Junior Member
Вес репутации
62
CSRSS загружает процессор
Вот я и завирусел. Началось с того, что комп стал уходить на перезагрузку. Выяснилось, что ругается на lzx32.sys. Нашел программулину Rustbfix.exe. Выполнил. Перезагружаться перестал. AVZ кое-что поудалял. CureIt тоже что-то почистил. Но проблема остается. Это прежде всего CSRSS загружает комп так, что работать можно с трудом. Причем иных CSRSS.exe чем в каталоге system32 я не нашел. В общем помогайте.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
62
PS Winlogon.exe тоже пожирает ресурсы ЦП (процентов 10 постоянно). CSRSS.exe где-то 80%
Скачайте утилиту WinSockFix она понадобится, если после нижеследующего скрипта пропадет интернет
Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\YourSiteBar\ysb.dll','');
QuarantineFile('trafracp.dll','');
QuarantineFile('jpgstat.dll','');
QuarantineFile('jpgmgr32.dll','');
QuarantineFile('drvstat.dll','');
QuarantineFile('drvmgr32.dll','');
QuarantineFile('diagisr.dll','');
QuarantineFile('confdrv.dll','');
QuarantineFile('C:\WINDOWS\umkttv.exe','');
QuarantineFile('C:\WINDOWS\system32\shfoxpob.dll','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\svcht323.exe','');
QuarantineFile('C:\WINDOWS\system32\uijldosjq.dll','');
QuarantineFile('C:\WINDOWS\system32\confjpg.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('\Device\HarddiskVolume1\Program Files\Internet Explorer\iexplore.exe','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
QuarantineFile('c:\cp1041.nls','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\system32\confjpg.dll');
BC_DeleteFile('C:\WINDOWS\system32\confjpg.dll');
DeleteFile('C:\WINDOWS\system32\uijldosjq.dll');
BC_DeleteFile('C:\WINDOWS\system32\uijldosjq.dll');
DeleteFile('C:\WINDOWS\svcht323.exe');
BC_DeleteFile('C:\WINDOWS\svcht323.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\system32\shfoxpob.dll');
BC_DeleteFile('C:\WINDOWS\system32\shfoxpob.dll');
DeleteFile('C:\WINDOWS\umkttv.exe');
BC_DeleteFile('C:\WINDOWS\umkttv.exe');
DeleteFile('confdrv.dll');
BC_DeleteFile('confdrv.dll');
DeleteFile('diagisr.dll');
BC_DeleteFile('diagisr.dll');
DeleteFile('drvmgr32.dll');
BC_DeleteFile('drvmgr32.dll');
DeleteFile('drvstat.dll');
BC_DeleteFile('drvstat.dll');
DeleteFile('jpgmgr32.dll');
BC_DeleteFile('jpgmgr32.dll');
DeleteFile('jpgstat.dll');
BC_DeleteFile('jpgstat.dll');
DeleteFile('trafracp.dll');
BC_DeleteFile('trafracp.dll');
DeleteFile('C:\Program Files\YourSiteBar\ysb.dll');
BC_DeleteFile('C:\Program Files\YourSiteBar\ysb.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(14);
ExecuteRepair(15);
RebootWindows(true);
end.
После перезагрузки прислать карантин согласно правилам
Пофиксить
Код:
O20 - AppInit_DLLs: trafracp.dll confjpg.dll jpgstat.dll diagisr.dll confdrv.dll drvstat.dll
O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
O20 - Winlogon Notify: drvmgr - drvmgr32.dll (file missing)
O20 - Winlogon Notify: jpgmgr - jpgmgr32.dll (file missing)
Сделать новые логи.
Последний раз редактировалось anton_dr; 13.05.2007 в 21:15 .
Junior Member
Вес репутации
62
Вроде полегче стало
Спасибо. Скрипт выполнил. Карантин отправил.
Постоянная загрузка ЦП пропала.
Вот новые логи. Интернет не пропадал, winSockFix не понадобился.
Вложения
Все было бы прекрасно, но остался еще один трудноудаляемый зловред.
Вам необходимо восстановить из дистрибутива (или скопировать с чистого компьютера) системный драйвер C:\windows\system32\drivers\ndis.sys . Сделать это можно, если загрузиться с LiveCD, или воспользваться консолью восстановления. Заодно удалите файл c:\cp1041.nls .
I am not young enough to know everything...
Junior Member
Вес репутации
62
Вроде подменил и удалил. В логе hijackthis явно какая-то бяка
O10 - Unknown file in Winsock LSP: c:\windows\system32\oiyhfpivycwba.dll
O20 - Winlogon Notify: shfoxpob - C:\WINDOWS\
Что с этим делать? Вот последние логи
Вложения
Читаем: http://www.viruslist.com/ru/viruses/...?virusid=97751
Утилитка WinSockFix осталась? Может понадобиться.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\YourSiteBar\ysb.dll','');
QuarantineFile('stremu.sys','');
QuarantineFile('C:\WINDOWS\system32\oiyhfpivycwba.dll','');
DeleteFile('C:\WINDOWS\system32\oiyhfpivycwba.dll');
DeleteFile('C:\Program Files\YourSiteBar\ysb.dll');
ExecuteSysClean;
BC_DeleteFile('C:\Program Files\YourSiteBar\ysb.dll');
BC_DeleteFile('C:\WINDOWS\system32\oiyhfpivycwba.dll');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Карантин по правилам.
Пофиксить:
O20 - Winlogon Notify: shfoxpob - C:\WINDOWS\
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll (file missing)
+ новые логи.
Последний раз редактировалось Alex_Goodwin; 15.05.2007 в 22:31 .
Junior Member
Вес репутации
62
Что есть BC_All? AVZ ругается на это.
Junior Member
Вес репутации
62
Карантин закачал
Файл сохранён как/td> 070515_230118_virus_464a037e20991.zipРазмер файла39156MD5e16c1cf6c19e4d13bddaf23e599aa985
Новые логи. Какой-то ICQToolbar маячит, тоже фиксить?
Вложения
oiyhfpivycwba.dll - это был Trojan.Win32.Agent.afg
Выполните скрипт:
Код:
begin
AutoFixSPI;
RebootWindows(false);
end.
Строчку про ICQ toolbar можно пофиксить.
В остальном все чисто.
Сделайте еще раз логи начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
62
Вложения
Теперь порядок!
Если что - заходите еще
I am not young enough to know everything...
Junior Member
Вес репутации
62
Всем огромное спасибо за помощь. Если что - конечно зайду
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 15 В ходе лечения обнаружены вредоносные программы:
c:\\cp1041.nls - Virus.Win32.Agent.x (DrWEB: Trojan.Spambot) c:\\documents and settings\\all users\\документы\\settings\\arm32.dll - Trojan.Win32.Agent.oh (DrWEB: BackDoor.Uragan) c:\\program files\\internet explorer\\iexplore.exe - Trojan.Win32.Patched.bd (DrWEB: Trojan.PWS.GoldSpy) c:\\windows\\system32\\confjpg.dll - Email-Worm.Win32.Warezov.nm (DrWEB: Win32.HLLM.Limar) c:\\windows\\system32\\cssrss.exe - Backdoor.Win32.Small.ot (DrWEB: Trojan.DownLoader.29250) c:\\windows\\system32\\oiyhfpivycwba.dll - Trojan.Win32.Msnetax.d (DrWEB: Trojan.Netqv) c:\\windows\\system32\\uijldosjq.dll - Trojan.Win32.Msnetax.d (DrWEB: Trojan.Netqv)