich habe den Verdacht, dass der Prozess "OSRSS" (siehe unten) eine Art Virus ist, obwohl ich glaube, dass es sich hierbei insbesondere um einen Keylogger handelt.

Der Prozess heißt OSRSS


Wenn ich den Speicherort der Datei überprüfe, wird der Pfad "C: \ WINDOWS \ System32 \ svchost" angezeigt. Dies ist, soweit ich das beurteilen kann, eine legitime Datei am richtigen Speicherort. Wenn ich die Aufgabe jedoch über den Task-Manager beenden möchte, wird mir der Zugriff verweigert, wie das Bild unten zeigt.

Der Zugriff auf die Aufgabe wird verweigert

Ich habe es sowohl mit Kaspersky als auch mit Malwarebytes gescannt, und beide sagen mir, dass die Datei "svchost" am angegebenen Ort virenfrei ist. Ich habe jedoch das Gefühl, dass sie falsch sind, da ich mehrere andere Windows 10-Computer überprüft habe und keiner von ihnen einen Prozess namens "OSRSS" hat.

Ich glaube, dieses Problem trat auf, als ich ein Videospiel namens "Old School Runescape" zusammen mit verschiedenen verwandten Programmen, von denen mir gesagt wurde, auf den Computer heruntergeladen wurden. Ich habe seitdem alle heruntergeladen, die ich in den letzten Tagen heruntergeladen habe und die ich leicht finden konnte. Ich glaube, und vielleicht paranoid, dass dieses "OSRSS" lose in dieses Videospiel "Old School Runescape" oder "OSRS" eingebunden ist.

Meine Frage gliedert sich effektiv in drei Teile:

  1. Würden sowohl Malwarebytes als auch Kaspersky garantieren, dass es meinem Computer gut geht, und ich bin nur paranoid?
  2. Wie entferne ich diesen Vorgang vollständig von meinem Computer, wenn es sich um einen Virus handelt?
  3. Im schlimmsten Fall würde das Zurücksetzen meines Computers auf die werkseitigen Standardeinstellungen diese Lösung lösen, oder ist dieser Keylogger in die für die Ausführung von Windows erforderlichen Dateien eingebettet, um zu verhindern, dass dies eine Lösung ist?
1
Welche Forschung haben Sie dazu unternommen? Ich habe schnell https://www.bleepingcomputer.com/startups/ctfnom.exe-12370.html gefunden, die angibt, wo man danach suchen soll, und das sollte Wege vorschlagen, um es loszuwerden - vielleicht im abgesicherten Modus hochfahren und Wenn Sie sich dann als Computeradministrator anmelden, können Sie ihn löschen. Jeff Zeitlin vor 6 Jahren 0
Was Sie betrachten, ist ein Service-Host. Der eigentliche Vorgang befindet sich auf der Registerkarte "Details". Da es als Dienst ausgeführt wird, kann es nicht angehalten werden, ohne dass der Task-Manager erhöht ausgeführt wird. Wenn Sie den Dienst nicht beenden, wird er höchstwahrscheinlich auch automatisch neu gestartet. Daniel B vor 6 Jahren 0

4 Antworten auf die Frage

1
MEZ

Andere haben die gleiche Frage an Microsoft gestellt, die Sie unter diesem Link finden

https://answers.microsoft.com/de-de/windows/forum/windows_10-other_settings/os-remediation-system-service/671c62b2-705a-44c1-870d-e1ed6555be37

Zitat von der oben genannten Webseite: "OS Remediation System Service ist ein legitimer Dienst von Microsoft, der im Update KB4056254 enthalten ist. Wir suchen noch nach zusätzlicher Dokumentation, die die vollständige Beschreibung des Dienstes enthält. In der Zwischenzeit können Sie diesen Link zum Update überprüfen wo osrss enthalten ist. "

Link auf OSRSS https://support.microsoft.com/de-de/help/4056254/windows-10-update-facilitation-service

0
Dailen

Ihre sicherste Wette ist, den abgesicherten Modus zu verwenden, den Dienst in deaktiviert zu setzen oder ihn gegebenenfalls aus der Registrierung HKLM \ SYSTEM \ CurrentControlSet \ Services zu entfernen (Sie müssen den Dienst mit dem entsprechenden Namen in diesem Schlüssel suchen).

Alternativ dazu habe ich, ohne im abgesicherten Modus zu booten, Erfolg gehabt, zuerst einen Dienst von AUTO -> MANUAL (aka On Demand) zu ändern, den Dienst zu stoppen und dann zu deaktivieren. Sie können dies tatsächlich mit ein paar Befehlen erreichen:

sc config "service name" start=demand​ net stop "service name"​ sc config "service name" start=disabled​
Sie können auch Sysinternals (jetzt Teil von MS) * Autoruns * verwenden, um den Dienst zu deaktivieren. Führen Sie * Autoruns * als Administrator aus. DrMoishe Pippik vor 6 Jahren 0
0
dCarMal

Ich habe vor nicht langer Zeit ein ähnliches Problem bekommen. Suchen Sie die Datei mit dem Task-Manager (rechte Maustaste, gehen Sie zum Dateispeicherort). Es wird wahrscheinlich einen Datei-Explorer öffnen und den gleichen Berechtigungsfehler auslösen, versuchen Sie jedoch, den Ordner zumindest zu erhalten. Dann holen Sie sich einen Linux-bootfähigen USB-Stick, booten Sie von dort und löschen Sie die Datei / den Ordner, in dem sich das verdächtige Programm befindet.

Auch zwei Notizen:

Stellen Sie zunächst sicher, dass es sich nicht um einen Systemprozess handelt. Überprüfen Sie die anderen Antworten oder durchsuchen Sie die Microsoft Support-Seite.

Und zweitens, zumindest in meinem Fall, hat das verdammte Ding eine überflüssige, aber ausschließende Gruppe von Admins geschaffen, die selbst mit meinem Benutzer nicht gelungen ist, und ich weiß nicht, ob Microsoft eine Lösung gefunden hat (Dies ist wahrscheinlich nicht der Fall). Denken Sie daran, dass Sie das System möglicherweise wiederherstellen oder neu installieren müssen.

Viel Glück.

-1
Thimo Demey

Sie sollten sich Hirens Stiefel ansehen . Ich benutze dies seit ungefähr 4 Jahren und es ist sehr einfach für alle Arten von Computerproblemen zu verwenden. Folgen
Sie einfach der Anleitung, wie Sie Hiren's Boot von CD verwenden .
Wenn Sie einen startfähigen USB-Stick oder eine CD erstellt haben (je nachdem, was Sie bevorzugen), können Sie eine Mini-Windows XP-Version starten. Von dort aus haben Sie Zugriff auf alle Arten von Software wie Viren- und Malware-Scanner. Es gibt auch einige Tools, die es Ihnen ermöglichen, Dinge von Ihrem PC zu löschen, die Sie zuvor nicht konnten.

Aber seien Sie vorsichtig, denn viele dieser Werkzeuge sind leistungsstark.

Verwandte Probleme