-
Junior Member
- Вес репутации
- 52
подвисает csrss
Добрый день.
Примерно недель назад комп начал тормозить при открытии практически любых приложений (word excel acrobat и тд). посмотрел пл диспечеру: при запуске практически любого приложения процесс csrss загружает процессор на 100%, проверил ком куреитом он нашел 2 вируса и удалил их, но с csrss все тоже самое + стал подвисать explorer и открыватется папка мои документы при входе в виндовс.
wind xp sp 3
Помогите плиз.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброго времени суток
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\thumbs.db','');
QuarantineFile('D:\Setup.exe','');
QuarantineFile('C:\Documents and Settings\Екатерина\Рабочий стол\tel.wpl','');
DeleteFile('C:\thumbs.db');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscheck.zip и hijackthis.log)
В файл hosts вносили изменения? РАдмином пользуетесь? D:\Setup.exe - знакомый файл?
-
-
Junior Member
- Вес репутации
- 52
Логи сейчас будут, долго скрипты выполняются.
Карантин отправил, в hosts изменения не вносил, radminom пользуюсь, d:\setup.exe понятия не имею че это такое, на этом компе диск D: это CD-ROM и он пустой.
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
-
Junior Member
- Вес репутации
- 52
DefesT, вот логи, вчера так долго скрипты выполнялись какраз из за csrss, около 2 ух часов делались
-
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask('C:\Documents and Settings\USER00\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
ClearHostsFile;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
После перезагрузки:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 52
вот лог.
все сдклал как вы написали, уязвимости все устранены
-
- удалите в MBAM
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
- Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\explorer.exe ','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 52
Удалил MBAM и выполнил скрапт в АВЗ
но при попытке отправить карантин выходит сообщение что данный файл уже был загруже..
-
Пришлите файл C:\WINDOWS\explorer.exe запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 52
-
подождем ответа на карантин
-
-
Junior Member
- Вес репутации
- 52
Я только что увидел что на этом компьютере стоит 3 операционные системы, и система в которой стоит активный виндовс установлена в C:\Winnt а не в C:\windows (приношу извенения, комп не мой а при загрузке список ос не выводится, поэтому сразу этого не заметил).
это критично?
-
-
-
Junior Member
- Вес репутации
- 52
Прикольно!)) и что теперь делать?))
-
делайте логи из под той системы в которой подозреваете что-либо и создаете новую тему
-
-
подождите... так мы ведь и смотрели логи из под системы C:\Winnt
-
-
Junior Member
- Вес репутации
- 52
да и кстати...пока ждал потестил загрузку цп..после наших с вами махинаций csrss стал грузить проц тока при запуске приложений офиса (word excel outlook powerpoint), мне так показалось, я переустановил Office все заработало, стало быстро запускаться, далее перезагрузил комп и опять все по новой..приложения вродебы запускаются нормально, а как только открываешь что нибудь из приложений
Добавлено через 35 секунд
офиса так csrss грузит проц под 100 процентов
Добавлено через 1 минуту
Сообщение от
polword
подождите... так мы ведь и смотрели логи из под системы C:\Winnt
Ну да, я просто недавно это заметил и решил вам об этом сообщить!
Последний раз редактировалось FAT_BOY_SWIN; 23.07.2010 в 17:45.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 52
добрый день, а еще можно что нибудь придумать?