Показано с 1 по 20 из 20.

csrcs.exe - блокировал AVZ4 (заявка № 97139)

  1. #1
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    35

    Question csrcs.exe - блокировал AVZ4

    Здравствуйте. Комп WinXP SP3
    Сегодня по нескольким компам, связаным в сеть, прошлась какая-то вирусная атака, видимо.
    остальные полечил, а с этим надо бы разобраться подробней.

    характерно, что не мог убить процесс - csrcs.exe - блокировал AVZ4, а так же vmsrvc.exe.
    а после лечения не могу избавиться от conhost.exe и dwm.exe
    а так же системных - jqs.exe и mdm.exe
    сейчас работоспособность системы частично восстановлена.

    Вот логи, спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,463
    Вес репутации
    1269
    Здравствуйте

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     TerminateProcessByName('c:\documents and settings\Администрация\application data\microsoft\conhost.exe');
     TerminateProcessByName('c:\documents and settings\Администрация\application data\dwm.exe');
     QuarantineFile('C:\Documents and Settings\Администрация\Application Data\Microsoft\conhost.exe','');
     DeleteFile('C:\Documents and Settings\Администрация\Application Data\Microsoft\conhost.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','conhost');  
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Прокси Ваши? -
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:59758

  4. #3
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    35

    csrss.exe - блокировал AVZ4

    Здравствуйте, карантин отправлен.
    После выполнения скриптов осталсись процессы dwm.exe
    csrcs.exe поменялся на csrss.exe и при попытке выгрузить пишет - "Это критический системный процесс. Диспетчер задач не может завершить его." Это было и до скриптов.

    По поводу прокси: мы используем шлюз 192.168.1.1 (модем ADSL) IP адреса: 192.168.1. - от 2 и выше.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,463
    Вес репутации
    1269
    Цитата Сообщение от ScorpioNik Посмотреть сообщение
    csrcs.exe поменялся на csrss.exe и при попытке выгрузить пишет - "Это критический системный процесс.
    Это и есть системный процесс, не трогайте его. csrcs.exe - Это враг. csrss.exе - это компонент Windows

    Сделайте новые логи

  6. #5
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    35
    Процесс системный, но запущен пользователем!
    Логи пока сделать не могу. позже.

  7. #6
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    35
    Доброй ночи. без спешки повторно почистил систему. Kaspersky Rescue disk и DrWeb Curelt! соревновались в очистке карантина доктора веба. на всём диске С больше не найдено вирусов!

    При этом всё по прежнему, три процесса висят и не выгружаются из автозапуска никак!
    conhost.exe
    dwm.exe
    csrss.exe
    по поводу последнего, я ошибся изначально - не было csrcs.exe, было два csrss.exe - один в системных, второй в пользовательских. есть скриншоты диспетчера.

    ушёл только vmsrvc.exe

    вот логи

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,685
    Вес репутации
    3028
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    35
    Сделал лог полного сканирования МВАМ. Прикрепляю.

  10. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,463
    Вес репутации
    1269
    Удалите в МВАМ -

    Код:
    Заражённые процессы в памяти:
    c:\documents and settings\администрация\application data\dwm.exe (Trojan.Downloader) -> 696 -> No action taken.
    c:\documents and settings\администрация\application data\microsoft\conhost.exe (Trojan.Agent) -> 1700 -> No action taken.
    
    Заражённые ключи в реестре:
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.
    
    Заражённые параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Value: load -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOCUME~1\6346~1\LOCALS~1\Temp\csrss.exe) Good: () -> No action taken.
    
    Заражённые файлы:
    c:\documents and settings\администрация\application data\dwm.exe (Trojan.Downloader) -> No action taken.
    c:\documents and settings\администрация\application data\microsoft\conhost.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\администрация\local settings\Temp\csrss.exe (Trojan.Agent) -> No action taken.
    - Повторите лог МВАМ

  11. #10
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    35
    Здравствуйте, удалил в МВАМ указанные Вами пункты. Все перечисленные ранее процессы ушли, спасибо! Последний лог прикреплён.

    Попытался с компьютера выйти в Нет, Опера выдаёт ошибку: "Невозможно подключится к прокси-серверу, доступ запрещён" И IE8 что-то подобное пишет.
    Брандмауер отключил - результата никакого.
    DrWeb - простой антивирус выдаёт ошибку получения списка обновляемых файлов. На этой машине Доктор давно не хочет обновляться автоматически, а теперь и в ручном отказывает. Давно хочу переустановить его полностью.
    IP адрес, шлюз и DNS прописаны вручную.
    При этом Outlook Express работает, почту принимает.

    Запускаю AVZ4, наверняка запросите

  12. #11
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    35
    Вот логи АВЗ, обновлённого на этом же компьютере, только в настройках указал прямое подключение к Интернет. А браузеры всё так же не работают

  13. #12
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    35
    Повторяю лог МВА. потерялся, видимо

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:54364
    Сами прописывали? Если нет, профиксите в HijackThis

    -Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('xrme.sys','');
     DeleteFile('xrme.sys');
     DeleteFileMask('c:\program files\DrWeb\Infected.!!!\', '*.*', true);
     DeleteFileMask('c:\WINDOWS\system32', 'wmsrvc.*xe',false);
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.1 и 3 раздела Диагностика.(virusinfo_syscure.zip;hijackthis.log)

  15. #14
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    35
    Карантин отправлен. сканирую Cureltom. после скриптов браузеры так и не работают

    Добавлено через 10 минут

    Карантин отправлен. сканирую Cureltom. после скриптов браузеры так и не работают
    Последний раз редактировалось ScorpioNik; 07.02.2011 в 07:56. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    35
    вот последние логи
    может можно как-то в ручную открыть браузерам доступ в интернет?
    подскажите направление поиска, пожалуйста.

  17. #16
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    35
    Залез в настройки IE8 - снял все метки в настройках сети (ну, типа, автоматом, подключить прокси и т.п.) IE8 пошёл, правда не знаю на все 100% илил нет. Но работает. И DrWeb обновляется. А Опера не выходит в нет

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,448
    Вес репутации
    730
    -Выполните скрипт в AVZ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\6346~1\LOCALS~1\Temp\AMcQFJk7.sys','');
     ExecuteWizard('TSW', 2, 3, true);
     BC_Activate;
     RebootWindows(true);
    end.
    после перезагрузки выполните скрипт:

    Код:
    begin
      DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы


    Цитата Сообщение от polword Посмотреть сообщение
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:54364


    Сами прописывали? Если нет, профиксите в HijackThis
    вы так и не ответили сами прописывали?

  19. #18
    Junior Member Репутация
    Регистрация
    14.08.2008
    Сообщений
    68
    Вес репутации
    35
    Во время выполнения скрипта возникла ошибка карантина. При попытке загрузки в вверху темы ещё ошибка - Файл уже был загружен! Да фактически загружать нечего - архив пустой!

    Что дальше?

    По поводу прокси - в ручную я такой IP не прописывал.
    И я уже писал, что испльзуем фиксированные IP адреса начиная от 192.168.1.2 и далее изменяется только последняя цифра.
    Шлюз - 192.168.1.1
    DNS-сервер 83.221.202.254
    80.254.111.13
    и ещё есть старый DNS-сервер также отличный от того, что Вы укзали.
    Правда, на другой машине, при загрузке файлов с обменников, указывается якобы наш IP вообще отличный от всего, что перечислено.

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    1.Профиксите в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:54364
    2.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteFile('C:\DOCUME~1\6346~1\LOCALS~1\Temp\AMcQFJk7.sys');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\администрация\\application data\\microsoft\\conhost.exe - Backdoor.Win32.Gbot.sp ( DrWEB: Trojan.DownLoader1.63280, BitDefender: Gen:Trojan.Heur.KS.1, AVAST4: Win32:Cybota [Trj] )


  • Уважаемый(ая) ScorpioNik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. троян блокировал систему
      От all1 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 08.07.2011, 10:50
    2. Троянец блокировал систему
      От alimnabi в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 31.12.2010, 10:06
    3. Вирус блокировал поисковики
      От tubus в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.09.2010, 07:09
    4. pornhub.com блокировал почти всё
      От АнтонМГ в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 16.06.2010, 19:46
    5. Ответов: 3
      Последнее сообщение: 22.11.2009, 22:25

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00251 seconds with 16 queries