-
Junior Member
- Вес репутации
- 58
csrcs.exe - блокировал AVZ4
Здравствуйте. Комп WinXP SP3
Сегодня по нескольким компам, связаным в сеть, прошлась какая-то вирусная атака, видимо.
остальные полечил, а с этим надо бы разобраться подробней.
характерно, что не мог убить процесс - csrcs.exe - блокировал AVZ4, а так же vmsrvc.exe.
а после лечения не могу избавиться от conhost.exe и dwm.exe
а так же системных - jqs.exe и mdm.exe
сейчас работоспособность системы частично восстановлена.
Вот логи, спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\documents and settings\Администрация\application data\microsoft\conhost.exe');
TerminateProcessByName('c:\documents and settings\Администрация\application data\dwm.exe');
QuarantineFile('C:\Documents and Settings\Администрация\Application Data\Microsoft\conhost.exe','');
DeleteFile('C:\Documents and Settings\Администрация\Application Data\Microsoft\conhost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','conhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Прокси Ваши? -
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:59758
-
-
Junior Member
- Вес репутации
- 58
csrss.exe - блокировал AVZ4
Здравствуйте, карантин отправлен.
После выполнения скриптов осталсись процессы dwm.exe
csrcs.exe поменялся на csrss.exe и при попытке выгрузить пишет - "Это критический системный процесс. Диспетчер задач не может завершить его." Это было и до скриптов.
По поводу прокси: мы используем шлюз 192.168.1.1 (модем ADSL) IP адреса: 192.168.1. - от 2 и выше.
-
Сообщение от
ScorpioNik
csrcs.exe поменялся на csrss.exe и при попытке выгрузить пишет - "Это критический системный процесс.
Это и есть системный процесс, не трогайте его. csrcs.exe - Это враг. csrss.exе - это компонент Windows
Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 58
Процесс системный, но запущен пользователем!
Логи пока сделать не могу. позже.
-
Junior Member
- Вес репутации
- 58
Доброй ночи. без спешки повторно почистил систему. Kaspersky Rescue disk и DrWeb Curelt! соревновались в очистке карантина доктора веба. на всём диске С больше не найдено вирусов!
При этом всё по прежнему, три процесса висят и не выгружаются из автозапуска никак!
conhost.exe
dwm.exe
csrss.exe
по поводу последнего, я ошибся изначально - не было csrcs.exe, было два csrss.exe - один в системных, второй в пользовательских. есть скриншоты диспетчера.
ушёл только vmsrvc.exe
вот логи
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Сделал лог полного сканирования МВАМ. Прикрепляю.
-
Удалите в МВАМ -
Код:
Заражённые процессы в памяти:
c:\documents and settings\администрация\application data\dwm.exe (Trojan.Downloader) -> 696 -> No action taken.
c:\documents and settings\администрация\application data\microsoft\conhost.exe (Trojan.Agent) -> 1700 -> No action taken.
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken.
Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOCUME~1\6346~1\LOCALS~1\Temp\csrss.exe) Good: () -> No action taken.
Заражённые файлы:
c:\documents and settings\администрация\application data\dwm.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администрация\application data\microsoft\conhost.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администрация\local settings\Temp\csrss.exe (Trojan.Agent) -> No action taken.
- Повторите лог МВАМ
-
-
Junior Member
- Вес репутации
- 58
-
Junior Member
- Вес репутации
- 58
Вот логи АВЗ, обновлённого на этом же компьютере, только в настройках указал прямое подключение к Интернет. А браузеры всё так же не работают
-
Junior Member
- Вес репутации
- 58
Повторяю лог МВА. потерялся, видимо
-
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:54364
Сами прописывали? Если нет, профиксите в HijackThis
-Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('xrme.sys','');
DeleteFile('xrme.sys');
DeleteFileMask('c:\program files\DrWeb\Infected.!!!\', '*.*', true);
DeleteFileMask('c:\WINDOWS\system32', 'wmsrvc.*xe',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.1 и 3 раздела Диагностика.(virusinfo_syscure.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 58
Карантин отправлен. сканирую Cureltom. после скриптов браузеры так и не работают
Добавлено через 10 минут
Карантин отправлен. сканирую Cureltom. после скриптов браузеры так и не работают
Последний раз редактировалось ScorpioNik; 07.02.2011 в 07:56.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 58
вот последние логи
может можно как-то в ручную открыть браузерам доступ в интернет?
подскажите направление поиска, пожалуйста.
-
Junior Member
- Вес репутации
- 58
Залез в настройки IE8 - снял все метки в настройках сети (ну, типа, автоматом, подключить прокси и т.п.) IE8 пошёл, правда не знаю на все 100% илил нет. Но работает. И DrWeb обновляется. А Опера не выходит в нет
-
-Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\6346~1\LOCALS~1\Temp\AMcQFJk7.sys','');
ExecuteWizard('TSW', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
после перезагрузки выполните скрипт:
Код:
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
Сообщение от
polword
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:54364
Сами прописывали? Если нет, профиксите в HijackThis
вы так и не ответили сами прописывали?
Последний раз редактировалось regist; 07.02.2011 в 19:53.
-
-
Junior Member
- Вес репутации
- 58
Во время выполнения скрипта возникла ошибка карантина. При попытке загрузки в вверху темы ещё ошибка - Файл уже был загружен! Да фактически загружать нечего - архив пустой!
Что дальше?
По поводу прокси - в ручную я такой IP не прописывал.
И я уже писал, что испльзуем фиксированные IP адреса начиная от 192.168.1.2 и далее изменяется только последняя цифра.
Шлюз - 192.168.1.1
DNS-сервер 83.221.202.254
80.254.111.13
и ещё есть старый DNS-сервер также отличный от того, что Вы укзали.
Правда, на другой машине, при загрузке файлов с обменников, указывается якобы наш IP вообще отличный от всего, что перечислено.
-
1.Профиксите в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:54364
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\DOCUME~1\6346~1\LOCALS~1\Temp\AMcQFJk7.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администрация\\application data\\microsoft\\conhost.exe - Backdoor.Win32.Gbot.sp ( DrWEB: Trojan.DownLoader1.63280, BitDefender: Gen:Trojan.Heur.KS.1, AVAST4: Win32:Cybota [Trj] )
-