Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» csrss.exe и smss.exe - не вирусы ли?

Автор: MusicLover
Дата сообщения: 06.05.2004 18:57
Что за процессы?
Автор: launch
Дата сообщения: 07.05.2004 00:47
MusicLover
http://www.liutilities.com/products/wintaskspro/processlibrary/
Автор: younger
Дата сообщения: 02.06.2004 01:58
Не стал создавать новую тему, т.к. вопросы схожи.
в regcleaner в списке startup list находятся несколько процессов, которые неизвестны мне, но вызывают интерес.

с:\winnt\system32\hkcmd.exe
с:\winnt\system32\igfxtray.exe
internat.exe
mobsync.exe /logon

Как можно выяснить какие из этих процессов нужны, а какие можно смело отключать?
И что это за процессы вообще?


Добавлено
p.s. в списке по ссылке не нашел их.
Плюс к этому, я устанавливал разные прошивки с сайта микрософта, может это они?
Автор: ShIvADeSt
Дата сообщения: 02.06.2004 05:18
younger
Все нормальные процессы, первые два от дров на мамку видюху, третий это вроде переключатель клавиатуры, четвертый автологин ИМХО, то есть не вирусы, а вообще эту тему надо в операционные системы перенести, скажите модератору или я сам
Автор: younger
Дата сообщения: 02.06.2004 12:18
Благодарю за ответ!
Сообщу :)
Автор: Nep
Дата сообщения: 02.06.2004 12:35
ок переношу
Автор: Audciz
Дата сообщения: 02.06.2004 17:38
А у меня всё время висит explorer.exe - злостный вирь, давить его надо!!!
Автор: Bobbs
Дата сообщения: 07.01.2005 21:52
Вот и я столкнулся с проблемой. Появился вирус. Антивирусом не определяется. Обнаружен аутпостом после того, как запросился в сеть, на smtp mail.ru
Называется csrss.exe, т.е маскируется под системный родной виндусовский файл. Только расположен в другой директории, да и размер другой. Виндусовский файл имеет размер 4 кб и расположен в C:\WINDOWS\system32 а, вирь имеет размер 18 кб и расположен в C:\WINDOWS. Удалить не получается, потому что загружен в память, а диспетчер задач ругается, что это системный файл и выгрузить тож не дает. Проверяет поцесс только по имени наверное, а не по пути..
Загружаюсь в save mode и в этом режиме вирь не загружен. Удаляю его из папки. Но при загрузке в обычном режиме вирь снова и в памяте, и в директории своей на прежнем месте.. Ключи автозапуска проверял, чисто там.. Да, вот еще, Аутпост сообщает, что этот csrss.exe инициируется файлом explorer.exe, то бишь получается родным виндусовским проводником. Неужели Проводник заражен тоже? Как это лечить?И в довершение всего прочего не получается сделать откат системы назад.
Кто-то может сталкивался с аналогичной проблемой, как исправить?
Автор: AlexandV
Дата сообщения: 07.01.2005 23:26
а какой антивирус и его версия?
Автор: rumigor
Дата сообщения: 07.01.2005 23:50
Bobbs
В сейфмоде загрузись и удали
Автор: Bobbs
Дата сообщения: 07.01.2005 23:55
AlexandV
Антивирь Доктор Веб, 4.32b, базы свежие, но вирус я и так обнаружил, не знаю, как его из автозапуска удалить.
rumigor

Цитата:
Загружаюсь в save mode и в этом режиме вирь не загружен. Удаляю его из папки. Но при загрузке в обычном режиме вирь снова и в памяте, и в директории своей на прежнем месте..

Я ж писал об этом вообще-то
Автор: los2
Дата сообщения: 08.01.2005 00:14
Bobbs,
оно?
_http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100306
а это просто не помешает-великолепный набор для autostart,process view и т.д.
_http://diamondcs.com.au/index.php?page=products
главное бесплатный
Автор: AlexandV
Дата сообщения: 08.01.2005 00:23
а касперского пятого попробовать?
он часто лечит более коректно, чем другие
попробуй http://www.kaspersky.ru/scanforvirus
в реестре искал?
Автор: Bobbs
Дата сообщения: 08.01.2005 01:12
AlexandV
Да, проверка Касперским он лайн обнаружила, что это вирус, но это и так было понятно. А ссылка на классификацию вируса с их же сайта не работает. В реестре искал конечно, там имя файла упоминается или без патча, и не понятно о вирусе идет речь или о системном файле, или с патчем чисто системного файла. В автозапуске его нет. Подгружается вроде экспролером, но я и файл проводника проверил, он чистый.
los2
Есть конкретная инфа? Первая ссылочка не открылась, а из продуктов во второй я кое-что похожее и так использую. Но, посмотрю еще, что можно из этих продуктов взять.
Автор: AlexandV
Дата сообщения: 08.01.2005 01:15
los2
можно было бы и по русски:
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=22612


Цитата:
Червь является приложением Windows (PE EXE-файл), имеет размер около 6K (упакован UPX, размер распакованного файла - около 15K), написан на Visual Basic.

Червь активизируется, только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении).

При инсталляции червь копирует себя с именем "csrss.EXE" в системный каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemSARS32 = %WindowsDir%\csrss.EXE

Ежемесячно по числам: 1, 4, 8, 12, 16, 20, 24 и 28 червь удаляет все файлы *.DLL, *.NLS, *.OCX в текущем каталоге (как правило - в каталоге Windows)

Автор: Bobbs
Дата сообщения: 08.01.2005 02:28
AlexandV
У меня таки что-то другое. Видимо стало модным маскировать вирусы под загруженные системные файлы. Причем похоже на отечественного писателя. Вирь та на маил.ру просится. И в приведенном тобой ключе автозапускаон не зареген..
Автор: AlexandV
Дата сообщения: 08.01.2005 03:09
А как каспер его обозвал?
Автор: los2
Дата сообщения: 08.01.2005 03:17
Bobbs,
_http://securityresponse.symantec.com/avcenter/venc/data/w32.dalbug.worm.html
побольше информации,плюс просканируй каким-нибудь anti-spyware вполне возможно маскируется дрянь под известный вирус.
AlexandV

Цитата:
W32/Ladex.worm [McAfee], Worm.Win32.Ladex.a [KAV], Worm.Win32.Ladex.b [KAV], WORM_LADEX.A [Trend], W32/Ladex-A [Sophos], W32/Ladex-B [Sophos], Win32.Ladex [CA

там же вычитал.
Автор: AlexandV
Дата сообщения: 08.01.2005 04:01
los2
меня заинтересовало, как у Bobbs вирус был обозван Касперским

Автор: Crack4321
Дата сообщения: 08.01.2005 04:17
los2
AlexandV
Подождите ребята, я чёго-то не очень понял, какой вирус?

Цитата:
Process File: csrss or csrss.exe
Process Name: Microsoft Client/Server Runtime Server Subsystem

Description:
csrss.exe is the main executable for the Microsoft Client/Server Runtime Server Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated.

Пишет об этом _http://www.liutilities.com/products/wintaskspro/processlibrary/csrss/
У меня этот процесс с самого начала использования винды появился, хотя я точно помню, что ни одного подозрительного письма не приходило и что на файл csrss.exe что в system32 никогда не нажимал.Чего не догоняю?
Автор: AlexandV
Дата сообщения: 08.01.2005 05:00
Crack4321
ветку внимательно читать надо

Цитата:
csrss.exe что в system32
- это действительно

Цитата:
Microsoft Client/Server Runtime Server Subsystem

а вот в C:\WINDOWS - вирь!
(не веришь - посмотри на антивирусных сайтах)
Автор: Bobbs
Дата сообщения: 08.01.2005 16:52
AlexandV
Касперский обозвал вирус
Проверенный файл: csrss.exe
csrss.exe - упакован FSG
csrss.exe - инфицирован Trojan-PSW.Win32.LdPinch.jf

los2
Просканировал Ad-Aware
Понаходил кукисы разные банербанковские, но путей загрузки виря так и не нашел.

Хорошо если это ток тихий троянец, доступ в инет я ему перекрыл. Но, еще не поборол
Автор: AlexandV
Дата сообщения: 08.01.2005 18:59
Главная / Вирусы / Вирусная энциклопедия / Типы вредоносных программ / Троянские программы / PSW-троянцы
Trojan-PSW.Win32.LdPinch.jf
Другие названия
Trojan-PSW.Win32.LdPinch.jf («Лаборатория Касперского») также известен как: PWSteal.Trojan (Symantec), Trojan.PWS.LDPinch.291 (Doctor Web), NewHeur_PE (Eset) Детектирование добавлено 07 янв 2005
Поведение Trojan-PSW, кража паролей

У данной вредоносной программы пока нет описания.

Вот ссылка на сайт:
http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.trojan.html

если совсем уж ничего не поймешь, могу перевести, только не знаю, когда получится

Добавлено
и вообще - поставь пятого касперского, он лечит практически все
Автор: Bobbs
Дата сообщения: 09.01.2005 13:33
AlexandV
Поборол таки. Так я обычно под ХР сижу, с Доктором Вебом, но на другом диске логическом стоит винда 2000 про. Я на нее касперского поставил и проверил диск с ХР. Хм.. Нашел кучу гадости, которую Др Веб у меня в упор не видел. Я прям задумался, а не менять ли антивирус.. Вроде чисто теперь.. А то у меня уже даже доступ на сайты антивирусные был перекрыт, перебрасывало на локалхост 127.0.0.1
А где была прописана загрузка виря в реестре - таки загадка.
В любом случае спасибо за помощь.
Автор: Innesochka
Дата сообщения: 16.01.2009 15:56
такая проблема.когда я включаю комп появляется окно ,что не найден фаил csrss.exe найдите через поиск. а потом идет загрузка нод32.Что это такое?
Автор: Vsa12
Дата сообщения: 17.11.2009 08:45





Цитата:
csrss.exe и smss.exe - не вирусы ли?



Как удалить http://www.filecheck.ru/

Страницы: 1

Предыдущая тема: Добавить/удались службу в Windows XP/2000


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.