Здравствуйте.
Собственно проблема в заголовке
csrss грузит просессор на 100%. Загрузка постепенно возрастает и достигает 100%.
Михаил
Printable View
Здравствуйте.
Собственно проблема в заголовке
csrss грузит просессор на 100%. Загрузка постепенно возрастает и достигает 100%.
Михаил
Правила для обращения за помощью тут:
[url]http://virusinfo.info/showthread.php?t=1235[/url]
Правила а я прочитал. Лог-файлы сделал, но при попытке вложить их в сообщение получаю:
A pop-up window was blocked
Что делать.
Попробуйте разобраться, кто блокирует всплывающие окна (pop-up window) и отключить это средстов на время отправки логов, либо добавить в список разрешенных сайт virusinfo.info
У Internet Explorer-a, например, есть такая функция (меню Сервис-Блокирование всплывающих окон)
Ух! Раза с пятого окно открылось.
Файлы вложил.
За это время отработал AVZ. Вот что интересного написал:
[SIZE=2]Анализатор - изучается процесс 1248 C:\WINNT\csrss.exe[/SIZE]
[SIZE=2][ES]:Может работать с сетью[/SIZE]
[SIZE=2][ES]:Trojan.PSW ?[/SIZE]
[SIZE=2][ES]:Приложение не имеет видимых окон[/SIZE]
[SIZE=2][ES]:EXE упаковщик ?[/SIZE]
[SIZE=2][ES]:Размещается в системной папке[/SIZE]
[SIZE=2][ES]:Записан в автозапуск !![/SIZE]
[SIZE=2][SIZE=2]Подозрение на скрытую загрузку через Policies\Explorer\Run\System: "C:\WINNT\csrss.exe"[/SIZE]
[SIZE=2]С уважением, Михаил.[/SIZE]
[/SIZE]
Отсутствуют файлы:
virusinfo_syscure.zip и virusinfo_syscheck.zip
8250_quarantine.zip - вот это не надо было вкладывать.
Пытались запускать скрипты из других тем? Не надо этого делать!
Сейчас все сделал как в правилах.
Заранее спасибо.
Михаил.
Выполните скрипт через меню AVZ Файл:
[code]
begin
SearchRootkit(true, true);
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('c:\winnt\csrss.exe','');
QuarantineFile('c:\winnt\system32\winlogon.exe','');
QuarantineFile('C:\WINNT\system32\svshost.dll','');
QuarantineFile('C:\WINNT\system32\helper.dll','');
QuarantineFile('C:\WINNT\system32\syst1.dll','');
DeleteFile('C:\WINNT\system32\svshost.dll');
DeleteFile('c:\winnt\csrss.exe');
CreateQurantineArchive(GetAVZDirectory+'8258_quarantine.zip');
RebootWindows(True);
end.
[/code]
Компьютер перезагрузится.
Загрузите файл 8258_quarantine.zip из папки AVZ, используя [url=http://virusinfo.info/upload_virus.php?tid=8258]эту ссылку[/url].
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.
PS. Это только начало лечения ;)
Здравствуйте.
Файл 8258_quarantine.zip отправил.
А вот логи вложить не получается, браузер (IE 6) при попытке вложить закрывается.
Отправлю завтра с рабочего компьютера.
С уважением, Михаил.
После нескольких попыток удалось вложить. Отсылаю.
Михаил.
В присланном:
[B]По Касперскому[/B]
c:\winnt\csrss.exe -- троянская программа Trojan-PSW.Win32.LdPinch.bky
C:\WINNT\system32\svshost.dll -- троянская программа Backdoor.Win32.Small.ls
C:\WINNT\system32\helper.dll -- троянская программа Trojan-PSW.Win32.Agent.km
Этого у Касперского нет
c:\winnt\system32\winlogon.exe -- [B]AntiVir [/B] Found HEUR/Malware
[B]AVG Antivirus[/B] Found Win32/PEPatch.U
[B]BitDefender [/B] Found Trojan.Keylogger.iOpus.A
файл C:\WINNT\system32\syst1.dll в карантин не попал, попробуйте вручную
После лечения поменяйте все пароли из-за пинча.
Пока так:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINNT\system32\helper.dll');
DeleteFile('C:\WINNT\system32\svshost.dll');
DeleteFile('C:\WINNT\csrss.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
И [url=http://virusinfo.info/showpost.php?p=64376&postcount=1]пофиксить[/url] строку:
[code]O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINNT\system32\svshost.dll (file missing)[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winnt\\csrss.exe - [B]Trojan-PSW.Win32.LdPinch.bky[/B] (DrWEB: Trojan.PWS.LDPinch.1574)[*] c:\\winnt\\system32\\helper.dll - [B]Trojan-PSW.Win32.Agent.km[/B] (DrWEB: Trojan.PWS.School)[*] c:\\winnt\\system32\\svshost.dll - [B]Backdoor.Win32.Small.ls[/B] (DrWEB: Trojan.Starter.169)[*] c:\\winnt\\system32\\winlogon.exe - [B]Trojan.Win32.Patched.m[/B] (DrWEB: Trojan.Starter.170)[/LIST][/LIST]