Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Плодится csrss.exe (http://forum.oszone.net/showthread.php?t=237102)

SilverFire 22-06-2012 00:35 1938502
Плодится csrss.exe
 
Здравствуйте.
Windows 7 Ultimate 6.1.7600 сборка 7600, процессор - Intel Core i5 2500k, 8 gb RAM (4 x 2gb)
Проблема такова: на ровном месте в список процессов вываливается немерено процессов csrss.exe, которые в зависимости от своего количества, или намертво вешают машину, или зажирают почти все ресурсы так, что ее еще можно удаленно бутнуть.
Вот сейчас у меня вывалилось их не очень много - 388 штук. Комп живой, шустрый, пока его не перезагружал - жду вашей помощи :) Бывало и такое, что вываливалось больше 3000 (тогда комп намертво вешается).
Сам csrss.exe анализировал на virustotal - чистый.

sysinfo и tasklist

Vadikan 22-06-2012 00:42 1938503
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

SilverFire 22-06-2012 00:59 1938509
rsit.rar
AVZ запустил, но делать он будет долго - прикреплю позже. Исходя из уже имеющейся информации можно что-то сказать?

SolarSpark 22-06-2012 06:36 1938555
Цитата:
Цитата SilverFire
Исходя из уже имеющейся информации можно что-то сказать? »
красиво)
логи AVZ нужны, что делаете на виртуалке?

Цитата:
Цитата SilverFire
AVZ запустил, но делать он будет долго »
нужно было отключить антивирус

SilverFire 22-06-2012 08:26 1938579
Цитата:
Цитата SolarSpark
нужно было отключить антивирус »
Полностью выгрузить Авиру нельзя. В ней отключил защиту просто.

Цитата:
Цитата SolarSpark
логи AVZ нужны, что делаете на виртуалке? »
Логи AVZ
На виртуалках :) Их 3 запущено у меня обычно. Win XP, Win 7, FreeBSD
Win XP - для того, чем жалко калечить Win 7 родную
Win 7 - VPN на работу (чтобы не касаться трафика основной машины)
FreeBSD - тестовая фря


А стопка csrss.exe - таки да, красиво :)

SolarSpark 22-06-2012 08:53 1938587
Обновите Internet Explorer до IE9

раз пользуете авиру, зачистите до конца C:\Program Files\ESET\ESET NOD32 Antivirus\x86\

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\temp\mama\mirc.exe','');
 QuarantineFile('C:\Users\SILVER~1\AppData\Local\Temp\epi1D1D.tmp','');
 DeleteFile('C:\Users\SILVER~1\AppData\Local\Temp\epi1D1D.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему


Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Цитата:
Цитата SilverFire
Исходя из уже имеющейся информации можно что-то сказать? »
думается мне, что у вас одна из модификаций Trojan.KillProc, отошлете карантин-скажу точнее

SilverFire 22-06-2012 10:22 1938618
Мирк использую, это не зловред. Может не стоит его в карантин?

SolarSpark 22-06-2012 10:24 1938619
о как) давно используете?
давайте все равно в карантин...
мне не нравятся ключи запуска..прям троянские
скрипт щас перепищу только на карантин

+ лог МВАМ не забудьте

SilverFire 22-06-2012 10:26 1938622
Цитата:
Цитата SolarSpark
раз пользуете авиру, зачистите до конца C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ »
Директории не существует

Цитата:
Цитата SolarSpark
о как) давно используете?
давайте все равно в карантин... »
ОК, закарантиним.
Использую приблизительно с 10 мая этого года.

Я сейчас на работе, домой хожу в радмин. Обязательно останавливать службу протокола TCP/IP?

SolarSpark 22-06-2012 10:36 1938626
выполняйте как написано)

Цитата:
Цитата SilverFire
Директории не существует »
ну как так))
http://safezone.cc/forum/showthread.php?t=58 воспользуйтесь чисткой для успокоения совести

SilverFire 22-06-2012 13:31 1938729
После выполнения скрипта карантина из трея пропали иконки некоторых приложений (Skype, uTorrent, KeePass), хотя последние запущены и работают.

Карантин прикрепил через специальную форму.
RSIT

Сейчас сканирует MBAM, потом будет и AVZ. :)

По карантину и RSIT можно что-то сказать?

alex_sev 22-06-2012 14:22 1938759
Цитата:
Цитата SilverFire
По карантину и RSIT можно что-то сказать? »
Пока ничего (в карантине пусто, в логе чисто), ждем MBAM

+

Подготовьте еще лог OTL by OldTimer

SilverFire 22-06-2012 14:49 1938773
Mbam log

MBAM можно закрыть?

alex_sev 22-06-2012 16:02 1938833
Если C:\Windows\temp\mama\mirc.exe - это действительно установленный Вами и помещенный в автозапуск именно таким образом:

Код:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|firefox
то можете закрывать, но мне категорически в это не верится, желательно удалить вот эти строки:

Код:
HKLM\SYSTEM\CurrentControlSet\Services\Firefox (Backdoor.Agent)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|firefox (Misused.Legit)

SilverFire 22-06-2012 16:39 1938876
Цитата:
Цитата alex_sev
желательно удалить вот эти строки »
удалил

AVZ LOG
OTL
логи собраны до удаления

alex_sev 22-06-2012 16:47 1938883
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes

    :OTL
    O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
    O4 - HKLM..\Run: []  File not found
    O4 - HKU\S-1-5-21-664521535-493802031-535234082-1000..\Run: []  File not found
    O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
    O32 - AutoRun File - [2007.05.29 22:33:54 | 000,000,095 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
    O32 - AutoRun File - [2007.10.10 16:18:32 | 000,087,910 | R--- | M] () - F:\autorun.ico -- [ UDF ]
    O32 - AutoRun File - [2007.10.10 16:18:32 | 000,000,223 | R--- | M] () - F:\autorun.inf -- [ UDF ]
    O33 - MountPoints2\{9f73f870-beac-11e0-a6ca-f46d043731b1}\Shell - "" = AutoRun
    O33 - MountPoints2\{9f73f870-beac-11e0-a6ca-f46d043731b1}\Shell\AutoRun\command - "" = M:\SETUP.EXE
    O33 - MountPoints2\{9f73f870-beac-11e0-a6ca-f46d043731b1}\Shell\configure\command - "" = M:\SETUP.EXE
    O33 - MountPoints2\{9f73f870-beac-11e0-a6ca-f46d043731b1}\Shell\install\command - "" = M:\SETUP.EXE
    O33 - MountPoints2\{edf2be8e-bdf0-11e0-9595-806e6f6e6963}\Shell - "" = AutoRun
    O33 - MountPoints2\{edf2be8e-bdf0-11e0-9595-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Bin\assetup.exe
    :Services

    :Files

    autorun.inf /alldrives
    autorun.exe /alldrives
    recycler /alldrives
    ipconfig /flushdns /c
    :Reg

    :Commands
    [EMPTYJAVA]
    [EMPTYFLASH]
    [RESETHOSTS]
    [purity]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

SilverFire 22-06-2012 17:58 1938927
OTL Logs

SilverFire 22-06-2012 23:59 1939076
ап)

alex_sev 23-06-2012 10:38 1939190
Как самочувствие системы?

SilverFire 23-06-2012 10:41 1939194
csrss.exe вываливался у меня в среднем после 10 дней аптайма, не раньше

alex_sev 23-06-2012 10:46 1939196
Обновления на систему и уязвимый софт все установлены?

SilverFire 23-06-2012 11:12 1939204
Да)

alex_sev 23-06-2012 11:14 1939206
Попробуйте сменить пароли на учетные записи. Соберите логи, когда заражение будет активным - сейчас в логах чисто.

SilverFire 23-06-2012 13:41 1939281
ОК. Вы все таки считаете что это были вредоносы, а не глюки ОС?

SilverFire 24-06-2012 12:31 1939659
Сегодня утром вот такое чудо вылезло:



Авирой ничего не стал делать, зааплоад файл на ВирусТотал .
Пока новые симптомы: вылетает сам по себе explorer.exe, при наборе текста иногда вываливается всякая чушь типа "воафщышувгадяльсчмфдылвоычмьюбфытукщгшнфылчмьтфывбьюктаыфбсьмтфывбюкьгыфвдшлтсычбьмитфщыукргыьсмитЫ ЮВБЬКАрыБЬСМт ДЛЮОУКРаЛТЧЯИмсБКарофыловарпфывкаофырвмьбаывтраклдыув паывлпор ЛДФЫВопе ЬБВР"

Результаты ВирусТотал по нему

Выполнил скрипт карантина для этого файла, но пока не удалял. Карантин выслал через вашу специальную форму.
Сейчас собираю логи AVZ повторно.Дата создания файла - сегодня, час ночи.

Логи AVZ: https://dl.dropbox.com/u/14356456/os...G_POSTCARD.rar
Лог RSIT: https://dl.dropbox.com/u/14356456/oszone/rsit_log1.txt

okshef 24-06-2012 12:56 1939666
SilverFire, почему у вас базы AVZ 20.05? Обновите и повторите сканирование.

SilverFire 24-06-2012 13:06 1939670
Эм... по непонятным мне причинам не обновляется, хотя пишет, что обновление завершено


http://images.vfl.ru/ii/1340528793/ef8cf019/663623.png

http://images.vfl.ru/ii/1340528812/0427df5c/663624.png

SilverFire 24-06-2012 13:23 1939677
http://z-oleg.com/secur/avz/download.php


Цитата:
В случае проблем с автоматическим обновлением баз можно скачать архив, содержащий всю базу - avzbase.zip (архив обновляется два раза в сутки)
В архиве у них базы от 20.05, так что проблема вряд ли у меня

okshef 24-06-2012 13:58 1939683
А отсюда http://tools.oszone.ru/okshef/Soft/Base.zip

SilverFire 24-06-2012 22:05 1939844
https://dl.dropbox.com/u/14356456/os...POSTCARD_1.rar

Говто

SilverFire 24-06-2012 23:54 1939892
Тем временем csrss.exe, кстати, продолжает по чуть-чуть плодится.

regist 25-06-2012 00:41 1939918
Здравствуйте!

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\postcard.exe','');
 QuarantineFile('C:\$Recycle.Bin\S-1-5-21-664521535-493802031-535234082-1000\$R5Z7L14.exe/{RAR-SFX}/run.bat','');
 QuarantineFile('C:\$Recycle.Bin\S-1-5-21-664521535-493802031-535234082-1000\$R5Z7L14.exe','');
 DeleteFile('C:\$Recycle.Bin\S-1-5-21-664521535-493802031-535234082-1000\$R5Z7L14.exe/{RAR-SFX}/run.bat');
 DeleteFile('C:\Windows\postcard.exe');
 DeleteFile('C:\$Recycle.Bin\S-1-5-21-664521535-493802031-535234082-1000\$R5Z7L14.exe');
BC_ImportAll;
ExecuteSysClean;
if MessageDLG('Отключить автозапуск со всех носителей, кроме CD?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.

SilverFire 25-06-2012 02:05 1939957
То, что в корзине - мой промах по Shift, когда жал Shift+Del. По адресу C:\Windows\ вредоноса postcard.exe уже нет, в корзине - тоже (очистил).
Карантин с вредоносом postcard.exe уже был выслан ранее через спец. форму на сайте.

Может не стоит делать лишние действия в виде выполнения еще раз скрипта?

regist 25-06-2012 09:07 1940021
Цитата:
Цитата SilverFire
лишние действия в виде выполнения еще раз скрипта? »
лишними они всё равно не будут, скрипт зачистит следы от файла в реестре если они есть.

+ к написанному в предыдущем посте.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Время: 18:55.

Время: 18:55.
© OSzone.net 2001-