Последние пару месяцев наблюдаю на работе активность одного компьютерного вируса. Название вируса - Trojan-Downloader.Win32.AutoIt.fn (в нотификация Касперского) или Win32.HLLW.Autoruner.2815(в нотификации DrWeb
цифры в окончании могут быть разными). Вирус, однако, известен под
именем своего исполняемого тела, которое лежит в папке %System% - csrcs.exe
Данный
вирус – троянская программа, нарушающая работоспособность компьютера,
написанная в виде приложения Windows (PE EXE-файл). Троянец содержит в
себе встроенного IRC-бота, с помощью которого "плохие люди" могут
получить доступ к компьютеру пользователя. Заразив компьютер, вирус,
используя локальную сеть, старается размножить себя по всем доступным
сетевым ресурсам (что самое отвратительное, на компьютерах
организаций).
Записывая себя в папку с полным доступом сетевого компьютера, вирус часто рядом создает файлы с 0 размером и именами khq, khs. У меня есть подозрение, что таким образом он оставляет отметку о своем существовании на данной машине.
Естественно,
вирус детектируется и удаляется любым современным антивирусом с
обновленными базами. Например, используемый мной на работе антивирус
DrWeb прекрасно справляется с этой напастью.
Определение вируса в Dr.Web
Определение в AVZ (Антивирус Зайцева)
Обычно определение происходит на момент заражения или при принудительном сканировании машины.
Здесь
я хочу рассказать, как проверить свою машину на наличие этого вируса,
научить вручную удалять вирус (бывает надо и такое, когда антивирус в
упор не видит этот файл как вирус). Возможно, статья поможет и тем, у
кого после лечения вируса при загрузке системы возникает сообщение о невозможности запустить csrcs.exe. Такое бывает, когда антивирус засек вирусную программу по происшествии некоторого времени и вирус успел "окопаться в системе".
Один из моментов выживания вируса на компьютере - это установка на файл csrcs.exe атрибутов "скрытый" и "только для чтения",
что дает ему возможность не показываться в стандартном проводнике
Windows. Троянец, изменив свой атрибут на скрытый, правит в реестре
ключи и полностью блокирует отображение скрытых файлов в системе.
Определять
наличия вируса в памяти будем как штатными средствами операционной
системы, так и специализированной утилиты мониторинга запущенных
процессов.
Посмотрим на загруженные процессы в системе: Нажатие
Ctrl+Alt+Del вызовет "Диспетчер задач Windows", внимательно смотрим на
закладку "Процессы" и ищем файл с именем csrcs.exe. Здесь надо быть очень внимательным, так в самой системе есть файл с именем сsrss.exe
– это правильный и нужный файл, его трогать не надо. Кстати, один из
популярных трюков вирусописателей - замаскировать имя под похожее
системное.
Если файл csrcs.exe – присутствует, то выделяем его и нажимаем "Завершить процесс", перед удалением он должен быть выгружен из памяти.
Следует
сказать, что часто вирусы "гуляют" парами и достаточно нередкое явление
- это отключение вирусом диспетчера задач (опять же модификация ключа в
реестре). Тогда стандартными средствами не воспользуешься. Вот здесь и
приходят на помощь две чрезвычайно полезные утилиты для мониторинга
своего компьютера.
Программа ProcessXP аналогична диспетчеру
задач, но отображает работающие процессы и программы в удобном
древовидном виде. На запуск программы не влияют никакие ключи реестра,
и, запустив ProcessXP, при наличии нашего вируса в памяти, мы увидим
такую картину.
Обратите внимание, что csrcs.exe запущен от имени Explorer.exe
или попросту от залогиненного пользователя, и если (я забегаю вперед)
знать, что файл запущен из системной папки Windows\System32, то
можно сразу сделать практически 100% вывод – это он, вирус. Тем более
отсутствие каких-либо описаний файла должно вызвать первые сомнения при
любом исследовании системы. Выгружаем его.
Процесс выгружен из памяти. Теперь нужно удалить сам файл. Как уже было сказано выше, он находится в системно каталоге Windows.
Чаще всего это, например, C:\Windows\System32\csrcs.exe.
Напомню, что файл скрыт. Поэтому надо включить отображение скрытых
файлов (в настройках "Свойства Папки") и поискать файл глазами или
стандартным поиском системы(не забывая задать опцию "искать в скрытых и
системных файлах") или воспользоваться, например, Total Commander
(естественно, тоже с включенным отображением скрытых файлов). Открываем
системную папку, сортируем по именам и вот он, красавец, на скриншоте
Обратите внимание, указанный размер (а если быть совсем точным 419920 байт) всегда 420 Kb, это тоже может служить признаком определения "вредителя"
. Находим и удаляем файл, если файл не удаляется, пишет, что занят,
значит он по-прежнему "сидит" в памяти и его нужно сначала выгрузить.
Все,
самого вируса на компьютере нет, осталось только удалить упоминание о
нем в реестре. Конечно, можно загрузить Regedit и поискать вручную, но
я рекомендую воспользоваться замечательной антивирусной утилитой Зайцеваhttp://z-oleg.com/secur/avz/index.php.
Сама утилита поможет во многих случаях, но, если говорить по делу,
сейчас нас интересует контроль автозагрузки. Запускаем avz.exe, в
главном меню выбираем "Сервис" - "Менеджер автозапуска". Получаем
картинку, подобную на скриншоте.
Что нам нужно сделать?
Во-первых, удалить запуск самого вируса, становимся на строку (на картинке с пометкой 1) и нажимаем кнопку на тулбаре "Удалить" (на картинке пометка 2).
Дальше, что очень важно, надо исправить ключ запуска проводника (на картинке 3),
именно из-за модифицированного ключа запуска возникает ошибка при
старте системы (окно с сообщением "Windows не удалось найти
"csrcs.exe". Проверьте, что имя было введено правильно, и повторите
попытку. Чтобы выполнить поиск файла, нажмите кнопку "пуск", а затем
выберите команду "Найти"." ). Для удаления ключей становимся на первую
строку "Explorer.exe csrcs.exe" и нажимаем кнопку на тулбаре
"Восстановить значения по умолчанию" (на картинке 4), вторая строка должна исправиться автоматически на "Explorer.exe".
Хочу добавить вот еще что, очень неплохим финальным шагом будет еще и удалить все системные точки восстановления, чтобы через некоторое время вирус чудесным образом не восстановился.
Для последнего шага открываем свойства "Мой компьютер", переходим на закладку "Восстановление системы" и устанавливаем опцию "Отключить восстановление системы на всех дисках".
Нажимаем "Применить", ждем некоторое время, пока удалятся все
точки восстановления, а затем убираем опцию. Для неопытных рекомендую
нажимать не "Приминить", а "Ok", затем снова зайти в свойства и убрать
установленную ранее птичку.
Обязательно перегружаем компьютер, все, мы удалили вирус с коварным именем csrcs.exe
Обязательно держите базы антивируса в обновленном состоянии.
Категория: Со всего света |
Просмотров: 1873 |
Добавил: fc
| Рейтинг: 5.0/2 |
. Находим и удаляем файл, если файл не удаляется, пишет, что занят,
значит он по-прежнему "сидит" в памяти и его нужно сначала выгрузить.
не восстановился.
