вирус csrcs.exe

@igorsamusenko · Регистрация: 23.12.2008

Author24 — интернет-сервис помощи студентам

В операционной памяти вирус csrcs.exe. Переустановка винды с биоса ничего не дала,опять ESET при сканировании обнаруживает этот файл как подозрительный. А до этого стоял аваст и он не мог ни удалить ни переместить в карантин этот файл. Подскажите,пожалуйста,что делать.Форматировать диск D? Но у меня там стоит прога за 1000 долл для работы.%)

@mik-a-el · 23.12.2008, 13:38

Откуда-то из инета:

ВирусНажмите Ctrl-Alt-Delete, выберите вкладку процессы, чтобы посмотреть, какие процессы у вас запущены. И если вы видите, что под вашим логином запущен процесс csrcs.exe, знайте, ваш компьютер заражён. Но учтите, что есть такой системный процесс как csrss.exe, (он запущен от имени системы, разница только в одной букве, присмотритесь внимательнее csrCs.exe - это вирус, scrSs - это системный процесс). Кликните правой кнопкой мыши на процессе csrcs.exe и в появившемся меню выберите “Завершить процесс”.

Затем, запустите проводник, если вы не знаете как это сделать, то нажмите кнопку с флажком Windows, это между Alt и Ctrl и кнопку E… Т.е. комбинацию клавиш Win+E. В этом случае запустится “проводник”. На панели инструментов найдите “поиск”. Нажмите. Затем в левой панели введите csrcs.exe, затем ниже нажмите кнопку “Найти”. Далее в результатах поиска, если что-то появилось, это нужно будет удалить. А именно выбираем найденный файл правой кнопкой и в выпадающем меню выбираем “удалить”.

Но это не всё. Что бы при загрузке компьютер не ругался на то, что он не нашёл файл “csrcs.exe“, нужно выполнить следующее.Нажимаем на “Пуск”->”Выполнить”, пишем там “regedit” (без кавычек). Откроется окно редактора реестра. Нажимаем F3 для поиска необходимых строчек. В строке запроса пишем “csrcs” опять же без кавычек и нажимаем “Найти далее”.

Все найденные строки необходимо удалить из реестра. А именно, в правой половине редактора реестра нужно правой кнопкой мыши нажать на строке, содержащей “csrcs” и выбрать в выпадающем меню “удалить”. Обычно это около пяти строк. После того, как вы проделаете все эти процедуры, рекомендую перезагрузиться и обязательно обновить антивирус, какой бы он у вас не стоял.

Такие вот мои рекомендации, как удалить вирус csrcs.

Если установлены BitAccelerator, ConnectionServices - удалите их.
Еще рекомендации:

с помощью утилиты Process Explorer убиваем процесс csrcs.exe, он подсвечен фиолетовым цветом (не путать с csrss.exe);

выполняем следующие команды:

Код

cd %systemroot%\system32
attrib -s -h csrcs.exe
del csrcs.exe

в редакторе реестра в разделе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run удаляем параметр "csrcs";
в разделе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon находим параметр "Shell", изменяем его значение на "explorer.exe";

Vourhey · 23.12.2008, 13:43

Загрузись с лайвсиди, удали файлы вируса вручную. Потому загрузись в сэйфмод и почисть реестр от его записей:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run удаляй параметр "csrcs". HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon у параметра "Shell" меняй значение на "explorer.exe"

@igorsamusenko · 23.12.2008, 15:27 **[ТС]**

Сообщение от mik-a-el

Откуда-то из инета:
Если установлены BitAccelerator, ConnectionServices - удалите их.
Еще рекомендации:

Я пытался найти его, выдает - поиск не дал результатов. Всё остальные рекомендации постараюсь выполнить. Спасибо!

Добавлено через 1 час 39 минут 51 секунду

Сообщение от mik-a-el

Откуда-то из инета:
Если установлены BitAccelerator, ConnectionServices - удалите их.
Еще рекомендации:

Всё сделал так как Вы сказали,вроде не ругается после второй перезагрузки. Спасибо большое,будем надеятся,что убил

Vourhey · 23.12.2008, 15:28

Просканируй диск, например, AVZ. Этот червяк может свои копии по винтам раскидывать с рандомными именами.

19.01.2009, 03:59

У меня такая же проблемма, я его кое-как удалил, теперь при загрузке комп стал дольше грузится, когда загрузится пишит что виндовс не смог найти "csrcs.exe". что делать? и еще, если это вирус зачем винда его ищет, она что в курсе про него?

@igorsamusenko · 19.01.2009, 08:14 **[ТС]**

Сообщение от gnomik

У меня такая же проблемма, я его кое-как удалил, теперь при загрузке комп стал дольше грузится, когда загрузится пишит что виндовс не смог найти "csrcs.exe". что делать? и еще, если это вирус зачем винда его ищет, она что в курсе про него?

Прочитайте ответ ми ка ель от 23.12, он очень подробно описал все процедуры. Функция "выполнить"-"regedit"-"найти"-"crscs" и удаляйте тот файл,где есть в названии crscs. Не забывайте перезагружать комп, и обновлять антивирус, а если опять винда ругается - ещё раз проделывайте эти операции. Это какая-то дрянь маскирующаяся под системный файл "csrss",смотрите не удалите его!

21.01.2009, 04:46

Сообщение от igorsamusenko

Прочитайте ответ ми ка ель от 23.12, он очень подробно описал все процедуры. Функция "выполнить"-"regedit"-"найти"-"crscs" и удаляйте тот файл,где есть в названии crscs. Не забывайте перезагружать комп, и обновлять антивирус, а если опять винда ругается - ещё раз проделывайте эти операции. Это какая-то дрянь маскирующаяся под системный файл "csrss",смотрите не удалите его!

Сделал все, но походу что-то неправельно. Поисковик реестра выдал штук восемь строк, я их все удалил. Начал перезагружать-и все. Больше комп. не включался. Пришлось переустанавливать Винду....

22.01.2009, 20:20

Последние пару месяцев наблюдаю на работе активность одного компьютерного вируса. Название вируса - Trojan-Downloader.Win32.AutoIt.fn (в нотификация Касперского) или Win32.HLLW.Autoruner.2815(в нотификации DrWeb цифры в окончании могут быть разными). Вирус, однако, известен под именем своего исполняемого тела, которое лежит в папке %System% - csrcs.exe

Данный вирус – троянская программа, нарушающая работоспособность компьютера, написанная в виде приложения Windows (PE EXE-файл). Троянец содержит в себе встроенного IRC-бота, с помощью которого "плохие люди" могут получить доступ к компьютеру пользователя. Заразив компьютер, вирус, используя локальную сеть, старается размножить себя по всем доступным сетевым ресурсам (что самое отвратительное, на компьютерах организаций).

Записывая себя в папку с полным доступом сетевого компьютера, вирус часто рядом создает файлы с 0 размером и именами khq, khs. У меня есть подозрение, что таким образом он оставляет отметку о своем существовании на данной машине.

Естественно, вирус детектируется и удаляется любым современным антивирусом с обновленными базами. Например, используемый мной на работе антивирус DrWeb прекрасно справляется с этой напастью.

Обычно определение происходит на момент заражения или при принудительном сканировании машины.

Здесь я хочу рассказать, как проверить свою машину на наличие этого вируса, научить вручную удалять вирус (бывает надо и такое, когда антивирус в упор не видит этот файл как вирус). Возможно, статья поможет и тем, у кого после лечения вируса при загрузке системы возникает сообщение о невозможности запустить csrcs.exe. Такое бывает, когда антивирус засек вирусную программу по происшествии некоторого времени и вирус успел "окопаться в системе".

Один из моментов выживания вируса на компьютере - это установка на файл csrcs.exe атрибутов "скрытый" и "только для чтения", что дает ему возможность не показываться в стандартном проводнике Windows. Троянец, изменив свой атрибут на скрытый, правит в реестре ключи и полностью блокирует отображение скрытых файлов в системе.

Определять наличия вируса в памяти будем как штатными средствами операционной системы, так и специализированной утилиты мониторинга запущенных процессов.

Посмотрим на загруженные процессы в системе: Нажатие Ctrl+Alt+Del вызовет "Диспетчер задач Windows", внимательно смотрим на закладку "Процессы" и ищем файл с именем csrcs.exe. Здесь надо быть очень внимательным, так в самой системе есть файл с именем сsrss.exe – это правильный и нужный файл, его трогать не надо. Кстати, один из популярных трюков вирусописателей - замаскировать имя под похожее системное.

Если файл csrcs.exe – присутствует, то выделяем его и нажимаем "Завершить процесс", перед удалением он должен быть выгружен из памяти.

Следует сказать, что часто вирусы "гуляют" парами и достаточно нередкое явление - это отключение вирусом диспетчера задач (опять же модификация ключа в реестре). Тогда стандартными средствами не воспользуешься. Вот здесь и приходят на помощь две чрезвычайно полезные утилиты для мониторинга своего компьютера.

Программа ProcessXP аналогична диспетчеру задач, но отображает работающие процессы и программы в удобном древовидном виде. На запуск программы не влияют никакие ключи реестра.

Обратите внимание, что csrcs.exe запущен от имени Explorer.exe или попросту от залогиненного пользователя, и если (я забегаю вперед) знать, что файл запущен из системной папки Windows\System32, то можно сразу сделать практически 100% вывод – это он, вирус. Тем более отсутствие каких-либо описаний файла должно вызвать первые сомнения при любом исследовании системы. Выгружаем его.

Процесс выгружен из памяти. Теперь нужно удалить сам файл. Как уже было сказано выше, он находится в системно каталоге Windows.

Чаще всего это, например, C:\Windows\System32\csrcs.exe. Напомню, что файл скрыт. Поэтому надо включить отображение скрытых файлов (в настройках "Свойства Папки") и поискать файл глазами или стандартным поиском системы(не забывая задать опцию "искать в скрытых и системных файлах") или воспользоваться, например, Total Commander (естественно, тоже с включенным отображением скрытых файлов). Открываем системную папку, сортируем по именам и вот он, красавец.

Обратите внимание, указанный размер (а если быть совсем точным 419920 байт) всегда 420 Kb, это тоже может служить признаком определения "вредителя"thinking . Находим и удаляем файл, если файл не удаляется, пишет, что занят, значит он по-прежнему "сидит" в памяти и его нужно сначала выгрузить.

Все, самого вируса на компьютере нет, осталось только удалить упоминание о нем в реестре. Конечно, можно загрузить Regedit и поискать вручную, но я рекомендую воспользоваться замечательной антивирусной утилитой Зайцева http://z-oleg.com/secur/avz/index.php. Сама утилита поможет во многих случаях, но, если говорить по делу, сейчас нас интересует контроль автозагрузки. Запускаем avz.exe, в главном меню выбираем "Сервис" - "Менеджер автозапуска".

Что нам нужно сделать?

Во-первых, удалить запуск самого вируса, становимся на строку (на картинке с пометкой 1) и нажимаем кнопку на тулбаре "Удалить" (на картинке пометка 2).

Дальше, что очень важно, надо исправить ключ запуска проводника (на картинке 3), именно из-за модифицированного ключа запуска возникает ошибка при старте системы (окно с сообщением "Windows не удалось найти "csrcs.exe". Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "пуск", а затем выберите команду "Найти"." ). Для удаления ключей становимся на первую строку "Explorer.exe csrcs.exe" и нажимаем кнопку на тулбаре "Восстановить значения по умолчанию" (на картинке 4), вторая строка должна исправиться автоматически на "Explorer.exe".

Хочу добавить вот еще что, очень неплохим финальным шагом будет еще и удалить все системные точки восстановления, чтобы через некоторое время вирус чудесным образомbiggrin не восстановился.

Для последнего шага открываем свойства "Мой компьютер", переходим на закладку "Восстановление системы" и устанавливаем опцию "Отключить восстановление системы на всех дисках".

Нажимаем "Применить", ждем некоторое время, пока удалятся все точки восстановления, а затем убираем опцию. Для неопытных рекомендую нажимать не "Приминить", а "Ok", затем снова зайти в свойства и убрать установленную ранее птичку.

Обязательно перегружаем компьютер, все, мы удалили вирус с коварным именем csrcs.exe up

@alexch · 30.01.2009, 09:23

Вчера запустил НОД32 на глубокий анализ, он енту гадость удалил, правда винда начала ругаться на отсутствие csrcs.exe. Почистил реест все гуд, правда одна поправочка НЕ НАДО ВСЕ УДАЛЯТЬ !!!
4. в разделе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon находим параметр "Shell", изменяем его значение на "explorer.exe"; А вот еще 2 найденные строки я удалил.
Этот пункт важен, нужно в значении стереть csrcs.exe, оставить только explorer.exe
А то походу gnomik поудалял все строки с реестра вместе с Shell

П.С. Ну и капчу вы тут замутили глаза поломать можно

08.03.2009, 08:57

пожайлуста помогите! я уже удалил csrcs.exe и система начила без меня выключаться. что мне делать????? помогите и пишите пожайлуста попроще я не всё понимаю....

Добавлено через 14 часов 35 минут 53 секунды
Слушай mik-a-el я всё сделал кроме вот операции с реестором у меня не появляются никаких строк когда я нажимаю F3. Напиши пожайлуста попроще или какие-нибудь подробные инструкции.

Добавлено через 13 минут 48 секунд
СПАСИБО mik-a-el ВРОДЕ ПОМОГЛО!

31.03.2009, 20:54

Ребят спасибо вам большое, неужели я избавился от это идиотской ошибки.

Теперь у меня при запуске быстро выходит на рабочий стол и не вылетает окошко с просьбой найти "файл" csrcs. Спасибо!!!

@st_lik · 04.06.2009, 15:11

Спасибо за подробную инструкцию!

Добавлено через 1 минуту 34 секунды
metrikan, очень удобная программа, спасибо.
Обычно в дополнение к любому антивирю пользуюсь Дрвебовской утилиткой "курейт"
А реестр вручную. А тут так удобно))) Спасибо еще раз

@Алексей_VI · 04.06.2009, 15:39

А чтобы зараза к вам больше не прицеплялась всего-то нужно:

Создать новую учётную запись с наиболее ограниченными правами и пользоваться ею по умолчанию. По началу не привычно - но зато около 90 процентов гадости просто не сможет "окопаться" в вашей системе. Также, это даёт защиту от отключения “зловредами“ ваших средств защиты, если конечно они у вас есть. Установить пароль на встроенную учётную запись администратора.
Умно пользоваться браузером. Желательно Mozilla Firefox в связке с дополнениями NoScript, cookiesafe
Отключить автостарт съёмных дисков, флешек, CD и тд.
Обязательно обновлять вашу систему и другое программное обеспечение (в том числе и Adobe Reader, потому что у многих она до сих по 5-6ая версии,а это дыра).
Желательно, отключить не используемые повседневно службы, без которых система может прожить. Тем самым закроете лишние дырки и сможете чуть повысить эффективность системы. Смотреть тут
Быть более внимательными в сети. Не кликать на всё что получаете по почте, месенджеру, даже если это от ваших друзей.
Вам предлагают отправить платный смс, чтобы избавиться от проблем,и/ или продлить использование браузера, получить вход на сайт и тд.? Скорее всего Вас хотят завербовать в ряды Буратин. Eсли какой-то файл, который очень хочется посмотреть, то нужно правой кнопкой нажать и выбрать опцию "сохранить как". Если обещали картинку, а получили исполняемый файл (ехе, pif, com, bat, и так далее) То с большой долей вероятности ясно, что это зловред.
Желательно, программное обеспечение скачивать с официальных сайтов разработчиков

Инструкции предназначены для домашних компьютеров, в организациях/предприятиях не заниматься настройкой самостоятельно, а обратитесь к системному администратору.

Это на 1й взгляд кажется тяжело и не осуществимо, но это просто. Достаточно потратить часик на настройку и всё... Зато сэкономите себе нервы и время... У меня у самого так настроено и проблем не возникало...

И да простят меня админы форума, откуда я это всё скопировал. Но тут нельзя давать ссылки на другие форумы...

@st_lik · 04.06.2009, 15:46

Алексей_VI, Спасибо

@ShormanFR · 11.06.2009, 21:43

У меня на предприятии проблема с ним была, хотя мозила браузер, инет идет через трафик инспектор, антивирь нод 3 версия, появлялся и все..
решение проблемы стало создать папку "csrcs.exe" после его удаления. Больше его нет.

13.06.2009, 21:52

А если в редакторе реестра нашло целую папку csrcs, а в ней два файла: "individualsettings" и "по умолчанию" , их тоже удалять??

@ShormanFR · 14.06.2009, 00:06

Сообщение от ksunya_

А если в редакторе реестра нашло целую папку csrcs, а в ней два файла: "individualsettings" и "по умолчанию" , их тоже удалять??

все где нашлось csrcs.exe нужно удалить. я так делал, вроде все работает.

@Afinagena · 18.07.2009, 14:33

Мой компьютер постоянно выдает сообщение "windows не удолось обнаружить файл csrcs.exe" и требует его установить, антивирус не помогает...
Кто знает что делать?

@inter · 18.07.2009, 14:37

Afinagena, все ссылки в реестре на файл csrcs.exe надо удалить,
Будьте внимательны не удалите ссылки на файл csrss

@ShormanFR 0 / 0 / 0 Регистрация: 09.06.2009 Сообщений: 19
	11.06.2009, 21:43	16
	У меня на предприятии проблема с ним была, хотя мозила браузер, инет идет через трафик инспектор, антивирь нод 3 версия, появлялся и все.. решение проблемы стало создать папку "csrcs.exe" после его удаления. Больше его нет. 0

@igorsamusenko 1 / 0 / 0 Регистрация: 23.12.2008 Сообщений: 5
		1
	вирус csrcs.exe 23.12.2008, 13:28. Показов 114415. Ответов 23 Метки нет (Все метки) В операционной памяти вирус csrcs.exe. Переустановка винды с биоса ничего не дала,опять ESET при сканировании обнаруживает этот файл как подозрительный. А до этого стоял аваст и он не мог ни удалить ни переместить в карантин этот файл. Подскажите,пожалуйста,что делать.Форматировать диск D? Но у меня там стоит прога за 1000 долл для работы.%) 0

@mik-a-el Администратор 83898 / 52484 / 244 Регистрация: 10.04.2006 Сообщений: 13,459
	23.12.2008, 13:38	2
	Сообщение было отмечено как решение Решение Откуда-то из инета: ВирусНажмите Ctrl-Alt-Delete, выберите вкладку процессы, чтобы посмотреть, какие процессы у вас запущены. И если вы видите, что под вашим логином запущен процесс csrcs.exe, знайте, ваш компьютер заражён. Но учтите, что есть такой системный процесс как csrss.exe, (он запущен от имени системы, разница только в одной букве, присмотритесь внимательнее csrCs.exe - это вирус, scrSs - это системный процесс). Кликните правой кнопкой мыши на процессе csrcs.exe и в появившемся меню выберите “Завершить процесс”. Затем, запустите проводник, если вы не знаете как это сделать, то нажмите кнопку с флажком Windows, это между Alt и Ctrl и кнопку E… Т.е. комбинацию клавиш Win+E. В этом случае запустится “проводник”. На панели инструментов найдите “поиск”. Нажмите. Затем в левой панели введите csrcs.exe, затем ниже нажмите кнопку “Найти”. Далее в результатах поиска, если что-то появилось, это нужно будет удалить. А именно выбираем найденный файл правой кнопкой и в выпадающем меню выбираем “удалить”. Но это не всё. Что бы при загрузке компьютер не ругался на то, что он не нашёл файл “csrcs.exe“, нужно выполнить следующее.Нажимаем на “Пуск”->”Выполнить”, пишем там “regedit” (без кавычек). Откроется окно редактора реестра. Нажимаем F3 для поиска необходимых строчек. В строке запроса пишем “csrcs” опять же без кавычек и нажимаем “Найти далее”. Все найденные строки необходимо удалить из реестра. А именно, в правой половине редактора реестра нужно правой кнопкой мыши нажать на строке, содержащей “csrcs” и выбрать в выпадающем меню “удалить”. Обычно это около пяти строк. После того, как вы проделаете все эти процедуры, рекомендую перезагрузиться и обязательно обновить антивирус, какой бы он у вас не стоял. Такие вот мои рекомендации, как удалить вирус csrcs. Если установлены BitAccelerator, ConnectionServices - удалите их. Еще рекомендации: с помощью утилиты Process Explorer убиваем процесс csrcs.exe, он подсвечен фиолетовым цветом (не путать с csrss.exe); выполняем следующие команды: Код cd %systemroot%\system32 attrib -s -h csrcs.exe del csrcs.exe в редакторе реестра в разделе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run удаляем параметр "csrcs"; в разделе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon находим параметр "Shell", изменяем его значение на "explorer.exe"; 3

Vourhey Почетный модератор 7393 / 2639 / 281 Регистрация: 29.07.2006 Сообщений: 13,696
	23.12.2008, 13:43	3
	Загрузись с лайвсиди, удали файлы вируса вручную. Потому загрузись в сэйфмод и почисть реестр от его записей: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run удаляй параметр "csrcs". HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon у параметра "Shell" меняй значение на "explorer.exe" 1

@igorsamusenko 1 / 0 / 0 Регистрация: 23.12.2008 Сообщений: 5
	23.12.2008, 15:27 [ТС]	4
	Сообщение от mik-a-el Откуда-то из инета: Если установлены BitAccelerator, ConnectionServices - удалите их. Еще рекомендации: Я пытался найти его, выдает - поиск не дал результатов. Всё остальные рекомендации постараюсь выполнить. Спасибо! Добавлено через 1 час 39 минут 51 секунду Сообщение от mik-a-el Откуда-то из инета: Если установлены BitAccelerator, ConnectionServices - удалите их. Еще рекомендации: Всё сделал так как Вы сказали,вроде не ругается после второй перезагрузки. Спасибо большое,будем надеятся,что убил 0

Vourhey Почетный модератор 7393 / 2639 / 281 Регистрация: 29.07.2006 Сообщений: 13,696
	23.12.2008, 15:28	5
	Просканируй диск, например, AVZ. Этот червяк может свои копии по винтам раскидывать с рандомными именами. 0

gnomik
	19.01.2009, 03:59	6
	У меня такая же проблемма, я его кое-как удалил, теперь при загрузке комп стал дольше грузится, когда загрузится пишит что виндовс не смог найти "csrcs.exe". что делать? и еще, если это вирус зачем винда его ищет, она что в курсе про него?

@igorsamusenko 1 / 0 / 0 Регистрация: 23.12.2008 Сообщений: 5
	19.01.2009, 08:14 [ТС]	7
	Сообщение от gnomik У меня такая же проблемма, я его кое-как удалил, теперь при загрузке комп стал дольше грузится, когда загрузится пишит что виндовс не смог найти "csrcs.exe". что делать? и еще, если это вирус зачем винда его ищет, она что в курсе про него? Прочитайте ответ ми ка ель от 23.12, он очень подробно описал все процедуры. Функция "выполнить"-"regedit"-"найти"-"crscs" и удаляйте тот файл,где есть в названии crscs. Не забывайте перезагружать комп, и обновлять антивирус, а если опять винда ругается - ещё раз проделывайте эти операции. Это какая-то дрянь маскирующаяся под системный файл "csrss",смотрите не удалите его! 0

gnomik
	21.01.2009, 04:46	8
	Сообщение от igorsamusenko Прочитайте ответ ми ка ель от 23.12, он очень подробно описал все процедуры. Функция "выполнить"-"regedit"-"найти"-"crscs" и удаляйте тот файл,где есть в названии crscs. Не забывайте перезагружать комп, и обновлять антивирус, а если опять винда ругается - ещё раз проделывайте эти операции. Это какая-то дрянь маскирующаяся под системный файл "csrss",смотрите не удалите его! Сделал все, но походу что-то неправельно. Поисковик реестра выдал штук восемь строк, я их все удалил. Начал перезагружать-и все. Больше комп. не включался. Пришлось переустанавливать Винду....

metrikan
	22.01.2009, 20:20	9
	Последние пару месяцев наблюдаю на работе активность одного компьютерного вируса. Название вируса - Trojan-Downloader.Win32.AutoIt.fn (в нотификация Касперского) или Win32.HLLW.Autoruner.2815(в нотификации DrWeb цифры в окончании могут быть разными). Вирус, однако, известен под именем своего исполняемого тела, которое лежит в папке %System% - csrcs.exe Данный вирус – троянская программа, нарушающая работоспособность компьютера, написанная в виде приложения Windows (PE EXE-файл). Троянец содержит в себе встроенного IRC-бота, с помощью которого "плохие люди" могут получить доступ к компьютеру пользователя. Заразив компьютер, вирус, используя локальную сеть, старается размножить себя по всем доступным сетевым ресурсам (что самое отвратительное, на компьютерах организаций). Записывая себя в папку с полным доступом сетевого компьютера, вирус часто рядом создает файлы с 0 размером и именами khq, khs. У меня есть подозрение, что таким образом он оставляет отметку о своем существовании на данной машине. Естественно, вирус детектируется и удаляется любым современным антивирусом с обновленными базами. Например, используемый мной на работе антивирус DrWeb прекрасно справляется с этой напастью. Обычно определение происходит на момент заражения или при принудительном сканировании машины. Здесь я хочу рассказать, как проверить свою машину на наличие этого вируса, научить вручную удалять вирус (бывает надо и такое, когда антивирус в упор не видит этот файл как вирус). Возможно, статья поможет и тем, у кого после лечения вируса при загрузке системы возникает сообщение о невозможности запустить csrcs.exe. Такое бывает, когда антивирус засек вирусную программу по происшествии некоторого времени и вирус успел "окопаться в системе". Один из моментов выживания вируса на компьютере - это установка на файл csrcs.exe атрибутов "скрытый" и "только для чтения", что дает ему возможность не показываться в стандартном проводнике Windows. Троянец, изменив свой атрибут на скрытый, правит в реестре ключи и полностью блокирует отображение скрытых файлов в системе. Определять наличия вируса в памяти будем как штатными средствами операционной системы, так и специализированной утилиты мониторинга запущенных процессов. Посмотрим на загруженные процессы в системе: Нажатие Ctrl+Alt+Del вызовет "Диспетчер задач Windows", внимательно смотрим на закладку "Процессы" и ищем файл с именем csrcs.exe. Здесь надо быть очень внимательным, так в самой системе есть файл с именем сsrss.exe – это правильный и нужный файл, его трогать не надо. Кстати, один из популярных трюков вирусописателей - замаскировать имя под похожее системное. Если файл csrcs.exe – присутствует, то выделяем его и нажимаем "Завершить процесс", перед удалением он должен быть выгружен из памяти. Следует сказать, что часто вирусы "гуляют" парами и достаточно нередкое явление - это отключение вирусом диспетчера задач (опять же модификация ключа в реестре). Тогда стандартными средствами не воспользуешься. Вот здесь и приходят на помощь две чрезвычайно полезные утилиты для мониторинга своего компьютера. Программа ProcessXP аналогична диспетчеру задач, но отображает работающие процессы и программы в удобном древовидном виде. На запуск программы не влияют никакие ключи реестра. Обратите внимание, что csrcs.exe запущен от имени Explorer.exe или попросту от залогиненного пользователя, и если (я забегаю вперед) знать, что файл запущен из системной папки Windows\System32, то можно сразу сделать практически 100% вывод – это он, вирус. Тем более отсутствие каких-либо описаний файла должно вызвать первые сомнения при любом исследовании системы. Выгружаем его. Процесс выгружен из памяти. Теперь нужно удалить сам файл. Как уже было сказано выше, он находится в системно каталоге Windows. Чаще всего это, например, C:\Windows\System32\csrcs.exe. Напомню, что файл скрыт. Поэтому надо включить отображение скрытых файлов (в настройках "Свойства Папки") и поискать файл глазами или стандартным поиском системы(не забывая задать опцию "искать в скрытых и системных файлах") или воспользоваться, например, Total Commander (естественно, тоже с включенным отображением скрытых файлов). Открываем системную папку, сортируем по именам и вот он, красавец. Обратите внимание, указанный размер (а если быть совсем точным 419920 байт) всегда 420 Kb, это тоже может служить признаком определения "вредителя"thinking . Находим и удаляем файл, если файл не удаляется, пишет, что занят, значит он по-прежнему "сидит" в памяти и его нужно сначала выгрузить. Все, самого вируса на компьютере нет, осталось только удалить упоминание о нем в реестре. Конечно, можно загрузить Regedit и поискать вручную, но я рекомендую воспользоваться замечательной антивирусной утилитой Зайцева http://z-oleg.com/secur/avz/index.php. Сама утилита поможет во многих случаях, но, если говорить по делу, сейчас нас интересует контроль автозагрузки. Запускаем avz.exe, в главном меню выбираем "Сервис" - "Менеджер автозапуска". Что нам нужно сделать? Во-первых, удалить запуск самого вируса, становимся на строку (на картинке с пометкой 1) и нажимаем кнопку на тулбаре "Удалить" (на картинке пометка 2). Дальше, что очень важно, надо исправить ключ запуска проводника (на картинке 3), именно из-за модифицированного ключа запуска возникает ошибка при старте системы (окно с сообщением "Windows не удалось найти "csrcs.exe". Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "пуск", а затем выберите команду "Найти"." ). Для удаления ключей становимся на первую строку "Explorer.exe csrcs.exe" и нажимаем кнопку на тулбаре "Восстановить значения по умолчанию" (на картинке 4), вторая строка должна исправиться автоматически на "Explorer.exe". Хочу добавить вот еще что, очень неплохим финальным шагом будет еще и удалить все системные точки восстановления, чтобы через некоторое время вирус чудесным образомbiggrin не восстановился. Для последнего шага открываем свойства "Мой компьютер", переходим на закладку "Восстановление системы" и устанавливаем опцию "Отключить восстановление системы на всех дисках". Нажимаем "Применить", ждем некоторое время, пока удалятся все точки восстановления, а затем убираем опцию. Для неопытных рекомендую нажимать не "Приминить", а "Ok", затем снова зайти в свойства и убрать установленную ранее птичку. Обязательно перегружаем компьютер, все, мы удалили вирус с коварным именем csrcs.exe up

@alexch 0 / 0 / 0 Регистрация: 23.05.2015 Сообщений: 24
	30.01.2009, 09:23	10
	Вчера запустил НОД32 на глубокий анализ, он енту гадость удалил, правда винда начала ругаться на отсутствие csrcs.exe. Почистил реест все гуд, правда одна поправочка НЕ НАДО ВСЕ УДАЛЯТЬ !!! 4. в разделе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon находим параметр "Shell", изменяем его значение на "explorer.exe"; А вот еще 2 найденные строки я удалил. Этот пункт важен, нужно в значении стереть csrcs.exe, оставить только explorer.exe А то походу gnomik поудалял все строки с реестра вместе с Shell П.С. Ну и капчу вы тут замутили глаза поломать можно 0

@Алексей_VI 50 / 38 / 13 Регистрация: 28.03.2009 Сообщений: 269
	04.06.2009, 15:39	14
	А чтобы зараза к вам больше не прицеплялась всего-то нужно: Создать новую учётную запись с наиболее ограниченными правами и пользоваться ею по умолчанию. По началу не привычно - но зато около 90 процентов гадости просто не сможет "окопаться" в вашей системе. Также, это даёт защиту от отключения “зловредами“ ваших средств защиты, если конечно они у вас есть. Установить пароль на встроенную учётную запись администратора. Умно пользоваться браузером. Желательно Mozilla Firefox в связке с дополнениями NoScript, cookiesafe Отключить автостарт съёмных дисков, флешек, CD и тд. Обязательно обновлять вашу систему и другое программное обеспечение (в том числе и Adobe Reader, потому что у многих она до сих по 5-6ая версии,а это дыра). Желательно, отключить не используемые повседневно службы, без которых система может прожить. Тем самым закроете лишние дырки и сможете чуть повысить эффективность системы. Смотреть тут Быть более внимательными в сети. Не кликать на всё что получаете по почте, месенджеру, даже если это от ваших друзей. Вам предлагают отправить платный смс, чтобы избавиться от проблем,и/ или продлить использование браузера, получить вход на сайт и тд.? Скорее всего Вас хотят завербовать в ряды Буратин. Eсли какой-то файл, который очень хочется посмотреть, то нужно правой кнопкой нажать и выбрать опцию "сохранить как". Если обещали картинку, а получили исполняемый файл (ехе, pif, com, bat, и так далее) То с большой долей вероятности ясно, что это зловред. Желательно, программное обеспечение скачивать с официальных сайтов разработчиков Инструкции предназначены для домашних компьютеров, в организациях/предприятиях не заниматься настройкой самостоятельно, а обратитесь к системному администратору. Это на 1й взгляд кажется тяжело и не осуществимо, но это просто. Достаточно потратить часик на настройку и всё... Зато сэкономите себе нервы и время... У меня у самого так настроено и проблем не возникало... И да простят меня админы форума, откуда я это всё скопировал. Но тут нельзя давать ссылки на другие форумы... 2

@st_lik 0 / 0 / 0 Регистрация: 04.06.2009 Сообщений: 40
	04.06.2009, 15:46	15
	Алексей_VI, Спасибо 0

	18.07.2009, 14:37

СмК
	08.03.2009, 08:57	11
	пожайлуста помогите! я уже удалил csrcs.exe и система начила без меня выключаться. что мне делать????? помогите и пишите пожайлуста попроще я не всё понимаю.... Добавлено через 14 часов 35 минут 53 секунды Слушай mik-a-el я всё сделал кроме вот операции с реестором у меня не появляются никаких строк когда я нажимаю F3. Напиши пожайлуста попроще или какие-нибудь подробные инструкции. Добавлено через 13 минут 48 секунд СПАСИБО mik-a-el ВРОДЕ ПОМОГЛО!

Митяй Рас...здяй
	31.03.2009, 20:54	12
	Ребят спасибо вам большое, неужели я избавился от это идиотской ошибки. Теперь у меня при запуске быстро выходит на рабочий стол и не вылетает окошко с просьбой найти "файл" csrcs. Спасибо!!!

@st_lik 0 / 0 / 0 Регистрация: 04.06.2009 Сообщений: 40
	04.06.2009, 15:11	13
	Спасибо за подробную инструкцию! Добавлено через 1 минуту 34 секунды metrikan, очень удобная программа, спасибо. Обычно в дополнение к любому антивирю пользуюсь Дрвебовской утилиткой "курейт" А реестр вручную. А тут так удобно))) Спасибо еще раз 0

ksunya_
	13.06.2009, 21:52	17
	А если в редакторе реестра нашло целую папку csrcs, а в ней два файла: "individualsettings" и "по умолчанию" , их тоже удалять??

@ShormanFR 0 / 0 / 0 Регистрация: 09.06.2009 Сообщений: 19
	14.06.2009, 00:06	18
	Сообщение от ksunya_ А если в редакторе реестра нашло целую папку csrcs, а в ней два файла: "individualsettings" и "по умолчанию" , их тоже удалять?? все где нашлось csrcs.exe нужно удалить. я так делал, вроде все работает. 0

@Afinagena 0 / 0 / 0 Регистрация: 18.07.2009 Сообщений: 3
	18.07.2009, 14:33	19
	Мой компьютер постоянно выдает сообщение "windows не удолось обнаружить файл csrcs.exe" и требует его установить, антивирус не помогает... Кто знает что делать? 0

@inter 9715 / 2470 / 52 Регистрация: 06.03.2009 Сообщений: 8,500
	18.07.2009, 14:37	20
	Afinagena, все ссылки в реестре на файл csrcs.exe надо удалить, Будьте внимательны не удалите ссылки на файл csrss 0

вирус csrcs.exe

Решение