Worm_scano.n в csrss.exe

Printable View

25.11.2006, 12:18
Петр

Вложений: 3

Worm_scano.n в csrss.exe

сидит у меня такой вирус, создает каждый день кучу файлов типа "Teen Porn 15.jpg.scr" или "Magix Video Deluxe 5 beta.exe" и никак не хочет лечиться. начал делать по правилам и столкнулся с проблемой: с помощью предложенной Dr.Web CureIt проверил систему и он мне выдал следующее:"c:\windows\csrss.exe инфицирован Win32.HLLM.Perf", жму лечить, а у меня появляется окно защиты файлов windows,просит вставить диск c xp.проверяю еще раз-тоже самое: вирус сидит, жму лечить-вылезает окно.

надеюсь на Вашу помощь и заранее спасибо!
25.11.2006, 12:59
MOCT

файл C:\Documents and Settings\All Users\Документы\Settings\arm32.dll необходимо удалить отложенным удалением в AVZ
25.11.2006, 13:19
Петр

Сделано! дальше что делать?
25.11.2006, 13:26
MOCT

[QUOTE=Петр]Сделано! дальше что делать?[/QUOTE]
убедиться в отсутствии симптомов заражения, сделать новые логи
25.11.2006, 16:35
Петр

Вложений: 3

всё без изменений. вирус сидит. вот новые логи
25.11.2006, 16:53
drongo

Пофиксить :
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\

Запустить AVZ , нажать на файл-> востановление системы ->
поставить галку на против : удаление всех "policies' текущего пользователя .
Перегрузиться .
Если рабочий стол исчезнет -> вот памятка :

[url]http://z-oleg.com/secur/advice/adv1103.php[/url]

C:\WINDOWS\csrss.exe -удалять отложенным удалением , перед этим включить avz guard и блокировку руткитов . Hе выходя из программы перегузиться .
25.11.2006, 17:41
Петр

это я так понял файл->стандартные скрипты -> поиск и нейтрализация rootKit?
25.11.2006, 17:52
Петр

всё вроде сделал- без изменений

кстати, когда я сделал отложенное удаление csrss.exe меня опять попросили вставить диск хрsp2
25.11.2006, 18:49
pig

Ну, это правильно - вроде как системный файл удаляете, жизненно важный, вот система и просит диск, чтобы взять оттуда правильную копию. Вы диск скармливали или его у вас нет?
25.11.2006, 19:14
Петр

скармливал...плюется..говорит диск неправильный, дай другой. а другого нету
26.11.2006, 02:59
pig

А диск у вас тоже с SP2? Можно установить дополнительную копию системы (лучше вообще в другой раздел), загрузиться в неё и скопировать чистый csrss.exe в старую систему. Заодно просканировать её с помощью CureIt, вдруг ещё что найдётся.
26.11.2006, 11:16
Shu_b

[QUOTE=pig]Ну, это правильно - вроде как системный файл удаляете....[/QUOTE]
Осталось уточнить.... Вы какой файл удаляете?
системный - C:\WINDOWS\system32\csrss.exe
или
вредоносный - C:\WINDOWS\csrss.exe
?

А если так - через выполнить скрипт AVZ
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
DeleteFile('C:\WINDOWS\csrss.exe');
ExecuteSysClean;
RebootWindows(True);
end.[/CODE]

и потом новые логи с 10 пункта.
27.11.2006, 22:10
Петр

Вложений: 2

вроде бы всё исчезло, cureIt' ом подчистил систему, вышлю на всякий случай новые логи