Показано с 1 по 13 из 13.

Win Trojan csrss.exe, SVCHOST.EXE 90-100% и т.д. (заявка № 4881)

  1. #1
    Renatolla
    Guest

    Win Trojan csrss.exe, SVCHOST.EXE 90-100% и т.д.

    Еле вылез в инет.
    У меня процесс svchost.exe грузит CPU 90-100%.
    Kaspersky обнаружил not-a-virus:Adware.Win32.CommAd.a, not-a-virus:Adware.Win32.Look2me.ab, Trojan-Downloader.Win.32.Qoologic.at, Trojan.Win32.pakes.
    Скачанный MS Antispyware нашел и удалил 9 шпионов но постоянно всплывает окошко MS Antispyware has blocked a possible Windows Trojan c:\Windows\csrss.exe (в windows файла нет, есть в system32)
    AVZ также нашел 2 вируса и какие то ошибки. Щас исчезли.
    КАК ВСЕ ЭТО ЛЕЧИТЬ???

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Renatolla
    Guest
    R-Firewall кстати выводит окно, где говорится что svchost хочет подключиться к IP 85.255.117.165

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Renatolla
    Еле вылез в инет.
    ....
    КАК ВСЕ ЭТО ЛЕЧИТЬ???
    Для начала, ради разнообразия прочитать правила этого раздела и сделать логи.
    Последний раз редактировалось RiC; 25.02.2006 в 19:02.

  5. #4
    Renatolla
    Guest
    Антивирус - Касперский Personal.
    Логи эти нужны?
    Вложения Вложения

  6. #5
    Renatolla
    Guest
    Как убить csrss.exe? Достал уже.....

  7. #6
    Renatolla
    Guest
    В хостах windows было прописано с двацатцать веб-адресов, все рекламные. Удалил вручную.
    В логе авз "Модули расширения проводника" почти все файлы были заражены not-a-virus:Adware.Win32.Look2me.ab. Они вроде заново генерятся.
    Кстати, щас свцхост ничего не грузит, и памяти не требует.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Renatolla
    Как убить csrss.exe? Достал уже.....
    Как обычно - AVZ "Файл"->"Отложенное удаление" выбрать -
    c:\windows\csrss.exe
    и перезагрузится, если не жалко нам пришлите перед смертью
    ещё пришлите -
    C:\WINDOWS\System32\wbem\wmiprvi.dll
    А то у меня кофейная гуща подгорела, непойму от чего ерунда

    Потом логи на проверку.

  9. #8
    Renatolla
    Guest
    Так его нет в папке windows. Удалять тот что в windows/system32?
    Вы логи посмотрели? Че там вообще вызывает свхост?

  10. #9
    Renatolla
    Guest
    Heeelp! Понеслось. Kavsvc занял 90% и борется с csrss.exe.
    Выводит сообщение что windows\csrss.exe является Backdoorom Backdoor.Win32.Sdbot.ang
    Обнаружено 170 вирусов удалено 2.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Renatolla
    Так его нет в папке windows.
    Должен быть, а если а AVZ включить противодействияе руткитам на закладке с настройками и попытаться добавить его из каталога Windows в "Карантин ?

    Цитата Сообщение от Renatolla
    Удалять тот что в windows/system32?
    Нет, это "правильный" csrss.exe его нельзя трогать,

    Цитата Сообщение от Renatolla
    Вы логи посмотрели? Че там вообще вызывает свхост?
    Да.
    Поэтому и попросил прислать -
    C:\WINDOWS\System32\wbem\wmiprvi.dll
    какая-то левая "пиявка" к svchost без опозновательных знаков.

    С csrss.exe попробуем поступить подругому -
    Пуск -> Выполнить 3 команды
    sc stop csrss
    sc config csrss start=disabled
    sc delete csrss


    + ещё зачистка
    в hijack поставить галки напротив и нажать "Fix".
    O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\en0ol1d31.dll (file missing)
    O20 - Winlogon Notify: jkhhf - jkhhf.dll (file missing)
    O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\0OXt4PI\command.exe (file missing)
    O23 - Service: Windows Service Manager (csrss) - Unknown owner - C:\WINDOWS\csrss.exe
    O23 - Service: MsHS64 - Unknown owner - C:\WINDOWS\MsHS64.exe (file missing)
    O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)

    Перезагрузитесь и повторите логи, посмотрим что получится.


    Цитата Сообщение от Renatolla
    Heeelp! Понеслось. Kavsvc занял 90% и борется с csrss.exe.
    Выводит сообщение что windows\csrss.exe является Backdoorom Backdoor.Win32.Sdbot.ang
    Обнаружено 170 вирусов удалено 2.
    А говорили нет ... давайте попробуем помочь Каву - AVZ - Сервис=>Диспечер процессов, находим того, который сидит в Windows, правой кнопкой - Завершить процесс.
    Последний раз редактировалось RiC; 25.02.2006 в 20:25.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от RiC
    C:\WINDOWS\System32\wbem\wmiprvi.dll
    А то у меня кофейная гуща подгорела, непойму от чего ерунда
    Не похоже гуща не подгорела, а в самый раз -
    http://virusinfo.info/showpost.php?p=67414&postcount=20
    Троян - AVZ - Файл -> Отложенное удаление
    ну как обычно.

  13. #12
    Renatolla
    Guest
    Все сделал. Указанный подозрительный файл удалил. Hijackthis-ом профиксил. Три команды выполнил. Все работает. Проблема исчезла. С Вашего позволения сплюну три раза...
    Единственно чего не понял-утром запускал Касперского, он обнаружил 4498 вирусов, столько же удалил. Это были файлы из папки c:\program files\microsoft antispyware\Deactivated items.
    Каждый был Backdoorom Backdoor.Win32.SdBot.ang
    Вот логи..

    Благодарю Вас за помощь. Большое Вам спасибо! (даже если еще рано радоваться)
    Напоследок посоветуйте пожалуйста хороший бесплатный фаерволл. (если такой имеется в природе)
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Чистенько.
    Из фаерволов бесплатные и довольно сьедобные Kerio, Zone alarm

    Да собственно - http://virusinfo.info/showthread.php?t=3721 почти полный список бесплатного в сети.

  • Уважаемый(ая) Renatolla, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 28.05.2011, 22:30
    2. prob with svchost.exe, rundll.exe and csrss.ese
      От shanky в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 30.04.2010, 11:23
    3. Trojan-PSW.Win32.Agent.mzh в svchost.exe/svchost.exe
      От Geonov в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.09.2009, 18:51
    4. Ответов: 6
      Последнее сообщение: 30.06.2009, 21:22
    5. Ответов: 11
      Последнее сообщение: 22.02.2009, 06:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00315 seconds with 20 queries