Заражен csrss, нарушена ассоциация exe-файлов

**yumm** · 02.05.2008, 13:30

WinXP, SP2, RU

1. Процесс csrss загружает процессор на 50-70%.
2. Не запускаются исполнимые модули, avz.exe пришлось переименовать в avz.pif, после этого запустился.
3. Не зайти в свойства системы, соотв-но не отключить восстановление
4. Ассоциацию "приложений" вручную не восстановить.
5. Антивирус SAV 10.1.6.6000, базы свежие, находит и удаляет Infostealer.Banker.C и W32.Mandaph, однако ничего не меняется.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**kps** · 02.05.2008, 13:51

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('?','');
 QuarantineFile('iexplore.exe','');
 DelBHO('{B9249083-6055-476c-A69D-13E110BFEA91}');
 QuarantineFile('tconn1.dll','');
 QuarantineFile('c:\windows\system32\tconn1.dll','');
 DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
 QuarantineFile('c:\autoex.dll','');
 QuarantineFile('D:\NTGLM7X.sys','');
 QuarantineFile('D:\NTACCESS.sys','');
 QuarantineFile('D:\Fxdrv.sys','');
 QuarantineFile('c:\windows\system32\mssrv32.exe','');
 QuarantineFile('C:\Documents and Settings\Vadim.Kolesnikov\ie_updates3r.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
 DeleteFile('C:\Documents and Settings\Vadim.Kolesnikov\ie_updates3r.exe');
 DeleteFile('c:\windows\system32\mssrv32.exe');
 DeleteFile('c:\autoex.dll');
 DeleteFile('tconn1.dll');
 DeleteFile('c:\windows\system32\tconn1.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('msupdate');
BC_DeleteSvc('Google Online Services');
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22364 ).

Сделайте новые логи.

**yumm** · 02.05.2008, 14:05

Выполнил. Карантин загрузил. Процессу csrss полегчало. Ассоциации не восстанавливаются -- назначил расширению EXE тип "Приложение", при повторном открытии списка ассоциаций, такого расширения нет. Полные логи (п.8. правил) выполняются порядка 2-х часов, как закончатся -- прикреплю. Остальное -- во вложении.

**kps** · 02.05.2008, 14:06

Выполните скрипт в AVZ:

Код:

begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(1);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.
Как проблемы?

**yumm** · 02.05.2008, 14:30

Все проблемы о которых я писал ушли. Большое спасибо.

**kps** · 02.05.2008, 14:43

Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\

Ждем еще один лог от AVZ.

**yumm** · 02.05.2008, 18:41

Пофиксил. Прикладываю, на всякий случай, полные логи.

**kps** · 02.05.2008, 18:50

Логи чистые. Какие-то проблемы остались?

**yumm** · 02.05.2008, 20:06

Проблем не наблюдаю. Спасибо за помощь!

**kps** · 02.05.2008, 21:06

Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Заражен csrss, нарушена ассоциация exe-файлов (заявка № 22364)

Опции темы

Заражен csrss, нарушена ассоциация exe-файлов

Похожие темы

Нарушена ассоциация exe-файлов

Нарушена ассоциация exe-файлов

Нарушена ассоциация .exe- файлов

Нарушена ассоциация файлов EXE и COM. Не исправляется через avz.

нарушена ассоциация exe файлов

Ваши права в разделе