csrcs.exe

Printable View

12.12.2008, 06:58
Crenod

Вложений: 3

csrcs.exe

Добрый день господа.
До вчерашнего дня умудрялся самостоятельно останавливать вирусные эпидемии с помощью куреита и авз, но был сам поражён звертусом.
Логи во вложении.
Ничего особо опасного не происходит, но перехыватчики есть.

Странно, что CureIt не удалила csrcs.exe
12.12.2008, 11:13
Rene-gad

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\bxsnvqt.dll','');
QuarantineFile('C:\WINDOWS\sysosa.dll','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\sysosa.dll');
DeleteFile('C:\WINDOWS\bxsnvqt.dll');
DelBHO('{88452E1F-D91A-4A66-AA39-FD53F15B13AF}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
12.12.2008, 14:05
Crenod

Вложений: 2

Карантин отправил.
Логи повторяю.
12.12.2008, 14:55
Rene-gad

[QUOTE=Crenod;321199]Карантин отправил.[/QUOTE]Куда отправил? Где лог по стандартному скрипту 3 ([B]virusinfo_syscure.zip[/B])?
15.12.2008, 06:51
Crenod

Вложений: 1

[quote=Rene-gad;321233]Куда отправил? Где лог по стандартному скрипту 3 ([B]virusinfo_syscure.zip[/B])?[/quote]
Прошу прощения, выложил не тот файл.

Карантин отправлял [URL="http://virusinfo.info/upload_virus.php?tid=35537"]сюда[/URL]
15.12.2008, 11:24
Rene-gad

[QUOTE]O1 - Hosts: 123.213.208.52 [url]www.godville.net[/url][/QUOTE] сами прописывали? Если нет- пофиксите. Больше ничего подозрительного не вижу.
15.12.2008, 11:41
Crenod

[quote=Rene-gad;322078]сами прописывали? Если нет- пофиксите. Больше ничего подозрительного не вижу.[/quote]
Да, сам прописывал во время падения днс сервера.
Спасибо за помощь, и если ничего вредного больше нету, то кто пораждает эти строчки?
[quote=avz]
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A83F1D8 -> перехватчик не определен
...
\FileSystem\FastFat[IRP_MJ_CREATE] = 8A0057F0 -> перехватчик не определен
...
[/quote]
15.12.2008, 11:45
Rene-gad

[QUOTE=Crenod;322086]то кто пораждает эти строчки?[/QUOTE]Система Ваша порождает :biggrinsanta: Это защищенные области системы, поэтому перехватчик не определен.
22.02.2009, 09:22
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]