Удаление вируса — Trojan-Downloader.Win32.AutoIt.fn (в нотификации Касперского) или Win32.HLLW.Autoruner.2815 (в нотификации DrWeb)

Вторник, 18, января, 2011

В последнее время столкнулся с вирусом который носит название — Trojan-Downloader.Win32.AutoIt.fn (в нотификации Касперского) или Win32.HLLW.Autoruner.2815(в нотификации DrWeb цифры в окончании могут быть разными). Вирус, также, известен под именем своего исполняемого тела, которое лежит в папке %System% — csrcs.exe.



style="display:inline-block;width:580px;height:400px"
data-ad-client="ca-pub-4420784113687006"
data-ad-slot="4236668964">


Самое интересное, что вирус этот появился у меня как на домашнем  компьютере, так и на работе. Причем на работе почти на всех  компьютерах. Повидимому домой я его и приволок на флешке. Так как дома  у меня стоит NOD 32, кторый его обнаружил и удалил. Но после удаления  осталась одна очень неприятная вещь — при загрузке компьютера  выскакивало окно «Windows не удалось найти файл   System32/csrcs.exe...». После установки NOD 32 на работе, обнаружилась  таже самая картина -  выскакивало это окно.
И вот побродив по просторам интернета (потратив при этом не мало времени), я все же нашел как способ полного удаления этого вируса.
Поэтому систематизировав полученные данные и приплюсовав свой личный  опыт, я решил написать эту статью.
В статье я хочу рассказать, как проверить свою машину на наличие этого вируса, научить вручную удалять вирус (бывает надо и такое, когда  антивирус в упор не видит этот файл как вирус). Возможно, статья  поможет и тем, у кого после лечения вируса при загрузке системы  возникает сообщение о невозможности запустить csrcs.exe. Такое бывает,  когда антивирус засек  вирусную программу по происшествии некоторого  времени и вирус успел «окопаться в системе».
Данный вирус – троянская программа, нарушающая работоспособность  компьютера, написанная в виде приложения Windows (PE EXE-файл). Троянец  содержит в себе встроенного IRC-бота, с помощью которого «нехорошие  люди» могут получить доступ к компьютеру пользователя. Заразив  компьютер, вирус, используя локальную сеть, старается размножить себя  по всем доступным сетевым ресурсам (что самое отвратительное, на  компьютерах организаций).

Записывая себя в папку с полным доступом сетевого компьютера, вирус часто рядом создает файлы с 0 размером и именами khq, khs. Есть мнение,  что таким образом он оставляет отметку о своем существовании на данной  машине. Причем оставляет эти файлы в корне всех дисков и даже флешек.

Естественно, вирус обнаруживается и удаляется любым современным антивирусом с обновленными базами. Но зачастую после удаления вируса  антивирусом появляется вышеописанное окно.
Обычно определение происходит на момент заражения или при принудительном сканировании машины.
Один из моментов выживания вируса на компьютере — это установка на файл csrcs.exe атрибутов «скрытый» и «только для  чтения»,  что дает ему возможность не показываться в стандартном проводнике  Windows. Троянец, изменив свой атрибут на скрытый, правит в реестре  ключи и полностью блокирует отображение скрытых файлов в системе.
Определять наличие вируса в памяти будем как штатными средствами  операционной системы, так и при помощи специализированной утилиты  мониторинга запущенных процессов.
Посмотрим на загруженные процессы в системе: Нажатие Ctrl+Alt+Del вызовет «Диспетчер задач Windows», внимательно  смотрим на закладку «Процессы» и ищем файл с именем csrcs.exe. Здесь надо быть очень внимательным, так в самой системе есть файл с именем сsrss.exe – это правильный и нужный файл, его трогать не надо. Кстати, один из  популярных трюков вирусописателей — замаскировать имя под похожее  системное.
Если файл csrcs.exe – присутствует, то выделяем его и нажимаем «Завершить процесс», перед удалением он должен быть  выгружен из памяти.
Нужно сказать, что часто вирусы «гуляют» парами и достаточно нередкое  явление — это отключение вирусом диспетчера задач (опять же модификация  ключа в реестре). Тогда стандартными средствами не воспользуешься. Вот  здесь и приходят на помощь две чрезвычайно полезные утилиты для  мониторинга своего компьютера.

Программа ProcessXP аналогична диспетчеру задач, но отображает работающие процессы и программы в удобном древовидном виде. На запуск программы не влияют никакие ключи реестра, и, запустив ProcessXP, при наличии нашего вируса в памяти, мы увидим такую картину.

Обратите внимание, что csrcs.exe запущен от имени Explorer.exe или попросту от залогиненного пользователя, и если (забегая вперед)  знать, что файл запущен из системной папки Windows\System32, то можно сразу сделать практически 100% вывод – это он, вирус. Тем более  отсутствие каких-либо описаний файла должно вызвать первые сомнения при любом исследовании системы. Выгружаем его.

Процесс выгружен из памяти. Теперь нужно удалить сам файл. Как уже было  сказано выше, он находится в системно каталоге Windows.

Чаще всего это, например, C:\Windows\System32\csrcs.exe. Напомню, что файл скрыт. Поэтому надо включить отображение скрытых файлов (в настройках «Свойства Папки») и поискать файл глазами или стандартным поиском системы (не забывая задать опцию «искать в скрытых и системных файлах») или воспользоваться, например, Total Commander (естественно, тоже с включенным отображением скрытых файлов). Открываем  системную папку, сортируем по именам и вот он, красавец, на
скриншоте.

Обратите  внимание, указанный размер (а если быть совсем точным 419920 байт)  всегда 420 Kb, это тоже может служить признаком определения «вредителя»  . Находим и удаляем файл, если файл не удаляется, пишет, что занят, значит он по-прежнему «сидит» в памяти и его нужно сначала выгрузить.

Все, самого вируса на компьютере нет, осталось только удалить упоминание о нем в реестре. Конечно, можно загрузить Regedit и поискать  вручную, (ниже я опишу этот процесс) а можно воспользоваться  замечательной антивирусной утилитой Зайцева AVZ. Сама утилита поможет во многих случаях, но, если говорить по делу, сейчас нас интересует контроль автозагрузки. Запускаем avz.exe, в главном меню выбираем «Сервис» — «Менеджер автозапуска». Получаем картинку, подобную на скриншоте.

Что нам нужно сделать?

Во-первых, удалить запуск самого вируса, становимся на строку (на картинке с пометкой 1) и нажимаем кнопку на тулбаре «Удалить» (на картинке пометка 2).

Дальше, что очень важно, надо исправить ключ запуска проводника (на картинке 3), именно из-за модифицированного ключа запуска возникает ошибка при старте системы (окно с сообщением «Windows  не удалось найти „csrcs.exe“. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку „пуск“, а затем выберите команду „Найти“.» ). Для удаления ключей становимся на первую строку «Explorer.exe csrcs.exe» и нажимаем кнопку на тулбаре «Восстановить значения по умолчанию» (на картинке 4), вторая строка должна исправиться автоматически на «Explorer.exe».

Так же можно воспорльзоваться редактором реестра. «Пуск», «Выполнить», вводим «regedit» (без кавычек). В открывшемся редакторе «Найти» вводим наш csrcs.exe (желательно вводить без расширения, т.е  csrcs).
Должно найтись несколько ключей содержащих csrcs.exe.
Пример: HKEY_CURRENT_USER\software\microsoft\windows\shell noroam\muicache
параметр — \C:\WINDOWS\system32\csrcs.exe
HKEY_USERS\S-1-5-21-1801674531-1292428093-72534554 3-1003\software\microsoft\windows\shellnoroam\muic ache
параметр — \C:\WINDOWS\system32\csrcs.exe
В некоторых случаях бывает 5 и более ключей содержащих в параметрах csrcs.exe
Удаляем  все параметры содержащие csrcs.exe,
за исключением  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell   параметром ключа должен быть только  Explorer.exe. Вытираем после Explorer.exe_csrcs.exe.
Хочу добавить вот еще что, очень неплохим финальным шагом будет еще и удалить все системные точки восстановления, чтобы через некоторое время вирус чудесным образом не восстановился.

Для последнего шага открываем свойства «Мой компьютер», переходим на закладку «Восстановление системы» и устанавливаем опцию «Отключить восстановление системы на всех дисках».
Нажимаем «Применить», ждем некоторое время, пока удалятся все точки восстановления, а затем убираем опцию. Для  неопытных рекомендую нажимать не «Применить», а «Ok», затем снова зайти в свойства и убрать установленную ранее птичку.

Пользователям, успешно справившимся с проблемой этого вируса, также рекомендую очищать папку %Temporary Internet Files% (она находится в профиле пользователя). В эту папку записывается весь  кеш броузера IE, т.е. все что поступает к Вам при просмотре сайтов  интернета. И если есть предположение, что вирус Вы «подцепили» из интернета (чаще из локальных сетей) и Вы пользуетесь броузером Internet Explorer этот совет имеет вес для Вас.

Обязательно перегружаем компьютер, все, мы удалили вирус с коварным именем csrcs.exe.
Поделиться в соц. сетях

Видео
  • Установка Windows 8
  • Установка Windows 7 32 bit Полная установка OS
  • Установка Windows 10. Активация. Тест. Обновление с Windows 7/8/8.1 до Windows 10
  • Установка Windows 7 на флешку|USB

Оставьте свой комментарий к статье



Читайте нас в социальных сетях: VK, Facebook, Twitter, OK, Google+