Показано с 1 по 6 из 6.

проблема с csrcs (заявка № 37245)

  1. #1
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    3
    Вес репутации
    56

    проблема с csrcs

    здрасте! у меня завелся троянчик csrcs.exe
    я вижу его в процессах, вижу что его путь system32 - csrcs.exe но в этой папке не вижу такой программы, даже если смотрю и скрытые файлы.. че за ... не подскажете? и как от него избавиццо?

    Добавлено через 2 минуты

    пробовал убить процесс в Process XP потом вводил команды

    cd %systemroot%\system32
    attrib -s -h csrcs.exe
    del csrcs.exe

    пишеццо что отказано в доступе че за?
    Последний раз редактировалось [v]enom; 12.01.2009 в 23:21. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Логи не прикрепляются?

  4. #3
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    3
    Вес репутации
    56
    не

    Добавлено через 37 секунд

    что такое может быть что я его не вижу? и не могу удалить хотя убивал процесс?
    Последний раз редактировалось [v]enom; 12.01.2009 в 23:47. Причина: Добавлено

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Делайте логи, посмотрим...

  6. #5
    Junior Member Репутация
    Регистрация
    12.01.2009
    Сообщений
    3
    Вес репутации
    56
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\csrcs.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\ALCWZRD.EXE
    C:\WINDOWS\ALCMTR.EXE
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\PROGRA~1\TWEAKM~1\TMTray.exe
    C:\Program Files\TrafficCompressor\TCompres.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Download Master\dmaster.exe
    C:\Program Files\Punto Switcher\ps.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe






    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: TweakMASTER Component - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - C:\PROGRA~1\TWEAKM~1\TweakBHO.dll
    O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
    O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [TweakMASTER] "C:\PROGRA~1\TWEAKM~1\TMTray.exe"
    O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [sXe Injected] C:\Program Files\sXe Injected\sXe Injected.exe
    O4 - HKLM\..\Run: [TrafficCompressor] C:\Program Files\TrafficCompressor\TCompres.exe /Autorun
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Facegame] "C:\Documents and Settings\Администратор\Application Data\Facegame\Facegame.exe" 61A847B5BBF72813349330466188719AB689201522886B092C BD44BD8689220221DD3257
    O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
    O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
    O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
    O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
    O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
    O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
    O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A57A3341-C7C5-4ED6-93F7-FDBDBE2BC5C6}: NameServer = 217.21.51.1,213.184.232.33
    O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: FrontLine Drivers Auto Removal (v2) (sfrem02) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem02.exe
    O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
    O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
    O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/9335~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
    O24 - Desktop Component 1: (no name) - http://www.zeh.ru/shm/photo/lightning/1.jpg

    --
    End of file - 10781 bytes

    Добавлено через 12 минут

    Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Протокол антивирусной утилиты AVZ версии 4.30
    Сканирование запущено в 12.01.2009 23:50:05
    Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09
    Загружены микропрограммы эвристики: 370
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 70476
    Режим эвристического анализатора: Средний уровень эвристики
    Режим лечения: включено
    Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
    Восстановление системы: включено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=07B180)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 80552180
    KiST = 80501044 (284)
    Функция NtCreateKey (29) перехвачена (80618BF8->F74100E0), перехватчик sphz.sys
    Функция NtCreateSection (32) перехвачена (8059F212->BA405C60), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
    Функция NtCreateThread (35) перехвачена (805C5ACC->BA4027F0), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
    Функция NtEnumerateKey (47) перехвачена (80619438->F742ECA2), перехватчик sphz.sys
    Функция NtEnumerateValueKey (49) перехвачена (806196A2->F742F030), перехватчик sphz.sys
    Функция NtOpenFile (74) перехвачена (8056E254->BA4046C9), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
    Функция NtOpenKey (77) перехвачена (80619F8E->F74100C0), перехватчик sphz.sys
    Функция NtOpenProcess (7A) перехвачена (805BFB74->BA4041B0), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
    Функция NtProtectVirtualMemory (89) перехвачена (805AC4B6->BA403F20), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
    Функция NtQueryKey (A0) перехвачена (8061A2B2->F742F10, перехватчик sphz.sys
    Функция NtQuerySystemInformation (AD) перехвачена (80606356->BA404CAE), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
    Функция NtQueryValueKey (B1) перехвачена (80616CB2->F742EF8, перехватчик sphz.sys
    Функция NtReadVirtualMemory (BA) перехвачена (805A81C0->BA403A00), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
    Функция NtSetContextThread (D5) перехвачена (805C61EE->BA404070), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
    Функция NtSetValueKey (F7) перехвачена (806172B8->F742F19A), перехватчик sphz.sys
    Функция NtSuspendThread (FE) перехвачена (805C93F6->BA403C3F), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
    Функция NtTerminateThread (102) перехвачена (805C76BE->BA403DCF), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
    Функция NtWriteVirtualMemory (115) перехвачена (805A82CA->BA405117), перехватчик C:\Program Files\sXe Injected\ddsxei.sys
    Проверено функций: 284, перехвачено: 18, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
    Анализ для процессора 1
    >>> Опасно - подозрение на подмену адреса ЦП[1].SYSENTER=BA40B410 C:\Program Files\sXe Injected\ddsxei.sys
    Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    Драйвер успешно загружен
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 867D81F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 867D81F8 -> перехватчик не определен
    Проверка завершена
    2. Проверка памяти
    Количество найденных процессов: 30
    Количество загруженных модулей: 288
    Проверка памяти завершена
    3. Сканирование дисков
    Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Temp\~DFA333.tmp
    Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe csrcs.exe"
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
    >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
    >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >> Безопасность: разрешен автоматический вход в систему
    Проверка завершена
    9. Мастер поиска и устранения проблем
    >> Модифицирован ключ запуска проводника
    >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
    >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
    >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
    >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
    >> Разрешен автозапуск с HDD
    >> Разрешен автозапуск с сетевых дисков
    >> Разрешен автозапуск со сменных носителей
    Проверка завершена
    Просканировано файлов: 91155, извлечено из архивов: 74031, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 12.01.2009 23:59:26
    Сканирование длилось 00:09:22
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в конференцию - http://virusinfo.info

    Добавлено через 38 секунд



    Добавлено через 1 минуту

    не знаю блин... никак не удаляеццо и не видно его в систем 32 хотя ProcessXP утверждает что путь систем32 - csrcs.exe
    Последний раз редактировалось [v]enom; 13.01.2009 в 01:05. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Маолвато будет. Читайте правила, там написано, что от вас хотят.

  • Уважаемый(ая) [v]enom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Проблема в csrcs.exe
      От XPIOLLIKa в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.01.2010, 13:55
    2. Проблема с файлом csrcs.exe
      От aom1966 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.05.2009, 10:04
    3. Проблема с csrcs.exe
      От Chet в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.02.2009, 14:49
    4. csrcs.exe проблема
      От babylja в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 09:00
    5. Проблема с csrcs.exe
      От халапуп в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.09.2008, 13:02

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00620 seconds with 17 queries