Комп давно по полной не проверяли. После запуска винды csrss.exe постоянно грузит 60-70% ЦП. При запуске нод32 и дрвеб было обнаружено и удалено немало зловредов. Но проблема не исчезла. Помогите пожалуйста.
Printable View
Комп давно по полной не проверяли. После запуска винды csrss.exe постоянно грузит 60-70% ЦП. При запуске нод32 и дрвеб было обнаружено и удалено немало зловредов. Но проблема не исчезла. Помогите пожалуйста.
[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINXP\system32\msvcr71.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tmp11.tmp','');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\tmp11.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке [URL="http://virusinfo.info/upload_virus.php?tid=44300"]http://virusinfo.info/upload_virus.php?tid=44300[/URL]
Повторите логи по правилам.
Спасибо за скрипт. А после выполнения скрипта нужно все проверки заново делать и нодом и дрвебом, или только с пункта диагностика? (авз и хайджек). Просто есть некоторые неудобства, так как это не мой комп и я помогаю его лечить и сейчас не на месте.
Скрипт выполнил, карантин прислал. но один файл в карантин не попал. была какая то ошибка (не успел посмотреть перед перезагрузкой), размер его в карантине 0 байт. Логи прилагаю.
что делать?
В карантине был:
C:\DISTRIB\Geosoft\MapInfo\Mapinfo (с компа СанСаныча)\Data\DISCO21\SAAppWiz.exe - Trojan-PSW.Win32.Agent.mur (свежий по ЛК)
Это может означать, что пароли ушли на сторону. Этот файл надо удалить.
Удалил файл. Проблема не исчезла, все ужасно тормозит :(. Что делать дальше?
Файл(ы) csrss.exe - все, что найдете - пришлите по правилам (приложения 2 и 3).
Ок, запустил поиск. кстати, забыл сказать. кроме csrss.exe потоянно работает liveupdate.exe (в процесс эксплорере посмотрел, это программа samsung pc studio, для сотового телефона), тоже сильно грузит процессор, обычно один, но иногда появляется второй. Причем он не убивается в процессах.
[size="1"][color="#666686"][B][I]Добавлено через 57 минут[/I][/B][/color][/size]
Согромным трудом выполнил поиск, нашел 2 файла. Однако по какой то причине мне не удалось добавить с помощью AVZ по спику в карантин. Пишет просто: начато, завершено - и ничего не добавляет. Скопировал их оттуда вручную, запихал в архив и выслал (так можно надеюсь? :().
csrss1.exe это
C:\WINXP\system32\csrss.exe
csrss2.exe это
C:\WINXP\SoftwareDistribution\Download\c83e528397bd1b9e3afbe5c3e88209fa\backup\csrss.exe
Очень надеюсь, что не забросите эту тему. На компьютере работать абсолютно невозможно. Спасибо.
Я полагаю, что автообновление Samsung PC Studio не есть архиважная задача, поэтому предлагаю пофиксить в HijackThis:
[CODE]O4 - HKLM\..\Run: [LiveUpdate] "C:\Program Files\Samsung\Samsung PC Studio 3\\Update\Copyer.exe" -R[/CODE]
Возможно, это облегчит жизнь вашему ПК.
А больше ничего подозрительного в логах не видно.
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)[/QUOTE]
Установите SP3 + последующие обновления.
[QUOTE]csrss1.exe,
csrss2.exe
Вредоносный код в файлах не обнаружен.[/QUOTE] 8)
Пофиксил в хайджеке самсунг писи студио, тормоза кончились, исчез процесс Liveupdate.exe и перестал грузиться csrss.exe. Установил SP3, 3 патча по безопасности, установил пароль администратора, отключил запуск со сменных носителей. Что нибудь плохого осталось? Спасибо.
В логах ничего подозрительного. Рекомендуем поставить IE8 - даже если Вы им не пользуетесь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\distrib\geosoft\mapinfo\mapinfo (с компа сансаныча)\data\disco21\saappwiz.exe - [B]Trojan-PSW.Win32.Agent.mur[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]