-
Junior Member
- Вес репутации
- 61
Заражен csrss, нарушена ассоциация exe-файлов
WinXP, SP2, RU
1. Процесс csrss загружает процессор на 50-70%.
2. Не запускаются исполнимые модули, avz.exe пришлось переименовать в avz.pif, после этого запустился.
3. Не зайти в свойства системы, соотв-но не отключить восстановление
4. Ассоциацию "приложений" вручную не восстановить.
5. Антивирус SAV 10.1.6.6000, базы свежие, находит и удаляет Infostealer.Banker.C и W32.Mandaph, однако ничего не меняется.
Последний раз редактировалось yumm; 10.05.2008 в 19:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('?','');
QuarantineFile('iexplore.exe','');
DelBHO('{B9249083-6055-476c-A69D-13E110BFEA91}');
QuarantineFile('tconn1.dll','');
QuarantineFile('c:\windows\system32\tconn1.dll','');
DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
QuarantineFile('c:\autoex.dll','');
QuarantineFile('D:\NTGLM7X.sys','');
QuarantineFile('D:\NTACCESS.sys','');
QuarantineFile('D:\Fxdrv.sys','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\Documents and Settings\Vadim.Kolesnikov\ie_updates3r.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\Documents and Settings\Vadim.Kolesnikov\ie_updates3r.exe');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('c:\autoex.dll');
DeleteFile('tconn1.dll');
DeleteFile('c:\windows\system32\tconn1.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('msupdate');
BC_DeleteSvc('Google Online Services');
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22364 ).
Сделайте новые логи.
Последний раз редактировалось kps; 02.05.2008 в 13:53.
Причина: Дополнил скрипт
-
-
Junior Member
- Вес репутации
- 61
Выполнил. Карантин загрузил. Процессу csrss полегчало. Ассоциации не восстанавливаются -- назначил расширению EXE тип "Приложение", при повторном открытии списка ассоциаций, такого расширения нет. Полные логи (п.8. правил) выполняются порядка 2-х часов, как закончатся -- прикреплю. Остальное -- во вложении.
Последний раз редактировалось yumm; 10.05.2008 в 19:52.
-
Выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(1);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Как проблемы?
-
-
Junior Member
- Вес репутации
- 61
Все проблемы о которых я писал ушли. Большое спасибо.
-
Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
Ждем еще один лог от AVZ.
-
-
Junior Member
- Вес репутации
- 61
Пофиксил. Прикладываю, на всякий случай, полные логи.
Последний раз редактировалось yumm; 10.05.2008 в 19:52.
-
Логи чистые. Какие-то проблемы остались?
-
-
Junior Member
- Вес репутации
- 61
Проблем не наблюдаю. Спасибо за помощь!
-
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-