Jump to content
СофтФорум - всё о компьютерах и не только

csrss.exe и внезапная перезагрузка компьютера

Rada
 Share

Recommended Posts

Rada

Rada

Posted
Posted

Месяца 2-3 назад внезапно и самопроизвольно стал перезапускаться компьютер. Сначала это проистодило 1-2 раза в неделю, сейчас 3-5 раз в день. Если верить SpeedFan с температурой проблем нет. Проверила комп на вирусы NOD32, он заявил, что есть 1 файл-троян C:\WINDOWS\csrss.exe - Win32/PSW.LdPinch троян. Что ето за файл? Остальное все чисто. Насколько опасен этот файл? Может ли он приводить к перезагрузкам компьютера? С чем еще могут быть связаны перезагрузки? ПОМОГИТЕ, ПОЖАЛУЙСТА, РАЗОБРАТЬСЯ!!! ОЧЕНЬ ВАЖНО!!! РАБОТА СТОИТ!!! :D

Link to comment
Share on other sites
Griffon Master

Griffon Master

Posted
Posted

Parser.exe - Win32/PSW.LdPinch.P1 trojan - это троян!

Прогони его через НОД32 :)

Епонский городовой,а он у меня тоже в процессахblink.gif

Помогите!Хелп!help.gifhelp.gif

Что делать?Зонтик его НЕ находит!

Link to comment
Share on other sites
Griffon Master

Griffon Master

Posted
Posted

Rada

Я спокоен.Только что разговаривал с другом - он в армии с компами работает,тестируют разное железо и конечно он следит за работой серверов.

А теперь к делу.

csrss.exe - этот процесс связон с Виндой,т.е. его нельзя отключать,иначе финиш.Это если в процессе он один,если кроме него есть ещё такой же процесс - это вирус.

Сколько таких процессов у тебя?

Link to comment
Share on other sites
Griffon Master

Griffon Master

Posted
Posted

csrss.exe

Системный

Сlient/Server Run-time Sub System Отвечает за взаимодействие прикладных программ с ядром ОС. Это часть подсистемы Win 32?, исполняющаяся в пользовательском режиме (в то время как Win 32.sys? исполняется в режиме ядра). Представляет собой существенную подсистему, которая должна быть запущена всегда. Подсистема csrss отвечает за работу консольных окон, создание и уничтожение потоков и частично за работу 16-разрядной виртуальной среды MS-DOS.

Системный файл csrss.exe находится в c:\windows\system32

По совету друга - он порекомендовал эту прогу

Process Explorer - Компактная, но мощная программа с удобным интерфейсом для мониторинга в режиме реального времени происходящих в системе процессов.

Программа Process Explorer выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д. Имеет мощную систему поиска, позволяющую искать процессы, открывающие специфический дескриптор или загружающую определенную DLL. Кроме этого, Process Explorer допускает изменение приоритетов процессов и их "убийство". Работает Process Explorer без инсталляции.

Лицензия: Бесплатно

Размер: 1,5 Мб

Качаем отсюда - http://www.securitylab.ru/software/downloa...essExplorer.zip

Когда скачаешь,зайди в неё и посмотри к какой фирме процессы относятся,а вот насчёт убить трояна в процессе через прогу,то я не знаю,не пробывал,но сейчас я ею проверил свои процессы - я чист :)

Link to comment
Share on other sites
TVS

TVS

Posted
Posted (edited)

Месяца 2-3 назад внезапно и самопроизвольно стал перезапускаться компьютер. Сначала это проистодило 1-2 раза в неделю, сейчас 3-5 раз в день. Если верить SpeedFan с температурой проблем нет. Проверила комп на вирусы NOD32, он заявил, что есть 1 файл-троян C:\WINDOWS\csrss.exe - Win32/PSW.LdPinch троян. Что ето за файл? Остальное все чисто. Насколько опасен этот файл? Может ли он приводить к перезагрузкам компьютера? С чем еще могут быть связаны перезагрузки? ПОМОГИТЕ, ПОЖАЛУЙСТА, РАЗОБРАТЬСЯ!!! ОЧЕНЬ ВАЖНО!!! РАБОТА СТОИТ!!! :doh:

Вот попалась информация кратенькая, что можно сделать:

http://www.sergoz.ozuevo.ru/2007/02/01/pri...at_oboroty.html

Взлом с помощью трояна Pinch продолжает набирать обороты

Новости взлома! Уже многим известный троян Pinch, иначе именнованый как Win32/PSW.LdPinch.NCB, продолжает хорошо распространятся в сети интернет. Ничем не вредит компьютеру, зато очень вредит пользователю. Производится взлом секретной информации пользователя, а в частности угон всех паролей от информации в сети, будь то icq или e-mail, аккаунт в службе знакомств или админка сайта! Взлом осуществляется за счёт проникновения в папку windows системы и укрепления себя под видом файла csrss.exe. Избавиться от него можно следующим путём: находите вирус (то есть сам файл csrss.exe) переименовываете его в любой символ, допустимый в имени файла, затем перезагружаете компьютер и затем удаляете. Другого способа против него нет. На данный момент последние его обновление не видит ни Касперский и ни один другой антивирус.

Пока нет Saule, можно попробовать еще AVZ.

http://www.z-oleg.com/secur/avz/index.php

Edited by TVS
Link to comment
Share on other sites
Griffon Master

Griffon Master

Posted
Posted

TVS

А если этот вирус попробывать пусть даже временно убить в процессах программой Process Explorer,то можно же вроде приостановить временно его активность?

Link to comment
Share on other sites
Saule

Saule

Posted
Posted

Для удаления вредоносного файла csrss.exe (на всякий случай: находится в папке WINDOWS, а не WINDOWS\system32):

  1. Скачиваем AVZ, распаковываем, запускаем и нажимаем в верхнем меню программы:
    Файл > Отложенное удаление файла

    Копируем в появившееся окошко следующую строчку:

    C:\WINDOWS\csrss.exe

    Нажимаем "ОК", выбираем "Удаление файлов" и снова "ОК".
    Перезагружаем компьютер.

  2. После перезагрузки у вас, скорее всего, "исчезнет" рабочий стол.
    В этом случае нажимаем на клавиши CRTL+ALT+DEL и в появившемся Диспетчере задач (Task Manager) в верхнем меню нажимаем:
    File > New Task (Новая задача)

    В открывшемся окне выбора файла находим и запускаем AVZ (файл avz.exe).
    Далее в верхнем меню AVZ:

    Файл > Восстановление системы

    Отмечаем "Удаление отладчиков системных процессов" и нажимаем на "Выполнить отмеченные операции".
    Снова перезагружаем компьютер (с помощью кнопки RESET).

Link to comment
Share on other sites
  • 2 months later...
vasilyitch

vasilyitch

Posted
Posted

Вот попалась информация кратенькая, что можно сделать:

http://www.sergoz.ozuevo.ru/2007/02/01/pri...at_oboroty.html

Пока нет Saule, можно попробовать еще AVZ.

http://www.z-oleg.com/secur/avz/index.php

Проблема имела продолжение не далее как вчера. Вирус был пропущен НОДом. Ну, то есть, он бибикнул, что такая вот беда есть. И всё. Это на моём офисном компе. На следующее утро после включения компа получаю следующее сообщение на черном экране (Винда грузилась, сразу после теста биоса): NTLDR: file is missing or corrupted. Типа загрузчик не найден или поврежден. Никакие fixboot и fixmbr не помогли. Греблись мы с сисадмином часа два, пока не разобрались, что ntldr'a и ряда других фаилов не достаёт.

И вот шо ета гадина сотворила. Были затёрты все скрытые системные файлы в корне системного диска, способствующие загрузке ОСи: начиная с autoexec.nt заканчивая указанным NTLDR (смотрите приложенный скриншот). После получаса колдования по сети скопировали аналогичные с компа админа.

Вот такие пряники :g:

атака_вируса.jpg

post-55374-1179481041_thumb.jpg

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...