Najprawdopodobniej problem z csrss.exe

Dla specjalistów Bezpieczeństwo
#1

Najprawdopodobniej ( bo nie znam sie na tym) problem z plikiem csrss.exe. W momencie ruszania myszką lub przesuwania okien zabiera strasznie duzo CPU. Gry ktore dzialaly bez zarzutu w momencie pracy myszką zaczynają skakać. Dowiedziałem sie ze plik csrss.exe powinien byc tylko jeden w katalogu system32 wiec resztę wyrzucilem. Poza tym w msconfig w zakładce “uruchamiane” znalazłem dziwny zapis składający sie z samych kwadratów… gdy go wylonczylem przy kolejnym uruchomieniu systemu pojawił sie inny zapis o podobnej budowie (juz wlonczony)… jakby jakis inny “program” automatycznie go wlonczal. Prosze o pomoc.

przesyłam log HijackThis :

#2

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\wsvbs.exe

C:\Program Files\Common Files\System\temp[2].exe

C:\DOCUME~1\kisielo\USTAWI~1\Temp\upx.exe

C:\WINDOWS\msccrt.exe

C:\WINDOWS\cmdbcs.exe

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Użyj progrmu ATF Cleaner i przeczyść Current User Temp oraz All Users Temp.

Usuń wpisy HJT.

Jeśli masz wyłączone jakieś “dziwne” wpisy w msconfig >>> uruchamianie to je włącz bo tym sposobem je tylko zasłaniasz w logach.

Po wykonaniu proszę pokazać nowy log z HijackThis plus z SilentRunners.

#3

HJT :

Silent Runners :

#4

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Uruchom HijackThis => kliknij Do a system scan only => pokaże się lista wpisów => postaw ptaszek przy wpisie (o ile będzie):

=> kliknij Fix checked i potwierdź usunięcie.

Przeskanuj plik C:\WINDOWS\system32\ctfnom.exe (nie pomyl z plikiem systemowym o podobnej nazwie) na stronie http://www.virustotal.com/, a jeśli okaże się szkodliwy - usuń go ręcznie będąc w trybie awaryjnym. Dodatkowo start => uruchom => regedit => przejdź do klucza:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

i skasuj z prawokliku wartość twin

Po wykonaniu zdaj relacje i pokaż nowe logi.

#5

w HJT juz nie znalazłem : temp[2].exe wiec skutecznie zostal usuniety, plik ctfnom.exe przeskanowany i nie wykryto zadnych virusow, regeditem usunąlem twin i zauwazylem znaczną poprawe. Jedynie Skype mi sie posypal i przez to mialem przestoj dlugi przy starcie ale reszta jakby sie poprawila znacznie. DLa bezpieczenstwa przesylam jeszcze logi :

Hijackthis :

Silent runners:

#6

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Proponuję przeczyścić rejestr ponieważ masz kilka pustych kluczy, opis.

Kosmetyka:

Start => uruchom => msconfig => zakładka Uruchamianie => możesz odznaczyć w/w.

Jeśli nie korzystasz z zaawansowanych usług tekstowych to je wyłącz: Panel sterowania => Opcje regionalne => Języki => Szczegóły => Zaawansowane => zaznacz wyłącz zaawansowane usługi tekstowe.

Start => programy => autostart => kasacja z prawokliku.

Jeśli nie korzystasz z Messenger’a to go usuń: Start => uruchom => wpisz:

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

#7

Chyba za wczesnie go pochwalilem… bo znowu 6-7 minut sie wloncza… ale to juz niestety nie dzisiaj bo na rano do roboty… wroce do tematu jutro i wrzuce logi po wczesniejszym zastosowaniu sie do poprzedniego postu. Z gory dzieki za pomoc

Złączono Posta : 14.02.2007 (Sro) 10:12

ok zrobilem wszystko tak jak mialo byc. Csrss.exe dal juz spokoj i nie zabiera CPU czyli problem z glowy. Zostala jeszcze jedna sprawa a mianowicie to ze wloncza sie strasznie dlugo. mam nadzieje ze i to uda sie naprawic. dolonczam logi. Niestety najszybciej bede w stanie zajrzec tutaj wieczorem.

Hijackthis:

Silentrunners :