Показано с 1 по 15 из 15.

CSRSS загружает процессор (заявка № 9692)

  1. #1
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    14
    Вес репутации
    62

    Thumbs up CSRSS загружает процессор

    Вот я и завирусел. Началось с того, что комп стал уходить на перезагрузку. Выяснилось, что ругается на lzx32.sys. Нашел программулину Rustbfix.exe. Выполнил. Перезагружаться перестал. AVZ кое-что поудалял. CureIt тоже что-то почистил. Но проблема остается. Это прежде всего CSRSS загружает комп так, что работать можно с трудом. Причем иных CSRSS.exe чем в каталоге system32 я не нашел. В общем помогайте.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    14
    Вес репутации
    62
    PS Winlogon.exe тоже пожирает ресурсы ЦП (процентов 10 постоянно). CSRSS.exe где-то 80%

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Скачайте утилиту WinSockFix она понадобится, если после нижеследующего скрипта пропадет интернет
    Выполнить скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\YourSiteBar\ysb.dll','');
     QuarantineFile('trafracp.dll','');
     QuarantineFile('jpgstat.dll','');
     QuarantineFile('jpgmgr32.dll','');
     QuarantineFile('drvstat.dll','');
     QuarantineFile('drvmgr32.dll','');
     QuarantineFile('diagisr.dll','');
     QuarantineFile('confdrv.dll','');
     QuarantineFile('C:\WINDOWS\umkttv.exe','');
     QuarantineFile('C:\WINDOWS\system32\shfoxpob.dll','');
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\WINDOWS\svcht323.exe','');
     QuarantineFile('C:\WINDOWS\system32\uijldosjq.dll','');
     QuarantineFile('C:\WINDOWS\system32\confjpg.dll','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
     QuarantineFile('\Device\HarddiskVolume1\Program Files\Internet Explorer\iexplore.exe','');
     QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
    QuarantineFile('c:\cp1041.nls',''); 
    DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
     BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
     DeleteFile('C:\WINDOWS\system32\confjpg.dll');
     BC_DeleteFile('C:\WINDOWS\system32\confjpg.dll');
     DeleteFile('C:\WINDOWS\system32\uijldosjq.dll');
     BC_DeleteFile('C:\WINDOWS\system32\uijldosjq.dll');
     DeleteFile('C:\WINDOWS\svcht323.exe');
     BC_DeleteFile('C:\WINDOWS\svcht323.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\system32\shfoxpob.dll');
     BC_DeleteFile('C:\WINDOWS\system32\shfoxpob.dll');
     DeleteFile('C:\WINDOWS\umkttv.exe');
     BC_DeleteFile('C:\WINDOWS\umkttv.exe');
     DeleteFile('confdrv.dll');
     BC_DeleteFile('confdrv.dll');
     DeleteFile('diagisr.dll');
     BC_DeleteFile('diagisr.dll');
     DeleteFile('drvmgr32.dll');
     BC_DeleteFile('drvmgr32.dll');
     DeleteFile('drvstat.dll');
     BC_DeleteFile('drvstat.dll');
     DeleteFile('jpgmgr32.dll');
     BC_DeleteFile('jpgmgr32.dll');
     DeleteFile('jpgstat.dll');
     BC_DeleteFile('jpgstat.dll');
     DeleteFile('trafracp.dll');
     BC_DeleteFile('trafracp.dll');
     DeleteFile('C:\Program Files\YourSiteBar\ysb.dll');
     BC_DeleteFile('C:\Program Files\YourSiteBar\ysb.dll');
    BC_ImportDeletedList;
    BC_Activate;
    ExecuteSysClean;
    ExecuteRepair(14);
    ExecuteRepair(15);
    RebootWindows(true);
    end.
    После перезагрузки прислать карантин согласно правилам

    Пофиксить
    Код:
    O20 - AppInit_DLLs:  trafracp.dll confjpg.dll jpgstat.dll diagisr.dll confdrv.dll drvstat.dll
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll
    O20 - Winlogon Notify: drvmgr - drvmgr32.dll (file missing)
    O20 - Winlogon Notify: jpgmgr - jpgmgr32.dll (file missing)
    Сделать новые логи.
    Последний раз редактировалось anton_dr; 13.05.2007 в 21:15.

  5. #4
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    14
    Вес репутации
    62

    Вроде полегче стало

    Спасибо. Скрипт выполнил. Карантин отправил.
    Постоянная загрузка ЦП пропала.
    Вот новые логи. Интернет не пропадал, winSockFix не понадобился.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все было бы прекрасно, но остался еще один трудноудаляемый зловред.
    Вам необходимо восстановить из дистрибутива (или скопировать с чистого компьютера) системный драйвер C:\windows\system32\drivers\ndis.sys. Сделать это можно, если загрузиться с LiveCD, или воспользваться консолью восстановления. Заодно удалите файл c:\cp1041.nls.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    14
    Вес репутации
    62
    Вроде подменил и удалил. В логе hijackthis явно какая-то бяка

    O10 - Unknown file in Winsock LSP: c:\windows\system32\oiyhfpivycwba.dll
    O20 - Winlogon Notify: shfoxpob - C:\WINDOWS\

    Что с этим делать? Вот последние логи
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Читаем: http://www.viruslist.com/ru/viruses/...?virusid=97751
    Утилитка WinSockFix осталась? Может понадобиться.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\YourSiteBar\ysb.dll','');
     QuarantineFile('stremu.sys','');
     QuarantineFile('C:\WINDOWS\system32\oiyhfpivycwba.dll','');
     DeleteFile('C:\WINDOWS\system32\oiyhfpivycwba.dll');
     DeleteFile('C:\Program Files\YourSiteBar\ysb.dll');
    ExecuteSysClean;
     BC_DeleteFile('C:\Program Files\YourSiteBar\ysb.dll');
     BC_DeleteFile('C:\WINDOWS\system32\oiyhfpivycwba.dll');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Карантин по правилам.
    Пофиксить:
    O20 - Winlogon Notify: shfoxpob - C:\WINDOWS\
    O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Program Files\YourSiteBar\ysb.dll (file missing)
    + новые логи.
    Последний раз редактировалось Alex_Goodwin; 15.05.2007 в 22:31.

  9. #8
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    14
    Вес репутации
    62
    Что есть BC_All? AVZ ругается на это.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Поправил

  11. #10
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    14
    Вес репутации
    62
    Карантин закачал
    Файл сохранён как/td> 070515_230118_virus_464a037e20991.zipРазмер файла39156MD5e16c1cf6c19e4d13bddaf23e599aa985

    Новые логи. Какой-то ICQToolbar маячит, тоже фиксить?
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    oiyhfpivycwba.dll - это был Trojan.Win32.Agent.afg
    Выполните скрипт:
    Код:
    begin
    AutoFixSPI;
    RebootWindows(false);
    end.
    Строчку про ICQ toolbar можно пофиксить.
    В остальном все чисто.
    Сделайте еще раз логи начиная с п.10 правил.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    14
    Вес репутации
    62
    Логи
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Теперь порядок!
    Если что - заходите еще
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    13.05.2007
    Сообщений
    14
    Вес репутации
    62
    Всем огромное спасибо за помощь. Если что - конечно зайду

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\cp1041.nls - Virus.Win32.Agent.x (DrWEB: Trojan.Spambot)
      2. c:\\documents and settings\\all users\\документы\\settings\\arm32.dll - Trojan.Win32.Agent.oh (DrWEB: BackDoor.Uragan)
      3. c:\\program files\\internet explorer\\iexplore.exe - Trojan.Win32.Patched.bd (DrWEB: Trojan.PWS.GoldSpy)
      4. c:\\windows\\system32\\confjpg.dll - Email-Worm.Win32.Warezov.nm (DrWEB: Win32.HLLM.Limar)
      5. c:\\windows\\system32\\cssrss.exe - Backdoor.Win32.Small.ot (DrWEB: Trojan.DownLoader.29250)
      6. c:\\windows\\system32\\oiyhfpivycwba.dll - Trojan.Win32.Msnetax.d (DrWEB: Trojan.Netqv)
      7. c:\\windows\\system32\\uijldosjq.dll - Trojan.Win32.Msnetax.d (DrWEB: Trojan.Netqv)


  • Уважаемый(ая) SNP, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. csrss.exe постоянно грузит процессор
      От Organ в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 03.05.2009, 14:48
    2. csrss.exe загружает компьютер
      От katrisha в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 04:06
    3. csrss.exe загружает проц на 80-100%
      От tonich в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 03:24
    4. Вирус. Загружает процесс csrss.exe
      От koba___ в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 02:35
    5. Ответов: 6
      Последнее сообщение: 22.02.2009, 02:22

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00906 seconds with 20 queries