Комп давно по полной не проверяли. После запуска винды csrss.exe постоянно грузит 60-70% ЦП. При запуске нод32 и дрвеб было обнаружено и удалено немало зловредов. Но проблема не исчезла. Помогите пожалуйста.
Комп давно по полной не проверяли. После запуска винды csrss.exe постоянно грузит 60-70% ЦП. При запуске нод32 и дрвеб было обнаружено и удалено немало зловредов. Но проблема не исчезла. Помогите пожалуйста.
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINXP\system32\msvcr71.dll',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tmp11.tmp',''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tmp11.tmp'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=44300
Повторите логи по правилам.
Спасибо за скрипт. А после выполнения скрипта нужно все проверки заново делать и нодом и дрвебом, или только с пункта диагностика? (авз и хайджек). Просто есть некоторые неудобства, так как это не мой комп и я помогаю его лечить и сейчас не на месте.
Скрипт выполнил, карантин прислал. но один файл в карантин не попал. была какая то ошибка (не успел посмотреть перед перезагрузкой), размер его в карантине 0 байт. Логи прилагаю.
что делать?
В карантине был:
C:\DISTRIB\Geosoft\MapInfo\Mapinfo (с компа СанСаныча)\Data\DISCO21\SAAppWiz.exe - Trojan-PSW.Win32.Agent.mur (свежий по ЛК)
Это может означать, что пароли ушли на сторону. Этот файл надо удалить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Удалил файл. Проблема не исчезла, все ужасно тормозит . Что делать дальше?
Файл(ы) csrss.exe - все, что найдете - пришлите по правилам (приложения 2 и 3).
Ок, запустил поиск. кстати, забыл сказать. кроме csrss.exe потоянно работает liveupdate.exe (в процесс эксплорере посмотрел, это программа samsung pc studio, для сотового телефона), тоже сильно грузит процессор, обычно один, но иногда появляется второй. Причем он не убивается в процессах.
Добавлено через 57 минут
Согромным трудом выполнил поиск, нашел 2 файла. Однако по какой то причине мне не удалось добавить с помощью AVZ по спику в карантин. Пишет просто: начато, завершено - и ничего не добавляет. Скопировал их оттуда вручную, запихал в архив и выслал (так можно надеюсь? ).
csrss1.exe это
C:\WINXP\system32\csrss.exe
csrss2.exe это
C:\WINXP\SoftwareDistribution\Download\c83e528397b d1b9e3afbe5c3e88209fa\backup\csrss.exe
Очень надеюсь, что не забросите эту тему. На компьютере работать абсолютно невозможно. Спасибо.
Последний раз редактировалось Organ; 23.04.2009 в 22:42. Причина: Добавлено
Я полагаю, что автообновление Samsung PC Studio не есть архиважная задача, поэтому предлагаю пофиксить в HijackThis:
Возможно, это облегчит жизнь вашему ПК.Код:O4 - HKLM\..\Run: [LiveUpdate] "C:\Program Files\Samsung\Samsung PC Studio 3\\Update\Copyer.exe" -R
А больше ничего подозрительного в логах не видно.
Установите SP3 + последующие обновления.Platform: Windows XP SP2 (WinNT 5.01.2600)
I am not young enough to know everything...
csrss1.exe,
csrss2.exe
Вредоносный код в файлах не обнаружен.
Пофиксил в хайджеке самсунг писи студио, тормоза кончились, исчез процесс Liveupdate.exe и перестал грузиться csrss.exe. Установил SP3, 3 патча по безопасности, установил пароль администратора, отключил запуск со сменных носителей. Что нибудь плохого осталось? Спасибо.
В логах ничего подозрительного. Рекомендуем поставить IE8 - даже если Вы им не пользуетесь.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\distrib\geosoft\mapinfo\mapinfo (с компа сансаныча)\data\disco21\saappwiz.exe - Trojan-PSW.Win32.Agent.mur
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Organ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.