[Избавление от вирусов ]
Главная » Статьи » Защита » Вирусы
Вирус - csrcs.exe
Сегодня полдня убил на комп сестры жены. Какая-то зараза не давала выйти в инет и тормозила его. Я не спец по этим делам, поэтому много времи ушло на игру в прятки с вирусами. Я ставил в прошлом году AVG на этот комп, но его давно не обновляли. Поэтому имеем:

"Trojan horse Generic_c.AHVC”
"Trojan horse BackDoor.Hupigon5.DIR”
"Trojan horse SpamTool.CGC”
"Trojan horse SHeur2.ADKV”
"Trojan horse Generic12.BTUL”

Первый - "Trojan horse Generic_c.AHVC” - распространенная зараза живущая в файле %System%\csrcs.exe. Имя файла очень похоже на имя служебного файла csrss.exe (Client Server Runtime Process). Поэтому он обычно не вызывает подозрений при просмотре списка задач. Засек урода когда начал находить пустые файлы с именем khs. Затем ругнулся AVG на моем компе при попытке зайти на шару с зараженного компа. Т.к. базы AVG были старые, то он его не видел, пришлось бороться ручками.

Методика обычная:

  1. Обездвиживаем - выгружаем из памяти процесс csrcs.exe через диспетчер задач
  2. Уничтожаем - удаляем файл вируса (C:\WINDOWS\system32\csrcs.exe)
  3. Полируем систему - удаляем вызовы на загрузку

Если не выполнить пункт три, то увидим после перезагрузки посмертный привет:

вирус csrcs.exe просит его найти и запустить, винда походу даёт советы как это лучше сделать :)

вирус csrcs.exe просит его найти и запустить, винда походу даёт советы как это лучше сделать :)

Для удаления вызова вируса можно через regedit найти все ветки содержащие csrcs.exe и удалить их. Но я предпочитаю замечательную бесплатную программу от Sysinternals - это autoruns.exe

В удобном графическом виде можно выщемить и удалить из реестра загрузку не только csrcs.exe, но другой заразы, а также всяких дебильных утилит и апдейтеров.

csrcs autorun.exe

При работе с зараженным компом нужна осторожность, вирус заражает вставленные флешки, сетевые диски (создаёт исполнимый файл со случайным именем и autorun для его запуска, а также пустые файлы с  именами khq, kh).

Второй вирус, "Trojan horse BackDoor.Hupigon5.DIR", было легко распознать, уши торчали в списке задач в виде IEXPLORE.EXE которого никто не загружал. При попытке его убить через пару секунд explorer.exe снова загружал вирус в память.

Поэтому я убил explorer.exe, который отвечает за рабочий стол. Почистил через autoruns.exe вызовы вируса (он запускался при загрузке explorer.exe, ищем загрузку vcrt80.exe, system32:vcrt80.exe).  И снова запустил explorer.exe, на это раз уже чистым.

К этому времени я уже решил ошибку 1068 и подрубил и сеть и интернет, обновил AVG и натравил его на остальных. Результат - все мертвы. Если бы антивирус был свежий, то он не допустил бы такого разгула.

Категория: Вирусы | Добавил: P@vel (28.01.2010)
Просмотров: 7117 | Рейтинг: 5.0/2
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]