Wirus csrss.exe? Niebieski ekran przy Gmerze.

[hoohoo]

Witam.

W procesach mam csrss.exe i to mnie zaniepokoiło. Mógłby ktoś spojrzeć na logi z OTL i pokierować mnie co zrobić dalej, aby uzyskac informacje, które powinien mi podać Gmer? Podczas działania Gmera wyskakuje mi niebieski ekran i uruchamia się ponownie komputer. Zdarzyło się to dwa razy pod rząd.

Pozdrawiam i czekam na odpowiedź.

Extras.Txt

OTL.Txt

[hoohoo]

Udało mi się zrobić raport z GMERa - jest w załączniku.

Proszę o pomoc.

GMER.txt

[picasso]

W procesach mam csrss.exe i to mnie zaniepokoiło.

Czy Ty nie mylisz tu procesów? W systemie zawsze działa niezbędny csrss.exe od Microsoftu. W normalnie uruchomionym menedżerze nie ma wszystkichdetali (m.in konta z poziomu którego jest uruchomiony), gdyż brak uprawnień do poboru tych danych. Dopiero po kliknięciu "Pokaż procesy wszystkich użytkowników" proces ten uzyskuje dodatkowe dane.

 

 

W raportach nic podejrzanego w rozumieniu trojanów. Doczyść tylko adware:

 

1. Na początek poprawne deinstalacje:

- Przez Panel sterowania odinstaluj Search Assistant 1.74.

- Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.searchitup.info/?unqvl=27&l=1&q={searchTerms}
IE - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/dealbulldog/{BEF7DA8A-280C-4D20-A559-EAB77E970BB2}?q={searchTerms}
IE - HKU\S-1-5-21-1327280743-4218952818-3750989024-1001\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.searchitup.info/?unqvl=27&l=1&q={searchTerms}
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
[2013/06/30 20:05:22 | 000,000,000 | ---D | M] -- C:\Users\Monika\AppData\Roaming\OpenCandy
[2011/01/02 19:58:07 | 000,000,000 | ---D | M] -- C:\Users\Monika\AppData\Roaming\winxzip
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[hoohoo]

Dziękuje za odpowiedź. Zdaję sobie sprawę, że proces csrss.exe jest od Microsoftu, ale wiem też że jest wirus udający ten proces, tylko w innej lokalizacji. Jak pisałam ten temat prawdopodobnie nie mogłam zlokalizować tego procesu. Zanim dostałam odpowiedź minęło trochę czasu i udało mi się rozwiązać już ten problem, więc nawet się tutaj nie logowałam.

Pozdrawiam serdecznie.