Как удалить вирус-троян csrcs.exe? - SetandWork!
Главная > Безопасность, Новости, Программы > Как удалить вирус-троян csrcs.exe?

Как удалить вирус-троян csrcs.exe?

virus-csrcs

Сижу... Спокойно сижу... Лениво просматриваю интернет-страницы... И тут — опа! И нет интернета. :) Нет, точнее есть, но такой вдруг стал тормознутый, что даже сайты не могу открыть. Сначала подумал, что что-то резко начало грузиться через торрент-клиент. Внимательно осмотревшись во всех частях системы, понял, что что-то тут не то. Но что именно пока не понимал. Меня в такие моменты странноватое чувство начинает посещать. Как у охотника. Жажда борьбы, что ли? :)

Открыв диспетчер задач (ctrl+alt+del), ничего подозрительного не увидел. Странно как-то... Что же так глушит весь трафик? — осторожно подумал тогда я. Честно говоря, мне в тот момент было все равно, что мой браузер выдавал результат запроса лишь спустя пару минут. Я никуда не спешил. И это было мне на руку. Вот именно из-за свободного времени и получилась эта маленькая история, о которой я сегодня напишу. В теме поста я уже успел высветить то, о чем собственно и пойдет речь.

Мне иногда становиться интересно: зачем вирусописатели создают свои «шедевры»? Конечно я не говорю о тех, кто пишет только для того, что бы стырить кучу виртуального бабла у заядлых интернетчиков. Меня интересуют те, кто пишет всякие программки, приносящие только откровенный вред всем подряд и без разбора. Что именно ими движет? Слава или обида? Деньги или откровенная злоба против всех? Лучше бы они все вместе собирались в одном месте и работали на благо человечества, а не старались что-либо доказать по одиночке. Но это так мои рассуждения... Порой возникают вопросы, вот и пишу их в надежде что кто-то ответить на них. :)

Ладно приступим к самому рассказу. Немного пораскинув мыслишками я догадался, что вся загвоздка была в обычном флеш-накопителе, который я принес домой дабы скопировать пару новых фильмов своему другу. И как раз на ней был странноватый файлик, который имел сумбурное название. К сожалению в этой флешке не был деактивирован автозапуск с помощью утилиты Panda USB Vaccine. Кстати, кто до сих пор не знает, эта программа-вакцина поможет Вам избежать автоматического автозапуска зараженных флешек на Вашем компьютере.

Обязательно заблокируйте флешку от вирусов!

При вставке сменного накопителя вирус самоустановился в ОС. При этом он прописался в автозагрузку под именем CSRCS.EXE и начал творить полный бред на моем компьютере. Интернет обмен данными был сведен к полноценному нулю. Троян настолько усердно что-то качал с Интернета, что никакие программы вместе с ним не работали. Это меня даже позабавило. :) «Так где же решение моей проблемы?» — спросите Вы.

Все гениальное — просто! Но сначала хочу рассказать, что же на самом деле творит этот зверь? В системе есть очень похожий на него процесс, но вот только имя его пишется чуток по другому: CSRsS.EXE. И именно эта, на глаз не заметная разница, приводит к тому, что опытный пользователь может легко спутать этот троян с обычным системным процессом, разрешая тем самым творить «чудеса». После своего самокопирования в системе отключается возможность просмотра скрытых и системных файлов. Поэтому, если Вы всегда пользуетесь такой функцией, сможете легко заметить признаки присутствия незваного гостя.

Далее происходит запись в автозагрузку, дабы в будущих запусках вирус всегда висел в процессах запущенным. Что позволит хакеру легко завладеть Вашим драгоценным компьютером со всеми его информационными внутренностями в любой момент онлайн работы. Поэтому Вы просто обязаны знать главные системные процессы, которые работают во благо нормальной работы ПК. Тем самым Вы сможете легко обнаружить подозрительный вирус, возможно именуемый себя «хазяином» или всего лишь «помощником».

Уничтожить такой вирус просто: находите через поиск файл csrcs.exe. Он как правило находится тут: c:\windows\system32. Но перед этим необходимо завершить процесс в диспетчере задач. В противном случае сам вирус даст Вам от ворот поворот. После того, как завершили процесс смело удаляйте найденный файл. Только смотрите внимательно, что стираете! Можете ненароком удалить именно его хороший почти аналог: csrss.exe.

После фактического удаления тела вируса нам необходимо стереть и его следы в реестре. Для этого запустите редактор реестра через команду «Пуск — Выполнить — regedit». Далее найдите и отредактируйте вот эту ветку:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

В ней не должно быть упоминаний об имени: csrcs.exe. Если есть, тогда их необходимо стереть, воспользовавшись клавишей «Del».

Также необходимо изменить значение вот этой ветки реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

«Shell» = «Explorer.exe csrcs.exe»

В этой ветке много значений, но нам необходимо только одно, а именно shell. В моем выше указанном примере написано неправильное значение. В идеале должно быть вот так:

«Shell» = «Explorer.exe»

Shell чистый

Поэтому Вам необходимо двойным щелчком открыть редактирование значения и изменить его. Нельзя удалять значение вовсе! В противном случае не запуститься графическая оболочка Windows. И в результате не сможете работать за ПК. Если не изменить последнюю запись, то ОС будет постоянно требовать от Вас этот злополучный удаленный файл вируса. Неопытные пользователи в страхе могут и вернуть его назад. :) А это только на руку хакеру. Поэтому не ведитесь на такие «шутки»!

Всё выше написанное, я осуществил примерно через 20 минут. Это время было потрачено на запуски и перезагрузки системы. Ведь только запущенный вновь компьютер покажет, есть ли вирус в диспетчере или его и след простыл. В моем случае вирус был корректно удален, что порадовало не только меня, но и моего друга. Так как он тоже смог избавиться от это гадости, благодаря небольшим манипуляциям  с файлом и реестром.

Немаловажной приметой наличия вируса в системе являются файлы с нулевым размером и именами khq, khs, которые записываются вирусом в сетевые каталоги с полным доступом на запись и чтение, а также на сменные носители. Исходя из этого, советую отключать полный доступ и оставлять лишь чтение, тем самым ограничивая зону действия вируса. Для чего создаются эти файлы неизвестно, но возможно это лишь своего рода маркеры присутствия.

Хотелось бы предупредить всех читателей моего блога о том, такой вирус наиболее распространен в последнее время. Это я сужу по своим наблюдениям при обмене информацией между моими сотрудниками и близкими. Именно эти сумбурные вирусные файлы чаще всего приносят они ко мне домой или передают на работе. Может кто-то тоже заметил такую тенденцию — пишите, говорите всем, дабы избежать возможных проблем в будущем. Ведь осведомлены, значит защищены! :)

Кстати, антивирусы почему-то очень вяло детектируют этот вирус. Я пользуюсь Comodo Internet Security и в отличие от того же Nod32 только он мне помог обнаружить и заблокировать исходящий трафик моего «хищника».



Похожие записи по теме:
Понравился пост? Подпишись на обновления блога: RSS wordpress insideRSSRSS wordpress insideEmailtwitter wordpress insideTwitter!
 
Категории: Безопасность, Новости, Программы  Просмотров: 12134
  1. Станислав
    January 15th, 2010 at 11:07 | #1

    А не встречал тоже подобный вирус,только в процессах светится как svchost и не запрещает скрытые?Я его определил только когда заметил что он от учетной записи запущен!)))

  2. January 15th, 2010 at 19:08 | #2

    Нет, такого не встречал. А в чем проявляется его работа?

  3. Станислав
    January 15th, 2010 at 19:26 | #3

    Система немного подтармаживала!На счет инета не знаю,у меня тогда нета небыло!Но распространялся он через флешки,заметил по тому что на флешках постоянно 2 exe-шника весело под видом папок!И постоянно обновлялась,когда ее открываешь!Вирус прописался в автозагрузку как svchost.exe!А сам файл находился в дериктории C:\Windows\System32\muis\svchost.exe или C:\Windows\muis\svchost.exe,точно не помню!

  4. January 25th, 2010 at 18:01 | #4

    Цитата: «Я пользуюсь Comodo Internet Security и в отличие от того же Nod32 только он мне помог обнаружить и заблокировать исходящий трафик моего „хищника“.»

    Зачем же ты тогда вручную все убирал???

    Comodo — антивирус с редкими обновлениями, не эффективен, слабо распознает новые вирусы и даже может не распознать довольно старые (более недели).

    NOD32, как и его коммерческие аналоги Касперский, Avira, Dr.Web, Symantec, Bitdefender и другие распознают 75-98% еще неизвестных вирусов (их не было в антивирусной базе, они специально создавались для тестирования).

    www.av-comparatives.org

    • January 25th, 2010 at 22:30 | #5

      Я до времени обнаружения пользовался Нодом, но после того, как он не справился с этим вирусом я снес его. Дело в том, что у меня был обычный антивирус, а у Комодо он шел с фаерволлом. Поэтому именно фаерволл Комодо помог обнаружить офигенный трафик вирусняка. Конечно я мог ранее установить и Нод32 Интернет Защиту, но до этого случая я не нуждался в таких замутах. Поставил Комодо из-за того, что бесплатен. А что касается вирусов, то вроде справляется. Лишнего не вижу да и трафик отлично мониторит. Правда обидно, что ни один антивирь не распознал этот троян. И что самое главное ,что вирус староват, а лекарства от него все ещё нет. Странновато как-то...

      Вот именно по этой причине и появился этот пост и именно потому пришлось гонятся за ним вручную.

  5. Boris
    February 14th, 2010 at 21:07 | #6

    Вы в статье пишите: «Открыв диспетчер задач (ctrl+alt+del), ничего подозрительного не увидел.»

    А не подскажете, что может быть подозрительным (потенциально опасным). Т.е. на что нужно обратить внимание.

    Я так думаю, что большая часть пользователей открыв Процессы Диспетчера задач, вряд ли вообще может понять что все эти процессы означают.

    • February 15th, 2010 at 02:51 | #7

      Я в ближайшем будущем хочу написать небольшую статью именно о процессах и их количестве в диспетчере задач. Естественно это будет не образец идеальности, но все же сможете понять, что именно можно выключать, а что пускай работает.

  6. February 24th, 2010 at 20:44 | #8

    Ага. Вирус распространился очень широко) Мне его с работы принесли, но хочу заметить что Нод 32 его опредилил. Чем он мне мешал — иногда загружал интернет, то есть писало что интернет есть, а ничего не качало. Та то бы еще ладно, думал что провайдер гонит, но самое странное, что странички не грузились, а ася работало как ничего не бывало. Вот тут то я и почуял недоброе... А засек я его тогда, когда без подключения к интернету мне выбивало сообщение «Подключите интернет» от имени csrcs.exe . Зашел в интернет — думал если не вирус то что я удалю, то еще проблему подхвачу. А так наткнулся на єту статью — помогла) спс. Правд я его не с реестра удалял регедитом, а другими прогами.

  7. Chris
    February 26th, 2010 at 15:02 | #9

    Спасибо огромное, удалил ету тварь!

  8. Лена
    February 28th, 2010 at 18:21 | #11

    Подскажите, а что делать, если в процессе работы инета мой ноутбук вдруг зависает и перестает реагировать на все команды? В чем там дело?

    • February 28th, 2010 at 18:25 | #12

      Причин может быть много:

      1. перегрев корпуса.

      2. неправильно работает ОС.

      3. неправильно работают важные программы, типа антивируса.

      4. запускаются «левые» программы, потребляющие уйму ресурсов.

      5. вирусы и т.д.

      Точный ответ может дать только техосмотр в сервис-центре.

  9. Лена
    February 28th, 2010 at 18:30 | #13

    У меня установлен Касперский, при проверке вирусов не находит. А что за «левые» программы? Отчего может перегреваться корпус?

    • February 28th, 2010 at 20:29 | #14

      Я привел всего несколько причин. Я уже написал, что смотреть надо воочию ваше детище. Скорей всего у Вас проблемы с ОС.

      «Левые» программы — это взломанные программы, которые порой содержат весьма интересные участки кода, способные творить ещё и не такие «чудеса».

      Греется корпус от сломанной или «закисшей» системы вентиляции, а также от экстремальных условий во время использования.

  10. March 2nd, 2010 at 15:45 | #15

    @Yarunya

    Как вы определите, что отключать, а что нет? Процессы диспетчера задач часто взаимосвязаны между собой и другими функциями. Я, например, пользовался некоторое время Windows с отключенными изначально некоторыми процессами, однако понадобилось включить один из них и это было очень трудно. Т.к. из-за этого одного отключенного процесса автоматически были отключены еще несколько необходимых задач. А выискивать и включать их оказалось нудным занятием, т.к. необходимо было соблюдать последовательность (взаимосвязь) запуска. Осторожнее с этим!

  11. ростислав
    April 11th, 2010 at 14:59 | #16

    благодарю!!!! добрый человек я уже незнал как быть с етой проблемой.......как прочитал твой блог узнал свои приметы и так обрадовался что ето хоть как то лечится))))

  12. Айгуль
    April 22nd, 2010 at 10:11 | #17

    Спасибо огромное за статью, та же тварь сидела у моих 6 компах около 3 месяцев, не знала что делать думала винду нужно будет везде переставлять, используя ваши указания теперь сижу вся такая без вирусов и балдею. СПАСИБО!!!

  13. Туся
    May 10th, 2010 at 21:55 | #18

    Большое спасибо за подсказку, я все таки удалила этот вирус!!! Вы очень хороший человек!!! СПАСИБО!!!

  14. Miranda
    June 19th, 2010 at 18:34 | #20

    У меня этот вирус поймал ESET Smart Security 4.2.40.10, но спасибо Вам за то, что помогли убрать любые упоминания о нем)))

  15. Александр
    July 5th, 2010 at 13:31 | #21

    компьютер при неизмененной конфигурации при включении и работе ( включил и ушел ) потреблял 115-130 ватт (стоит АРС ). При этом играл в игры с большой нагрузкой на видеокарту и все было в порядке (G-Force 9800) Три дня назад начал «лопать» 260-300 при простое , т.е.как следствие при запуске игр — отключение бесперебойника (перегрузка).Может это быть следствием работы вируса или все-таки дело в железе?? (протестировал , разобрал-собрал, проверил антивирусниками и т.д и т.п)

  16. SoM
    October 6th, 2010 at 08:27 | #23

    Вирус ненаходит заныкался наверно утырок как еще можно его найти?

  17. SoM
    October 6th, 2010 at 08:28 | #24

    СпАсИбО помогло

  18. Серж
    October 17th, 2010 at 05:21 | #25

    НОД 32 обнаружил вирус csrcs.exe и снёс его, так что, кто-то там гнал на НОД, прекращайте. Ровняем руки господа, ровняем...

  19. Серж
    October 17th, 2010 at 05:33 | #26

    Да. Ещё один прикол. Вирус я снёс, и прицепом ещё 15 штук, с такими замысловатыми названиями, типа: sfgrth67v.exe, но вот чудеса... Инет пашет весь, всё качаю, кроме этого: dr.web cureit, это прога, качаешь её с инета и без инсталла просто запускаешь и сканируешь комп. Теперь система пишет мне: Эта загрузка была заблокирована вашей политикой зоны безопасности — drweb.com

    И шо абидна госпока, эта скатина пишет слово вашей, с прописной буквы, а нужно с заглавной, неуважение млин, собако)))

    • October 17th, 2010 at 15:21 | #27

      Вполне возможная развязка выше расписанной проблемы. На это они и антивирусы, дабы пополнять свои базы и решать пользовательские проблемы в части безопасности.

  20. Людмила
    November 2nd, 2010 at 14:51 | #28

    Огромное спасибо воспользовались Вашими рекомендациями и получилось удалить вирус с первого раза.Еще раз спасибо!

  21. Masha
    November 2nd, 2010 at 17:13 | #29

    Я когда открыла Диспетчер Задач то там нет csrcs.exe. но когда включаем компьютер всегда высвечивается что файл не найден!Что делать?

  22. Masha
    November 2nd, 2010 at 17:43 | #30

    Вы пишите что он прописан как другой...svchost.exe...но когда его надо удалять...он пишет что будут большие проблемы!?что делать?

  23. Reyder
    November 24th, 2010 at 12:51 | #31

    Спасибо за содержательную помощь. Сегодня у знакомого на работе нарыли такой. Голую тачку в сеть и сразу заразился. Не успели антивирь тыкнуть.

  24. holy
    December 18th, 2010 at 15:46 | #32

    Спасибо огромное за статью — очень помогла. Сайт в закладки

  25. Сергей
    January 18th, 2011 at 23:06 | #33

    Огромное спасибо за подсказку!!!

    У меня стоит NOD32 и он блокирует этот вирус, но в реестре след его остаётся и приводит к неприятным явлениям. Теперь после зачистки всё в порядке.

  26. Александр
    January 29th, 2011 at 02:01 | #34

    Очень благодарен Вам, за содержательную помощь. Огромное спасибо за решение казалось бы не решаемой задачи!!! Ваш сайт добавил в закладки :)

  27. Алекс
    March 2nd, 2011 at 20:37 | #35

    Приветствую!

    Знаком с этим вирусом уже довольно давно, удалять чистить умею. Но.

    Попросили убить вирус на ноуте. По указанной выше схеме все почистил. Перезагрузил и обнаружил, что процессах вирус возобновился и в реестре также прописался.

    Тела файла на компьютере НЕ обнаруживается.

    Повторное удаление ни к чему из процессов и реестра не приводит. Три антивируса, в том числе NOD с последними обновлениями, ничего не обнаруживают.

    Где ж его искать?

  28. Владимир
    March 5th, 2011 at 17:47 | #36

    Напрасно ругаете NOD32!

    Он у меня съел csrcs.exe,я даже не понял когда!

    Только система при запуске постоянно его ищет и не

    может найти. В папке system32 его нет!

    Все равно большое спасибо!

    Попробую откорректировать еще реестр, чтобы

    система больше при запуске не искала то, чего уже нет.

    С уважением Владимир.

    PS. У меня НОД32 Бизнес Эдишн.

  29. Николаевич
    April 12th, 2011 at 09:38 | #37

    Спасибо за толковую инструкцию. Сделал все за 10мин. без намека на проблемы. Уважаю профессионалов. С ними легко и спокойно.

  30. Виктория
    April 20th, 2011 at 13:10 | #38

    Спасибо огромное!! Удалила вирус...но вот csrcs файлик остался...а виндовс32 папке не нашла...сделала скрин — не могу понять удалять ли это тоже.Скрин здесь:

    i060.radikal. ru/1104/a7/400f2b864c69.jpg

  31. Евгений
    July 9th, 2011 at 00:37 | #40

    Большое спасибо

    Эта ошибка так бесила вы не представляете !!!

    комп стал быстрее работать!!!

    Автору спс)))

  32. Елена
    July 30th, 2011 at 19:11 | #41

    Уважаемый Автор статьи, огромное спасибо Вам за четкую и исчерпывающую информацию. Желаю успехов Вам! И по-больше конструктивизма в Интернете!

  33. Александр
    September 5th, 2011 at 12:26 | #42

    Алекс :

    Приветствую!

    Знаком с этим вирусом уже довольно давно, удалять чистить умею. Но.

    Попросили убить вирус на ноуте. По указанной выше схеме все почистил. Перезагрузил и обнаружил, что процессах вирус возобновился и в реестре также прописался.

    Тела файла на компьютере НЕ обнаруживается.

    Повторное удаление ни к чему из процессов и реестра не приводит. Три антивируса, в том числе NOD с последними обновлениями, ничего не обнаруживают.

    Где ж его искать?

    Присоединяюсь, проблема так и нее решена!!

  34. Елена
    September 10th, 2011 at 11:28 | #43

    Ребята! Спасите, помогите! Нигде не могу найти как расправиться с вирусом c:\windows\apppatch\nbjrgiy.exe

    У меня так жестоко все тупит, есет непрерывно выдает табличку, что объект изолирован, но мне что-то подсказывает что он просто удаляет экзешник, а тот новый создает. Обыясните на пальцах че делать? :)

  35. Елена
    September 10th, 2011 at 11:37 | #44

    Дело в том, что он не дает удалить экзешник, а в диспетчере задач нет этого процесса :(

  36. Владимир
    November 17th, 2011 at 23:53 | #45

    @Masha

    Почисти реестр!

  37. Владимир
    November 17th, 2011 at 23:58 | #46

    На NOD действительно не гоните! Пожалуйста.

  38. Иван
    January 31st, 2012 at 21:01 | #47

    Помогите! батяня дорвался до ноута и, сев после него, я увидел возмущение антивируса. Троянская программа Оперативная память » explorer.exe (628) — вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа — очистка невозможна. Что делать?

    • kolya
      February 1st, 2012 at 00:10 | #48

      Попробуйте удалить вручную.

      Какой антивирус используете?

  1. Нет трекбеков.

Уважаемый комментатор, я очень благодарен за оставленные тобой комментарии! Мне очень приятно их читать. Но порой встречаются люди, которые просто в наглую пытаются продвинуть свой ресурс, размещая ссылку в комментариях только для того, что бы увеличить ТИЦ. Меня порой просто удивляют такие люди... С недавних пор я стал сносить ссылки, которые идут на откровенный бред, никак не похожий на мой блог. Все остальные нормальные блоги будут опубликованы! Если Вы спамер, проходите мимо! Не тратьте время зря! Я ведь всё равно проверяю каждый сайт на соответствие с требованиями. :)