Сегодня на меня была совершена атака неизвестным вирусом через ICQ. Со ЗНАКОМОГО номера (который не выходил в аську несколько дней) вдруг пришло такое сообщение:
Прямая ссылка для скачивания файла Piggy.zip
http://easyload.ru/download/?25596 (1,95 мб)
[-- Файл отправлен через сервис EasyLoad. Подробнее на сайте: http://easyload.ru/ --]

Спрашиваю у девушки, что это такое? Секунд через 10 приходит ответ «флешка про свинью ) глянь )))». Я качаю, проверяю – НОД32 с актуальными базами ничего не находит. Файл .ехе в виде свиньи. Запускаю его и ТУТ ЖЕ у меня уводиться аська, моментально! Ну аську вернул (восстановление пароля), смотрю номер той девушки сломан, инфа поменяна на:

Имя: H1N1 Infected
О себе: 01001100100101100110010110010001011011000100110000010110010001011000000101100010

У меня она тоже поменялась на аналогичную, кстати.

Просканировал систему НОД32 но ничего не нашел, скачал и запустил CureIT (свежий) от Dr.Web но и он ничего не нашел. Через HiJack Tools глянул, но подозрительных хвостов не обнаружил. Однако заметил, что у меня теперь красуется два csrss.exe в процессах! Раньше вроде один был, хотя я точно не помню. Оба процесса ведут к файлу в папке C:\Windows\System32 То есть это как бы нормальные процессы, но почему их два одинаковых? Пробовал откат – так ж картина, процессов два. Но вроде я помню, что должен быть один! У друга точно один.

ЗЫ: Процессор Core i7 860, HT включен

Два процесса csrss.exe: нормально ли это? »
Это нормально. По остальным вопросам - в раздел лечения.

The_Crystal, Я слава богу вирусов не цеплял, но у меня в процессах висит один csrss.exe, но если включить в диспетчере задач - Отображать процессы всех пользователей, то их становится два, как и некоторых других процессов. Ну если сомневаетесь, то выполните скрипт AVZ.

Ну хоть убей, но я помню, что должен быть один! Может из-за этого нового зловреда (отправлен в лабораторию ESET) у меня повредился реестр и что-то в нем не восстанавливается даже после отката? Почему у других один такой процесс?

ЗЫ: АВЗ в данный момент проверяет систему

The_Crystal, UAC включен?

сейчас нет

The_Crystal, Ваша тема? http://forum.kaspersky.com/index.php?showtopic=154315

нет, но это ещё одна жертва.

The_Crystal, переношу в "лечение"?
http://forum.oszone.net/announcement-87-112.html

2 The_Crystal,

А размер файла какой? И он сам находиться в C:\Windows\System32, а не в подкаталогах, например, C:\Windows\System32\Drivers?

Размеры файла можно тут посмотреть какие должны быть и какие подозрительные:
filecheck (http://www.filecheck.ru/process/csrss.exe.html)

Можно еще программой попробовать проверить, правда не знаю, если совместимость с Windows 7. Security Task Manager (http://www.neuber.com/taskmanager/index.html?ref=filecheck.ru)

The_Crystal,
Процесса два. и должно быть два.
1. C:\Windows\system32\csrss.exe -
Потоки
winsrv.dll
csrsrv.dll
2. C:\Windows\system32\csrss.exe -
Потоки
cdd.dll
winsrv.dl
csrsrv.dll
Запущена служба
C:\Windows\system32\conhost.exe - Окно консоли узла

Множество вирусов использует данное имя приложения, чтобы не вызвать подозрения у пользователя, тем более что для каждого терминального доступа создаётся отдельный экземпляр файла, поэтому на серверных машинах их количество может доходить до нескольких десятков. Оригинальный файл хранится только в папке system32. Наличие такого имени файла в других каталогах признак заражения.

Подскажите, в системе два csrss.exe процесса (в ДЗ), только кушают памяти по разному: 1616 кб и 2764 кб. Судя по свойствам, оба находятся в C:\Windows\System32. У обоих версия: 6.1.7600.16385. Вопрос - зачем два... вирус ли один из них?

zomboy, воспользуйтесь фильтрами (http://tools.oszone.net/Vadikan/faq.html#filters) по названию темы по csrss.

http://oszone.net/user_img/050214130343/filters.png

Результат (http://forum.oszone.net/forumdisplay.php?f=95&filter_string=csrss&filter_by=title)

Два процесса csrss.exe: нормально ли это? (http://forum.oszone.net/thread-163902.html)

2 is actually the minimal number that's expected at anytime.
2 SYSTEM processes live per session for pretty much as long as each (TS) session exists (csrss.exe & winlogon.exe).

There are at least 2 sessions at any time, session 0 for services, other sessions for interactive logons.
There are more than 2 sessions when you use fast user switching or remote desktop.

Если честно, то всё это я уже прочёл. Вот только однозначно ответить никто не может по какой причине их два, если родитель и профиль один....

Просто до того, как написать здесь, перелопатил много рус и не рус инфы в сети.... Неделю по форумам гуляю...

Вот только однозначно ответить никто не может по какой причине их два, если родитель и профиль один....
Однозначный ответ в предыдущем посте.
Если с английским туго, вбейте в любом поисковике Изоляция сессии 0 (пример (http://download.microsoft.com/documents/rus/windows/V7DEV.pdf)).

В Windows XP, Windows Server 2003 и более ранних версиях операционной системы Microsoft Windows все системные сервисы выполнялись в той же сессии, что и сессия, в которую загрузился первый пользователь системы. Такая сессия называется Сессия 0 (Session 0). Выполнение сервисов и пользовательских приложений в Сессии 0 могло приводить к определенным рискам, связанным с безопасностью, т. к. сервисы могут выполняться с повышенными привилегиями (например, под учетной записью Local System), вредоносные приложения могли пытаться использовать эти сервисы для повышения собственного уровня привилегий.

В операционной системе Windows Vista описанные выше риски устраняются за счет того, что сервисы, выполняемые в Сессии 0, изолированы и сама сессия не является интерактивной. В Windows Vista в Сессии 0 выполняются только системные процессы и сервисы. Первый пользователь, подключающийся к системе, загружается в Сессию 1, все последующие пользователи — в сессии с увеличивающими номерами. Это означает, что сервисы никогда не выполняются в той же сессии, что и пользовательские приложения и, таким образом, сервисы защищены от атак, которые могут происходить от вредоносных приложений.

Используя утилиту Task Manager, убедимся в том, что все сервисы Windows отделены от приложений и выполняются в Сессии 0.

Запустим утилиту Task Manager, выберем вкладку Process и включим отображение колонки Session ID (команда View | Select Columns). Активизируем опцию Show processes from all users для получения списка всех сервисов и убедимся в том, что они выполняются в отличной от приложений сессии — Сессии 0.

Спасибо за подробный ответ.

У меня лицензионная операционная система Windows 7 Начальная.
Сейчас в диспетчере задач работают два процесса.
Один занимает Память-9.984kb,а другой-1.540kb.
Стал проверять эти два процесса-csrss.exe
Нашёл это приложение в---
c:\Windows\System32\csrss.exe-приложение 6kb.
c:\Windows\winsxs\x86_microsoft-windows-csrss_316f3856ad364e35_6.1.7600.16
385-none-58ba39fb456943bd\csrss.exe-приложение 6kb.
c:\Windows\winsxs\Backup\x86_microsoft-windows-csrss_31bf3856ad364e35_
6.1.7600.16385_none_58ba39fb456943bd_csrss.exe_06529458-файл"EXE_
06529458"-6kb.
c:\Windows\System32\ru-RU\csrss.exe.mui-файл"mui"-2kb.
c:\Windows\winsxs\x86_microsoft-windows-csrss.resources_31bf3856ad364e35_
6.1.7600.16385_ru-ru_238878ee93c9301d\csrss.exe.mui-файл"mui"-2kb.
Везде пишут,что приложение должно быть только в одной папке System32,а тут такое скопление!
Что можете мне сказать?Всё правильно или есть вирус?
Всего всем хорошего!

Ну хоть убей, но я помню, что должен быть один! »
Должно быть как раз не меньше двух, один для сеанса 0, второй для сеанса 1.

Должно быть как раз не меньше двух, один для сеанса 0, второй для сеанса 1. »
Хорошо!Я согласен,что должно не меньше 2-х!
А как понять слова:Для сеанса 1 ?
Для сеанса 0 понятно из текста выше.А что такое Для сеанса 1 ?
И ещё одно непонятно:
c:\Windows\winsxs\x86_microsoft-windows-csrss_316f3856ad364e35_6.1.7600.16
385-none-58ba39fb456943bd\csrss.exe-приложение 6kb. »
Это приложение должно ещё и в этой папке быть ? Или нет ?
Жду от всех ответа.
Всего хорошего!

А как понять слова:Для сеанса 1 ? »
Для сеанса, в котором работает пользователь. Начиная с висты нормальный режим - когда пользователь и система работают в разных сеансах Поэтому сеанс 0 - это система, сеанс 1, 2, 3 и так далее - сеансы пользователей, вошедших в систему.