csrss.exe co to ogóle jest ?

[Maxii]

Siema , tak od wczoraj bodajże , komp zaczął mi strasznie lagować. Gry zaczęły klatkować , zajrzałem do procesów i ujrzał mi się proces csrss.exe , który strasznie "skakał" od 10 nawet do 100.

 

Co to jest za proces ?

 

Co z tym zrobić , bo strasznie mi laguje ten komp.

 

Przywracalem system ,ale to pomogło na godzinę..

 

Mbam (Malwarebytes' Anti-Malware) nic nie wykrył..

 

Jak mam dodać z czegoś logi to dodam , powiedzcie z czego

[Misiekantos253]

csrss.exe to proces systemowy. Sprawdz czy znajduje sie on w lokalicaji Windows\system32 na partycji systemowej. Jesli pisze przy nim w menadzerze ze ot systemowy to niewiem czemu tak sie dzieje (podejrzewam wirusa) ale jesli to proces uruchomiony przez usera to na 100% spyware jakis. Przeskanuj komputer combofix'em.

[Maxii]

Teraz operuje w Trybie awaryjnym

 

Są właśnie dwa te procesy , więc jak mówisz ten jeden bd zaainfekowany .

 

Pokaże , jak to wygląda w Menadżerze :

 

 

Zaraz przeskanuje Combofixem i dam EDIT

[MrSpritex1]

mój csrss.exe ma 2,292 K więc jest to pewnie inny problem. Ja nie mam przez to lagów. Przeskanuj internetowym anty virem albo pobierz inny ;p Np Kaspersky albo Avast.

[Misiekantos253]

Dwoch nie powinnno byc, to na 100% jakis syf Przeskanuj combofixem i daj tutaj loga.

[Maxii]

Logi z ComboFix'a

 

 

ComboFix 11-12-24.10 - Dominik 2011-12-25 16:29:36.1.1 - x86 NETWORK

Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1250.48.1045.18.1977.1573 [GMT 1:00]

Uruchomiony z: c:\users\Dominik\Desktop\ComboFix.exe

.

.

((((((((((((((((((((((((( Pliki utworzone od 2011-11-25 do 2011-12-25 )))))))))))))))))))))))))))))))

.

.

2011-12-25 15:32 . 2011-12-25 15:32 -------- d-----w- c:\users\Dominik\AppData\Local\temp

2011-12-25 15:32 . 2011-12-25 15:32 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-12-25 13:39 . 2011-12-25 13:39 84480 ----a-w- c:\windows\timeout.exe

2011-12-25 13:39 . 2011-12-25 13:39 3072 ----a-w- c:\windows\setwintitle.exe

2011-12-22 20:38 . 2011-12-22 20:38 -------- d-----w- c:\program files\20Dollars2Surf

2011-12-21 17:24 . 2011-12-23 13:36 -------- d-----w- C:\Fraps

2011-12-17 20:45 . 2011-12-17 20:46 -------- d-----w- c:\users\Dominik\AppData\Roaming\Ventrilo

2011-12-17 20:45 . 2011-12-17 20:45 -------- d-----w- c:\program files\Ventrilo

2011-12-17 20:44 . 2011-12-17 20:44 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard

2011-12-16 10:12 . 2011-12-16 10:13 -------- d-----w- c:\users\Dominik\AppData\Roaming\Screaming Bee

2011-12-16 10:11 . 2011-12-16 10:13 -------- d-----w- c:\programdata\Screaming Bee

2011-12-16 10:11 . 2011-12-16 10:11 -------- d-----w- c:\program files\Screaming Bee

2011-12-15 08:15 . 2011-12-15 08:15 -------- d-----w- c:\users\Dominik\AppData\Roaming\Malwarebytes

2011-12-15 08:15 . 2011-12-15 08:15 -------- d-----w- c:\programdata\Malwarebytes

2011-12-15 08:15 . 2011-12-15 08:15 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-12-15 08:15 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-12-07 21:21 . 2011-12-07 21:21 -------- d-----w- c:\users\Dominik\AppData\Local\Mango_Enterprise_-_http__

.

.

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-11-02 18:04 . 2011-11-02 18:04 1130824 ----a-w- c:\windows\system32\dfshim.dll

2011-11-02 18:04 . 2011-11-02 18:04 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll

2011-11-02 18:04 . 2011-11-02 18:04 49472 ----a-w- c:\windows\system32\netfxperf.dll

2011-11-02 18:04 . 2011-11-02 18:04 297808 ----a-w- c:\windows\system32\mscoree.dll

2011-11-02 18:04 . 2011-11-02 18:04 295264 ----a-w- c:\windows\system32\PresentationHost.exe

2011-11-11 08:14 . 2011-09-09 21:20 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DF925EF3-7A87-44E4-9CAF-8D7B280BF616}]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-11-05 150040]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-11-05 178712]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-11-05 154136]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-01-09 1418536]

"PLFSetL"="c:\windows\PLFSetL.exe" [2007-07-05 94208]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2011-08-31 1047208]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"mixer1"=wdmaud.drv

.

[HKLM\~\startupfolder\C:^Users^Dominik^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^hamachi.lnk]

path=c:\users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hamachi.lnk

backup=c:\windows\pss\hamachi.lnk.Startup

backupExtension=.Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2011-06-06 10:55 937920 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALLUpdate]

2011-08-16 19:30 1379840 ----a-w- c:\program files\ALLPlayer\ALLUpdate.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2011-08-02 07:33 4910912 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxbkbmgr.exe]

2008-02-28 09:59 74408 ----a-w- c:\program files\Lexmark X1100 Series\LXBKbmgr.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]

2006-11-02 12:34 1196032 ----a-w- c:\program files\Windows Sidebar\sidebar.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2011-06-09 11:06 254696 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2011-07-11 21:47 74752 ----a-w- c:\program files\Winamp\winampa.exe

.

R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]

R2 lxbk_device;lxbk_device;c:\windows\system32\lxbkcoms.exe [2008-02-19 537256]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-08-31 366152]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-08-31 22216]

R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [2009-03-27 23064]

R3 XDva390;XDva390;c:\windows\system32\XDva390.sys [x]

S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2011-09-14 232512]

.

.

--- Inne Usługi/Sterowniki w Pamięci ---

.

*NewlyCreated* - ECACHE

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

.

Zawartość folderu 'Zaplanowane zadania'

.

2011-12-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4021844303-628999098-3494472389-1000Core.job

- c:\users\Dominik\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-12 19:58]

.

2011-12-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4021844303-628999098-3494472389-1000UA.job

- c:\users\Dominik\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-12 19:58]

.

.

------- Skan uzupełniający -------

.

IE: ????3?? - c:\users\Dominik\AppData\Roaming\FlashGetBHO\GetUrl.htm

IE: ????3?????? - c:\users\Dominik\AppData\Roaming\FlashGetBHO\GetAllUrl.htm

TCP: DhcpNameServer = 192.168.123.254 192.168.1.254

FF - ProfilePath - c:\users\Dominik\AppData\Roaming\Mozilla\Firefox\Profiles\08lw5sey.default\

FF - prefs.js: browser.startup.homepage - www.google.pl

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-12-25 16:32

Windows 6.0.6000 NTFS

.

skanowanie ukrytych procesów ...

.

skanowanie ukrytych wpisów autostartu ...

.

skanowanie ukrytych plików ...

.

skanowanie pomyślnie ukończone

ukryte pliki: 0

.

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

.

[HKEY_USERS\S-1-5-21-4021844303-628999098-3494472389-1000\Software\Microsoft\Internet Explorer\MenuExt\O(uë_fŹ3*N}Ź]

@="c:\\Users\\Dominik\\AppData\\Roaming\\FlashGetBHO\\GetUrl.htm"

"contexts"=dword:00000022

.

[HKEY_USERS\S-1-5-21-4021844303-628999098-3494472389-1000\Software\Microsoft\Internet Explorer\MenuExt\O(uë_fŹ3*N}ŹhQčţ”Ąc]

@="c:\\Users\\Dominik\\AppData\\Roaming\\FlashGetBHO\\GetAllUrl.htm"

"contexts"=dword:000000f3

.

Czas ukończenia: 2011-12-25 16:33:22

ComboFix-quarantined-files.txt 2011-12-25 15:33

ComboFix2.txt 2011-12-25 15:13

.

Przed: 105 902 583 808 bajtów wolnych

Po: 105 877 254 144 bajtów wolnych

.

- - End Of File - - 0604A70A7247DE639B5F61A505A3587B

 

 

 

 

jak komuś nie chce się otworzyć to dodaje załącznik:

log.txt

[Misiekantos253]

Log czysty, pewnie to byl wirus ktory cos namieszal i go av skasowal. W tej sytuacji trzebaby bylo przez procexp sprawdzic lokalizacje obu plikow. Jak sprawdzisz to podaj nam ja tutaj.

[Maxii]

Już mi wujo google powiedział zaraz powiem

 

Lol ? Lokalizacja dwóch takich samych procesów jest taka sama .

 

Zgłupiałem