Показано с 1 по 13 из 13.

csrss.exe грузит ЦП + проблема с учеткой (заявка № 66484)

  1. #1
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52

    Exclamation csrss.exe грузит ЦП + проблема с учеткой

    Здравствуйте, уважаемые. У меня возникла такая проблема... Опишу все по порядку.

    Началось все с того, что флешевый баннер сомнительного содержания при закрытии открыл мне какой-то сайт (жаль, не запомнил, какой именно), на котором явно имелись подозрительные плагины. Всё быстренько закрыл. Через несколько секунд появилось окно командной строки (буквально на долю секунды), вот тут я заподозрил неладное...

    Перезагрузка. Розовый порно-баннер в 2/3 экрана с предложением отправить смс (всё в системе работает, но этот баннер постоянно поверх всех окон). Кое-как в интернете нашел ключики, которые нужно ввести; ввел - баннер исчез и больше не тревожит. Параллельно с этим через "Установку и удаление программ" снес какой-то там тулбар для браузера, появившийся, очевидно, именно тогда (тем более что я никаких тулбаров никогда не ставил).

    После этого:
    - Google Chrome, из-под которого эта бяка и появилась, перестал работать. Ну то есть он запускается, но по адресной строке тупо никуда не переходит. Но это мелочь, у меня Firefox еще есть (из-под него и пишу).
    - В диспетчере задач во вкладке процессов колонка "Имя пользователя" пустая для всех процессов, кроме Idle.
    - Загрузка ЦП - 100%. Причем создается она процессом csrss.exe, но загрузка такая "не критичная". Как бы объяснить, некоторые тормоза наблюдаются (в основном на панели задач), но проблем вроде открытия программ по 5 секунд не наблюдаю. Вообще говоря, scrss.exe занимает всё свободное время процессора, но при этом "не требует больше, чем есть".

    На всевозможные трояны / черви проверял несколькими утилитами - нигде ничего нет. csrss.exe нормальный, не зараженный, не модифицированный, лежит где должен и т.п. Несколько источников - и, что самое главное, саппорт Microsoft - говорят, что такое поведение csrss.exe бывает тогда, когда повреждена учетная запись пользователя. Собственно, это вполне похоже на мой случай, с учетом неотображения имени пользователя в Диспетчере Задач.

    Кстати, насчет неотображения имени пользователя - наткнулся на такое решение этой проблемы: http://sitefrost.com/showthread.php?tid=13655 . Но оно мне не помогает: при запуске этой службы она тут же останавливается, что и дает мне лишний повод думать, что всё это из-за поврежденной учетки.

    Грузится всё пока что из-под нее без проблем. Кстати, пробовал создать еще одну и загрузиться из-под нее - там тоже наблюдается загрузка ЦП из-за csrss.exe, но судя по саппорту Микрософт и еще нескольким источникам, csrss.exe будет так себя вести всегда, когда учетка повреждена, независимо от того, под какой учеткой сейчас сидеть.

    Вопрос мой таков: можно ли как-то "починить" учетную запись? Если нет, планирую "перебраться" на другую. Тогда другой вопрос: можно ли как-то импортировать большинство настроек на другую учетку (оформление, рабочий стол и т.п... Всякое барахло из Application Data и My Documents перенести могу и вручную, в принципе, просто перенастраивать абсолютно всё не хочется).

    Ну и (на всякий случай) что еще это может быть? (а вдруг)

    P.S. Проверяющему модератору - извините, если это повторное, в первый раз не загрузилась страница, я подумал, что могло не отправиться.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Сделайте логи в соответствии с правилами:
    http://virusinfo.info/showthread.php?t=1235.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Вот необходимые логи.

    Когда необходимо было выключить антивирь, заметил, что как только выключил его (он тоже немало ел ЦП), csrss.exe стал есть тоже ОЧЕНЬ мало и суммарная загрузка процессора была ну максимум процентов 30 (в общем, нормальной). У меня AVG 9, если это важно.

    Еще сейчас при двух последних перезагрузках почему-то отключался брандмауэр Windows (пришлось включать вручную).

    Буквально вот только что, когда печатал это, выскочила ошибка (у окна иконка Java) с текстом: Installer: Wrapper.CreateFile failed with error 32: Процесс не может получить доступ к файлу, т.к. этот файл занят другим процессом. Если что, у меня стоит Java, которая как раз примерно в это время (минут через 5 после старта системы) лезет в интернет проверять обновления, и я буквально только что закончил эти сканы системы.

    Апдейт: сейчас еще раз перезагрузился, брандмауэр все так же после перезагрузки обнаружился в отключенном состоянии, но Java с ошибкой не вылезала.
    Последний раз редактировалось FynjyZn; 09.01.2010 в 09:28.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Отключите восстановление системы!
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=66484).
    Сделайте новые логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Карантин прислал

    Логи сейчас сделать банально не успеваю - надо очень срочно ехать на другой конец города... Вернусь через 2.5 часа и тут же сделаю.

    Но пока что по наблюдениям:
    - В какой-то момент после очередной перезагрузки имена пользователей вернулись на место в Диспетчере Задач (без каких-либо едйствий с моей стороны)
    - После исправления через HiJackThis перестал вырубаться брандмауэр при старте системы
    - После AVZ - пропала нагрузка на ЦП.

    Вроде бы всё работает отлично. Но вы все-таки посмотрите логи (скину как только приеду, сразу же) на всякий случай... Спасибо!

  7. #6
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Вот логи (извините, что позднее, чем обещал). Пока что "симптомов" больше нет.

  8. #7
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Да, и еще один вопрос. 7 процессов svchost.exe - нормально? Просто никогда особо не смотрел, сколько именно их у меня. 3 запущены от имени SYSTEM, 2 - NETWORK SERVICE, 2 - LOCAL SERVICE. От имени User1 ни одного.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах ничего плохого.
    Рекомендуется установить SP3 и последующие обновления.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Спасибо за помощь!

    Один маленький вопрос остался - вы можете сказать, что за вирус был? (конкретный, в том карантинном файле). Дело в том, что есть небольшое подозрение, что с моего компьютера он попал через флешку на компьютер знакомого, т.к. там тоже недавно началась странная деятельность.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В карантине были только безвредные файлы, а зловредный sdra64.exe туда не попал. Вообще-то это скорее всего троян семейства ZBot, заточенный под кражу паролей, так что поменяйте их на всякий случай, особенно если пользуетесь электронными платежными системами. А вот через флешки этот троян, так же как и порнобаннеры, не передается.
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Есть небольшое подозрение, что чуть-чуть недолечили.

    При загрузке системы в диспетчере задач наблюдаются два процесса wmiprvse.exe (вставил скриншоты из него и из AVZ). Один из них примерно минуты через две пропадает.

    Еще подозрение вызвал wmiapsrv.exe.

    Также два процесса wuauclt.exe, тоже один через какое-то время пропадает. Причем один из них запущен от имени User1. В папке рядом с ним нашелся также wuauclt1.exe.

    На всё это virustotal.com выдает 0/41, но хотелось бы все-таки окончательно разобраться, что это... Или я паникую напрасно?

    Поскольку не уверен, что это именно случай, когда надо отправлять файлы в карантин, заархивировал их все вместе в архив с паролем virus (в аттаче). Все они лежали в своих "законных" системных папках и дубликатов на диске я не обнаружил.

    P.S. Насколько я понимаю, в C:\WINDOWS\SoftwareDistribution\Download\a50daa009 f8a7e7bb00fe145d2709bd7 хранится нечто вроде резервных копий файлов, так вот, если сравнивать размеры:

    wmiprvse - в wbem 227*840 байт, в "резервной папке" - 218*112 байт
    wmiapsrv - в wbem 126*464 байт, в "резервной папке" - 126*464 байт
    wuauclt - в system32 53*472 байт и нет иконки, в "резервной папке" - 111*616 байт и есть иконка
    wuauclt1 - в system32 166*912 байт, в "резервной папке" 166*912 байт (эта штука вообще никак себя не проявляет и, как видите, идентична, но имя файла несколько подозрительное...)

    P.P.S. Сейчас wmiprvse вообще нет в памяти (минут 10 с загрузки системы прошло), wmiapsrv.exe - один, SYSTEM, wuauclt.exe - один, User1. Память / процессорное время не грузят, но мало ли это ошметки старого вируса...
    Последний раз редактировалось FynjyZn; 15.09.2010 в 21:28.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Это Windows Management и автоматическое обновление.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) FynjyZn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. csrss.exe грузит ЦП
      От HOST86 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.06.2012, 21:24
    2. Ответов: 3
      Последнее сообщение: 28.05.2011, 22:30
    3. csrss.exe грузит цп
      От Тоха в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 17.05.2009, 23:43
    4. csrss.exe постоянно грузит процессор
      От Organ в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 03.05.2009, 14:48
    5. CSRSS.exe в трее грузит ЦП 90-100%
      От атакованный в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01256 seconds with 17 queries