-
Junior Member
- Вес репутации
- 53
csrss.exe грузит ЦП + проблема с учеткой
Здравствуйте, уважаемые. У меня возникла такая проблема... Опишу все по порядку.
Началось все с того, что флешевый баннер сомнительного содержания при закрытии открыл мне какой-то сайт (жаль, не запомнил, какой именно), на котором явно имелись подозрительные плагины. Всё быстренько закрыл. Через несколько секунд появилось окно командной строки (буквально на долю секунды), вот тут я заподозрил неладное...
Перезагрузка. Розовый порно-баннер в 2/3 экрана с предложением отправить смс (всё в системе работает, но этот баннер постоянно поверх всех окон). Кое-как в интернете нашел ключики, которые нужно ввести; ввел - баннер исчез и больше не тревожит. Параллельно с этим через "Установку и удаление программ" снес какой-то там тулбар для браузера, появившийся, очевидно, именно тогда (тем более что я никаких тулбаров никогда не ставил).
После этого:
- Google Chrome, из-под которого эта бяка и появилась, перестал работать. Ну то есть он запускается, но по адресной строке тупо никуда не переходит. Но это мелочь, у меня Firefox еще есть (из-под него и пишу).
- В диспетчере задач во вкладке процессов колонка "Имя пользователя" пустая для всех процессов, кроме Idle.
- Загрузка ЦП - 100%. Причем создается она процессом csrss.exe, но загрузка такая "не критичная". Как бы объяснить, некоторые тормоза наблюдаются (в основном на панели задач), но проблем вроде открытия программ по 5 секунд не наблюдаю. Вообще говоря, scrss.exe занимает всё свободное время процессора, но при этом "не требует больше, чем есть".
На всевозможные трояны / черви проверял несколькими утилитами - нигде ничего нет. csrss.exe нормальный, не зараженный, не модифицированный, лежит где должен и т.п. Несколько источников - и, что самое главное, саппорт Microsoft - говорят, что такое поведение csrss.exe бывает тогда, когда повреждена учетная запись пользователя. Собственно, это вполне похоже на мой случай, с учетом неотображения имени пользователя в Диспетчере Задач.
Кстати, насчет неотображения имени пользователя - наткнулся на такое решение этой проблемы: http://sitefrost.com/showthread.php?tid=13655 . Но оно мне не помогает: при запуске этой службы она тут же останавливается, что и дает мне лишний повод думать, что всё это из-за поврежденной учетки.
Грузится всё пока что из-под нее без проблем. Кстати, пробовал создать еще одну и загрузиться из-под нее - там тоже наблюдается загрузка ЦП из-за csrss.exe, но судя по саппорту Микрософт и еще нескольким источникам, csrss.exe будет так себя вести всегда, когда учетка повреждена, независимо от того, под какой учеткой сейчас сидеть.
Вопрос мой таков: можно ли как-то "починить" учетную запись? Если нет, планирую "перебраться" на другую. Тогда другой вопрос: можно ли как-то импортировать большинство настроек на другую учетку (оформление, рабочий стол и т.п... Всякое барахло из Application Data и My Documents перенести могу и вручную, в принципе, просто перенастраивать абсолютно всё не хочется).
Ну и (на всякий случай) что еще это может быть? (а вдруг)
P.S. Проверяющему модератору - извините, если это повторное, в первый раз не загрузилась страница, я подумал, что могло не отправиться.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделайте логи в соответствии с правилами:
http://virusinfo.info/showthread.php?t=1235.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Вот необходимые логи.
Когда необходимо было выключить антивирь, заметил, что как только выключил его (он тоже немало ел ЦП), csrss.exe стал есть тоже ОЧЕНЬ мало и суммарная загрузка процессора была ну максимум процентов 30 (в общем, нормальной). У меня AVG 9, если это важно.
Еще сейчас при двух последних перезагрузках почему-то отключался брандмауэр Windows (пришлось включать вручную).
Буквально вот только что, когда печатал это, выскочила ошибка (у окна иконка Java) с текстом: Installer: Wrapper.CreateFile failed with error 32: Процесс не может получить доступ к файлу, т.к. этот файл занят другим процессом. Если что, у меня стоит Java, которая как раз примерно в это время (минут через 5 после старта системы) лезет в интернет проверять обновления, и я буквально только что закончил эти сканы системы.
Апдейт: сейчас еще раз перезагрузился, брандмауэр все так же после перезагрузки обнаружился в отключенном состоянии, но Java с ошибкой не вылезала.
Последний раз редактировалось FynjyZn; 09.01.2010 в 09:28.
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=66484).
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Карантин прислал
Логи сейчас сделать банально не успеваю - надо очень срочно ехать на другой конец города... Вернусь через 2.5 часа и тут же сделаю.
Но пока что по наблюдениям:
- В какой-то момент после очередной перезагрузки имена пользователей вернулись на место в Диспетчере Задач (без каких-либо едйствий с моей стороны)
- После исправления через HiJackThis перестал вырубаться брандмауэр при старте системы
- После AVZ - пропала нагрузка на ЦП.
Вроде бы всё работает отлично. Но вы все-таки посмотрите логи (скину как только приеду, сразу же) на всякий случай... Спасибо!
-
Junior Member
- Вес репутации
- 53
Вот логи (извините, что позднее, чем обещал). Пока что "симптомов" больше нет.
-
Junior Member
- Вес репутации
- 53
Да, и еще один вопрос. 7 процессов svchost.exe - нормально? Просто никогда особо не смотрел, сколько именно их у меня. 3 запущены от имени SYSTEM, 2 - NETWORK SERVICE, 2 - LOCAL SERVICE. От имени User1 ни одного.
-
В логах ничего плохого.
Рекомендуется установить SP3 и последующие обновления.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Спасибо за помощь!
Один маленький вопрос остался - вы можете сказать, что за вирус был? (конкретный, в том карантинном файле). Дело в том, что есть небольшое подозрение, что с моего компьютера он попал через флешку на компьютер знакомого, т.к. там тоже недавно началась странная деятельность.
-
В карантине были только безвредные файлы, а зловредный sdra64.exe туда не попал. Вообще-то это скорее всего троян семейства ZBot, заточенный под кражу паролей, так что поменяйте их на всякий случай, особенно если пользуетесь электронными платежными системами. А вот через флешки этот троян, так же как и порнобаннеры, не передается.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 53
Есть небольшое подозрение, что чуть-чуть недолечили.
При загрузке системы в диспетчере задач наблюдаются два процесса wmiprvse.exe (вставил скриншоты из него и из AVZ). Один из них примерно минуты через две пропадает.
Еще подозрение вызвал wmiapsrv.exe.
Также два процесса wuauclt.exe, тоже один через какое-то время пропадает. Причем один из них запущен от имени User1. В папке рядом с ним нашелся также wuauclt1.exe.
На всё это virustotal.com выдает 0/41, но хотелось бы все-таки окончательно разобраться, что это... Или я паникую напрасно?
Поскольку не уверен, что это именно случай, когда надо отправлять файлы в карантин, заархивировал их все вместе в архив с паролем virus (в аттаче). Все они лежали в своих "законных" системных папках и дубликатов на диске я не обнаружил.
P.S. Насколько я понимаю, в C:\WINDOWS\SoftwareDistribution\Download\a50daa009 f8a7e7bb00fe145d2709bd7 хранится нечто вроде резервных копий файлов, так вот, если сравнивать размеры:
wmiprvse - в wbem 227*840 байт, в "резервной папке" - 218*112 байт
wmiapsrv - в wbem 126*464 байт, в "резервной папке" - 126*464 байт
wuauclt - в system32 53*472 байт и нет иконки, в "резервной папке" - 111*616 байт и есть иконка
wuauclt1 - в system32 166*912 байт, в "резервной папке" 166*912 байт (эта штука вообще никак себя не проявляет и, как видите, идентична, но имя файла несколько подозрительное...)
P.P.S. Сейчас wmiprvse вообще нет в памяти (минут 10 с загрузки системы прошло), wmiapsrv.exe - один, SYSTEM, wuauclt.exe - один, User1. Память / процессорное время не грузят, но мало ли это ошметки старого вируса...
Последний раз редактировалось FynjyZn; 15.09.2010 в 21:28.
-
Это Windows Management и автоматическое обновление.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-