PDA

Показать полную графическую версию : [решено] Плодится csrss.exe


Страниц : [1] 2

SilverFire
22-06-2012, 00:35
Здравствуйте.
Windows 7 Ultimate 6.1.7600 сборка 7600, процессор - Intel Core i5 2500k, 8 gb RAM (4 x 2gb)
Проблема такова: на ровном месте в список процессов вываливается немерено процессов csrss.exe, которые в зависимости от своего количества, или намертво вешают машину, или зажирают почти все ресурсы так, что ее еще можно удаленно бутнуть.
Вот сейчас у меня вывалилось их не очень много - 388 штук. Комп живой, шустрый, пока его не перезагружал - жду вашей помощи :) Бывало и такое, что вываливалось больше 3000 (тогда комп намертво вешается).
Сам csrss.exe анализировал на virustotal - чистый.

sysinfo и tasklist (https://dl.dropbox.com/u/14356456/sysinfo%2Btasklist.rar)

Vadikan
22-06-2012, 00:42
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

SilverFire
22-06-2012, 00:59
rsit.rar (https://dl.dropbox.com/u/14356456/rsit.rar)
AVZ запустил, но делать он будет долго - прикреплю позже. Исходя из уже имеющейся информации можно что-то сказать?

SolarSpark
22-06-2012, 06:36
Исходя из уже имеющейся информации можно что-то сказать? »
красиво)
логи AVZ нужны, что делаете на виртуалке?

AVZ запустил, но делать он будет долго »
нужно было отключить антивирус

SilverFire
22-06-2012, 08:26
нужно было отключить антивирус »
Полностью выгрузить Авиру нельзя. В ней отключил защиту просто.

логи AVZ нужны, что делаете на виртуалке? »
Логи AVZ (https://dl.dropbox.com/u/14356456/AVZ_LOG.rar)
На виртуалках :) Их 3 запущено у меня обычно. Win XP, Win 7, FreeBSD
Win XP - для того, чем жалко калечить Win 7 родную
Win 7 - VPN на работу (чтобы не касаться трафика основной машины)
FreeBSD - тестовая фря


А стопка csrss.exe - таки да, красиво :)

SolarSpark
22-06-2012, 08:53
Обновите Internet Explorer до IE9 (http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie)

раз пользуете авиру, зачистите до конца C:\Program Files\ESET\ESET NOD32 Antivirus\x86\

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\temp\mama\mirc.exe','');
QuarantineFile('C:\Users\SILVER~1\AppData\Local\Temp\epi1D1D.tmp','');
DeleteFile('C:\Users\SILVER~1\AppData\Local\Temp\epi1D1D.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.




После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему


Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Исходя из уже имеющейся информации можно что-то сказать? »
думается мне, что у вас одна из модификаций Trojan.KillProc, отошлете карантин-скажу точнее

SilverFire
22-06-2012, 10:22
Мирк использую, это не зловред. Может не стоит его в карантин?

SolarSpark
22-06-2012, 10:24
о как) давно используете?
давайте все равно в карантин...
мне не нравятся ключи запуска..прям троянские
скрипт щас перепищу только на карантин

+ лог МВАМ не забудьте

SilverFire
22-06-2012, 10:26
раз пользуете авиру, зачистите до конца C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ »
Директории не существует

о как) давно используете?
давайте все равно в карантин... »
ОК, закарантиним.
Использую приблизительно с 10 мая этого года.

Я сейчас на работе, домой хожу в радмин. Обязательно останавливать службу протокола TCP/IP?

SolarSpark
22-06-2012, 10:36
выполняйте как написано)

Директории не существует »
ну как так))
http://safezone.cc/forum/showthread.php?t=58 воспользуйтесь чисткой для успокоения совести

SilverFire
22-06-2012, 13:31
После выполнения скрипта карантина из трея пропали иконки некоторых приложений (Skype, uTorrent, KeePass), хотя последние запущены и работают.

Карантин прикрепил через специальную форму.
RSIT (https://dl.dropbox.com/u/14356456/rsit_1.rar)

Сейчас сканирует MBAM, потом будет и AVZ. :)

По карантину и RSIT можно что-то сказать?

alex_sev
22-06-2012, 14:22
По карантину и RSIT можно что-то сказать? »

Пока ничего (в карантине пусто, в логе чисто), ждем MBAM

+

Подготовьте еще лог OTL by OldTimer (http://safezone.cc/forum/showthread.php?t=12019)

SilverFire
22-06-2012, 14:49
Mbam log (https://dl.dropbox.com/u/14356456/mbam.txt)

MBAM можно закрыть?

alex_sev
22-06-2012, 16:02
Если C:\Windows\temp\mama\mirc.exe - это действительно установленный Вами и помещенный в автозапуск именно таким образом:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|firefox

то можете закрывать, но мне категорически в это не верится, желательно удалить вот эти строки:

HKLM\SYSTEM\CurrentControlSet\Services\Firefox (Backdoor.Agent)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|firefox (Misused.Legit)

SilverFire
22-06-2012, 16:39
желательно удалить вот эти строки »
удалил

AVZ LOG (https://dl.dropbox.com/u/14356456/AVZ_LOG_1.rar)
OTL (https://dl.dropbox.com/u/14356456/OTL.Txt)
логи собраны до удаления

alex_sev
22-06-2012, 16:47
Запустите повторно OTL by OldTimer (http://oldtimer.geekstogo.com/OTL.exe) или OTL.com (http://oldtimer.geekstogo.com/OTL.com) или OTL.scr (http://oldtimer.geekstogo.com/OTL.scr).

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

В окно Custom Scans/Fixes скопируйте следующую информацию:

:processes

:OTL
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-664521535-493802031-535234082-1000..\Run: [] File not found
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O32 - AutoRun File - [2007.05.29 22:33:54 | 000,000,095 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2007.10.10 16:18:32 | 000,087,910 | R--- | M] () - F:\autorun.ico -- [ UDF ]
O32 - AutoRun File - [2007.10.10 16:18:32 | 000,000,223 | R--- | M] () - F:\autorun.inf -- [ UDF ]
O33 - MountPoints2\{9f73f870-beac-11e0-a6ca-f46d043731b1}\Shell - "" = AutoRun
O33 - MountPoints2\{9f73f870-beac-11e0-a6ca-f46d043731b1}\Shell\AutoRun\command - "" = M:\SETUP.EXE
O33 - MountPoints2\{9f73f870-beac-11e0-a6ca-f46d043731b1}\Shell\configure\command - "" = M:\SETUP.EXE
O33 - MountPoints2\{9f73f870-beac-11e0-a6ca-f46d043731b1}\Shell\install\command - "" = M:\SETUP.EXE
O33 - MountPoints2\{edf2be8e-bdf0-11e0-9595-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{edf2be8e-bdf0-11e0-9595-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Bin\assetup.exe
:Services

:Files

autorun.inf /alldrives
autorun.exe /alldrives
recycler /alldrives
ipconfig /flushdns /c
:Reg

:Commands
[EMPTYJAVA]
[EMPTYFLASH]
[RESETHOSTS]
[purity]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

SilverFire
22-06-2012, 17:58
OTL Logs (https://dl.dropbox.com/u/14356456/06222012_155141.log)

SilverFire
22-06-2012, 23:59
ап)

alex_sev
23-06-2012, 10:38
Как самочувствие системы?

SilverFire
23-06-2012, 10:41
csrss.exe вываливался у меня в среднем после 10 дней аптайма, не раньше




© OSzone.net 2001-2012