csrcs.exe - блокировал AVZ4

[ScorpioNik]

Здравствуйте. Комп WinXP SP3
Сегодня по нескольким компам, связаным в сеть, прошлась какая-то вирусная атака, видимо.
остальные полечил, а с этим надо бы разобраться подробней.

характерно, что не мог убить процесс - csrcs.exe - блокировал AVZ4, а так же vmsrvc.exe.
а после лечения не могу избавиться от conhost.exe и dwm.exe
а так же системных - jqs.exe и mdm.exe
сейчас работоспособность системы частично восстановлена.

Вот логи, спасибо.

[olejah]

Здравствуйте

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 TerminateProcessByName('c:\documents and settings\Администрация\application data\microsoft\conhost.exe');
 TerminateProcessByName('c:\documents and settings\Администрация\application data\dwm.exe');
 QuarantineFile('C:\Documents and Settings\Администрация\Application Data\Microsoft\conhost.exe','');
 DeleteFile('C:\Documents and Settings\Администрация\Application Data\Microsoft\conhost.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','conhost');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Прокси Ваши? -

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:59758

[ScorpioNik]

Здравствуйте, карантин отправлен.
После выполнения скриптов осталсись процессы dwm.exe
csrcs.exe поменялся на csrss.exe и при попытке выгрузить пишет - "Это критический системный процесс. Диспетчер задач не может завершить его." Это было и до скриптов.

По поводу прокси: мы используем шлюз 192.168.1.1 (модем ADSL) IP адреса: 192.168.1. - от 2 и выше.

[olejah]

csrcs.exe поменялся на csrss.exe и при попытке выгрузить пишет - "Это критический системный процесс.

Это и есть системный процесс, не трогайте его. csrcs.exe - Это враг. csrss.exе - это компонент Windows

Сделайте новые логи

[ScorpioNik]

Процесс системный, но запущен пользователем!
Логи пока сделать не могу. позже.

[ScorpioNik]

Доброй ночи. без спешки повторно почистил систему. Kaspersky Rescue disk и DrWeb Curelt! соревновались в очистке карантина доктора веба. на всём диске С больше не найдено вирусов!

При этом всё по прежнему, три процесса висят и не выгружаются из автозапуска никак!
conhost.exe
dwm.exe
csrss.exe
по поводу последнего, я ошибся изначально - не было csrcs.exe, было два csrss.exe - один в системных, второй в пользовательских. есть скриншоты диспетчера.

ушёл только vmsrvc.exe

вот логи

[thyrex]

Сделайте лог полного сканирования МВАМ

[ScorpioNik]

Сделал лог полного сканирования МВАМ. Прикрепляю.

[olejah]

Удалите в МВАМ -

Код:

Заражённые процессы в памяти:
c:\documents and settings\администрация\application data\dwm.exe (Trojan.Downloader) -> 696 -> No action taken.
c:\documents and settings\администрация\application data\microsoft\conhost.exe (Trojan.Agent) -> 1700 -> No action taken.

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOCUME~1\6346~1\LOCALS~1\Temp\csrss.exe) Good: () -> No action taken.

Заражённые файлы:
c:\documents and settings\администрация\application data\dwm.exe (Trojan.Downloader) -> No action taken.
c:\documents and settings\администрация\application data\microsoft\conhost.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\администрация\local settings\Temp\csrss.exe (Trojan.Agent) -> No action taken.

- Повторите лог МВАМ

[ScorpioNik]

Здравствуйте, удалил в МВАМ указанные Вами пункты. Все перечисленные ранее процессы ушли, спасибо! Последний лог прикреплён.

Попытался с компьютера выйти в Нет, Опера выдаёт ошибку: "Невозможно подключится к прокси-серверу, доступ запрещён" И IE8 что-то подобное пишет.
Брандмауер отключил - результата никакого.
DrWeb - простой антивирус выдаёт ошибку получения списка обновляемых файлов. На этой машине Доктор давно не хочет обновляться автоматически, а теперь и в ручном отказывает. Давно хочу переустановить его полностью.
IP адрес, шлюз и DNS прописаны вручную.
При этом Outlook Express работает, почту принимает.

Запускаю AVZ4, наверняка запросите

[ScorpioNik]

Вот логи АВЗ, обновлённого на этом же компьютере, только в настройках указал прямое подключение к Интернет. А браузеры всё так же не работают

[ScorpioNik]

Повторяю лог МВА. потерялся, видимо

[polword]

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:54364

Сами прописывали? Если нет, профиксите в HijackThis

-Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('xrme.sys','');
 DeleteFile('xrme.sys');
 DeleteFileMask('c:\program files\DrWeb\Infected.!!!\', '*.*', true);
 DeleteFileMask('c:\WINDOWS\system32', 'wmsrvc.*xe',false);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.1 и 3 раздела Диагностика.(virusinfo_syscure.zip;hijackthis.log)

[ScorpioNik]

Карантин отправлен. сканирую Cureltom. после скриптов браузеры так и не работают

Добавлено через 10 минут

Карантин отправлен. сканирую Cureltom. после скриптов браузеры так и не работают

[ScorpioNik]

вот последние логи
может можно как-то в ручную открыть браузерам доступ в интернет?
подскажите направление поиска, пожалуйста.

[ScorpioNik]

Залез в настройки IE8 - снял все метки в настройках сети (ну, типа, автоматом, подключить прокси и т.п.) IE8 пошёл, правда не знаю на все 100% илил нет. Но работает. И DrWeb обновляется. А Опера не выходит в нет

[regist]

-Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\6346~1\LOCALS~1\Temp\AMcQFJk7.sys','');
 ExecuteWizard('TSW', 2, 3, true);
 BC_Activate;
 RebootWindows(true);
end.

после перезагрузки выполните скрипт:

Код:

begin
  DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:54364


Сами прописывали? Если нет, профиксите в HijackThis

вы так и не ответили сами прописывали?

[ScorpioNik]

Во время выполнения скрипта возникла ошибка карантина. При попытке загрузки в вверху темы ещё ошибка - Файл уже был загружен! Да фактически загружать нечего - архив пустой!

Что дальше?

По поводу прокси - в ручную я такой IP не прописывал.
И я уже писал, что испльзуем фиксированные IP адреса начиная от 192.168.1.2 и далее изменяется только последняя цифра.
Шлюз - 192.168.1.1
DNS-сервер 83.221.202.254
80.254.111.13
и ещё есть старый DNS-сервер также отличный от того, что Вы укзали.
Правда, на другой машине, при загрузке файлов с обменников, указывается якобы наш IP вообще отличный от всего, что перечислено.

[polword]

1.Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:54364

2.Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\DOCUME~1\6346~1\LOCALS~1\Temp\AMcQFJk7.sys');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\администрация\\application data\\microsoft\\conhost.exe - Backdoor.Win32.Gbot.sp ( DrWEB: Trojan.DownLoader1.63280, BitDefender: Gen:Trojan.Heur.KS.1, AVAST4: Win32:Cybota [Trj] )