Mam pewien problem. Od kilku dni wyskakuje mi informacja o trojanie w pliku csrss.exe jednak znajduje się on w systemie32 i nie wiem jak sobie z nim poradzić i co mogło być przyczyną zainfekowania.
Oto logi:
Attach -> Dostępne tylko dla zarejestrowanych użytkowników
DDA -> Dostępne tylko dla zarejestrowanych użytkowników
OTL -> Dostępne tylko dla zarejestrowanych użytkowników
Kilka razy skanowałam programem OTL, ale ani razu nie wyskoczył mi dokument Extras.txt, mam próbować dalej czy nie jest on tak bardzo potrzebny?
Trojan w pliku csrss.exe
- Veali
- Posty: 8
- Rejestracja: 10 sie 2010, 06:33
- Lokalizacja: Miasto Aniołów
Trojan w pliku csrss.exe
Ostatnio zmieniony 10 sie 2010, 12:07 przez Veali, łącznie zmieniany 1 raz.
- rokko
- Posty: 4082
- Rejestracja: 23 lis 2008, 22:14
- Lokalizacja: Myszków
- Kontaktowanie:
Trojan w pliku csrss.exe
Daj logi z DDS+OTL+GMER zgodnie z regulaminem działu bezpieczeństwo.
Poradniki informatyczne »» Dostępne tylko dla zarejestrowanych użytkowników
Na stronie znajdziesz porady komputerowe a także informacje dotyczące technik promowania serwisów WWW, ciekawe narzędzia dla marketingowców. Zapraszam!
Promocja sklepów, Optymalizacja stron, Pozycjonowanie w Google »» kontakt<małpa>techformator.pl
W sprawach IT nie pomagam na PW
Na stronie znajdziesz porady komputerowe a także informacje dotyczące technik promowania serwisów WWW, ciekawe narzędzia dla marketingowców. Zapraszam!
Promocja sklepów, Optymalizacja stron, Pozycjonowanie w Google »» kontakt<małpa>techformator.pl
W sprawach IT nie pomagam na PW
- djkamil09061991
- Posty: 8250
- Rejestracja: 18 lut 2009, 11:54
- Lokalizacja: Wrocław
- Kontaktowanie:
Trojan w pliku csrss.exe
wklej w OTL i naciśnij wykonaj skrypt:
Dajesz log z usuwania i nowy log z OTL
:Processes
killallprocesses
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll ()
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKLM..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: csrcs = C:\WINDOWS\system32\csrcs.exe ()
O9 - Extra Button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShopperReports3\bin\3.0.489.0\ShopperReports.dll File not found
O9 - Extra Button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShopperReports3\bin\3.0.489.0\ShopperReports.dll File not found
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O20 - HKLM Winlogon: Shell - (csrcs.exe) - C:\WINDOWS\System32\csrcs.exe ()
O33 - MountPoints2\{2848f6d6-9ae1-11df-a8ba-001f3ad2f2c7}\Shell\AutoRun\command - "" = F:\iyyjvi.exe -- File not found
O33 - MountPoints2\{2848f6d6-9ae1-11df-a8ba-001f3ad2f2c7}\Shell\explore\Command - "" = F:\iyyjvi.exe -- File not found
O33 - MountPoints2\{2848f6d6-9ae1-11df-a8ba-001f3ad2f2c7}\Shell\open\Command - "" = F:\iyyjvi.exe -- File not found
O33 - MountPoints2\{c422a7a7-9d46-11df-a8c1-001f3ad2f2c7}\Shell\AutoRun\command - "" = G:\iyyjvi.exe -- File not found
O33 - MountPoints2\{c422a7a7-9d46-11df-a8c1-001f3ad2f2c7}\Shell\explore\Command - "" = G:\iyyjvi.exe -- File not found
O33 - MountPoints2\{c422a7a7-9d46-11df-a8c1-001f3ad2f2c7}\Shell\open\Command - "" = G:\iyyjvi.exe -- File not found
O33 - MountPoints2\{f0265698-8c3c-11df-a882-001f3ad2f2c7}\Shell\AutoRun\command - "" = F:\p3vwxx.exe -- File not found
O33 - MountPoints2\{f0265698-8c3c-11df-a882-001f3ad2f2c7}\Shell\open\Command - "" = F:\p3vwxx.exe -- File not found
@Alternate Data Stream - 133 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF
[2010-08-09 11:32:34 | 000,001,607 | RHS- | C] () -- C:\WINDOWS\System32\autorun.i
[2010-08-09 11:32:34 | 000,000,804 | RHS- | C] () -- C:\WINDOWS\System32\autorun.in
:Files
C:\Program Files\DAEMON Tools Toolbar
C:\khy
C:\khx
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
[start explorer]
[Reboot]
Dajesz log z usuwania i nowy log z OTL
Mój kanał YouTube - Dostępne tylko dla zarejestrowanych użytkowników
Przyjmuje skiny Cs Go: Dostępne tylko dla zarejestrowanych użytkowników
Przyjmuje skiny Cs Go: Dostępne tylko dla zarejestrowanych użytkowników
- Veali
- Posty: 8
- Rejestracja: 10 sie 2010, 06:33
- Lokalizacja: Miasto Aniołów
Trojan w pliku csrss.exe
Mam nadzieję, że o to chodziło:
To wyskoczyło po restarcie: Dostępne tylko dla zarejestrowanych użytkowników
A to po ponownym zeskanowaniu: Dostępne tylko dla zarejestrowanych użytkowników
To wyskoczyło po restarcie: Dostępne tylko dla zarejestrowanych użytkowników
A to po ponownym zeskanowaniu: Dostępne tylko dla zarejestrowanych użytkowników
- djkamil09061991
- Posty: 8250
- Rejestracja: 18 lut 2009, 11:54
- Lokalizacja: Wrocław
- Kontaktowanie:
Trojan w pliku csrss.exe
wklej w OTL i nacisnij wykonaj skrypt:
następnie naciśnij w OTL sprzątanie, przeskanuj dodatkowo system programem malwarebytes, oraz przeczyść komputer programem ccleaner
:OTL
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185
[2010-07-29 13:04:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Eruruu\Dane aplikacji\Mozilla\Firefox\Profiles\i743kezh.default\extensions\DTToolbar@toolbarnet.com
[2010-04-15 18:23:31 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\Eruruu\Dane aplikacji\Mozilla\Firefox\Profiles\i743kezh.default\searchplugins\ask.xml
[2010-08-03 07:39:05 | 000,002,425 | ---- | M] () -- C:\Documents and Settings\Eruruu\Dane aplikacji\Mozilla\Firefox\Profiles\i743kezh.default\searchplugins\askcom.xml
[2010-07-29 13:04:47 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Eruruu\Dane aplikacji\Mozilla\Firefox\Profiles\i743kezh.default\searchplugins\daemon-search.xml
O8 - Extra context menu item: Download all by FlashGet3 - C:\Documents and Settings\Eruruu\Dane aplikacji\FlashGetBHO\GetAllUrl.htm ()
O8 - Extra context menu item: Download by FlashGet3 - C:\Documents and Settings\Eruruu\Dane aplikacji\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: Ściągnij przy poomocy FlashGet3 - C:\Documents and Settings\Eruruu\Dane aplikacji\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet3 - C:\Documents and Settings\Eruruu\Dane aplikacji\FlashGetBHO\GetAllUrl.htm ()
O15 - HKCU\..Trusted Domains: kuaiche.com ([software] http in Zaufane witryny)
:Commands
[emptytemp]
następnie naciśnij w OTL sprzątanie, przeskanuj dodatkowo system programem malwarebytes, oraz przeczyść komputer programem ccleaner
Mój kanał YouTube - Dostępne tylko dla zarejestrowanych użytkowników
Przyjmuje skiny Cs Go: Dostępne tylko dla zarejestrowanych użytkowników
Przyjmuje skiny Cs Go: Dostępne tylko dla zarejestrowanych użytkowników
- Veali
- Posty: 8
- Rejestracja: 10 sie 2010, 06:33
- Lokalizacja: Miasto Aniołów
Trojan w pliku csrss.exe
Ok, zrobiłam wszystko tak jak napisałeś.
Mam teraz coś tu wstawić, żebyś mógł sprawdzić czy już jest dobrze?
Mam teraz coś tu wstawić, żebyś mógł sprawdzić czy już jest dobrze?
-
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
Trojan w pliku csrss.exe
C:\Program Files\QuestDns\questdns.exe
Czy to Twój program?
Jeśli nie instalowałaś tego Reklamiarza świadomie, to zrobisz to:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
MOD - [2010-08-02 17:43:52 | 000,581,632 | ---- | M] () -- C:\Program Files\QuestDns\questdns.dll
SRV - [2010-08-02 17:42:32 | 000,057,608 | ---- | M] () [Auto | Running] -- C:\Documents and Settings\All Users\Dane aplikacji\QuestDns\questdns111.exe -- (QuestDns Service)
[2010-08-02 22:11:31 | 000,000,000 | ---D | M] (QuestDns) -- C:\Program Files\Mozilla Firefox\extensions\{C91E1C68-B60A-4C9F-B53B-AAAEF0E7EF97}
O2 - BHO: (ShopperReports) - {100EB1FD-D03E-47fd-81F3-EE91287F9465} - C:\Program Files\ShopperReports3\bin\3.0.489.0\ShopperReports.dll File not found
[2010-04-12 14:01:54 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml
[2010-04-12 14:01:54 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Eruruu\Dane aplikacji\Mozilla\Firefox\Profiles\i743kezh.default\searchplugins\BearShareWebSearch.xml
[2010-03-24 16:12:32 | 000,000,925 | ---- | M] () -- C:\Documents and Settings\Eruruu\Dane aplikacji\Mozilla\Firefox\Profiles\i743kezh.default\searchplugins\conduit.xml
[2010-08-02 22:10:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Eruruu\Dane aplikacji\ShopperReports3
:Files
C:\Documents and Settings\All Users\Dane aplikacji\QuestDns\questdns111.exe
C:\Program Files\QuestDns\questdns.exe
C:\Documents and Settings\All Users\Dane aplikacji\QuestDns
C:\Program Files\QuestDns
C:\Program Files\ShopperReports3
:Commands
[emptytemp]
[clearallrestorepoints]
Kliknij w Wykonaj Script. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
F.
- djkamil09061991
- Posty: 8250
- Rejestracja: 18 lut 2009, 11:54
- Lokalizacja: Wrocław
- Kontaktowanie:
Trojan w pliku csrss.exe
nie usuwałem, ponieważ nie byłem pewnyco to jest
Mój kanał YouTube - Dostępne tylko dla zarejestrowanych użytkowników
Przyjmuje skiny Cs Go: Dostępne tylko dla zarejestrowanych użytkowników
Przyjmuje skiny Cs Go: Dostępne tylko dla zarejestrowanych użytkowników
- Veali
- Posty: 8
- Rejestracja: 10 sie 2010, 06:33
- Lokalizacja: Miasto Aniołów
Trojan w pliku csrss.exe
To tak, po restarcie -> Dostępne tylko dla zarejestrowanych użytkowników
I po ponownym skanowaniu -> Dostępne tylko dla zarejestrowanych użytkowników
Tym razem wyskoczył mi ten dokument Extras.txt, więc też go wkleiłam -> Dostępne tylko dla zarejestrowanych użytkowników
I po ponownym skanowaniu -> Dostępne tylko dla zarejestrowanych użytkowników
Tym razem wyskoczył mi ten dokument Extras.txt, więc też go wkleiłam -> Dostępne tylko dla zarejestrowanych użytkowników
-
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
Trojan w pliku csrss.exe
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Ponieważ w logu widać ślady infekcji pendrivowej, więc użyj USBFix >Dostępne tylko dla zarejestrowanych użytkowników
Kliknij w nim na przycisk DELETION.
Daj raport, który się pokaże.
F.
:OTL
O33 - MountPoints2\{b7b51918-4a4f-11df-a74d-001f3ad2f2c7}\Shell\AutoRun\command - "" = G:\seUNRh.ExE -- File not found
O33 - MountPoints2\{b7b51918-4a4f-11df-a74d-001f3ad2f2c7}\Shell\opEn\cOMmAnD - "" = G:\sEuNRh.exE -- File not found
O33 - MountPoints2\{c422a7a7-9d46-11df-a8c1-001f3ad2f2c7}\Shell\AutoRun\command - "" = H:\iyyjvi.exe -- File not found
O33 - MountPoints2\{c422a7a7-9d46-11df-a8c1-001f3ad2f2c7}\Shell\explore\Command - "" = H:\iyyjvi.exe -- File not found
O33 - MountPoints2\{c422a7a7-9d46-11df-a8c1-001f3ad2f2c7}\Shell\open\Command - "" = H:\iyyjvi.exe -- File not found
[2010-08-02 22:26:32 | 000,000,000 | ---D | C] -- C:\Program Files\Ask.com
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"QuestDns"=-
"ShopperReportsSA"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Script. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Ponieważ w logu widać ślady infekcji pendrivowej, więc użyj USBFix >Dostępne tylko dla zarejestrowanych użytkowników
Kliknij w nim na przycisk DELETION.
Daj raport, który się pokaże.
F.
- Veali
- Posty: 8
- Rejestracja: 10 sie 2010, 06:33
- Lokalizacja: Miasto Aniołów
Trojan w pliku csrss.exe
A więc:
UsbFix -> Dostępne tylko dla zarejestrowanych użytkowników
Po restarcie -> Dostępne tylko dla zarejestrowanych użytkowników
I po ponownym skanowaniu -> Dostępne tylko dla zarejestrowanych użytkowników
UsbFix -> Dostępne tylko dla zarejestrowanych użytkowników
Po restarcie -> Dostępne tylko dla zarejestrowanych użytkowników
I po ponownym skanowaniu -> Dostępne tylko dla zarejestrowanych użytkowników
-
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
Trojan w pliku csrss.exe
A więc jednak USBFix miał co usuwać.
Czy to sama ustawiłaś jako stronę startową?
Podejrzewam, że nie sama, więc:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script.
Dałem tu inną stronę startową, ale oczywiście potem możesz sobie zmienić na dowolną.
W USBFix kliknij na przycisk UNINSTALL.
F.
http://fr.msn.com/
Czy to sama ustawiłaś jako stronę startową?
Podejrzewam, że nie sama, więc:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
FF - HKLM\software\mozilla\Firefox\extensions\\ShopperReports@ShopperReports.com: C:\Program Files\ShopperReports3\bin\3.0.489.0\firefox\firefoxtoolbar\extensions
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.stronastartowa.com/"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.stronastartowa.com/"
:Commands
[emptytemp]
Kliknij w Wykonaj Script.
Dałem tu inną stronę startową, ale oczywiście potem możesz sobie zmienić na dowolną.
W USBFix kliknij na przycisk UNINSTALL.
F.
- Veali
- Posty: 8
- Rejestracja: 10 sie 2010, 06:33
- Lokalizacja: Miasto Aniołów
Trojan w pliku csrss.exe
Jeden post został usunięty, ale już wcześniej zrobiła to co było tam napisane i nie wiem czy potrzebnie
Ale mimo to wkleję te logi:
Malwarebytes -> Dostępne tylko dla zarejestrowanych użytkowników
Po restarcie -> Dostępne tylko dla zarejestrowanych użytkowników
Ale mimo to wkleję te logi:
Malwarebytes -> Dostępne tylko dla zarejestrowanych użytkowników
Po restarcie -> Dostępne tylko dla zarejestrowanych użytkowników
- djkamil09061991
- Posty: 8250
- Rejestracja: 18 lut 2009, 11:54
- Lokalizacja: Wrocław
- Kontaktowanie:
Trojan w pliku csrss.exe
usunęło się więc powinno być czysto
Mój kanał YouTube - Dostępne tylko dla zarejestrowanych użytkowników
Przyjmuje skiny Cs Go: Dostępne tylko dla zarejestrowanych użytkowników
Przyjmuje skiny Cs Go: Dostępne tylko dla zarejestrowanych użytkowników
- Veali
- Posty: 8
- Rejestracja: 10 sie 2010, 06:33
- Lokalizacja: Miasto Aniołów
Trojan w pliku csrss.exe
Jak to dobrze, że jest coś takiego jak forum...
Mam nadzieję, że gdy w przyszłości będę miała podobny problem (odpukać), również uzyskam fachową pomoc
A tym czasem, bardzo Wam dziękuję!
Mam nadzieję, że gdy w przyszłości będę miała podobny problem (odpukać), również uzyskam fachową pomoc
A tym czasem, bardzo Wam dziękuję!
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Google [Bot] i 32 gości