csrcs.exe - вирус, это он создаёт файл khs
Сегодня полдня убил на комп сестры жены. Какая-то зараза не давала выйти в инет и тормозила его. Я не спец по этим делам, поэтому много времи ушло на игру в прятки с вирусами. Я ставил в прошлом году AVG на этот комп, но его давно не обновляли. Поэтому имеем:
“Trojan horse Generic_c.AHVC”
“Trojan horse BackDoor.Hupigon5.DIR”
“Trojan horse SpamTool.CGC”
“Trojan horse SHeur2.ADKV”
“Trojan horse Generic12.BTUL”
Первый - “Trojan horse Generic_c.AHVC” - распространенная зараза живущая в файле %System%\csrcs.exe. Имя файла очень похоже на имя служебного файла csrss.exe (Client Server Runtime Process). Поэтому он обычно не вызывает подозрений при просмотре списка задач. Засек урода когда начал находить пустые файлы с именем khs. Затем ругнулся AVG на моем компе при попытке зайти на шару с зараженного компа. Т.к. базы AVG были старые, то он его не видел, пришлось бороться ручками.
Методика обычная:
- Обездвиживаем - выгружаем из памяти процесс csrcs.exe через диспетчер задач
- Уничтожаем - удаляем файл вируса (C:\WINDOWS\system32\csrcs.exe)
- Полируем систему - удаляем вызовы на загрузку
Если не выполнить пункт три, то увидим после перезагрузки посмертный привет:
вирус csrcs.exe просит его найти и запустить, винда походу даёт советы как это лучше сделать :)
Для удаления вызова вируса можно через regedit найти все ветки содержащие csrcs.exe и удалить их. Но я предпочитаю замечательную бесплатную программу от Sysinternals - это autoruns.exe
В удобном графическом виде можно выщемить и удалить из реестра загрузку не только csrcs.exe, но другой заразы, а также всяких дебильных утилит и апдейтеров.
При работе с зараженным компом нужна осторожность, вирус заражает вставленные флешки, сетевые диски (создаёт исполнимый файл со случайным именем и autorun для его запуска, а также пустые файлы с именами khq, kh).
Второй вирус, “Trojan horse BackDoor.Hupigon5.DIR“, было легко распознать, уши торчали в списке задач в виде IEXPLORE.EXE которого никто не загружал. При попытке его убить через пару секунд explorer.exe снова загружал вирус в память.
Поэтому я убил explorer.exe, который отвечает за рабочий стол. Почистил через autoruns.exe вызовы вируса (он запускался при загрузке explorer.exe, ищем загрузку vcrt80.exe, system32:vcrt80.exe). И снова запустил explorer.exe, на это раз уже чистым.
К этому времени я уже решил ошибку 1068 и подрубил и сеть и интернет, обновил AVG и натравил его на остальных. Результат - все мертвы. Если бы антивирус был свежий, то он не допустил бы такого разгула.
Вперыве лсышу, я в шоке
Спасибо за описание, попробую
Большое человеческое спасибо. Немог справится с csrcs.exе. Блокировал установку лицензионного Каспера, и даже после чистки реестра, блокировал обновление базы Kaspersky Internet Securite 2009. Но теперь удалил благодаря Autoruns.exe. Надеюсь что теперь окно тоже не появится. Респект и уважуха.
убил ссылку csrcs его в реестре и всё гут даже autoruns.exe некачал.
Спасибо! Очень помог. Именно эта зараза и сидела. Быстро восстановил работоспособность системы.
Спасибо мучилась пол дня пока не нашла Вашу страничку спасибо все получилось теперь не ругается
Походу это маркерные файлы для вируса. Показывают, что система уже заражена, и больше заражать ненадо
Замечательно, доступно
но я еще бы добавил autorun.i и autorun.in в system32 тоже нужно удалить
Огромное спасибо автору.Быстро удалил вирус, хотя не очень хорошо разбираюсь в компьютерах.СПАСИБО
Спасибо большое!
Спасибо большое, выручил. Зараза все компы захватил.
spasibo
Спасибо! 1000 СПАСИБО!!!
Большущее СПАСИБО! Все понятно и получилосью
Спасибо чувак за секунду разобрался, и почистил, а то заколидал этот гамнюк каждый раз вылазит!!!!!!!!!!!!!!!!!=)=)=)=)=)=):):):):):):):):):)
ты просто красавчик!
проста goooooood )))))) те респект и уважуха за такую тему ….убита тварь и на душе спокойней)
Ну вот и в и-нете нашлось что-то стоящее :))))))))))
ЗЫ: Пасиб!! :))
у меня даже exe файлы не открываются