Настоящий ресурс может содержать материалы 16+
Каменск-Уральский интернет портал

Форум Виртуального Каменска


Мы в социальных сетях:
Виртуальный Каменск в ВКонтакте  Виртуальный Каменск на Одноклассниках
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?
28 Ноября 2024, 00:10:20

Войти
* Начало Помощь Поиск Войти Регистрация
+  Виртуальный Каменск
|-+  Тематические разделы
| |-+  Технический форум (Модератор: Ариец)
| | |-+  Процессы в Системе
Страниц: 1 [2] 3   Вниз
Печать
Автор Тема: Процессы в Системе  (Прочитано 24747 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Ведметь
hardware hacker
Старожил
****

Карма: +82/-21
Offline Offline

Пол: Мужской
Сообщений: 909


в лесе жыву...


« Ответ #15 : 03 Февраля 2009, 14:29:42 »

Nod не нашел ничего(((( Наревно единсвенный способ, как сказал  Ведметь - удалить вирус вручную... Svchosst.exe "простенький" оказался, выкорчевал его из реестра , а погуглив про   csrcs.exe  нашел, что тот где-то хранит свою копию с неизвестным названием , и при удалении , не запускается explorer.exe. csrcs.exe его заменяет в автозапуске\

название то неитзвестное, а вот размер до 1 байта совпадает... инфа для размышления

p.s. не путайте вирусы и трояны. вирусы своего тела не имеют и заражают другие PE, троян  же - самостоятельный файл. С троянами можно ручками боротся, c вирусами - нет
Записан

Nikos
ооони среди нас*
Новичок
*

Карма: +4/-5
Offline Offline

Пол: Мужской
Сообщений: 110


Тссссс


WWW
« Ответ #16 : 03 Февраля 2009, 20:02:57 »

До сего момента мало различал понятия "вирус" и "троян". Думал троянов можно вирусами называть.



Повикипедил про секьюрити, нашел  HijackThis(якобы сканирует ОС на "слабые" места)
Установил, после недолгого поиска Хайджак выдал вот это : 

Код:
Logfile of Trend Micro HijackThis v2.0.2  
Scan saved at 18:25:31, on 03.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\System32\r_server.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\StkCSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\ASUS\NB Probe\NBProbe.exe
C:\Program Files\Punto Switcher\ps.exe
C:\Program Files\ASUS\ASUS MultiFrame\MultiFrame.exe
C:\Program Files\Download Master\dmaster.exe
C:\Program Files\Bingo's Soft\Bingo Chat\BingosChat.exe
C:\Program Files\Paragon Software\Oxford\oxford.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Program Files\ZTEMF626\Билайн Интернет Дома\Beeline Home Internet.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kornet.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.kornet.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Wireless Console 2] "C:\Program Files\Wireless Console 2\wcourier.exe"
O4 - HKLM\..\Run: [PCLEUSBTip] C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NB Probe] C:\Program Files\ASUS\NB Probe\NBProbe.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe
O4 - HKCU\..\Run: [MultiFrame] C:\Program Files\ASUS\ASUS MultiFrame\MultiFrame.exe
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [BingoChat] C:\Program Files\Bingo's Soft\Bingo Chat\BingosChat.exe -hide
O4 - HKCU\..\Run: [Oxford Dictionary] "C:\Program Files\Paragon Software\Oxford\oxford.exe" /tray
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_013] rebuild.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4C5CAC3-797F-4AA5-B57D-8753D9EE8269}: NameServer = 217.118.66.243 195.58.27.158
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkCSrv.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 9159 bytes

« Последнее редактирование: 03 Февраля 2009, 20:36:32 от Nikos » Записан

 
 
Don't U see their bodies burnin?(Serj Tankian)
Ведметь
hardware hacker
Старожил
****

Карма: +82/-21
Offline Offline

Пол: Мужской
Сообщений: 909


в лесе жыву...


« Ответ #17 : 05 Февраля 2009, 09:16:49 »

Цитировать
2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
вот эти строчки меня смущают

UPD:
Цитировать
CSRSS.EXE – часть пользовательской Win32 подсистемы. SRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.
а у тебя CRSCS.EXE... грузись с лайвсиди и грохай его и все совпадающие по размеру и содержанию файлы на винте. потом грохни в реестре все упоминания о нем. еще файл system.ini проверь
UPD2:
Цитировать
, и при удалении , не запускается explorer.exe. csrcs.exe его заменяет в автозапуске
2 - REG:system.ini: Shell=Explorer.exe csrcs.exe - вот оно

Помог бы больше, да нет нигде у меня виндов
« Последнее редактирование: 05 Февраля 2009, 09:31:50 от Ведметь » Записан

Dry1d
Чокнутый я...
Новичок
*

Карма: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 23


Почему коты на луну не воют?


« Ответ #18 : 09 Февраля 2009, 13:16:56 »

CRSCS.EXE. У меня сидит на работе и дома. Дома выцепить не могу, т.к. стоит симантек, и в упор ничего не видит, но в особо запущенных его даже каспер не находит. Поставь 9 каспер временно и обнови. Должно помочь после нескольких полных проверок.  Через инет его сложно поймать, быстрее словишь на флешках. Так что следи за тем, что у тебя юзеры в комп пихают.
Записан

Маньяк на выезде.
Ариец
Самый самый перс
Модератор раздела
Ветеран
*****

Карма: +745/-432
Offline Offline

Пол: Мужской
Сообщений: 17343


Keep things moving!


« Ответ #19 : 09 Февраля 2009, 14:45:07 »

Небольшой коммент кламавщикам.

1. Ловите копию вируса/трояна/червя/лошади;
2. Упаковываете ее в tar.gz, tar.bz2 или любой другой Linux формат;
3. Отправляете разрабам файло, используя эту страничку;
4. Ждете обновления БД.
5. Ловите заразу сканером clamscan.

Руками вирусы ловят только те, у кого свободного времени дофига.  Йа креведко
Записан

Добро пожаловать в фан-уголок Свердловских Шофёров на k-ur.ru.

Любишь спорт? Есть что сказать? Не стесняйся, заходи!
Ведметь
hardware hacker
Старожил
****

Карма: +82/-21
Offline Offline

Пол: Мужской
Сообщений: 909


в лесе жыву...


« Ответ #20 : 10 Февраля 2009, 02:50:33 »

Небольшой коммент кламавщикам.

1. Ловите копию вируса/трояна/червя/лошади;
2. Упаковываете ее в tar.gz, tar.bz2 или любой другой Linux формат;
3. Отправляете разрабам файло, используя эту страничку;
4. Ждете обновления БД.
5. Ловите заразу сканером clamscan.

Руками вирусы ловят только те, у кого свободного времени дофига.  Йа креведко

:) и те кому, обновления ждать некогда
Записан

Ариец
Самый самый перс
Модератор раздела
Ветеран
*****

Карма: +745/-432
Offline Offline

Пол: Мужской
Сообщений: 17343


Keep things moving!


« Ответ #21 : 10 Февраля 2009, 08:15:46 »

база кламава daily.cvd обновляется ежедневно, что наверно как-то говорит об оперативности разрабов.  Улыбка
Записан

Добро пожаловать в фан-уголок Свердловских Шофёров на k-ur.ru.

Любишь спорт? Есть что сказать? Не стесняйся, заходи!
Dry1d
Чокнутый я...
Новичок
*

Карма: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 23


Почему коты на луну не воют?


« Ответ #22 : 10 Февраля 2009, 12:30:04 »

Вирусы вручную еще ловят только те, у кого нервы железные. Вчера попробовал выцепить руками. Случайно угробил систему. В общем если узнаю что кто-нибудь из нашего города занимается вирусописательством и вирусораспространительством-убью самым извращенным способом!!!!
Записан

Маньяк на выезде.
Ариец
Самый самый перс
Модератор раздела
Ветеран
*****

Карма: +745/-432
Offline Offline

Пол: Мужской
Сообщений: 17343


Keep things moving!


« Ответ #23 : 10 Февраля 2009, 12:33:21 »

Вирусораспространительством занимается каждый чайник с дискеттой или флешкой.
Записан

Добро пожаловать в фан-уголок Свердловских Шофёров на k-ur.ru.

Любишь спорт? Есть что сказать? Не стесняйся, заходи!
Nikos
ооони среди нас*
Новичок
*

Карма: +4/-5
Offline Offline

Пол: Мужской
Сообщений: 110


Тссссс


WWW
« Ответ #24 : 13 Февраля 2009, 18:53:43 »

глянул в нашем лицее - и тут живет   CRSCS.exe ...на всех компах...популярный, блин
Записан

 
 
Don't U see their bodies burnin?(Serj Tankian)
Dry1d
Чокнутый я...
Новичок
*

Карма: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 23


Почему коты на луну не воют?


« Ответ #25 : 16 Февраля 2009, 13:34:19 »

Я про тех говорю кто осознанно вирусы распространяет. Просто я человек нервный, могу и в голову дать...
Записан

Маньяк на выезде.
fly der ®
Модератор
Ветеран
*****

Карма: +1100/-275
Offline Offline

Пол: Мужской
Сообщений: 27631


чумачечий правша


« Ответ #26 : 16 Февраля 2009, 13:38:03 »

Я про тех говорю кто осознанно вирусы распространяет. Просто я человек нервный, могу и в голову дать...

у меня сосед и конкуренты распространяют. Рот на замке

их машруты и оружие в камере хранения. Подмигивающий
Записан

для неграмотных я флу-дер, для остальных флай-дер или fly der. Форумный экзорцизм: Быстро. Недорого. Гарантия.
Dry1d
Чокнутый я...
Новичок
*

Карма: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 23


Почему коты на луну не воют?


« Ответ #27 : 19 Февраля 2009, 13:47:08 »

Я про тех говорю кто осознанно вирусы распространяет. Просто я человек нервный, могу и в голову дать...

у меня сосед и конкуренты распространяют. Рот на замке

их машруты и оружие в камере хранения. Подмигивающий

Мне только маршрут :), я обычно все свое ношу с собой.... Паяльник там, отвертку, клещи обжимные....
Записан

Маньяк на выезде.
Тролль
Shoot гороховый
Ветеран
*****

Карма: +944/-209
Offline Offline

Пол: Мужской
Сообщений: 22922


трЕпаЦЦо люблю


« Ответ #28 : 22 Апреля 2009, 22:12:22 »

Сегодня комп через Operу сам сходил в инет на 40 рублей  Аццкий сотона :censored:
Еле забдил
Каспер ничего не нашёл
Утилита AVZ чёта грохнула
Убил на фсё-про-фсё 2 часа
Чё КТ сам траффикоедов засылает чёли, т.к. позавчера скачал с их сайта бесплатный Current Dr.WEBa ?
Ну и фильмы канешна тож
Счас легко отделался, т.к. в прошлый раз поход был на 250 рубликов
У-у-у-у-у-у-у-
                  -рода лешего Аццкий сотона
 
пысы
Правда TCPViev вот какой адресок выпасло http:host 37.rax.ru.

Обнародовано для информации
« Последнее редактирование: 22 Апреля 2009, 22:41:39 от Тролль » Записан

А ваще-то я БОТ, из Аськи.
Слова: чО, Млин, А-А-А,тута, ыШШо каг и фсе остальные - прошу счЕтать результатом случайных генераций букАфф. (Йа)
Ариец
Самый самый перс
Модератор раздела
Ветеран
*****

Карма: +745/-432
Offline Offline

Пол: Мужской
Сообщений: 17343


Keep things moving!


« Ответ #29 : 22 Апреля 2009, 23:07:17 »

Доктор УЕБ поди и ходил в нет за обновлениями...
Записан

Добро пожаловать в фан-уголок Свердловских Шофёров на k-ur.ru.

Любишь спорт? Есть что сказать? Не стесняйся, заходи!
Страниц: 1 [2] 3   Вверх
Печать
Перейти в:  

Новости
Каменска-Уральского

Все новости
Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!