csrss.exe + исчез рабочий + троян

Обязательно оформлю вопрос по правилам, как только разберусь как добратся до отключения систем ресторе без explorer.exe

Проблем такой:
1.банальное письмо с "флэш мультиком".
2.Скачал, проверил нортоном2006 + мелкософт антиспайваре = опасности нет.
3.Запустил - распаковалось 4-е файла и быстренько исчезли.
4.Стал просится к установке csrss.exe (из дериктории windows корень)
я его пробовал удалять но он тутже появлялся снова.
5.Полное сканирование на вирусы (база от вчерашнего дня) и на спайваре (база тоже вчерашняя) - результат : все в норме. (помимо просьб к установке еще выскакивала табличка с просьбой вставить дистрибутив винХПсп2.
6. Перегрузился а вин2000 (на другом винте) проверил искомый диск касперским 5.0.5 - нашел все карантинные файлы NAV и MASW + csrss.exe в корне Windows обозвав его что-то типа Trojan-Spy.Win32.Agent.jq (точно не помню (позже обясню отчего).
7. Перегрузился WinXP - после логона только десктопная картинка и боле ничего. Через cmd запустил тоталкомандер и вижу отсуттсвие csrss.exe - всё... и тишина. Перезагрузки результатов не дали, explorer.exe не запускается (пишет нет его).
8. Перегрузился в win2000 восстановил все удаленные вирусы (подумал - вдруг каспер чиво лишнего удалил).
9.Прегрузка в winXP - результат см. п.7.
10. Пришел к вам скачал инструкцию по запросу и споткнулся о подводные камни. 1. База AVZ не обновляется (пишет ошибка в названии файла обновления). 2. Не могу выключить ресторе систем ибо не знаю как туда попасть.

Может проще фрмат сэ сделать??

Подскажите умным советом плиз:-)


upd:
отключил автостарт систем ресторе через приблуду к тоталкомандеру и обновил AVZ из Win2000
вот логи (только сканирование системы в обоич случаях закончилось самозакрытием AVZ , так и должно быть??..или это троян себя так проявляет?).

1. csrss.exe скачивает себе Trojan.PWS.LDPinch.852(по DrWeb) попробуйте воспользоваться пунктом 2 правил обращения.
2. В AVZ есть набор восттановления (файл - восстановление настроек системы)

[QUOTE]Проблем такой:
1.банальное письмо с "флэш мультиком".[/QUOTE]
Читайте: [url]http://virusinfo.info/showthread.php?t=5250[/url] и завидуйте тому, какие у нас тут девушки тусуются. :)
[QUOTE]2.Скачал, проверил нортоном2006 + мелкософт антиспайваре = опасности нет.
[/QUOTE]
Нет не так, нортон2006 + мелкософт антиспайваре = [b]доверия нет[/b].
[quote]
3.Запустил - распаковалось 4-е файла и быстренько исчезли.
4.Стал просится к установке csrss.exe (из дериктории windows корень)
я его пробовал удалять но он тутже появлялся снова.
5.Полное сканирование на вирусы (база от вчерашнего дня) и на спайваре (база тоже вчерашняя) - результат : все в норме. (помимо просьб к установке еще выскакивала табличка с просьбой вставить дистрибутив винХПсп2.
6. Перегрузился а вин2000 (на другом винте) проверил искомый диск касперским 5.0.5 - нашел все карантинные файлы NAV и MASW + csrss.exe в корне Windows обозвав его что-то типа Trojan-Spy.Win32.Agent.jq (точно не помню (позже обясню отчего).
7. Перегрузился WinXP - после логона только десктопная картинка и боле ничего. Через cmd запустил тоталкомандер и вижу отсуттсвие csrss.exe - всё... и тишина. Перезагрузки результатов не дали, explorer.exe не запускается (пишет нет его).
8. Перегрузился в win2000 восстановил все удаленные вирусы (подумал - вдруг каспер чиво лишнего удалил).
9.Прегрузка в winXP - результат см. п.7.
10. Пришел к вам скачал инструкцию по запросу и споткнулся о подводные камни. 1. База AVZ не обновляется (пишет ошибка в названии файла обновления). 2. Не могу выключить ресторе систем ибо не знаю как туда попасть.[/quote]
попробуйте запустить файл sysdm.cpl[quote]
Может проще фрмат сэ сделать?[/quote]
Это не наш метод. ;)

Наш метод, не наш метод - нихрена не вышло.

Что подскажете в плане связка "Антивирус-програмный фаирвал" гаспад???
В смысле соотношение "безгеморойность в плане активации - качкство защиты".

Формат цэ неизбежен - как крах империализма.

[QUOTE=lompad]Наш метод, не наш метод - нихрена не вышло.

Что подскажете в плане связка "Антивирус-програмный фаирвал" гаспад???
В смысле соотношение "безгеморойность в плане активации - качкство защиты".

Формат цэ неизбежен - как крах империализма.[/QUOTE]
А что конкретно было сделано

[QUOTE=Geser]А что конкретно было сделано[/QUOTE]

1. "Правила! Читать перед запросом о помощи!" (от буквы до буквы)
2. п.2 Правил "Др.Вэб, Каспер5.0.5, Каспер6"
3. Востановление системы AVZ (каждая галочка в отдельности и как вариант всё сразу).

п.с. пришлось снести нортон интернет секьюрити...ка следствие думаю все мои пароли ушли.....ибо каспер не хотел работать при установленом нортоне... :-((

Проверьте что в реестре по адресу - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Есть Запись Shell с параметром - explorer.exe

В других темах ответить не могу и потому скажу тут.
Всем чайниковатым как я, необходимо обяснить, что если в качестве антиспайваер стоит мелкософтавая приблуда, нивкоем случае нельзя перегружацца...ибо эта гадость опережает в загрузке MASW и блин таки инсталируецца. :-((

p.s.
Как ремарка, думаю всем в этой ситуации понятно, что загрузка в режиме защиты от сбоев невозможна и восстановление контрольной точки результатов не дает.

p.p.s.
оторвать бы детородный орган тем умельцам или направить энергию в мирное русло:-)

p.p.s.
таких идиотов как я еще поискать...сам всю жизнь супругу учу....." никаких непонятных писем и темболее вложений - ни в коем случае не открывать!!!" :-)))):'-(

Может все гораздо проще и достаточно записать explorer.exe в папку D:\WINDOWS\
Если да, то вот он в архиве:
[url]http://webfile.ru/905922[/url]

[quote=AndreyKa]Может все гораздо проще и достаточно записать explorer.exe в папку D:\WINDOWS\
Если да, то вот он в архиве:
[URL="http://webfile.ru/905922"]http://webfile.ru/905922[/URL][/quote]
Это не поможет explorer.exe на месте. Я знаю решение - через полчаса выйдет внеочередной релиз баз AVZ с микропрограммой восстановления

Олег, а конкретно можешь сказать, какие параметры были изменены? У меня пока руки до полного трейса не дошли =(

[quote=Xen]Олег, а конкретно можешь сказать, какие параметры были изменены? У меня пока руки до полного трейса не дошли =([/quote]
Да, могу - он регистрирует в реестре дебаггер для процесса explorer.exe Если забить зверя, то в ходе загрузки дебаггер не находится и все падает. Дебашшеры регистрятся в ключе реестра Image File Execution Options

[QUOTE=Sanja]Проверьте что в реестре по адресу - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Есть Запись Shell с параметром - explorer.exe[/QUOTE]

есть такая запись

с трепетом ожидаю обновления AVZ, ибо реинсталл грозит повторными настройками всего софта....пару дней убью не менььше :embarasse

еще забыл добавить, в ходе заражения (пока эта зараза не проинсталилась окончательно и спайваре ей мешал) постоянно выскакивал (но без логики) проводник windows (я им вообще не пользуюсь) и в нем была открыта папка учетной записи администратора + создавался файл с трояном 1.exe прям в корне папки administrator

Апдейт вышел - можно качать через автообновление и пользоватьться.
Подробнее про процедуру спасения рабочего стола - [URL="http://z-oleg.com/secur/advice/adv1103.php"][COLOR=#800080]http://z-oleg.com/secur/advice/adv1103.php[/COLOR][/URL]

Примного благодарен!:)
Пойду займусь лечением, о результатах сообщю.

[QUOTE=Зайцев Олег]Апдейт вышел - можно качать через автообновление и пользоватьться.
Подробнее про процедуру спасения рабочего стола - [URL="http://z-oleg.com/secur/advice/adv1103.php"][COLOR=#800080]http://z-oleg.com/secur/advice/adv1103.php[/COLOR][/URL][/QUOTE]


Слава богам и вам Олег!!:)
Всё заработало.

Уважаемые гаспада, подскажите, что можно поставить в плане фаервала в добавку к касперскому шестому (я решил на нем остановитсья)? И нужен ли дополнительный антиспайваре или касперский с этим справляется?

[QUOTE=lompad]Слава богам и вам Олег!!:)
Всё заработало.

Уважаемые гаспада, подскажите, что можно поставить в плане фаервала в добавку к касперскому шестому (я решил на нем остановитсья)? И нужен ли дополнительный антиспайваре или касперский с этим справляется?[/QUOTE]
Если ставить КИС, то больше ничего не нужно. АХ в нём вполне достойный. В общем его и советую. Никаких антиспайварей дополнительно не нужно. Можно АВЗ использовать для ручного контроля.

Кста - пробовал вчера на 2к запускать пинча - експлорер работал даже после ребута ж)