Автор | Сообщение |
Тема "Что за хренотень такая?!" (автор: derew) перемещена из гостевой книги 5 июня 2007 г. 12:33:04 |
derew гость |
написано: 5 июня 2007г. 04:07:53 |
#2 |
Мой антивирь вдруг не стого ни с сего начал оратьна файл csrss * CSRSS.EXE - является частью подсистемы Win32 и поэтому этот процесс нельзя закрыть в менеджере задач. CSRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS * якобы это вирус Win32/PSW.LdPinch.ATE trojan Бред полный ведь этот файл нужен да и ставится он с виндой и провалялся хер знает сколько. Как быть и что делать? |
|
ДИМ участник
зарегистрирован: 30.10.2006 сообщений: 44 |
написано: 5 июня 2007г. 08:41:09 |
инфо • #3 |
А я бля диск игровой купил, а он пишет, типа там троян и блокирует(((( |
|
Do You Really Want To Hurt Me? гость | |
loler гость |
написано: 5 июня 2007г. 09:38:39 |
#5 |
Derew:вполне может быть что троян вписался в лог к этому файлу, так что чисть и потом вставляй диск с виндой и востанавливай ДИМ: Нефиг пиратки покупать |
|
restart участник
зарегистрирован: 01.03.2007 сообщений: 210 |
написано: 5 июня 2007г. 12:18:09 |
инфо • #6 |
Бля ну ты попал
CSRSS.EXE – часть пользовательской Win32 подсистемы. SRSS - сокращение от "client/server run-time subsystem" (клиент/серверная подсистема). csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.
Файл csrss.exe всегда расположен в каталоге C:\Windows\System32/. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно несколько десятков вирусов (например Trojan.Webus, W32.Dalbug.Worm, Spyware.LoverSpy и множество других), использующих имя csrss.exe для сокрытия своего присутствия в системе...... |
|
restart участник
зарегистрирован: 01.03.2007 сообщений: 210 |
написано: 5 июня 2007г. 12:20:39 |
инфо • #7 |
Win32.HLLM.Perf
(Email-Worm.Win32.Bagle.fw, Email-Worm.Win32.Scano.d, Email-Worm.Win32.Scano.e, Email-Worm.Win32.Scano.f, Email-Worm.Win32.Scano.h, Email-Worm.Win32.Scano.j, Exploit, Hoax-LocalIFrame, I-Worm/Generic.IT, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Agent.IE, Trojan.Bagle.F, Trojan.Pinch.A@m, Trojan.Win32.Inject.z, WORM_ARESES.B, Win32.Scano.E@mm.VBS, Win32.Scano.H@mm, Win32/Areses.D, Win32/Areses.D!Trojan, Win32/Kipis!generic, Worm/Generic.NB, Worm/Generic.NK)
Тип вируса: Почтовый червь массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: 17 872 байт
Упакован: Нет
Техническая информация
Распространяется по электронной почте в виде вложения. Подделывает адрес отправителя.
Варианты тем для писем: Привет,какие новости? Ты сегодня ко мне приедешь? Я тебя сегодня видела?
Варианты тел писем: Приветик, как у тебя дела?... Ты сегодня в интернете будешь? Напиши мне в аську, окей? Кстати документы которые тебе нужны в архиве тебе выслала, пока) Ксюха
Привет, я сегодня тебя жду в гости, позвони мне перед тем как ехать... Кстати, в архиве я запоковала необходимые тебе документы... Там все сам поймешь, пока. Жду!
Привет, шла по улице и видела тебя, а ты меня даже не заметил... ладно не обиделась... Держи архив с документом, позвоним не сегодня, пока.
В качестве вложения создается .cab архив, в котором находится дроппер основного тела вируса. Имя файла в архиве начинается на "new", "me","you","cool" или "Re" и имеет двойное расширение. Первое из списка: ".doc", ".txt",".avi", ".mpeg", а второе " .cpl".
Пример: "me.doc .cpl" внутри архива me.cab
Запуск вируса.
Копирует себя в системную папку с именем %systemroot%\csrss.exe (настоящий csrss.exe находится в %systemroot%\system32\csrss.exe)
Свою автозагрузку при старте системы обеспечивает записью в реестре: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe Debugger = "C:\WINDOWS\csrss.exe"
Запускает дополнительные процессы services.exe и svchost.exe. В них он внедряет код, который поддерживает запись автозагрузки в реестре и целостность своего носителя csrss.exe. Если тело вируса будет удалено, то тут же будет восстановлено из копии, которая хранится в памяти инфицированного процесса services.exe. При этом имитируется срабатывание "Защиты файлов Windows"
Основная часть вируса в процессе svchost.exe сканирует все доступные диски в поисках почтовых адресов для рассылки. Для этого он использует файлы со следующими расширениями: .adb, .asp, .cfg, .cgi, .mra, .dbx, .dhtm, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml, .dhtml.
Извлекаемые адреса не должны содержать подстрок: "@example." "Mailer-Daemon@" "-0" "2003" "@subscribe" ".00" "2004" "kasp" "@." "2005" "admin" "---" "2006" "icrosoft" "abuse" "@hotmail" "support" "panda" "@msn" "ntivi" "cafee" "@microsoft" "unix" "spam" "rating@" "bsd" "pgp" "f-secur" "linux" "@avp." "news" "listserv" "noreply" "update" "certific" "local" ".qmail" "torvalds@" "root@" ".gif" "sopho" "postmaster@" "anyone@" "@foo" ".0" "bugs@" "@iana" ".1" "contract@" "free-av" ".2" "feste" "@messagelab" ".3" "gold-certs@" "winzip" ".4" "help@" "google" ".5" "info@" "winrar" ".6" "nobody@" "samples" ".7" "noone@" "spm111@" ".8" "0000" ".." ".9" ...... |
|
restart участник
зарегистрирован: 01.03.2007 сообщений: 210 |
написано: 5 июня 2007г. 12:22:29 |
инфо • #8 |
Действия.
При старте пытается скачать и исполнить непосредственно .exe файл
http: // 85.249.23.43 / 0.exe
или получить зашифрованный список адресов для дальнейшего скачивания:
http: // 85.249.23.35/m2/ g.php http: // 207.46.250.119/g/ m.php http: // 84.22.161.192/s/ f.php
В случае обнаружения виртуальной машины вирус открывает сайт http://www.na‹censored›uy.com и завершает свою работу.
Рекомендации по восстановлению системы а) Необходимо скачать Dr.Web CureIt. б) Отключить компьютер от локальной сети и/или Интернет. в) Перезагрузить систему в "Безопасный режим с поддержкой командной строки" (клавиша F8 при старте системы). г) Набрать в командной строке и выполнить следующую команду: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v Debugger /f д) Перезагрузить систему. е) Запустить утилиту Dr.Web CureIt, либо, если имеется, антивирусный дисковый сканер. Проверяемая директория - %SystemRoot% (по умолчанию С:\WINDOWS). Действие для объектов зараженных Win32.HLLM.Perf - удалить.
Модификация Win32.HLLM.Perf от 06.09.2006
Распространяется в виде письма с вложением в виде .hta файла
При запуске .hta в корневом каталоге создаётся .EXE-файл (21 262 байта), который запускается на исполнение.
Копирует себя в системную папку с именем %systemroot%\csrss.exe (настоящий csrss.exe находится в %systemroot%\system32\csrss.exe)
Свою автозагрузку при старте системы обеспечивает записью в реестре: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe Debugger = "C:\WINDOWS\csrss.exe"
Запускает дополнительные процессы services.exe и svchost.exe. В них он внедряет код, который поддерживает запись автозагрузки в реестре и целостность своего носителя csrss.exe.
Если тело вируса будет удалено, то тут же будет восстановлено из копии, которая хранится в памяти инфицированного процесса services.exe. При этом имитируется срабатывание "Защиты файлов Windows".
Имя вложения может быть следующим: Message File Document README Passwords Readme Important New COOL Archive Fotos private confidential secret images your_documents backup
Варианты темы письма:
Hi, what's up? He, where are you? Hi, drop me a line!!! Hi! Please write to me urgently! Hi! I'm waiting you online today! Will you be online today? When you're gonna answer me? Re: write to me! Re: Call me! Re: Where are you? Re: When you're gonna answer me? Hi!!! How's the mood? Re: How's the mood? Re: Where have you been? ...... |
|
ДИМ участник
зарегистрирован: 30.10.2006 сообщений: 44 |
написано: 5 июня 2007г. 12:23:01 |
инфо • #9 |
цитата:ДИМ: Нефиг пиратки покупать У нас %60 пиратки идёт |
|
restart участник
зарегистрирован: 01.03.2007 сообщений: 210 |
написано: 5 июня 2007г. 12:23:39 |
инфо • #10 |
Тело письма может содержать следующий текст: Hi!!!!! You haven't been writing for a long time. I began to worry) Where have you been? You remember, you've asked a progy from me? I've finally found it, so here it is. Check it out if this is what you've been looking for... bye Hi, what's up? Will you show up online today?Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking for, find them attached. Check them out, ok?
Hi! I'm coming to you tomorrow, ok? When you are going to be home? You remember, you've asked some docs. Please find them attached. Check and see what's inside. That's it. Bye, till tomorrow...
Hi! You disappeared again. If you come online, drop me a line, ok?Btw, I sent you those docs that you've been looking for. Check them out. Bye!
Hi, give me a call just when you got the message! I'm tired of waiting. Btw, I'm sending that program that you've been looking for. Check it out. Appears to be that one. Bye!
Hi, what's up? If you have time tomorrow, please come over. After midday. By the way, don't forget to check the enclosed documents. Bye. See you tomorrow.
Hi, I got a free day tomorrow, and I'm waiting for you. Please come after midday. By the way, I'm sending you the documents that you've been asking for. Read them out... Bye!
Hi, how are you? What are your plans today? If you have time, please come over, and don't forget to check the program attached. Bye!
Hi, what's you gonna do today? I'll come over tonight! By the way, don't give anyone this funny program I'm sending. Check it out. Bye!
Hi, I found that program you asked for. Find it attached. Bye.
Hi, I saw you around today, but you didn't noticed me ( If you're gonna be at home, give a call, ok? By the way, check this file I'm sending. A very interesting program...What's up! You haven't been writing for a long time… I got news. I've finally that program you needed… I'm sending it out. Use it. Bye!
Hi, drop me a line today, ok? And see the program I'm sending. Bye!
Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to check the attached documents. Bye.
Hi! How are you? Drop me a line if you can. I found your documents and I'm emailing them to you. Bye.
Вирус создаёт файлы для распространения по файлообменным сетям, присваивая им расширения .pif, .scr или .exe:
Sex and more.rtf 3D Studio Max 6 3dsmax ACDSee 10 full Adobe Photoshop 10 full Adobe Premiere 10 Ahead Nero 8 Altkins Diet.doc American Idol.doc Arnold Schwarzenegger.jpg Best Matrix Screensaver new Britney sex xxx.jpg Britney Spears and Eminem porn.jpg Britney Spears blowjob.jpg Britney Spears cumshot.jpg Britney Spears fuck.jpg Britney Spears full album.mp3 Britney Spears porn.jpg Britney Spears Sexy archive.doc Britney Spears Song text archive.doc Britney Spears.jpg Britney Spears.mp3 Clone DVD 6 Cloning.doc Cracks & Warez Archiv Dark Angels new Dictionary English 2004 - France.doc DivX 8.0 final Doom 3 release 2 E-Book Archive2.rtf Eminem blowjob.jpg Eminem full album.mp3 ...... |
|
restart участник
зарегистрирован: 01.03.2007 сообщений: 210 |
написано: 5 июня 2007г. 12:23:57 |
инфо • #11 |
Eminem Poster.jpg Eminem sex xxx.jpg Eminem Sexy archive.doc Eminem Spears porn.jpg Eminem.mp3 Full album all.mp3 Gimp 1.8 Full with Key Harry Potter 1-6 book.txt Harry Potter 5.mpg Harry Potter all e.book.doc Harry Potter e book.doc Harry Potter game Harry Potter.doc Harry Potter and the Sorcerer's Stone game How to hack new.doc Internet Explorer 9 setup Kazaa Lite 4.0 new Kazaa new Keygen 4 all new Learn Programming 2004.doc Lightwave 9 Update Magix Video Deluxe 5 beta Matrix 3 .mpg Microsoft Office 2003 Crack best Microsoft WinXP Crack full MS Service Pack 6 source code Norton Antivirus 2005 beta Opera 11 free
кароче выяснилось что файлик csrss.exe или svchost.exe, smss.exe и т.д. типо таких файликов это системнык файлики и находятися они в папке %systemroot%\system32\csrss.exe, но это я про интересующий тя файлик csrss.exe. если встетиш в других каталогах то писец троян или червик у тя (кстати ты его уже по ходу дела подцепил по скоку у меня этот файлик не жжужит и не кушает так много) и лечится он ксожалению тока DrWeb'ом или в ручную удаляешь с поправлением в реестре
P.S. Это всё не моё взял с одного сайта. |
|
derew гость |
написано: 5 июня 2007г. 13:24:56 |
#12 |
Вот же зараза ааа!!!!!! Только вот не состыковочка выходит. У меня нет и ни когда не было ICQ, я ни когда не читаю почту, мне емейлы нужны только для того что бы регится на сайтах и открываю я письма только с подтверждением регистрации. А из всего прочитанного выше вывод один этот вирус можно хапнуть из аськи или по почте. Знающие люди в этом, расскажите от кеда я мог такой вирус тогда хапнуть. Думаю это будет интересно и полезно знать не только мне. |
|
ДИМ участник
зарегистрирован: 30.10.2006 сообщений: 44 |
написано: 5 июня 2007г. 15:39:17 |
инфо • #13 |
Я у себя нашёл и csrss и svchost.exe и smss и только svchost из них с ЕХЕ, остальные нет, это вирус или есть варианты? |
|
5ergi0 Постоянный участник
зарегистрирован: 10.06.2005 сообщений: 2903 откуда: Москва |
написано: 5 июня 2007г. 16:21:33 |
инфо • #14 |
А ты-то чего забеспокоился? |
|
АКМ-47 участник
зарегистрирован: 02.03.2007 сообщений: 28 |
написано: 5 июня 2007г. 16:46:05 |
инфо • #15 |
ДИМ да, это вредный вирусы! удаляй не глядя!!! и еще, удаялй все файлы с расширением *.exe в папке windows это тоже вирусы |
|
ДИМ участник
зарегистрирован: 30.10.2006 сообщений: 44 |
написано: 6 июня 2007г. 09:09:09 |
инфо • #16 |
очень умно, ржунимагу за..али |
|
tyler_nn участник
зарегистрирован: 01.01.2007 сообщений: 54 |
написано: 6 июня 2007г. 12:11:32 |
инфо • #17 |
restart, клёвая лекция, кое-чё почерпнул для себя ДИМ, читай внимательней лекцию |
|
shadowqwerty гость |
написано: 19 июня 2007г. 17:27:51 |
#18 |
А у меня такая х. Вирусы комп одолели. Я их антивирусом поудалял, но вот чё получилось: теперь когда зохожу в "мой компьютер" и клацаю 2 раза на любой диск(c,d,e) выскакивает окно с текстом типа какой программой открывать.Выбираю internet explorer- открывается. Это конечно не сложно, но напрягает.Может кто знает как вылечить? |
|
5ergi0 Постоянный участник
зарегистрирован: 10.06.2005 сообщений: 2903 откуда: Москва |
написано: 19 июня 2007г. 18:52:33 |
инфо • #19 |
autorun.inf не присутствует на дисках? |
|
shadowqwerty гость |
написано: 20 июня 2007г. 12:19:08 |
#20 |
цитата:5ergi0 (19.06.2007 г. 18:52:33): autorun.inf не присутствует на дисках? А чё это такое и где именно оно должно присутствовать? |
|
5ergi0 Постоянный участник
зарегистрирован: 10.06.2005 сообщений: 2903 откуда: Москва |
написано: 20 июня 2007г. 13:22:09 |
инфо • #21 |
это файл, ищи в корне дисков + в теме "Оффтоп" есть ссылка, куда идти... |
|
shadowqwerty гость |
написано: 20 июня 2007г. 15:13:07 |
#22 |
нету у меня такого файла. |
|
АКМ-47 участник
зарегистрирован: 02.03.2007 сообщений: 28 |
написано: 21 июня 2007г. 23:02:33 |
инфо • #23 |
тогда удаляй винду, иначе вся твоя порнуха пропадет |
|