Problem z działaniem systemu - csrss.exe?


(Krystian Lomiak) #1

Witam. Korzystam z forum pierwszy raz. Mam problem z kompem, wolno działa i ma objawy zarażenia. Wszystko wskazuje na proces csrss.exe (zajmujący 20-50% zasobów procesora), chociaż inne wpisy w logu wskazują na więcej problemów. Za wszelką pomoc na podstawie loga będę bardzo wdzięczny. Również z hijackthis korzystam pierwszy raz.

Jak chcę wejść na np stronkę jakiegoś producenta antywirów to mnie przekierowuje. Po kilku minutacvh pracy systemu wszystko bardzo się zamula. OTO LOG:

Logfile of HijackThis v1.99.1

Scan saved at 23:10:11, on 2007-01-07

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\RunDll32.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\xalkbcni.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Skype\Plugin Manager\SkypePM.exe D:\hijack\HijackThis.exe C:\WINDOWS\system32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM..\Run: [mlibsysmc] comidvcs.exe

O4 - HKLM..\Run: [xalkbcni.exe] C:\WINDOWS\system32\xalkbcni.exe

O4 - HKLM..\RunServices: [mlibsysmc] comidvcs.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU..\Run: [auloadplx] C:\WINDOWS\system32\mplprogsm.exe

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0585238B-9CA6-4CCB-A9B2-FE4BA495E880} (AXWebMon Control) - http://www.smilecam.com/home/ezwebcam/e ... nProj1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab

O17 - HKLM\System\CCS\Services\Tcpip..{0AEBF8EE-DF8A-4F1F-A232-3AF9EC498390}: NameServer = 85.255.113.108,85.255.112.197

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.108 85.255.112.197

O17 - HKLM\System\CS1\Services\Tcpip..{0AEBF8EE-DF8A-4F1F-A232-3AF9EC498390}: NameServer = 85.255.113.108,85.255.112.197

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.108 85.255.112.197

O17 - HKLM\System\CS2\Services\Tcpip..{0AEBF8EE-DF8A-4F1F-A232-3AF9EC498390}: NameServer = 85.255.113.108,85.255.112.197

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.108 85.255.112.197

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\svch3b7.dll O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


(Edlib) #2

C:\WINDOWS\system32\mplprogsm.exe

C:\WINDOWS\system32\xalkbcni.exe

to wirusy, usuń je np. kill boxem(trzeba wkleić ścieżkę do nich i zaznaczyć

remove(albo delete) on reboot- lub coś w tym stylu, nie używałem kb)

jeśli go nie masz, możesz spróbować usunąć je w trybie awaryjnym z wierszem polecenia - wpisz del i ścieżkę do wirusa

(zresztą, jeśli nie ma ich w menedżerze zadań jako działających procesów, mozesz usunąć normalnie, jeśli są sprawdż, czy dają się wyłączyć)

po usunięciu jeszcze raz hijack this, zaznacz wszystkie wpisy z nimi i fix

(usunie ich wpisy z rejestru-możesz je zreszta usunąć ręcznie)

C:\WINDOWS\system32\rpcc.dll

C:\WINDOWS\system32\svch3b7.dll

to też wirusy! !!

o nim nie wie!(w ogóle o 3 spośród tych wirusów- najnowsze!!)

rpcc.dll może być szczególnie trudno usunąć, sprawdz klucz w rejestrze

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify - jeśli będzie jej wpis prawy klik i usuń


(Krystian Lomiak) #3

Dziękuję za wsparcie... a co z procesem csrss.exe. Wiem że to ważny proces dla systemu ale robaczki też się pod niego mogą podszywać. Powinienem coś zrobić w tym względzie skoro tak bardzo zajmuje procesor, czy tylko usunąć te wirusy... OK zrobię najpierw porządek z wirusami i dopiero znowu loga z hijacka i zobaczymy co będzie. Czy do usunięcia wirusów nie wystarczyłby np dobry antywir i aktualna baza wirusów....pewnie nie skoro to nowe wiry...


(Gutek) #4

w trybie awaryjnym usuń wpisy HJT a pliki:

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki

C:\WINDOWS\system32\comidvcs.exe

C:\WINDOWS\system32\mplprogsm.exe

C:\WINDOWS\System32\svch3b7.dll

C:\WINDOWS\System32\rpcc.dll

i naciskasz X czerwony. Program poprosi o reset kompa ... czyli resetujesz.

Użyj FixWareOut - http://downloads.subratam.org/Fixwareout.exe

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Pozdrawiam Gutek2222


(Edlib) #5

nie przypuszczm, aby csrss był zarażony; zdarza się, ze się pod

niego podszywają, ale wtedy musi być inna ścieżka, a ścieżka jest

prawidłowa; nie wiem też, czy coś może się pod niego podczepić

(wątpię), ale jeśli masz wątpliwości mozesz sprawdzić uzywane przez ten proces moduły i dll np. process explorerem albo whats running


(Gutek) #6

rixx nie pomijasz syf.

tonik50 pamiętaj po oczyszczeniu kompa logi z Silenta i HJT


(Krystian Lomiak) #7

trochę podziałałem...ale chyba nie w pełni profesjonalnie skoro nie mam dobrych efektów. To znaczy komp się nadal "muli" chociaż do pierwotnego loga z hijacka coś udało mi się usunąć. Niestety wczoraj przez pomyłkę chciałem wykonać wasze wskazówki dotyczące killboxa tylko że robiłem to w normalnym trybie (nie awaryjnym ) i to był pewnie błąd że nie mogłem nic usunąć z tej czerwonej listy. Wrzucam nowego loga po tych moich roszadach...Dajcie proszę znać co w tej sytuacji mam robić dalej i w jakim trybie i którym programem. Tak się cieszyłem na Waszą pomoc ale coś poknociłem. Oto log na aktualny stan "zamulonego nadal" kompa:


(adam9870) #8

Killboxa nie ważne w jakim trybie używasz. Dzięki zaznaczonej opcji Delete on Reboot pliki zostaną uruchomione przy starcie systemu.

W logu tylko:

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\system32\rpcc.dll

Klikasz X czerwony i restart kompa.

Wpis usuń w hjt.

Czy użyłeś fixwareout ?? Jeśli nie to użyj.

Po wykonaniu pokaż nowy log z hjt, SilentRunners oraz zawartość pliku C:\fixwareout\report.txt


(Krystian Lomiak) #9

po usunięciu rpcc.dll komp zdecydowanie sie odmulił. Dziękuje wielce za pomoc. Wklejam nowe logi i proszę o info czy "kolesie" narobili jeszcze innego bałaganu w systemie i czy mam jeszcze cos usunąć. :slight_smile: Jesteście the best.


(Myszonus) #10

Otwórz Notatnik i wklej w nim to :

Plik --> Zapisz jako --> Ustaw rozszerzenie z TXT na Wszystkie pliki --> zapisz pod nazwą FIX.REG --> kliknij podwójnie zrobiony plik i potwierdź --> reset.

I czekamy na FixWareOut.


(Krystian Lomiak) #11

Wkleić sam klucz w notatnik czy z tym opisem Windows registry.....?


(Bbieniol) #12

Wklejasz dokładnie to, co zacytował Myszak :slight_smile:


(Krystian Lomiak) #13

oto bieżący stan po uruchomieniu tego pliczku z notatnika:

i jak teraz..... POWINIENEM COS POPRAWIĆ? :frowning:


(adam9870) #14

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Po wykonaniu możesz pokazać dla pewności nowy log z Silenta.

Na wszelki wypadek możesz użyć narzędzia Rustock.b-fix.


(Krystian Lomiak) #15

w tej chwili skanuje jeszcze kompa...mam 19 wirów ale widzę że nowościągnięta darmowa wersja kasperskiego robi porządki w kompie. Już wklejam te linijki w notatnik i robię co wypisujecie.... co właściwie robią te wpisy w rejestrze...lub co usuwają...miałem jakieś błędy w rejestrze???


(adam9870) #16

Tak, usuń Kasperskym te śmieci co znajduje. Potem wykonaj FIX'a, którego podałem, przeskanuj kasperskim jeszcze raz i pokaż nowe logi plus raport ze skanowania.

Ta linijka:

usuwa pustą wartość wartość avgnt po programie AntiVir PersonalEdition Classic.

Zaś ta linijka:

ustawia dobrą wartość dla System.


(Krystian Lomiak) #17

ok...to wynik skanu systemu (zapis z antywira):


(adam9870) #18


(Krystian Lomiak) #19

oto stan po pliku wsadowym fix.bat oraz ostatecznym skanie przy wył. przywracaniu. Dajcie znać czy teraz jest ok...


(adam9870) #20

Jest ok.

Możesz zajrzeć: Optymalizacja i odchudzanie Windowsa XP.