» csrss.exe (не оригинал) - похоже на новый вирус????

Файл создан в деректории WINDOWS (не в SYSTEM32, как положено). Размер в 3 раза больше,чем у оригинального мелкософтовского. Причем сам файл покриптован и запакован MEW. Сигнатуры файла явно не мелкософтовские. Подгружается не под system, а под юзверем.
Народ, у меня сильнейшие подозрения на него. Хотя ни DrWeb, ни Avast не ругаются на него. Че посоветуете делать? Я его удалил из загрузки и упаковал.
Вот ссылка на архив с файлом:
здесь файл 32 Кб
Может есть спецы по исследованию....
З.Ы. Да, подгружается, через ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\

Обновляй базы, что за вирь смотри по след ссылкам

_http://www.viruslist.com/ru/viruses/encyclopedia?virusid=118908
_http://info.drweb.com/virus_description/103883
_http://virusinfo.info/showthread.php?t=3145&goto=nextoldest

elias

Цитата:

Обновляй базы

Я же написал, что проверял антивирями со свежайшими базами, никто не определяет ничего подозрительного. Потом, этот файл пакован, а по базам он - не запакован. Вложений "левых" никогда не открываю, да и "правых" без проверки

Касперский
Trojan-Dropper.WIN32.Agent.bcu

Логи NOD32


Цитата:

Cкaниpoвaниe выпoлнeнo зa: 27-02-2007 21:08:55
Лог сканирования
Версия NOD32 2083 (20070227) NT
Командная строка: C:\Documents and Settings\***\Рабочий стол\csrss\csrss.exe
Оперативная память - - OK

Дата: 27.2.2007 Время: 21:09:06
Технология Anti-Stealth включена.
Проверены диски, папки и файлы: C:\Documents and Settings\***\Рабочий стол\csrss\csrss.exe
C:\Documents and Settings\***\Рабочий стол\csrss\csrss.exe - Win32/PSW.LdPinch.NCB троян
Количество проверенных файлов: 1
Количество найденных вирусов: 1
Время завершения: 21:09:06 Общее время сканирования: 0 сек (00:00:00)

sewell

отправь найденный файл по адресу:
http://z-oleg.com/secur/avz/uploadvir.php

artem1982,sewell


Цитата:

Trojan-Dropper.WIN32.Agent.bcu

Trojan-Dropper — инсталляторы прочих вредоносных программ
Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.

Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.


Добавлено:
Еще веселее:


Добавлено:
Win32/PSW.LdPinch.NCB троян

_http://www.sergoz.ozuevo.ru/2007/02/01/print:page,1,vzlom_s_pomoshhju_trojana_pinch_prodolzhaet_nabirat_oboroty.html

Выходит антивирусы менять надо....
P.S. Хотя, как писал Крис Касперский, ни один антивирь не панацея. Вот сам заподозрил, не ошибся, млин. Первый вирь у себя поймал за 12 лет работы в инете. Хотя сколько могло быть не пойманных

Приветствую, Гуру !!!
Знакомый только что отзвонился мне - "потерял" он систему мс виндозе ХР... А дело оказалось гораздо сложнее. Несколько дней назад его знакомый (ну пусти ко... в огород) снёс НОД32 с компа, поймал тут же кучу всяких "хорошестей", одна из которых заразила цсрсс файл... попытка вылечить привела к тому, что компьютер как бы запускается, но ни файла експлорер.ехе, ни десктопа - ничего нет...
Вопрос: можно ли восстановить систему ? Переустановку виндозе не предлагайте - сам знаю этот радикальный метод :о)

СПАСИБО за ответы !!!

someone312002

Для начала, после загрузки винды нажми CTRL+ALT+DEL, в меню "Файл" выбери "Новая задача(Выполнить...)" и попробый запустить Exlporer руками(лежит в папке Windows на системном диске), потом отпиши что происходит дальше, какие ошибки выдает и пр. 99% что надо будет править реестр.

someone312002

А в F8 > Безопасном режиме тоже такая же ситуёвина? Если нет, то систем ресторе.

someone312002
Скорее всего одна из разновидностей вируса Scano.
Рекомендации:

С помощью AVZ
Скачать Антивирусную утилиту AVZ
Распаковать
запустить AVZ
AVZGuard - Включить AVZGuard
Файл - Восстановление системы. Отметить Удаление отладчиков системных процессов , выполнить.
Файл - Отложенное удаление. Выбрать зараженный файл, отметить удаление файлов и эвристическая чиста ссылок на них в системе.
Не закрывая AVZ, перезагрузить компьютер.


Либо

Cовет от ЛК
Перезагрузите компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажмите и удерживайте F8, а затем выберите пункт Safe Mode в меню загрузки Windows).
Удалите из системного реестра следующие записи:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="%Windir%\csrss.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Application"="%Windir\csrss.exe"
Удалите следующие файлы:

%Windir%\csrss.exe
C:\ntldr.exe

Перезагрузите компьютер в нормальном режиме и убедитесь, что вы удалили все зараженные письма из всех почтовых папок.
Произведите полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами

Спасибо, вылечили компьютер...
После полного сканнирования насчитали порядка полутора тысяч вирусо-источников (threads) о как :о)

Ещё раз спасибо !!!

Самый лучший и четкий способ (выше был уже описан) !!!

Если вирус еще остался, лечите его так:
1. Запустите антивирусную утилиту AVZ (http://z-oleg.com/avz4.zip).
2. Включите AVZGuard.
3. Меню файл – Восстановление системы – установите галочку «Удаление отладчиков системных процессов». Нажмите кнопку Выполнить …
4. Удалите файл
C:\WINDOWS\csrss.exe через AVZ меню Файл->«Отложенное удаление».
5. Перезагрузите компьютер, не выходя из AVZ и не выключая AVZ Guard.

И csrss.exe из C:\WINDOWS исчезает !