csrcs.exe - вирус, это он создаёт файл khs

6 мая 2009 | Метки: ,

virusСегодня полдня убил на комп сестры жены. Какая-то зараза не давала выйти в инет и тормозила его. Я не спец по этим делам, поэтому много времи ушло на игру в прятки с вирусами. Я ставил в прошлом году AVG на этот комп, но его давно не обновляли. Поэтому имеем:

“Trojan horse Generic_c.AHVC”
“Trojan horse BackDoor.Hupigon5.DIR”
“Trojan horse SpamTool.CGC”
“Trojan horse SHeur2.ADKV”
“Trojan horse Generic12.BTUL”

Первый - “Trojan horse Generic_c.AHVC” - распространенная зараза живущая в файле %System%\csrcs.exe. Имя файла очень похоже на имя служебного файла csrss.exe (Client Server Runtime Process). Поэтому он обычно не вызывает подозрений при просмотре списка задач. Засек урода когда начал находить пустые файлы с именем khs. Затем ругнулся AVG на моем компе при попытке зайти на шару с зараженного компа. Т.к. базы AVG были старые, то он его не видел, пришлось бороться ручками.

Методика обычная:

  1. Обездвиживаем - выгружаем из памяти процесс csrcs.exe через диспетчер задач
  2. Уничтожаем - удаляем файл вируса (C:\WINDOWS\system32\csrcs.exe)
  3. Полируем систему - удаляем вызовы на загрузку

Если не выполнить пункт три, то увидим после перезагрузки посмертный привет:

вирус csrcs.exe просит его найти и запустить, винда походу даёт советы как это лучше сделать :)

вирус csrcs.exe просит его найти и запустить, винда походу даёт советы как это лучше сделать :)

Для удаления вызова вируса можно через regedit найти все ветки содержащие csrcs.exe и удалить их. Но я предпочитаю замечательную бесплатную программу от Sysinternals - это autoruns.exe

В удобном графическом виде можно выщемить и удалить из реестра загрузку не только csrcs.exe, но другой заразы, а также всяких дебильных утилит и апдейтеров.

csrcs autorun.exe

При работе с зараженным компом нужна осторожность, вирус заражает вставленные флешки, сетевые диски (создаёт исполнимый файл со случайным именем и autorun для его запуска, а также пустые файлы с  именами khq, kh).

Второй вирус, “Trojan horse BackDoor.Hupigon5.DIR“, было легко распознать, уши торчали в списке задач в виде IEXPLORE.EXE которого никто не загружал. При попытке его убить через пару секунд explorer.exe снова загружал вирус в память.

Поэтому я убил explorer.exe, который отвечает за рабочий стол. Почистил через autoruns.exe вызовы вируса (он запускался при загрузке explorer.exe, ищем загрузку vcrt80.exe, system32:vcrt80.exe).  И снова запустил explorer.exe, на это раз уже чистым.

К этому времени я уже решил ошибку 1068 и подрубил и сеть и интернет, обновил AVG и натравил его на остальных. Результат - все мертвы. Если бы антивирус был свежий, то он не допустил бы такого разгула.

  1. Feodora
    31 мая 2009 в 00:15

    Вперыве лсышу, я в шоке

    • Ксю
      2 марта 2010 в 17:31

      Спасибо за описание, попробую

    • 4 марта 2010 в 19:34

      Большое человеческое спасибо. Немог справится с csrcs.exе. Блокировал установку лицензионного Каспера, и даже после чистки реестра, блокировал обновление базы Kaspersky Internet Securite 2009. Но теперь удалил благодаря Autoruns.exe. Надеюсь что теперь окно тоже не появится. Респект и уважуха.

  2. 16 июня 2009 в 20:20

    убил ссылку csrcs его в реестре и всё гут даже autoruns.exe некачал.

  3. Игорь
    6 июля 2009 в 13:52

    Спасибо! Очень помог. Именно эта зараза и сидела. Быстро восстановил работоспособность системы.

  4. ольга
    29 августа 2009 в 22:16

    murzik18 :а кто нибудь видел информацию ЗАЧЕМ он создает эти khs khq khc ?

    Спасибо мучилась пол дня пока не нашла Вашу страничку спасибо все получилось теперь не ругается

  5. Гость
    1 сентября 2009 в 15:13

    murzik18 :а кто нибудь видел информацию ЗАЧЕМ он создает эти khs khq khc ?

    Походу это маркерные файлы для вируса. Показывают, что система уже заражена, и больше заражать ненадо :)

  6. adamst
    24 сентября 2009 в 07:08

    Замечательно, доступно
    но я еще бы добавил autorun.i и autorun.in в system32 тоже нужно удалить

  7. noor
    14 января 2010 в 22:04

    Огромное спасибо автору.Быстро удалил вирус, хотя не очень хорошо разбираюсь в компьютерах.СПАСИБО

  8. Анонимно
    18 января 2010 в 00:29

    Спасибо большое!

  9. Волк
    18 января 2010 в 19:41

    Спасибо большое, выручил. Зараза все компы захватил.

  10. stiofik
    24 января 2010 в 10:06

    spasibo

  11. Виталий
    27 января 2010 в 09:21

    Спасибо! 1000 СПАСИБО!!!

  12. deepchel
    31 января 2010 в 18:26

    Большущее СПАСИБО! Все понятно и получилосью

  13. Bart_ Simpson
    10 февраля 2010 в 21:12

    Спасибо чувак за секунду разобрался, и почистил, а то заколидал этот гамнюк каждый раз вылазит!!!!!!!!!!!!!!!!!=)=)=)=)=)=):):):):):):):):):)

  14. Arxon
    22 февраля 2010 в 09:01

    ты просто красавчик!

  15. Анонимно
    10 марта 2010 в 13:46

    проста goooooood )))))) те респект и уважуха за такую тему ….убита тварь и на душе спокойней)

  16. Reyst
    29 марта 2010 в 08:08

    Ну вот и в и-нете нашлось что-то стоящее :))))))))))

    ЗЫ: Пасиб!! :))

  17. Анонимно
    23 июня 2010 в 12:41

    у меня даже exe файлы не открываются

Комментарии излишни.