Как удалить вирус-троян csrcs.exe?
Сижу... Спокойно сижу... Лениво просматриваю интернет-страницы... И тут — опа! И нет интернета. 
Нет, точнее есть, но такой вдруг стал тормознутый, что даже сайты не могу открыть. Сначала подумал, что что-то резко начало грузиться через торрент-клиент. Внимательно осмотревшись во всех частях системы, понял, что что-то тут не то. Но что именно пока не понимал. Меня в такие моменты странноватое чувство начинает посещать. Как у охотника. Жажда борьбы, что ли?
Открыв диспетчер задач (ctrl+alt+del), ничего подозрительного не увидел. Странно как-то... Что же так глушит весь трафик? — осторожно подумал тогда я. Честно говоря, мне в тот момент было все равно, что мой браузер выдавал результат запроса лишь спустя пару минут. Я никуда не спешил. И это было мне на руку. Вот именно из-за свободного времени и получилась эта маленькая история, о которой я сегодня напишу. В теме поста я уже успел высветить то, о чем собственно и пойдет речь.
Мне иногда становиться интересно: зачем вирусописатели создают свои «шедевры»? Конечно я не говорю о тех, кто пишет только для того, что бы стырить кучу виртуального бабла у заядлых интернетчиков. Меня интересуют те, кто пишет всякие программки, приносящие только откровенный вред всем подряд и без разбора. Что именно ими движет? Слава или обида? Деньги или откровенная злоба против всех? Лучше бы они все вместе собирались в одном месте и работали на благо человечества, а не старались что-либо доказать по одиночке. Но это так мои рассуждения... Порой возникают вопросы, вот и пишу их в надежде что кто-то ответить на них.
Ладно приступим к самому рассказу. Немного пораскинув мыслишками я догадался, что вся загвоздка была в обычном флеш-накопителе, который я принес домой дабы скопировать пару новых фильмов своему другу. И как раз на ней был странноватый файлик, который имел сумбурное название. К сожалению в этой флешке не был деактивирован автозапуск с помощью утилиты Panda USB Vaccine. Кстати, кто до сих пор не знает, эта программа-вакцина поможет Вам избежать автоматического автозапуска зараженных флешек на Вашем компьютере.
Обязательно заблокируйте флешку от вирусов!
При вставке сменного накопителя вирус самоустановился в ОС. При этом он прописался в автозагрузку под именем CSRCS.EXE и начал творить полный бред на моем компьютере. Интернет обмен данными был сведен к полноценному нулю. Троян настолько усердно что-то качал с Интернета, что никакие программы вместе с ним не работали. Это меня даже позабавило. «Так где же решение моей проблемы?» — спросите Вы.
Все гениальное — просто! Но сначала хочу рассказать, что же на самом деле творит этот зверь? В системе есть очень похожий на него процесс, но вот только имя его пишется чуток по другому: CSRsS.EXE. И именно эта, на глаз не заметная разница, приводит к тому, что опытный пользователь может легко спутать этот троян с обычным системным процессом, разрешая тем самым творить «чудеса». После своего самокопирования в системе отключается возможность просмотра скрытых и системных файлов. Поэтому, если Вы всегда пользуетесь такой функцией, сможете легко заметить признаки присутствия незваного гостя.
Далее происходит запись в автозагрузку, дабы в будущих запусках вирус всегда висел в процессах запущенным. Что позволит хакеру легко завладеть Вашим драгоценным компьютером со всеми его информационными внутренностями в любой момент онлайн работы. Поэтому Вы просто обязаны знать главные системные процессы, которые работают во благо нормальной работы ПК. Тем самым Вы сможете легко обнаружить подозрительный вирус, возможно именуемый себя «хазяином» или всего лишь «помощником».
Уничтожить такой вирус просто: находите через поиск файл csrcs.exe. Он как правило находится тут: c:\windows\system32. Но перед этим необходимо завершить процесс в диспетчере задач. В противном случае сам вирус даст Вам от ворот поворот. После того, как завершили процесс смело удаляйте найденный файл. Только смотрите внимательно, что стираете! Можете ненароком удалить именно его хороший почти аналог: csrss.exe.
После фактического удаления тела вируса нам необходимо стереть и его следы в реестре. Для этого запустите редактор реестра через команду «Пуск — Выполнить — regedit». Далее найдите и отредактируйте вот эту ветку:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
В ней не должно быть упоминаний об имени: csrcs.exe. Если есть, тогда их необходимо стереть, воспользовавшись клавишей «Del».
Также необходимо изменить значение вот этой ветки реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
«Shell» = «Explorer.exe csrcs.exe»
В этой ветке много значений, но нам необходимо только одно, а именно shell. В моем выше указанном примере написано неправильное значение. В идеале должно быть вот так:
«Shell» = «Explorer.exe»
Поэтому Вам необходимо двойным щелчком открыть редактирование значения и изменить его. Нельзя удалять значение вовсе! В противном случае не запуститься графическая оболочка Windows. И в результате не сможете работать за ПК. Если не изменить последнюю запись, то ОС будет постоянно требовать от Вас этот злополучный удаленный файл вируса. Неопытные пользователи в страхе могут и вернуть его назад. А это только на руку хакеру. Поэтому не ведитесь на такие «шутки»!
Всё выше написанное, я осуществил примерно через 20 минут. Это время было потрачено на запуски и перезагрузки системы. Ведь только запущенный вновь компьютер покажет, есть ли вирус в диспетчере или его и след простыл. В моем случае вирус был корректно удален, что порадовало не только меня, но и моего друга. Так как он тоже смог избавиться от это гадости, благодаря небольшим манипуляциям с файлом и реестром.
Немаловажной приметой наличия вируса в системе являются файлы с нулевым размером и именами khq, khs, которые записываются вирусом в сетевые каталоги с полным доступом на запись и чтение, а также на сменные носители. Исходя из этого советую отключать полный доступ и оставлять лишь чтение, тем самым ограничивая зону действия вируса. Для чего создаются эти файлы неизвестно, но возможно это лишь своего рода маркеры присутствия.
Хотелось бы предупредить всех читателей моего блога о том, такой вирус наиболее распространен в последнее время. Это я сужу по своим наблюдениям при обмене информацией между моими сотрудниками и близкими. Именно эти сумбурные вирусные файлы чаще всего приносят они ко мне домой или передают на работе. Может кто-то тоже заметил такую тенденцию — пишите, говорите всем, дабы избежать возможных проблем в будущем. Ведь осведомлены, значит защищены!
Кстати, антивирусы почему-то очень вяло детектируют этот вирус. Я пользуюсь Comodo Internet Security и в отличие от того же Nod32 только он мне помог обнаружить и заблокировать исходящий трафик моего «хищника».
Похожие записи по теме:
А не встречал тоже подобный вирус,только в процессах светится как svchost и не запрещает скрытые?Я его определил только когда заметил что он от учетной записи запущен!)))
Нет, такого не встречал. А в чем проявляется его работа?
Система немного подтармаживала!На счет инета не знаю,у меня тогда нета небыло!Но распространялся он через флешки,заметил по тому что на флешках постоянно 2 exe-шника весело под видом папок!И постоянно обновлялась,когда ее открываешь!Вирус прописался в автозагрузку как svchost.exe!А сам файл находился в дериктории C:\Windows\System32\muis\svchost.exe или C:\Windows\muis\svchost.exe,точно не помню!
Цитата: «Я пользуюсь Comodo Internet Security и в отличие от того же Nod32 только он мне помог обнаружить и заблокировать исходящий трафик моего „хищника“.»
Зачем же ты тогда вручную все убирал???
Comodo — антивирус с редкими обновлениями, не эффективен, слабо распознает новые вирусы и даже может не распознать довольно старые (более недели).
NOD32, как и его коммерческие аналоги Касперский, Avira, Dr.Web, Symantec, Bitdefender и другие распознают 75-98% еще неизвестных вирусов (их не было в антивирусной базе, они специально создавались для тестирования).
www.av-comparatives.org
Я до времени обнаружения пользовался Нодом, но после того, как он не справился с этим вирусом я снес его. Дело в том, что у меня был обычный антивирус, а у Комодо он шел с фаерволлом. Поэтому именно фаерволл Комодо помог обнаружить офигенный трафик вирусняка. Конечно я мог ранее установить и Нод32 Интернет Защиту, но до этого случая я не нуждался в таких замутах. Поставил Комодо из-за того, что бесплатен. А что касается вирусов, то вроде справляется. Лишнего не вижу да и трафик отлично мониторит. Правда обидно, что ни один антивирь не распознал этот троян. И что самое главное ,что вирус староват, а лекарства от него все ещё нет. Странновато как-то...
Вот именно по этой причине и появился этот пост и именно потому пришлось гонятся за ним вручную.
Вы в статье пишите: «Открыв диспетчер задач (ctrl+alt+del), ничего подозрительного не увидел.»
А не подскажете, что может быть подозрительным (потенциально опасным). Т.е. на что нужно обратить внимание.
Я так думаю, что большая часть пользователей открыв Процессы Диспетчера задач, вряд ли вообще может понять что все эти процессы означают.
Я в ближайшем будущем хочу написать небольшую статью именно о процессах и их количестве в диспетчере задач. Естественно это будет не образец идеальности, но все же сможете понять, что именно можно выключать, а что пускай работает.
Ага. Вирус распространился очень широко) Мне его с работы принесли, но хочу заметить что Нод 32 его опредилил. Чем он мне мешал — иногда загружал интернет, то есть писало что интернет есть, а ничего не качало. Та то бы еще ладно, думал что провайдер гонит, но самое странное, что странички не грузились, а ася работало как ничего не бывало. Вот тут то я и почуял недоброе... А засек я его тогда, когда без подключения к интернету мне выбивало сообщение «Подключите интернет» от имени csrcs.exe . Зашел в интернет — думал если не вирус то что я удалю, то еще проблему подхвачу. А так наткнулся на єту статью — помогла) спс. Правд я его не с реестра удалял регедитом, а другими прогами.
Спасибо огромное, удалил ету тварь!
Всегда пожалуйста!
Подскажите, а что делать, если в процессе работы инета мой ноутбук вдруг зависает и перестает реагировать на все команды? В чем там дело?
Причин может быть много:
1. перегрев корпуса.
2. неправильно работает ОС.
3. неправильно работают важные программы, типа антивируса.
4. запускаются «левые» программы, потребляющие уйму ресурсов.
5. вирусы и т.д.
Точный ответ может дать только техосмотр в сервис-центре.
У меня установлен Касперский, при проверке вирусов не находит. А что за «левые» программы? Отчего может перегреваться корпус?
Я привел всего несколько причин. Я уже написал, что смотреть надо воочию ваше детище. Скорей всего у Вас проблемы с ОС.
«Левые» программы — это взломанные программы, которые порой содержат весьма интересные участки кода, способные творить ещё и не такие «чудеса».
Греется корпус от сломанной или «закисшей» системы вентиляции, а также от экстремальных условий во время использования.
@Yarunya
Как вы определите, что отключать, а что нет? Процессы диспетчера задач часто взаимосвязаны между собой и другими функциями. Я, например, пользовался некоторое время Windows с отключенными изначально некоторыми процессами, однако понадобилось включить один из них и это было очень трудно. Т.к. из-за этого одного отключенного процесса автоматически были отключены еще несколько необходимых задач. А выискивать и включать их оказалось нудным занятием, т.к. необходимо было соблюдать последовательность (взаимосвязь) запуска. Осторожнее с этим!