 Удаление csrcs.exe и его последствий |  | |
 | | Автор: Menel | (19 декабря 2008) |  | |
| | Последние пару месяцев наблюдаю на работе активность одного компьютерного вируса. Название вируса - Trojan-Downloader.Win32.AutoIt.fn (в нотификация Касперского) или Win32.HLLW.Autoruner.2815(в нотификации DrWeb цифры в окончании могут быть разными). Вирус, однако, известен под именем своего исполняемого тела, которое лежит в папке %System% - csrcs.exe
Данный вирус – троянская программа, нарушающая работоспособность компьютера, написанная в виде приложения Windows (PE EXE-файл). Троянец содержит в себе встроенного IRC-бота, с помощью которого "плохие люди" могут получить доступ к компьютеру пользователя. Заразив компьютер, вирус, используя локальную сеть, старается размножить себя по всем доступным сетевым ресурсам (что самое отвратительное, на компьютерах организаций).
Записывая себя в папку с полным доступом сетевого компьютера, вирус часто рядом создает файлы с 0 размером и именами khq, khs. У меня есть подозрение, что таким образом он оставляет отметку о своем существовании на данной машине.
Естественно, вирус детектируется и удаляется любым современным антивирусом с обновленными базами. Например, используемый мной на работе антивирус DrWeb прекрасно справляется с этой напастью.
Скриншоты и продолжение статьи в полной новости
Определение вируса в Dr.Web
Определение в AVZ (Антивирус Зайцева)
Обычно определение происходит на момент заражения или при принудительном сканировании машины.
Здесь я хочу рассказать, как проверить свою машину на наличие этого вируса, научить вручную удалять вирус (бывает надо и такое, когда антивирус в упор не видит этот файл как вирус). Возможно, статья поможет и тем, у кого после лечения вируса при загрузке системы возникает сообщение о невозможности запустить csrcs.exe. Такое бывает, когда антивирус засек вирусную программу по происшествии некоторого времени и вирус успел "окопаться в системе".
Один из моментов выживания вируса на компьютере - это установка на файл csrcs.exe атрибутов "скрытый" и "только для чтения", что дает ему возможность не показываться в стандартном проводнике Windows. Троянец, изменив свой атрибут на скрытый, правит в реестре ключи и полностью блокирует отображение скрытых файлов в системе.
Определять наличия вируса в памяти будем как штатными средствами операционной системы, так и специализированной утилиты мониторинга запущенных процессов.
Посмотрим на загруженные процессы в системе: Нажатие Ctrl+Alt+Del вызовет "Диспетчер задач Windows", внимательно смотрим на закладку "Процессы" и ищем файл с именем csrcs.exe. Здесь надо быть очень внимательным, так в самой системе есть файл с именем сsrss.exe – это правильный и нужный файл, его трогать не надо. Кстати, один из популярных трюков вирусописателей - замаскировать имя под похожее системное.
Если файл csrcs.exe – присутствует, то выделяем его и нажимаем "Завершить процесс", перед удалением он должен быть выгружен из памяти.
Следует сказать, что часто вирусы "гуляют" парами и достаточно нередкое явление - это отключение вирусом диспетчера задач (опять же модификация ключа в реестре). Тогда стандартными средствами не воспользуешься. Вот здесь и приходят на помощь две чрезвычайно полезные утилиты для мониторинга своего компьютера.
Программа ProcessXP аналогична диспетчеру задач, но отображает работающие процессы и программы в удобном древовидном виде. На запуск программы не влияют никакие ключи реестра, и, запустив ProcessXP, при наличии нашего вируса в памяти, мы увидим такую картину.
Обратите внимание, что csrcs.exe запущен от имени Explorer.exe или попросту от залогиненного пользователя, и если (я забегаю вперед) знать, что файл запущен из системной папки Windows\System32, то можно сразу сделать практически 100% вывод – это он, вирус. Тем более отсутствие каких-либо описаний файла должно вызвать первые сомнения при любом исследовании системы. Выгружаем его.
Процесс выгружен из памяти. Теперь нужно удалить сам файл. Как уже было сказано выше, он находится в системно каталоге Windows.
Чаще всего это, например, C:\Windows\System32\csrcs.exe. Напомню, что файл скрыт. Поэтому надо включить отображение скрытых файлов (в настройках "Свойства Папки") и поискать файл глазами или стандартным поиском системы(не забывая задать опцию "искать в скрытых и системных файлах") или воспользоваться, например, Total Commander (естественно, тоже с включенным отображением скрытых файлов). Открываем системную папку, сортируем по именам и вот он, красавец, на скриншоте.
Обратите внимание, указанный размер (а если быть совсем точным 419920 байт) всегда 420 Kb, это тоже может служить признаком определения "вредителя" . Находим и удаляем файл, если файл не удаляется, пишет, что занят, значит он по-прежнему "сидит" в памяти и его нужно сначала выгрузить.
Все, самого вируса на компьютере нет, осталось только удалить упоминание о нем в реестре. Конечно, можно загрузить Regedit и поискать вручную, но я рекомендую воспользоваться замечательной антивирусной утилитой Зайцева http://z-oleg.com/secur/avz/index.php. Сама утилита поможет во многих случаях, но, если говорить по делу, сейчас нас интересует контроль автозагрузки. Запускаем avz.exe, в главном меню выбираем "Сервис" - "Менеджер автозапуска". Получаем картинку, подобную на скриншоте.
Что нам нужно сделать?
Во-первых, удалить запуск самого вируса, становимся на строку (на картинке с пометкой 1) и нажимаем кнопку на тулбаре "Удалить" (на картинке пометка 2).
Дальше, что очень важно, надо исправить ключ запуска проводника (на картинке 3), именно из-за модифицированного ключа запуска возникает ошибка при старте системы (окно с сообщением "Windows не удалось найти "csrcs.exe". Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "пуск", а затем выберите команду "Найти"." ). Для удаления ключей становимся на первую строку "Explorer.exe csrcs.exe" и нажимаем кнопку на тулбаре "Восстановить значения по умолчанию" (на картинке 4), вторая строка должна исправиться автоматически на "Explorer.exe".
Хочу добавить вот еще что, очень неплохим финальным шагом будет еще и удалить все системные точки восстановления, чтобы через некоторое время вирус чудесным образом не восстановился.
Для последнего шага открываем свойства "Мой компьютер", переходим на закладку "Восстановление системы" и устанавливаем опцию "Отключить восстановление системы на всех дисках".
Нажимаем "Применить", ждем некоторое время, пока удалятся все точки восстановления, а затем убираем опцию. Для неопытных рекомендую нажимать не "Применить", а "Ok", затем снова зайти в свойства и убрать установленную ранее птичку.
Пользователи, успешно справившиеся с проблемой этого вируса, также рекомендую очищать папку %Temporary Internet Files% (она находится в профиле пользователя). В эту папку записывается весь кеш броузера IE, т.е. все что поступает к Вам при просмотре сайтов интернета. И если есть предположение, что вирус Вы "подцепили" из интернета (чаще из локальных сетей ИМХО и опыт  ) и Вы пользуетесь броузером Internet Explorer этот совет имеет вес для Вас. 
Обязательно перегружаем компьютер, все, мы удалили вирус с коварным именем csrcs.exe
Обязательно держите базы антивируса в обновленном состоянии. |
из комментариев читавших статью: |
Есть ручной метод. След остался в реестре. Можно его оттуда удалить.
Без установки дополнительных утилит.
Так вот,
1. жмем Пуск - Выполнить - regedit
2. нажимаем F3
3. в строку поиска прописеваем csrcs
4. запускаем поиск
5. из появившихся файлов удаляем только те где есть надпись csrcs.ехе - только файл с окончанием ( Explorer.exe csrcs.exe ) не удаляем, а только изменяем окончание удалив ( csrcs.exe ) после чего у нас окончание выглядит так ( Explorer.exe )
рекомендую сделать несколько проверок подряд, повторяя ранее описаную процедуру.
Кстати, Menel, у меня для Вашей статьи есть еще один хороший материал. Вот Вы рассмотрели действия, когда у людей установлен антивирус, который способен не только обнаруживать этого троянца, но и удалять его. Но не у всех есть такие антивирусы (по тем или иным причинам). А я хотел бы рассказать, как я боролся с этим руткитом на моем компе с помощью утилиты AVZ, но без помощи моего резидентного антивируса (у меня avast!, который только обнаружил с помощью эвристики этот файл, но удалить не смог).
Я почти все сделал именно с ее помощью:
1. через меню "Сервис\Диспетчер процессов" поудалял все процессы с именем "csrcs.exe";
2. через "Сервис\Поиск файлов на диске" нашел и удалил самого троянца в папке X:\Windows\system32 (где X: - системный раздел, на котором находится сама Винда);
3. через "Сервис\Поиск данных в реестре" нашел и удалил все следы этого троянца в реестре (по имени его файла);
4. через "Сервис\Менеджер автозапуска" (как у Вас в статье) удалил файл X:\Windows\System32\csrcs.exe, а ключи "Explorer.exe csrcs.exe" с помощью кнопки, обозначенной у Вас на соответствующем скриншоте цифрой 4, вернул в исходное состояние (т.е. в "Explorer.exe" зеленого цвета);
5. почистил папку %Temporary Internet Files%, как советовали на сайте Касперского (ссылку см. в моем посте от 9.04.2009 - 06:48). Тем более, что аваст перед этим сканировал эту папку и у него было к ней много претензий;
6. по Вашему совету (в статье) отключил на время функцию восстановления системы, перезагрузился и вновь ее включил.
Так что, если у кого-то антивирус сам не удалил этого троянца, можете воспользоваться и моим советом.
На всех зараженных компьютерах рекомендую действовать примерно так: 1) Загрузиться в "Безопасный режим" и пролечить компьютер DrWeb'ом (именно той версией, которую не нужно устанавливать и лицензировать, ссылка http://www.freedrweb.com/) 2) После сего запустить AVZ и просмотреть " Автозагрузку" (все, что выделено в автозагрузке черным цветом - подлежит тщательному рассмотрению), также неплохо было бы разобраться и с " Расширения IE", " Сервисы и Драйвера" (будьте внимательны, здесь надо иметь определенный опыт)3) В AVZ открыть " Сервис" - "Менеджер файла Hosts" - просмотреть все строки внимательно! Строка 127.0.0.1 localhost - должна быть, а вот с другими (если есть) надо разбераться. Многие вирусы здесь блокируют доступ к обновлениям антивирусов через интернет! 4) Флешки открыть исключительно в файловых менеджерах, типа TC - просмотреть их на наличие авторунов и прочих "не человеческих файлах", проверить их все через тот же антивирус Вот что-то примерно так. В любом случае нужно искать на этих машинах вирусы.
|
