Печать страницы - Процессы в Системе

Название: Процессы в Системе
Отправлено: Nikos от 29 Января 2009, 20:11:47

Недавно обнаружил странный процесс в системе(winXP) " svhosst.exe". Всебыхорошо, но этот процесс открывает кучу TCPсоединений и по каждому отправляет примерно по килобайту, в сумме выходят большие объемы. Соединения "генерятся" бесконечно. И траффик потребляемый этим svhosst'ом квадратично растет. Прикрыл этот процесс файрволом. Просканировал систему на вирусы. Clamwin ничего не нашел. Что это может быть? Вирус, или баг ?

Название: Re: Процессы в Системе
Отправлено: Ado от 29 Января 2009, 20:42:08

Вроде не вирус но может быть, оригинальный файл свхост - Svchost.exe

Файл Svchost.exe расположен в папке %SystemRoot%\System32. В процессе загрузки Svchost.exe составляет на основании записей в реестре список служб, которые необходимо запустить. Одновременно может быть запущено несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe может содержать несколько служб. Таким образом, в зависимости от того, как и где запущен процесс Svchost.exe, могут выполняться несколько отдельных служб. Такая группировка служб обеспечивает более высокий уровень контроля над ними и облегчает отладку.

Группы Svchost.exe определяются в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
Каждое значение в этом разделе представляет отдельную группу Svchost и отображается при просмотре активных процессов как отдельный экземпляр. Каждое из этих значений имеет тип REG_MULTI_SZ и содержит службы, выполняемые в этой группе Svchost. Каждая группа Svchost может содержать одно или несколько имен служб, извлекаемых из следующего раздела реестра, в котором подраздел Parameters содержит значение ServiceDLL:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Служба
Чтобы просмотреть список служб, работающих в процессе Svchost, выполните описанные ниже действия.
Нажмите на панели задач Windows кнопку Пуск и выберите пункт Выполнить.
В поле Открыть введите команду CMD и нажмите клавишу ВВОД.
Введите команду Tasklist /SVC и нажмите клавишу ВВОД.
Команда Tasklist выводит список активных процессов. Параметр /SVC используется для вывода списка активных служб в каждом процессе. Для получения дополнительных сведений о процессе введите следующую команду и нажмите клавишу ВВОД:
Tasklist /FI "PID eq идентификатор_процесса" (кавычки обязательны)
В приведенном ниже примере показан вывод команды Tasklist для двух экземпляров процесса Svchost.exe.

Код:

 Image Name         PID      Services
   ======================================================================== 
   System Process        0     N/A
   System                8     N/A    
   Smss.exe            132     N/A
   Csrss.exe           160     N/A
   Winlogon.exe        180     N/A
   Services.exe        208     AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
                               Eventlog,LanmanServer,LanmanWorkstation,
                               LmHosts,Messenger,PlugPlay,ProtectedStorage,
                               Seclogon,TrkWks,W32Time,Wmi
   Lsass.exe            220    Netlogon,PolicyAgent,SamSs 
   Svchost.exe          404    RpcSs 
   Spoolsv.exe          452    Spooler 
   Cisvc.exe            544    Cisvc 
   Svchost.exe          556    EventSystem,Netman,NtmsSvc,RasMan,
                               SENS,TapiSrv 
   Regsvc.exe           580    RemoteRegistry 
   Mstask.exe           596    Schedule 
   Snmp.exe             660    SNMP 
   Winmgmt.exe          728    WinMgmt 
   Explorer.exe         812    N/A
   Cmd.exe             1300    N/A
   Tasklist.exe        1144    N/A

Двум группам из этого примера соответствует следующий параметр реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs

Название: Re: Процессы в Системе
Отправлено: Ведметь от 29 Января 2009, 20:55:17

Ado, совсем не о том и не в тему. название файла сравни...

Nikos, троян у тебя. Маскируется он похожим названием под svchost.exe. А антивирями не находиться потому что свежий. Я тебе за часок штук 10 таких написать могу с разным функционалом и ниодин не обнаружится пока ктонить антивирьмэйкерам на них не нажалуется.
Решение простое - грузишся в безопасном режиме и грохаешь файл(ы) и ссылки в реестре по которым они запускаются.

Название: Re: Процессы в Системе
Отправлено: Ado от 29 Января 2009, 21:40:40

Цитата: Ведметь от 29 Января 2009, 20:55:17

Ado, совсем не о том и не в тему. название файла сравни...

Я заметил, и всё в тему. Я привёл описание оригинального файла, чтобы было понятно что у него троян.

Название: Re: Процессы в Системе
Отправлено: Nikos от 29 Января 2009, 22:41:57

ponyatno...troyan znachit.

Название: Re: Процессы в Системе
Отправлено: userdef от 29 Января 2009, 23:33:13

Сталкивался я каг то с таким.... судя по логу- он занимается спамом ( много коннектов на 25 порт ).

Название: Re: Процессы в Системе
Отправлено: Nikos от 30 Января 2009, 15:53:40

Х) нашел еще трояна csrcs.exe ...и оказался он на всех компах в локалке...лог такойже как и с "ложнохостом"

Название: Re: Процессы в Системе
Отправлено: AngryMouse от 30 Января 2009, 15:57:14

Цитата: Nikos от 30 Января 2009, 15:53:40

Х) нашел еще трояна csrcs.exe ...и оказался он на всех компах в локалке...лог такойже как и с "ложнохостом"

А вот этого товарища знаю, он у нас в КУПК живёт :D

Название: Re: Процессы в Системе
Отправлено: Nikos от 30 Января 2009, 16:13:14

если верить форума касперского то никто из антивиров его не "узнал"

AntiVir 7.3.1.38 03.05.2007 HEUR/Crypted
Authentium 4.93.8 03.04.2007 no virus found
Avast 4.7.936.0 03.03.2007 no virus found
AVG 7.5.0.447 03.05.2007 no virus found
BitDefender 7.2 03.05.2007 Dropped:Trojan.Deletme.A
CAT-QuickHeal 9.00 03.05.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 03.05.2007 no virus found
DrWeb 4.33 03.05.2007 BackDoor.IRC.Sdbot.1123
eSafe 7.0.14.0 03.05.2007 Suspicious Trojan/Worm
eTrust-Vet 30.6.3455 03.05.2007 no virus found
Ewido 4.0 03.05.2007 no virus found
FileAdvisor 1 03.05.2007 no virus found
Fortinet 2.85.0.0 03.05.2007 no virus found
F-Prot 4.3.1.45 03.04.2007 no virus found
F-Secure 6.70.13030.0 03.05.2007 no virus found
Ikarus T3.1.1.3 03.05.2007 no virus found
Kaspersky 4.0.2.24 03.05.2007 no virus found
McAfee 4975 03.02.2007 no virus found
Microsoft 1.2204 03.05.2007 no virus found
NOD32v2 2096 03.05.2007 no virus found
Norman 5.80.02 03.05.2007 no virus found
Panda 9.0.0.4 03.05.2007 Bck/Sdbot.JWE
Prevx1 V2 03.05.2007 no virus found
Sophos 4.14.0 03.03.2007 no virus found
Sunbelt 2.2.907.0 03.01.2007 no virus found
Symantec 10 03.05.2007 no virus found
TheHacker 6.1.6.069 03.05.2007 no virus found
UNA 1.83 03.02.2007 no virus found

Надо таких гадов вручную резать ;D

Название: Re: Процессы в Системе
Отправлено: Nikos от 30 Января 2009, 16:19:43

блин.не компутер ,а какая-то гельментокака.А все началось с того, что я хотел "порыбалить" со спутника Express AM 22...Замутил граббинг без фильтров. Накачал полный HDD всякой дряни...Наверное еще долго чиститься буду...

Название: Re: Процессы в Системе
Отправлено: Ado от 30 Января 2009, 16:22:17

Поставь нод 32 последней версии и обнови.
Сейчас последнее обновление - 3812 может быть и найдёт/удалит твой троян.

Название: Re: Процессы в Системе
Отправлено: Nikos от 30 Января 2009, 17:12:32

Скачаю сеня... Но какое-то у меня недоверие к Ноду.помню у знакомого его ставил, тот ниче просканить не мог: пропускал половину файлов.

Название: Re: Процессы в Системе
Отправлено: Michael Scofield от 30 Января 2009, 18:50:49

Цитата: Nikos от 30 Января 2009, 16:13:14

если верить форума касперского то никто из антивиров его не "узнал"

DrWeb 4.33 03.05.2007 BackDoor.IRC.Sdbot.1123

:)

Кста если не заметил, то все базы от 2007г, так что ставь любой последний, все равно найдет

Название: Re: Процессы в Системе
Отправлено: Nikos от 30 Января 2009, 19:32:10

заметил) Clamaw обновленный ничего не нашел , и сканер в Comodo Internet Securty сказал, что все ти-топ.гуд. скачаю Нода.

Название: Re: Процессы в Системе
Отправлено: Nikos от 31 Января 2009, 16:03:22

Nod не нашел ничего(((( Наревно единсвенный способ, как сказал Ведметь - удалить вирус вручную... Svchosst.exe "простенький" оказался, выкорчевал его из реестра , а погуглив про csrcs.exe нашел, что тот где-то хранит свою копию с неизвестным названием , и при удалении , не запускается explorer.exe. csrcs.exe его заменяет в автозапуске\

Название: Re: Процессы в Системе
Отправлено: Ведметь от 03 Февраля 2009, 14:29:42

Цитата: Nikos от 31 Января 2009, 16:03:22

название то неитзвестное, а вот размер до 1 байта совпадает... инфа для размышления

p.s. не путайте вирусы и трояны. вирусы своего тела не имеют и заражают другие PE, троян же - самостоятельный файл. С троянами можно ручками боротся, c вирусами - нет

Название: Re: Процессы в Системе
Отправлено: Nikos от 03 Февраля 2009, 20:02:57

До сего момента мало различал понятия "вирус" и "троян". Думал троянов можно вирусами называть.

Повикипедил про секьюрити, нашел HijackThis(якобы сканирует ОС на "слабые" места)
Установил, после недолгого поиска Хайджак выдал вот это :

Код:

Logfile of Trend Micro HijackThis v2.0.2  
Scan saved at 18:25:31, on 03.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\System32\r_server.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\StkCSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\ASUS\NB Probe\NBProbe.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\ASUS\ASUS MultiFrame\MultiFrame.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Bingo's Soft\Bingo Chat\BingosChat.exe
C:\Program Files\Paragon Software\Oxford\oxford.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Program Files\ZTEMF626\Билайн Интернет Дома\Beeline Home Internet.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kornet.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.kornet.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Wireless Console 2] "C:\Program Files\Wireless Console 2\wcourier.exe"
O4 - HKLM\..\Run: [PCLEUSBTip] C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NB Probe] C:\Program Files\ASUS\NB Probe\NBProbe.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe
O4 - HKCU\..\Run: [MultiFrame] C:\Program Files\ASUS\ASUS MultiFrame\MultiFrame.exe
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [BingoChat] C:\Program Files\Bingo's Soft\Bingo Chat\BingosChat.exe -hide
O4 - HKCU\..\Run: [Oxford Dictionary] "C:\Program Files\Paragon Software\Oxford\oxford.exe" /tray
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_013] rebuild.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4C5CAC3-797F-4AA5-B57D-8753D9EE8269}: NameServer = 217.118.66.243 195.58.27.158
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkCSrv.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9159 bytes

Название: Re: Процессы в Системе
Отправлено: Ведметь от 05 Февраля 2009, 09:16:49

Цитировать

2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

вот эти строчки меня смущают

UPD:

Цитировать

CSRSS.EXE – часть пользовательской Win32 подсистемы. SRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.

а у тебя CRSCS.EXE... грузись с лайвсиди и грохай его и все совпадающие по размеру и содержанию файлы на винте. потом грохни в реестре все упоминания о нем. еще файл system.ini проверь
UPD2:

Цитировать

, и при удалении , не запускается explorer.exe. csrcs.exe его заменяет в автозапуске

2 - REG:system.ini: Shell=Explorer.exe csrcs.exe - вот оно

Помог бы больше, да нет нигде у меня виндов

Название: Re: Процессы в Системе
Отправлено: Dry1d от 09 Февраля 2009, 13:16:56

CRSCS.EXE. У меня сидит на работе и дома. Дома выцепить не могу, т.к. стоит симантек, и в упор ничего не видит, но в особо запущенных его даже каспер не находит. Поставь 9 каспер временно и обнови. Должно помочь после нескольких полных проверок. Через инет его сложно поймать, быстрее словишь на флешках. Так что следи за тем, что у тебя юзеры в комп пихают.

Название: Re: Процессы в Системе
Отправлено: Ариец от 09 Февраля 2009, 14:45:07

Небольшой коммент кламавщикам.

1. Ловите копию вируса/трояна/червя/лошади;
2. Упаковываете ее в tar.gz, tar.bz2 или любой другой Linux формат;
3. Отправляете разрабам файло, используя эту страничку (http://www.clamav.net/sendvirus/);
4. Ждете обновления БД.
5. Ловите заразу сканером clamscan.

Руками вирусы ловят только те, у кого свободного времени дофига. krevedko

Название: Re: Процессы в Системе
Отправлено: Ведметь от 10 Февраля 2009, 02:50:33

Цитата: Ариец от 09 Февраля 2009, 14:45:07

Небольшой коммент кламавщикам.

1. Ловите копию вируса/трояна/червя/лошади;
2. Упаковываете ее в tar.gz, tar.bz2 или любой другой Linux формат;
3. Отправляете разрабам файло, используя эту страничку ([url]http://www.clamav.net/sendvirus/[/url]);
4. Ждете обновления БД.
5. Ловите заразу сканером clamscan.

Руками вирусы ловят только те, у кого свободного времени дофига. krevedko

:) и те кому, обновления ждать некогда

Название: Re: Процессы в Системе
Отправлено: Ариец от 10 Февраля 2009, 08:15:46

база кламава daily.cvd обновляется ежедневно, что наверно как-то говорит об оперативности разрабов. :smile:

Название: Re: Процессы в Системе
Отправлено: Dry1d от 10 Февраля 2009, 12:30:04

Вирусы вручную еще ловят только те, у кого нервы железные. Вчера попробовал выцепить руками. Случайно угробил систему. В общем если узнаю что кто-нибудь из нашего города занимается вирусописательством и вирусораспространительством-убью самым извращенным способом!!!!

Название: Re: Процессы в Системе
Отправлено: Ариец от 10 Февраля 2009, 12:33:21

Вирусораспространительством занимается каждый чайник с дискеттой или флешкой.

Название: Re: Процессы в Системе
Отправлено: Nikos от 13 Февраля 2009, 18:53:43

глянул в нашем лицее - и тут живет CRSCS.exe ...на всех компах...популярный, блин

Название: Re: Процессы в Системе
Отправлено: Dry1d от 16 Февраля 2009, 13:34:19

Я про тех говорю кто осознанно вирусы распространяет. Просто я человек нервный, могу и в голову дать...

Название: Re: Процессы в Системе
Отправлено: fly der ® от 16 Февраля 2009, 13:38:03

Цитата: Dry1d от 16 Февраля 2009, 13:34:19

Я про тех говорю кто осознанно вирусы распространяет. Просто я человек нервный, могу и в голову дать...

у меня сосед и конкуренты распространяют. :-X

их машруты и оружие в камере хранения. ;)

Название: Re: Процессы в Системе
Отправлено: Dry1d от 19 Февраля 2009, 13:47:08

Цитата: fly der ® от 16 Февраля 2009, 13:38:03

Цитата: Dry1d от 16 Февраля 2009, 13:34:19

Я про тех говорю кто осознанно вирусы распространяет. Просто я человек нервный, могу и в голову дать...

у меня сосед и конкуренты распространяют. :-X

их машруты и оружие в камере хранения. ;)

Мне только маршрут :), я обычно все свое ношу с собой.... Паяльник там, отвертку, клещи обжимные....

Название: Re: Процессы в Системе
Отправлено: Тролль от 22 Апреля 2009, 22:12:22

Сегодня комп через Operу сам сходил в инет на 40 рублей :evil: :censored:
Еле забдил
Каспер ничего не нашёл
Утилита AVZ чёта грохнула
Убил на фсё-про-фсё 2 часа
Чё КТ сам траффикоедов засылает чёли, т.к. позавчера скачал с их сайта бесплатный Current Dr.WEBa ?
Ну и фильмы канешна тож
Счас легко отделался, т.к. в прошлый раз поход был на 250 рубликов
У-у-у-у-у-у-у-
-рода лешего :evil:

пысы
Правда TCPViev вот какой адресок выпасло http:host 37.rax.ru.

Обнародовано для информации

Название: Re: Процессы в Системе
Отправлено: Ариец от 22 Апреля 2009, 23:07:17

Доктор УЕБ поди и ходил в нет за обновлениями...

Название: Re: Процессы в Системе
Отправлено: Тролль от 22 Апреля 2009, 23:47:48

Не
свежую прогу вроде закачал
Антивирусная утилита AVZ вот чего выдаёт
Virus=Подозрение на SpamTool.Win32.Agent.ip

Виртуальный Каменск

Тематические разделы => Технический форум => Тема начата: Nikos от 29 Января 2009, 20:11:47