Удаление вируса — Trojan-Downloader.Win32.AutoIt.fn (в нотификации Касперского) или Win32.HLLW.Autoruner.2815 (в нотификации DrWeb)
Вторник, 18, января, 2011
В последнее время столкнулся с вирусом который носит название — Trojan-Downloader.Win32.AutoIt.fn (в нотификации Касперского) или Win32.HLLW.Autoruner.2815(в нотификации DrWeb цифры в окончании могут быть разными). Вирус, также, известен под именем своего исполняемого тела, которое лежит в папке %System% — csrcs.exe.
Самое интересное, что вирус этот появился у меня как на домашнем компьютере, так и на работе. Причем на работе почти на всех компьютерах. Повидимому домой я его и приволок на флешке. Так как дома у меня стоит NOD 32, кторый его обнаружил и удалил. Но после удаления осталась одна очень неприятная вещь — при загрузке компьютера выскакивало окно «Windows не удалось найти файл System32/csrcs.exe...». После установки NOD 32 на работе, обнаружилась таже самая картина - выскакивало это окно.
И вот побродив по просторам интернета (потратив при этом не мало времени), я все же нашел как способ полного удаления этого вируса.
Поэтому систематизировав полученные данные и приплюсовав свой личный опыт, я решил написать эту статью.
В статье я хочу рассказать, как проверить свою машину на наличие этого вируса, научить вручную удалять вирус (бывает надо и такое, когда антивирус в упор не видит этот файл как вирус). Возможно, статья поможет и тем, у кого после лечения вируса при загрузке системы возникает сообщение о невозможности запустить csrcs.exe. Такое бывает, когда антивирус засек вирусную программу по происшествии некоторого времени и вирус успел «окопаться в системе».
Данный вирус – троянская программа, нарушающая работоспособность компьютера, написанная в виде приложения Windows (PE EXE-файл). Троянец содержит в себе встроенного IRC-бота, с помощью которого «нехорошие люди» могут получить доступ к компьютеру пользователя. Заразив компьютер, вирус, используя локальную сеть, старается размножить себя по всем доступным сетевым ресурсам (что самое отвратительное, на компьютерах организаций).
Записывая себя в папку с полным доступом сетевого компьютера, вирус часто рядом создает файлы с 0 размером и именами khq, khs. Есть мнение, что таким образом он оставляет отметку о своем существовании на данной машине. Причем оставляет эти файлы в корне всех дисков и даже флешек.
Естественно, вирус обнаруживается и удаляется любым современным антивирусом с обновленными базами. Но зачастую после удаления вируса антивирусом появляется вышеописанное окно.
Обычно определение происходит на момент заражения или при принудительном сканировании машины.
Один из моментов выживания вируса на компьютере — это установка на файл csrcs.exe атрибутов «скрытый» и «только для чтения», что дает ему возможность не показываться в стандартном проводнике Windows. Троянец, изменив свой атрибут на скрытый, правит в реестре ключи и полностью блокирует отображение скрытых файлов в системе.
Определять наличие вируса в памяти будем как штатными средствами операционной системы, так и при помощи специализированной утилиты мониторинга запущенных процессов.
Посмотрим на загруженные процессы в системе: Нажатие Ctrl+Alt+Del вызовет «Диспетчер задач Windows», внимательно смотрим на закладку «Процессы» и ищем файл с именем csrcs.exe. Здесь надо быть очень внимательным, так в самой системе есть файл с именем сsrss.exe – это правильный и нужный файл, его трогать не надо. Кстати, один из популярных трюков вирусописателей — замаскировать имя под похожее системное.
Если файл csrcs.exe – присутствует, то выделяем его и нажимаем «Завершить процесс», перед удалением он должен быть выгружен из памяти.
Нужно сказать, что часто вирусы «гуляют» парами и достаточно нередкое явление — это отключение вирусом диспетчера задач (опять же модификация ключа в реестре). Тогда стандартными средствами не воспользуешься. Вот здесь и приходят на помощь две чрезвычайно полезные утилиты для мониторинга своего компьютера.
Программа ProcessXP аналогична диспетчеру задач, но отображает работающие процессы и программы в удобном древовидном виде. На запуск программы не влияют никакие ключи реестра, и, запустив ProcessXP, при наличии нашего вируса в памяти, мы увидим такую картину.
Обратите внимание, что csrcs.exe запущен от имени Explorer.exe или попросту от залогиненного пользователя, и если (забегая вперед) знать, что файл запущен из системной папки Windows\System32, то можно сразу сделать практически 100% вывод – это он, вирус. Тем более отсутствие каких-либо описаний файла должно вызвать первые сомнения при любом исследовании системы. Выгружаем его.
Процесс выгружен из памяти. Теперь нужно удалить сам файл. Как уже было сказано выше, он находится в системно каталоге Windows.
Чаще всего это, например, C:\Windows\System32\csrcs.exe. Напомню, что файл скрыт. Поэтому надо включить отображение скрытых файлов (в настройках «Свойства Папки») и поискать файл глазами или стандартным поиском системы (не забывая задать опцию «искать в скрытых и системных файлах») или воспользоваться, например, Total Commander (естественно, тоже с включенным отображением скрытых файлов). Открываем системную папку, сортируем по именам и вот он, красавец, на
скриншоте.
Обратите внимание, указанный размер (а если быть совсем точным 419920 байт) всегда 420 Kb, это тоже может служить признаком определения «вредителя» . Находим и удаляем файл, если файл не удаляется, пишет, что занят, значит он по-прежнему «сидит» в памяти и его нужно сначала выгрузить.
Все, самого вируса на компьютере нет, осталось только удалить упоминание о нем в реестре. Конечно, можно загрузить Regedit и поискать вручную, (ниже я опишу этот процесс) а можно воспользоваться замечательной антивирусной утилитой Зайцева AVZ. Сама утилита поможет во многих случаях, но, если говорить по делу, сейчас нас интересует контроль автозагрузки. Запускаем avz.exe, в главном меню выбираем «Сервис» — «Менеджер автозапуска». Получаем картинку, подобную на скриншоте.
Что нам нужно сделать?
Во-первых, удалить запуск самого вируса, становимся на строку (на картинке с пометкой 1) и нажимаем кнопку на тулбаре «Удалить» (на картинке пометка 2).
Дальше, что очень важно, надо исправить ключ запуска проводника (на картинке 3), именно из-за модифицированного ключа запуска возникает ошибка при старте системы (окно с сообщением «Windows не удалось найти „csrcs.exe“. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку „пуск“, а затем выберите команду „Найти“.» ). Для удаления ключей становимся на первую строку «Explorer.exe csrcs.exe» и нажимаем кнопку на тулбаре «Восстановить значения по умолчанию» (на картинке 4), вторая строка должна исправиться автоматически на «Explorer.exe».
Так же можно воспорльзоваться редактором реестра. «Пуск», «Выполнить», вводим «regedit» (без кавычек). В открывшемся редакторе «Найти» вводим наш csrcs.exe (желательно вводить без расширения, т.е csrcs).
Должно найтись несколько ключей содержащих csrcs.exe.
Пример: HKEY_CURRENT_USER\software\microsoft\windows\shell noroam\muicache
параметр — \C:\WINDOWS\system32\csrcs.exe
HKEY_USERS\S-1-5-21-1801674531-1292428093-72534554 3-1003\software\microsoft\windows\shellnoroam\muic ache
параметр — \C:\WINDOWS\system32\csrcs.exe
В некоторых случаях бывает 5 и более ключей содержащих в параметрах csrcs.exe
Удаляем все параметры содержащие csrcs.exe,
за исключением HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell параметром ключа должен быть только Explorer.exe. Вытираем после Explorer.exe_csrcs.exe.
Хочу добавить вот еще что, очень неплохим финальным шагом будет еще и удалить все системные точки восстановления, чтобы через некоторое время вирус чудесным образом не восстановился.
Для последнего шага открываем свойства «Мой компьютер», переходим на закладку «Восстановление системы» и устанавливаем опцию «Отключить восстановление системы на всех дисках».
Нажимаем «Применить», ждем некоторое время, пока удалятся все точки восстановления, а затем убираем опцию. Для неопытных рекомендую нажимать не «Применить», а «Ok», затем снова зайти в свойства и убрать установленную ранее птичку.
Пользователям, успешно справившимся с проблемой этого вируса, также рекомендую очищать папку %Temporary Internet Files% (она находится в профиле пользователя). В эту папку записывается весь кеш броузера IE, т.е. все что поступает к Вам при просмотре сайтов интернета. И если есть предположение, что вирус Вы «подцепили» из интернета (чаще из локальных сетей) и Вы пользуетесь броузером Internet Explorer этот совет имеет вес для Вас.
Обязательно перегружаем компьютер, все, мы удалили вирус с коварным именем csrcs.exe.