Infekcja csrss.exe


(Wolwen1) #1

Witam. Woczraj zauważyłem dziwny proces pożerający mój procesor, csrss.exe  po wyszukaniu tej frazy w Google i kliknięciu na stronę o tym wirusie restartuje mi sie laptop :slight_smile: na dodatek sa jeszcze dwa dziwne procesy winlogon.exe i conhost.exe ;/ Ktos pomoże sie z tym uporać? log z frst wystarczy? Dziękuję za pomoc.

FRST

Addition

 


(Atis) #2

Najlepiej sformatuj dysk, bo masz wirusa Ramnit który infekuje pliki wykonywalne.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM-x32\...\Run: [Codec Settings UAC Manager] => C:\Windows\SysWOW64\Codecs\CodecUACManager.exe [60416 2015-10-07] ()
HKLM-x32\...\Winlogon: [Userinit] userinit.exe,,c:\users\adrian\microsoft\desktoplayer.exe,c:\program files (x86)\microsoft\desktoplayer.exe [X]
HKU\S-1-5-21-2673879069-2332075764-2869599064-1000\...\Run: [DevidAgent] => C:\Users\Adrian\Downloads\Dev_Agent_Setup.exe /autorun
HKU\S-1-5-21-2673879069-2332075764-2869599064-1000\...\Run: [Codec Pack Update Checker] => "C:\Windows\system32\Codecs\UpdateChecker.exe"
HKU\S-1-5-21-2673879069-2332075764-2869599064-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Adrian\AppData\Local\smss.exe [42065 2011-02-27] ()
Startup: C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif [2011-02-27] ()
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
CHR HKU\S-1-5-21-2673879069-2332075764-2869599064-1000\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S2 server; C:\Program Files (x86)\Window Update\server Update\server.exe [289496 2015-12-10] ()
S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [38200 2015-12-08] (电脑管家)
U2 ADSafeSvc; Brak ImagePath
S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16444.223\QMUdisk64.sys [X]
2016-01-10 00:00 - 2016-01-10 00:00 - 00000000 ____ D C:\Users\Adrian\AppData\Local\Bron.tok-10-10
2016-01-09 14:39 - 2016-01-09 14:39 - 00000000 ____ D C:\Users\Adrian\AppData\Local\Bron.tok-10-9
2016-01-09 17:36 - 2015-08-02 20:47 - 00000000 ____ D C:\Users\Adrian\AppData\Local\Loc.Mail.Bron.Tok
C:\Users\Adrian\AppData\Local\*.exe
2015-06-26 22:19 - 2015-08-03 09:55 - 0000024 _____ () C:\Users\Adrian\AppData\Roaming\appdataFr25.bin
2015-02-12 21:13 - 2015-03-12 19:10 - 0000020 _____ () C:\Users\Adrian\AppData\Roaming\appdataFr3.bin
2015-04-04 18:21 - 2015-04-04 18:21 - 0000038 ___SH () C:\Users\Adrian\AppData\Local\69ff07055291669bb2b218.72821112
2015-12-21 06:21 - 2015-12-21 06:21 - 0041467 _____ () C:\Users\Adrian\AppData\Local\Bron.tok.A10.em.bin
C:\Users\Adrian\AppData\Local\Kosong.Bron.Tok.txt
Task: {2C6021C0-6B56-4E26-A165-7E00286A8F0C} - System32\Tasks\task Update => C:\Program Files (x86)\Window Update\task Update\task.exe [2015-12-10] ()
C:\Program Files (x86)\Window Update
Task: {4E6088F1-429F-468B-B0EA-6631589BE126} - System32\Tasks\download => C:\Windows\system32\config\systemprofile\AppData\Local\Freshfax <==== UWAGA
Task: {8AB967E8-AD38-499F-8688-F18B7E67B738} - System32\Tasks\Driver Fetch => C:\Program Files (x86)\Driver Fetch\Driver Fetch.lnk
Task: {CA6FBE8B-736F-4B0C-BD96-4985743442E3} - \SoftPlanet Software Assistant -> Brak pliku <==== UWAGA
Task: C:\Windows\Tasks\Driver Fetch.job => C:\Program Files (x86)\Driver Fetch\Driver Fetch.lnk
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
AlternateDataStreams: C:\Windows:7F6994362C96EB26
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

 

 


(Wolwen1) #3

Niee tylko nie format :smiley: trudno zrobię, ale raczej nie dziś. Po napisaniu tematu juz nie mogłem w niego wejść, każda próba kończyła się restartem komputera. Po Fix już nie resetuje ale w procesach nadal tego pełno. 

Fixlog

FRST

Addition


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CHR HomePage: Default - hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7AEnXtsJ16kAJsG-31ELGVl3fZtDHR-Rnh9UFwVdg40xilOXRo6PgXFIiNvySYk_8uLFL8oVzMZ_1ye2SyoptS_Y5XUUHdkAWLoFBBdupChZss25GJJPkcRD2c4bMcWS6YVW17ybgZbJlM2
CHR StartupUrls: Default - "hxxp://www.yessearches.com/?ts=AHEpA34rA3QkAU..uid=C1F5B10637AF546DAC8F6F7C0CCEA892ptid=dammode=nnnb"
2016-01-10 15:30 - 2016-01-10 15:30 - 00000144 _____ C:\Users\Adrian\AppData\Local\BronNetDomList.bat
2015-12-15 10:11 - 2015-12-15 10:12 - 00000000 ____ D C:\Program Files (x86)\yessearches-bnd
2015-12-15 07:08 - 2015-12-15 07:08 - 00000187 _____ C:\Users\Adrian\AppData\Local\Plexbase.exe.config
2015-12-15 07:04 - 2015-12-15 07:04 - 00000000 ____ D C:\Users\Adrian\AppData\Local\SoftPlanet
2015-12-27 19:22 - 2015-07-15 13:48 - 02306560 _____ C:\Users\Adrian\Downloads\AdwCleaner (1).exe
2015-12-27 19:22 - 2015-07-15 13:41 - 02306560 _____ C:\Users\Adrian\Downloads\AdwCleaner.exe
2015-07-14 16:39 - 2015-07-14 16:39 - 0000000 _____ () C:\Users\Adrian\AppData\Local\Temp.dat
CustomCLSID: HKU\S-1-5-21-2673879069-2332075764-2869599064-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 - C:\Users\Adrian\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll = Brak pliku
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Skasuj folder C:\FRST


(Kazdan63) #5

https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32%2fRamnit


(Wolwen1) #6

Przeinstalowałem cały system. Jeszcze będę musiał przeskanować wszystkie nośniki danych bo tam pewnie tez coś siedzi… Raporty po formacie:

FRST

Addition