Jump to content
  • Announcements

    • st1nc

      Жалобы на плохой пинг

      Жалобы принимаются по шаблону ниже в этой теме.   Город
      Провайдер
      Трассировка до серверов simhost.org
Sign in to follow this  
DeadSilence

Вирусы

Recommended Posts

Вчера впервые на моем компе очутился вирус...началось с того что Касперский о5 устроил массовый бан ключей....пошел искать новый ключ...архив даже не докачал и все....вирус удалил все точки восстановления,экран моргает каждые 3 секунды...из процессов не удаляется,подключение к интренету пропало/создать нельзя....но сначала интернет был включен,нашел в процессах эту заразу,вирус назывался smss.exe

Вычитал что он типа легкий лечится скриптом...сделал все по интсрукции с ребутом а ему хоть бы хнычь...итог 100 с лишним гб медиа коту под хвост...

У кого нибудь еще встречались подобные ситуации?Как Вы с ними боролись?

ps-поставил на время авиру,ибо аваст :)

Share this post


Link to post
Share on other sites

У авастовоперастов все нормально,так что думаю проблема в нелегальном использовании ПО

Share this post


Link to post
Share on other sites

smss.exe тоже его где-то подцепил...

Нортон говорит, что удалил его, после чего просит перезагрузить компьютер. А он, зазара, не пропадает.

Share this post


Link to post
Share on other sites
smss.exe тоже его где-то подцепил...

Нортон говорит, что удалил его, после чего просит перезагрузить компьютер. А он, зазара, не пропадает.

вот что больше всего бесило так это моргание экрана через 30 секунд...все окна слетали!получается я даже ни в одну папку зайти не мог

 

ps-варден ,вирус подцепил в архиве с якобы ключами для каспера...

Share this post


Link to post
Share on other sites

А у меня ничего такого не происходит. У меня он вообще ничего не делает.

Share this post


Link to post
Share on other sites

У мя он тож есть. У мну Аваст. И он молчит. Эта smss.exe есть вроде на всех ОС. Может это не вирус???

Share this post


Link to post
Share on other sites

smss.exe уменя тож в процах весит, нод не жалуется

Share this post


Link to post
Share on other sites

smss.exe тож в процессах есть 408 кб занимает, нод 32 не ругаецца..

Share this post


Link to post
Share on other sites

smss.exe - Диспетчер сеанса Windows, он так и так должен работать,csrss.exe у меня в это процессе проблема.

 

Под ними скрываються вирусы,у меня,повторюсь,была проблема со службой индексации файлов,лечил простым отключением из автозагрузки с smss.exe такая фигня не пройдет,запускай через безопасный режим и удаляй либо вручную, либо своим антивирусом (рекомендую)...

 

Как никрути а через месяц я всеравно вин переустановил

 

Добавлено через 2 мин.:

Для начала определи что за вирус,потом уж действуй

 

З.ы почитай может что откопаешь http://av-school.ru/

Edited by Warden

Share this post


Link to post
Share on other sites

если не в курсе, процессы могут видоизменяться, то есть службы

хочу сказать, даже explorer.exe может иметь вирус

Edited by ShamS

Share this post


Link to post
Share on other sites

А чо csrss.exe это вирус???????? :) Он у мну в процах есть.

Share this post


Link to post
Share on other sites
А чо csrss.exe это вирус???????? :) Он у мну в процах есть.

нет,но вирус его может модифицировать

Share this post


Link to post
Share on other sites

У меня ща тож вирус какой-то был, незнаю откуда появился. связан с инетом:

врубаю диал ап... 2 минуты в онлайне, потом вырубается и откуда-то идет подключение zconnect , идут гудки и вырубается, откуда появилось это не пойму, удаляю, врубаю диал ап, опять та же история... на вирусы проверил диски, норм все..(нод 32). Затем заметил на диске файл левый с нахванием типа m235rsak2 , удаляю и при подключении в инет, оно появляется, и с поцессов убирал его, бесполезно, ща сделал восст-ие системы на 2-3 дня назад, пока тьфу-тьфу все нормально.... откуда появилось, я в шоке О_о первый раз такое..

Share this post


Link to post
Share on other sites

ты там смотри в японию не позвони ненароком часа на 6...

Share this post


Link to post
Share on other sites

вот такая фигня появилась после скачки реферата при помощи какой то проги

проблема была решена таким образом:

скачал Unlocker , удалил вот это Application Data\AdSubscribe

почистил реестр

post-2822-1243406454_thumb.jpg

Edited by kL4

Share this post


Link to post
Share on other sites

У меня после переустановки винды вирус Kido, но лечится легко - с сайта Касперского качается утилита и вирус удаляется :pardon:

А так вирусов у меня вообще нет ибо Касперский рулит

Share this post


Link to post
Share on other sites

Ага, также прога есть Kidokiller называется, тож легко удаляет этот вирус.... У тя какой именно антивир 64 импала? Откуда скачал?

Share this post


Link to post
Share on other sites
Ага, также прога есть Kidokiller называется, тож легко удаляет этот вирус.... У тя какой именно антивир 64 импала? Откуда скачал?

у меня КИС 2009 лицензионный ;) в Эльдорадо купил

Share this post


Link to post
Share on other sites

А я снёс аваст!и так а душе легко стало!Быстрее намного всё!

Share this post


Link to post
Share on other sites

и нод32 стоит и касперский, нод крякнутый и кис с ключеком...ещё пару на компе есть. А так все время нод включен а касперский я включаю если только что то подхватил)

Share this post


Link to post
Share on other sites

Cмотрите чё я нашёл на форумах

Что это за процессы: smss.exe, lass.exe, csrss.exe? Windows XP, SP1, MUI.

Отвечает Alexey:

Это системные процессы. Не вирусы.

 

Отвечает TU-154:

Это все системные процессы. Зайдите в Управление службами (Пуск - Выполнить - services.msc) и в свойствах служб посмотрите исполняемые файлы служб. Сразу получите ответ на свой вопрос.

 

Отвечает Basil:

Всё это системные службы, необходимые для работы. Чтобы узнать, что это такое, достаточно посмотреть свойства файла: smss.exe - Диспетчер сеанса Windows NT; lass.exe - LSA Shell; csrss.exe - Client Server Runtime Process. Чтобы не ломать голову в будущем, вирус это или полезный файл, поставьте антивирус и антишпион. Какой - не важно, важно своевременно обновлять базы.

 

Отвечает mikev:

Процессы системные, однако их могут использовать для запуска любые вирусы.

 

Отвечает Vitaly:

Появился вирус, который "косит" под сист. модуль Записывается в C:\Windows\smss.exe См.свойства. Удалить. Также из реестра (с указанным путем - не путать с нормальным exe).

 

Отвечает Инна:

У меня такое было. Оказалось - вирус.

 

Отвечает du:

При инсталляции бэкдор создает папку со случайным именем в системном каталоге Windows и копирует себя в эту папку с именем csrss.exe. Например: %System%\drtusi\csrss.exe Также в данной папке бекдор создает следующие файлы: %System%\drtusi\csrss.dat %System%\drtusi\csrss.ini После чего оригинальный запускаемый файл удаляется. Бекдор создает ссылку на себя в каталоге автозагрузки: %UserProfile%\Start Menu\Programs\Startup\csrss.lnk Затем регистрирует себя в ключах автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "csrss"=" " Добавляет следующие записи в системный реестр: [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "Load"="%System%\ \csrss.exe" "Run"="%System%\ \csrss.exe" В случае Windows 95/98/ME бекдор изменяет файл win.ini, добавляя в него следующие строки: load = %System%\ \csrss.exe run = %System%\ \csrss.exe Также бэкдор добавляет следующие записи в системный реестр: [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"="2" "SuperHidden"="0" "ShowSuperHidden"="0" [HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\System] "DisableRegistryTools"="1" "NoAdminPage"="1" Действия: Программа соединяется с различными серверами IRC и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры, скачивать файлы и т.д. Помимо этого бэкдор обладает следующей функциональностью: распространение по команде злоумышленника по каналам MSN Messenger ссылки, призывающей пользователей скачать копию данного бекдора; при этом ссылка выглядит весьма безопасно: http://www.vbulettin.com/[removed], – очень похоже на адрес авторитетного журнала антивирусной индустрии Virus Bulletin, и может вызвать заблуждение пользователей; загрузка и запуск на зараженном компьютере различных файлов; удаление файлов; остановка различных активных процесов; перезагрузка компьютера; проведение DoS-атак; отсылка злоумышелннику подробной информации о системе, в том числе вводимых с клавиатуры паролей и другой секретной информации; выполнение на зараженном компьютере различных команд; закрузка своих обновлений; прочеее.

 

Отвечает loki:

csrss.exe-вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 6K (упакован UPX, размер распакованного файла - около 15K), написан на Visual Basic. Червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Замечание: реальное .EXE-имя файла во вложении скрыто "ложным" .JPG-именем при помощи дополнительных возможностей MS Outlook. Таким образом, зараженное EXE-вложение в письме выглядит как .JPG-файл, однако при открытии этого вложения оно обрабатывается как EXE-файл. Вложения подобного рода автоматически блокируются по умолчанию версиями MS Outlook 97 SP2 и выше. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Инсталляция. При инсталляции червь копирует себя с именем "csrss.EXE" в системный каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SystemSARS32 = %WindowsDir%\csrss.EXE Рассылка писем. При рассылке зараженных писем червь подключается к MS Outlook и рассылает себя по всем адресам, обнаруженным в адресной книге. Зараженные письма содержат:Заголовок: Alert! SARS Is being Spread! Текст: Hi!, This is a beta test SARS. Please check an attachment!

 

Отвечает Charmer:

Вполне возможно, что это системные процессы. Но как уже сказано выше, под них косят вири. У меня как раз один такой появился, так что я не уверен на 100%, что ваши процессы - нормальные.

 

Отвечает sprite8:

А как его вылечить, удалить? У меня стоит антивирус, он csrss.exe не видит. Что делать?

 

Отвечает Serega:

Только что столкнулся с этим червем. Каким образом подцепил – не знаю. Подозрение возникло, когда случайно заглянул в историю заблокированных в OutpostFirewall. scrss.exe через каждые 2 минуты пытается что-то отправить на h00k.info. Включил в поиск и нашел два таких файла, один в корне windows, другой в system32. Тот что в C:\\windows не принадлежит microsoft. Я его выключил из автозагрузки и попытался переименовать. Кончилось синим экраном. После перезагрузки он пропал. В журнале outpost все в порядке за исключением - недоступный процесс шлет IGMP на адресс 224.0.0.22 не знаю связано ли это как-то... Кстати у меня антивирусник Avast не в первый раз уже подводит! Новые вирусы он не видит! Да и еще ради интереса набрал в браузере адрес h00k.info там очень милый стишок и больше ничего. Размещен на платном хостинге tosay.ru.

 

Отвечает Михаил:

csrss.exe - данный вирь был мной удален через ДОС. После его присутствия на моем компе - мои сайты (я между делом хостингом спекулирую) - некоторые из них приобрели в теле страницы код, который гнал мой траффик на урл ttp://traff.step57.info.

 

Отвечает petro:

Сразу понял что вирус, убивал процесс, но он врубается опять, убил три .exe в папке C:\\WINDOWS, но он опять же скоро появляется. Ну что ж, будем бороться, вопрос в том как?

 

Отвечает Red_Lion:

Только что нашел способ \"лечения\" таких хороших smss.exe. Дело в том, что в автозагрузке есть файл empty, который не показывает явно, что он запускает, и перезаписывается при каждом запуске. Решилось все просто - msconfig и отрубить его и приложение с названием на букву b и случайный набор цифр\\букв (явно виден, ибо не имеет никакого смыслового значения).

 

Отвечает Андрей:

Я обнаружил два сомнительных процесса: csrss.exe и lsass.exe. Диспетчер задач показывает что csrss.exe непрерывно считывает инфу, а lsass непрерывно и записывает и считывает. Здоровые процессы должны делать это непрерывно? Если нет, то как избавиться от вирей?

 

Отвечает Макс:

Блин, я спинным мозгом чувствовал что это должно быть зараза! Только вот так и не понял, как распознать - процесс это или лошадь? Кто подскажет - буду очень благодарен. Кстати Avast! ничего не находит и файрволл всё время отмечает, что svhost с чем-то хочет соединиться - вот тоже проблема - не знаю нормально это или нет? Чиркните мне хоть пару строк кто знает, как отличить smss процесс это или вирус - буду очень благодарен.

 

Отвечает Desperado:

Меня насторожило, что команда csrss требовала диск и диспетчер задач был отключен. Я сделал так (может кому-нибудь поможет мой опыт): при помощи проги RegCleaner и через команду выполнить - msconfig удалил из автозагрузки все файлы, которые вызывали подозрение (обычно с бессмысленным набором символов вместо имени), потом с последним обновлением антивируса (у меня NOD32) очистил от вирей, после чего установил анти-троян (Ad-aware) и тоже после обновления произвел глубокое сканирование. Анти-троян нашел еще пару червей, которые не видит анти-вирус, после их удаления все стало как прежде. Также необходимо удалить все вновь образованные файлы с расширением .exe (обычно папки с именем \"новая папка.exe\" или \"администратор.exe\"), ибо это и есть вирус, при двойном щелчке на котором он запустится. Их создает сам червь. Убедитесь в том, что после удаления эти папки не создаются снова, если же это происходит значит вы не удалили его из автозагрузки. После всех этих действий, на мой взгляд, все работает по-старому, как и должно, но я все же не уверен, что комп излечен!

 

Отвечает J:

Много я в последнее время сталкивался с подобными вирями. Только обычно клиенты обращаются тогда, когда комп или не грузится, или виснет намертво. Бывает в половине случаев, при загрузке происходит системный сбой из-за антивируса и синее окно смерти. Боролся и борюсь: Safe Mode, удаление антивиря, удаление всех временных файлов и папок, очистка Run в реестре на Current_User и Local_Machine. Затем перезагрузка, установка антивиря и полное сканирование локальных дисков. Времени занимает немного, ничего лишнего не удалишь, зато после грубой ручной чистки полная уверенность, что при загрузке системы вирус в память не попадает.

Share this post


Link to post
Share on other sites

Седня я играл, потом заметил , что аваст какоето окно выдвинул. Я поглядел и там написано , что ...... Атака с такого-то адреса. Вопрос! Стоит ли настораживаться?

Share this post


Link to post
Share on other sites
Седня я играл, потом заметил , что аваст какоето окно выдвинул. Я поглядел и там написано , что ...... Атака с такого-то адреса. Вопрос! Стоит ли настораживаться?

думаю стоит !

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

Sign in to follow this  

×