Показано с 1 по 14 из 14.

csrss.exe загружает проц на 80-100% (заявка № 16221)

  1. #1
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    6
    Вес репутации
    39

    Thumbs up csrss.exe загружает проц на 80-100%

    Добрый день всем.

    Операционная сисетма Windows XP HE 2600.xpsp_sp2 070227-2254

    Компьютер заражен вирусом, Dr.Web 4.33 определяет вирусы при загрузке в следующих файлах:
    %windir%\system32\taskmon.sys - Trojan.Packed.142
    %windir%\system32\kernelw.sys - Trojan.NtRootkit.426
    и в папке пользователя bot.dll - Trojan.Spambot.2552

    Все зараженные файлы были удалены в безопасном режиме при отключенном восстановление системы. Реестр почистил от запуска какого-то файла из папки Temporary Internet Files. Проверка системы целиком никаких результатов не дала.

    После загрузки компьютера в нормальном режиме все вирусы восстанавливаются. Проблема осложняется тем, что не запускаются многие приложения, такие как AVZ, HiJackThis, CureIt. Система никак не реагирует на запуск исполняемых файлов.Но Dr.Web установленный на компе запускается нормально.

    Вот список библиотек, которые использует csrss, которые могут его грузить (как я понимаю), информация получена через FAR:
    ntdll.dll
    csrsrv.dll
    basesrv.dll
    winsrv.dll
    GDI32.dll
    KERNEL32.dll
    user32.dll
    sxs.dll
    Advapi32.dll
    rpcrt4.dll
    secur32.dll

    Подскажите, где еще копать?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    544
    avz.exe можно попробовать переименовать в game.pif
    Либо просканировать avz в безопасном режиме, если переименование не поможет

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,626
    Вес репутации
    1293
    Чтобы запустить HiJackThis поступите ним также как советовал rubin.
    Установленный на компьютере DrWeb устарел, скачайте новую версию 4.44 с сайта http://download.drweb.com/win и установите.
    Без логов помочь трудно.

  5. #4
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    6
    Вес репутации
    39
    После переименования удалось запустить AVZ и выполнить скрипты. HiJackThis не запускается вообще, CureIt запустилась, нашла 5 зараженных файлов и вывалилась с ошибкой, повторный запуск, к сожалению, перезаписал лог, но один вирус остался
    bot.dll - Trojan.Spambot.2552
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    544
    Выполните скрипт:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('xartcd5.dll','');
     QuarantineFile('wowfx.dll','');
     QuarantineFile('C:\WINDOWS\system32\MRT.exe','');
     QuarantineFile('C:\WINDOWS\murka.dat','');
     QuarantineFile('C:\WINDOWS\medichi2.exe','');
     QuarantineFile('C:\WINDOWS\medichi.exe','');
     QuarantineFile('C:\WINDOWS\taskmon.exe','');
     QuarantineFile('C:\WINDOWS\system32\alt.exe.exe','');
     QuarantineFile('C:\WINDOWS\System32\vbsys2.dll','');
     QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Lsy28.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Xap24.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll','');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\bot.dll');
     DeleteFile('C:\WINDOWS\medichi.exe');
     DeleteFile('C:\WINDOWS\medichi2.exe');
     DeleteFile('C:\WINDOWS\murka.dat');
     DeleteFile('C:\WINDOWS\system32\taskmon.sys');
     DeleteFile('C:\WINDOWS\System32\vbsys2.dll');
     DeleteFile('C:\WINDOWS\system32\alt.exe.exe');
     DeleteFile('C:\WINDOWS\taskmon.exe');
     BC_ImportAll;
     BC_QrFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     BC_QrFile('C:\WINDOWS\system32\Drivers\Xap24.sys');
     BC_QrFile('C:\WINDOWS\System32\Drivers\Lsy28.sys');
     BC_QrFile('C:\WINDOWS\system32\taskmon.sys');
     BC_DeleteFile('C:\WINDOWS\murka.dat');
     BC_DeleteFile('C:\WINDOWS\taskmon.exe');
     BC_DeleteFile('C:\WINDOWS\system32\alt.exe.exe');
     BC_DeleteFile('C:\WINDOWS\medichi.exe');
     BC_DeleteFile('C:\WINDOWS\medichi2.exe');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     BC_DeleteFile('C:\WINDOWS\system32\taskmon.sys');
     BC_DeleteSvc('Beep');
     BC_DeleteSvc('taskmon.sys');
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Карантин пришлите, логи повторите

  7. #6
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    6
    Вес репутации
    39
    Новые логи.

    CureIt нашла только %system%\users32.dat - trojan.click.5043 и все. Сам лог весит 1Mb в архиве.

    После выполнения предыдущих скриптов и повторного лечения, вновь появились файлы murka.dat, medichi.exe и medichi2.exe. Появились признаки заражения (блокировка свойств системы, реестра). Удалил файлы, вместо них создал пустые файлы с такими же именами. После перезагрузки признаков заражения нет.

    Возможно проблема была в файле beep.sys размер 37888 Kb вместо 4224 Kb.

    Переименовал файл на beep.sys1 и после перезагрузки появился нормальный beep.sys

    Пароль на beep.rar: virus
    Вложения Вложения
    Последний раз редактировалось Shu_b; 15.01.2008 в 13:36.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1642
    Карантин нужно загружать согласно правил, для вас - http://virusinfo.info/upload_virus.php?tid=16221

  9. #8
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    6
    Вес репутации
    39
    прислал

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    Выполните скрипт в AVZ:
    Код:
    begin
     BC_DeleteSvc('Xap24');
     BC_DeleteSvc('Lsy28');
     BC_DeleteSvc('asc3550p');
    BC_Activate;
    RebootWindows(true);
    end.
    Сделайте новые логи в нормальном режиме.
    I am not young enough to know everything...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1642
    Цитата Сообщение от tonich Посмотреть сообщение
    прислал
    Если не трудно, зашлите по тому адресу весь карантин.

  12. #11
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    6
    Вес репутации
    39
    Скрипт выполнил, логи в приложении.

    Вроде система работает стабильно.
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    В логах чисто.

    Из этого что-нибудь нужно? -
    Код:
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Лишнее отключим.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    10.01.2008
    Сообщений
    6
    Вес репутации
    39
    Спасибо за помощь.

    Весь карантин заливаю (к сожалению слишком маленькая скорость upload).

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. \\beep.sys1 - Trojan.Win32.Obfuscated.mp (DrWEB: Trojan.NtRootKit.612)
      2. c:\\windows\\medichi.exe - Hoax.Win32.Renos.aom (DrWEB: Trojan.Click.13693)
      3. c:\\windows\\medichi2.exe - not-a-virus:AdWare.Win32.Agent.aag (DrWEB: Trojan.Click.13693)
      4. c:\\windows\\system32\\drivers\\beep.sys - Trojan.Win32.Obfuscated.mp (DrWEB: Trojan.NtRootKit.612)
      5. c:\\windows\\system32\\drivers\\xap24.sys - Rootkit.Win32.Agent.sc (DrWEB: Trojan.NtRootKit.660)
      6. c:\\windows\\taskmon.exe - Email-Worm.Win32.Zhelatin.ps (DrWEB: Trojan.Click.13693)


  • Уважаемый(ая) tonich, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 28.05.2011, 21:30
    2. csrss.exe - съедает проц.
      От FlugerGeHammer в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.12.2009, 12:54
    3. csrss.exe загружает компьютер
      От katrisha в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 04:06
    4. Вирус. Загружает процесс csrss.exe
      От koba___ в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:35
    5. CSRSS загружает процессор
      От SNP в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 01:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00821 seconds with 17 queries