Показано с 1 по 18 из 18.

csrss.exe + исчез рабочий + троян (заявка № 5252)

  1. #1
    lompad
    Guest

    csrss.exe + исчез рабочий + троян

    Обязательно оформлю вопрос по правилам, как только разберусь как добратся до отключения систем ресторе без explorer.exe

    Проблем такой:
    1.банальное письмо с "флэш мультиком".
    2.Скачал, проверил нортоном2006 + мелкософт антиспайваре = опасности нет.
    3.Запустил - распаковалось 4-е файла и быстренько исчезли.
    4.Стал просится к установке csrss.exe (из дериктории windows корень)
    я его пробовал удалять но он тутже появлялся снова.
    5.Полное сканирование на вирусы (база от вчерашнего дня) и на спайваре (база тоже вчерашняя) - результат : все в норме. (помимо просьб к установке еще выскакивала табличка с просьбой вставить дистрибутив винХПсп2.
    6. Перегрузился а вин2000 (на другом винте) проверил искомый диск касперским 5.0.5 - нашел все карантинные файлы NAV и MASW + csrss.exe в корне Windows обозвав его что-то типа Trojan-Spy.Win32.Agent.jq (точно не помню (позже обясню отчего).
    7. Перегрузился WinXP - после логона только десктопная картинка и боле ничего. Через cmd запустил тоталкомандер и вижу отсуттсвие csrss.exe - всё... и тишина. Перезагрузки результатов не дали, explorer.exe не запускается (пишет нет его).
    8. Перегрузился в win2000 восстановил все удаленные вирусы (подумал - вдруг каспер чиво лишнего удалил).
    9.Прегрузка в winXP - результат см. п.7.
    10. Пришел к вам скачал инструкцию по запросу и споткнулся о подводные камни. 1. База AVZ не обновляется (пишет ошибка в названии файла обновления). 2. Не могу выключить ресторе систем ибо не знаю как туда попасть.

    Может проще фрмат сэ сделать??

    Подскажите умным советом плиз:-)


    upd:
    отключил автостарт систем ресторе через приблуду к тоталкомандеру и обновил AVZ из Win2000
    вот логи (только сканирование системы в обоич случаях закончилось самозакрытием AVZ , так и должно быть??..или это троян себя так проявляет?).
    Вложения Вложения
    Последний раз редактировалось lompad; 12.04.2006 в 17:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    1. csrss.exe скачивает себе Trojan.PWS.LDPinch.852(по DrWeb) попробуйте воспользоваться пунктом 2 правил обращения.
    2. В AVZ есть набор восттановления (файл - восстановление настроек системы)

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Проблем такой:
    1.банальное письмо с "флэш мультиком".
    Читайте: http://virusinfo.info/showthread.php?t=5250 и завидуйте тому, какие у нас тут девушки тусуются.
    2.Скачал, проверил нортоном2006 + мелкософт антиспайваре = опасности нет.
    Нет не так, нортон2006 + мелкософт антиспайваре = доверия нет.
    3.Запустил - распаковалось 4-е файла и быстренько исчезли.
    4.Стал просится к установке csrss.exe (из дериктории windows корень)
    я его пробовал удалять но он тутже появлялся снова.
    5.Полное сканирование на вирусы (база от вчерашнего дня) и на спайваре (база тоже вчерашняя) - результат : все в норме. (помимо просьб к установке еще выскакивала табличка с просьбой вставить дистрибутив винХПсп2.
    6. Перегрузился а вин2000 (на другом винте) проверил искомый диск касперским 5.0.5 - нашел все карантинные файлы NAV и MASW + csrss.exe в корне Windows обозвав его что-то типа Trojan-Spy.Win32.Agent.jq (точно не помню (позже обясню отчего).
    7. Перегрузился WinXP - после логона только десктопная картинка и боле ничего. Через cmd запустил тоталкомандер и вижу отсуттсвие csrss.exe - всё... и тишина. Перезагрузки результатов не дали, explorer.exe не запускается (пишет нет его).
    8. Перегрузился в win2000 восстановил все удаленные вирусы (подумал - вдруг каспер чиво лишнего удалил).
    9.Прегрузка в winXP - результат см. п.7.
    10. Пришел к вам скачал инструкцию по запросу и споткнулся о подводные камни. 1. База AVZ не обновляется (пишет ошибка в названии файла обновления). 2. Не могу выключить ресторе систем ибо не знаю как туда попасть.
    попробуйте запустить файл sysdm.cpl
    Может проще фрмат сэ сделать?
    Это не наш метод.

  5. #4
    lompad
    Guest
    Наш метод, не наш метод - нихрена не вышло.

    Что подскажете в плане связка "Антивирус-програмный фаирвал" гаспад???
    В смысле соотношение "безгеморойность в плане активации - качкство защиты".

    Формат цэ неизбежен - как крах империализма.

  6. #5
    Geser
    Guest
    Цитата Сообщение от lompad
    Наш метод, не наш метод - нихрена не вышло.

    Что подскажете в плане связка "Антивирус-програмный фаирвал" гаспад???
    В смысле соотношение "безгеморойность в плане активации - качкство защиты".

    Формат цэ неизбежен - как крах империализма.
    А что конкретно было сделано

  7. #6
    lompad
    Guest
    Цитата Сообщение от Geser
    А что конкретно было сделано
    1. "Правила! Читать перед запросом о помощи!" (от буквы до буквы)
    2. п.2 Правил "Др.Вэб, Каспер5.0.5, Каспер6"
    3. Востановление системы AVZ (каждая галочка в отдельности и как вариант всё сразу).

    п.с. пришлось снести нортон интернет секьюрити...ка следствие думаю все мои пароли ушли.....ибо каспер не хотел работать при установленом нортоне... :-((

  8. #7
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76
    Проверьте что в реестре по адресу - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Есть Запись Shell с параметром - explorer.exe
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  9. #8
    lompad
    Guest
    В других темах ответить не могу и потому скажу тут.
    Всем чайниковатым как я, необходимо обяснить, что если в качестве антиспайваер стоит мелкософтавая приблуда, нивкоем случае нельзя перегружацца...ибо эта гадость опережает в загрузке MASW и блин таки инсталируецца. :-((

    p.s.
    Как ремарка, думаю всем в этой ситуации понятно, что загрузка в режиме защиты от сбоев невозможна и восстановление контрольной точки результатов не дает.

    p.p.s.
    оторвать бы детородный орган тем умельцам или направить энергию в мирное русло:-)

    p.p.s.
    таких идиотов как я еще поискать...сам всю жизнь супругу учу....." никаких непонятных писем и темболее вложений - ни в коем случае не открывать!!!" :-))))
    Последний раз редактировалось lompad; 12.04.2006 в 22:54.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Может все гораздо проще и достаточно записать explorer.exe в папку D:\WINDOWS\
    Если да, то вот он в архиве:
    http://webfile.ru/905922

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от AndreyKa
    Может все гораздо проще и достаточно записать explorer.exe в папку D:\WINDOWS\
    Если да, то вот он в архиве:
    http://webfile.ru/905922
    Это не поможет explorer.exe на месте. Я знаю решение - через полчаса выйдет внеочередной релиз баз AVZ с микропрограммой восстановления

  12. #11
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79
    Олег, а конкретно можешь сказать, какие параметры были изменены? У меня пока руки до полного трейса не дошли =(

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Xen
    Олег, а конкретно можешь сказать, какие параметры были изменены? У меня пока руки до полного трейса не дошли =(
    Да, могу - он регистрирует в реестре дебаггер для процесса explorer.exe Если забить зверя, то в ходе загрузки дебаггер не находится и все падает. Дебашшеры регистрятся в ключе реестра Image File Execution Options

  14. #13
    lompad
    Guest
    Цитата Сообщение от Sanja
    Проверьте что в реестре по адресу - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Есть Запись Shell с параметром - explorer.exe
    есть такая запись

    с трепетом ожидаю обновления AVZ, ибо реинсталл грозит повторными настройками всего софта....пару дней убью не менььше

    еще забыл добавить, в ходе заражения (пока эта зараза не проинсталилась окончательно и спайваре ей мешал) постоянно выскакивал (но без логики) проводник windows (я им вообще не пользуюсь) и в нем была открыта папка учетной записи администратора + создавался файл с трояном 1.exe прям в корне папки administrator
    Последний раз редактировалось lompad; 13.04.2006 в 10:40.

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Апдейт вышел - можно качать через автообновление и пользоватьться.
    Подробнее про процедуру спасения рабочего стола - http://z-oleg.com/secur/advice/adv1103.php

  16. #15
    lompad
    Guest
    Примного благодарен!
    Пойду займусь лечением, о результатах сообщю.

  17. #16
    lompad
    Guest
    Цитата Сообщение от Зайцев Олег
    Апдейт вышел - можно качать через автообновление и пользоватьться.
    Подробнее про процедуру спасения рабочего стола - http://z-oleg.com/secur/advice/adv1103.php

    Слава богам и вам Олег!!
    Всё заработало.

    Уважаемые гаспада, подскажите, что можно поставить в плане фаервала в добавку к касперскому шестому (я решил на нем остановитсья)? И нужен ли дополнительный антиспайваре или касперский с этим справляется?

  18. #17
    Geser
    Guest
    Цитата Сообщение от lompad
    Слава богам и вам Олег!!
    Всё заработало.

    Уважаемые гаспада, подскажите, что можно поставить в плане фаервала в добавку к касперскому шестому (я решил на нем остановитсья)? И нужен ли дополнительный антиспайваре или касперский с этим справляется?
    Если ставить КИС, то больше ничего не нужно. АХ в нём вполне достойный. В общем его и советую. Никаких антиспайварей дополнительно не нужно. Можно АВЗ использовать для ручного контроля.

  19. #18
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76
    Кста - пробовал вчера на 2к запускать пинча - експлорер работал даже после ребута ж)
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  • Уважаемый(ая) lompad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 28.05.2011, 22:30
    2. Троян вымогатель, не загр рабочий стол
      От SlavonBG в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.01.2011, 12:44
    3. Ответов: 18
      Последнее сообщение: 23.10.2010, 20:57
    4. Ответов: 7
      Последнее сообщение: 31.01.2010, 16:38
    5. Подозрение на троян: Outpost+Bat+csrss.exe
      От idw в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 27.06.2006, 10:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00669 seconds with 20 queries