Вівторок, 18, січня, 2011

Останнім часом зіткнувся з вірусом який носить назву - Trojan-Downloader.Win32.AutoIt.fn (в нотифікації Касперського) або Win32.HLLW.Autoruner.2815 (в нотифікації DrWeb цифри в закінченні можуть бути різними). Вірус, також, відомий під ім'ям свого виконуваного тіла, яке лежить в папці% System% - csrcs.exe.

Найцікавіше, що вірус цей з'явився у мене як на домашньому комп'ютері, так і на роботі. Причому на роботі майже на всіх комп'ютерах. Здається додому я його і приволік на флешці. Так як вдома у мене стоїть NOD 32, кторой його виявив і вилучив. Але після видалення залишилася одна дуже неприємна річ - при завантаженні комп'ютера вискакувало вікно «Windows не вдалося знайти файл System32 / csrcs.exe ...». Після установки NOD 32 на роботі, виявилася таж сама картина - вискакувало це вікно.

І ось поблукавши по просторах інтернету (витративши при цьому не мало часу), я все ж знайшов як спосіб повного видалення цього вірусу.
Тому систематизувавши отримані дані і приплюсувавши свій особистий досвід, я вирішив написати цю статтю.

У статті я хочу розповісти, як перевірити свою машину на наявність цього вірусу, навчити вручну видаляти вірус (буває треба і таке, коли антивірус в упор не бачить цей файл як вірус). Можливо, стаття допоможе і тим, у кого після лікування вірусу при завантаженні системи виникає повідомлення про неможливість запустити csrcs.exe. Таке буває, коли антивірус засік вірусну програму по пригоді деякого часу і вірус встиг «окопатися в системі».

Даний вірус - троянська програма, порушує працездатності комп'ютера, написана у вигляді додатку Windows (PE EXE-файл). Троянець містить в собі вбудованого IRC-бота, за допомогою якого «нехороші люди» можуть отримати доступ до комп'ютера користувача. Заразивши комп'ютер, вірус, використовуючи локальну мережу, намагається розмножити себе за всіма доступними мережевих ресурсів (що найогидніше, на комп'ютерах організацій).

Записуючи себе в папку з повним доступом мережевого комп'ютера, вірус часто поруч створює файли з 0 розміром і іменами khq, khs. Є думка, що таким чином він залишає позначку про своє існування на даній машині. Причому залишає ці файли в корені всіх дисків і навіть флешок.

Природно, вірус виявляється і віддаляється будь-яким сучасним антивірусом з оновленими базами. Але найчастіше після видалення вірусу антивірусом з'являється вищеописане вікно.

Зазвичай визначення відбувається на момент зараження або при примусовому скануванні машини.

Один з моментів виживання вірусу на комп'ютері - це установка на файл csrcs.exe атрибутів «прихований» і «тільки для читання», що дає йому можливість не показуватися в стандартному провіднику Windows. Троянець, змінивши свій атрибут на прихований, править в реєстрі ключі і повністю блокує відображення прихованих файлів в системі.

Визначати наявність вірусу в пам'яті будемо як штатними засобами операційної системи, так і за допомогою спеціалізованої утиліти моніторингу запущених процесів.

Подивимося на завантажені процеси в системі: Натискання Ctrl + Alt + Del викличе «Диспетчер завдань Windows», уважно дивимося на закладку «Процеси» і шукаємо файл з ім'ям csrcs.exe. Тут треба бути дуже уважним, так в самій системі є файл з ім'ям сsrss.exe - це правильний і потрібний файл, його чіпати не треба. До речі, один з популярних трюків вірусів - замаскувати ім'я під схоже системне.

Якщо файл csrcs.exe - присутній, то виділяємо його і натискаємо «Завершити процес», перед видаленням він повинен бути вивантажений з пам'яті.

Потрібно сказати, що часто віруси «гуляють» парами і досить часте явище - це відключення вірусом диспетчера задач (знову ж модифікація ключа в реєстрі). Тоді стандартними коштів не скористаєшся. Ось тут і приходять на допомогу дві надзвичайно корисні утиліти для моніторингу свого комп'ютера.

Програма ProcessXP аналогічна диспетчеру завдань, але відображає працюють процеси і програми в зручному деревоподібному вигляді. На запуск програми не впливають ніякі ключі реєстру, і, запустивши ProcessXP, при наявності нашого вірусу в пам'яті, ми побачимо таку картину.

Зверніть увагу, що csrcs.exe запущений від імені Explorer.exe або просто від залогіненним користувача, і якщо (забігаючи вперед) знати, що файл запущений з системної папки Windows \ System32, то можна відразу зробити практично 100% висновок - це він, вірус . Тим більше відсутність будь-яких описів файлу повинна викликати перші сумніви при будь-якому дослідженні системи. Вивантажуємо його.

Процес вивантажено з пам'яті. Тепер потрібно видалити сам файл. Як вже було сказано вище, він знаходиться в системно каталозі Windows.

Найчастіше це, наприклад, C: \ Windows \ System32 \ csrcs.exe. Нагадаю, що файл прихований. Тому треба включити відображення прихованих файлів (в настройках «Властивості папки») і пошукати файл очима або стандартним пошуком системи (не забуваючи задати опцію «шукати в прихованих і системних файлах») або скористатися, наприклад, Total Commander (Природно, теж з включеним відображенням прихованих файлів). Відкриваємо системну папку, сортуємо по іменах і ось він, красень, на
скріншоті.

Зверніть увагу, вказаний розмір (а якщо бути зовсім точним 419920 байт) завжди 420 Kb, це теж може служити ознакою визначення «шкідника». Знаходимо і видаляємо файл, якщо файл не видаляється, пише, що зайнятий, значить він як і раніше «сидить» в пам'яті і його потрібно спочатку вивантажити.

Все, самого вірусу на комп'ютері немає, залишилося тільки видалити згадка про нього в реєстрі. Звичайно, можна завантажити Regedit і пошукати вручну, (нижче я опишу цей процес) а можна скористатися чудовою антивірусної утилітою Зайцева AVZ . Сама утиліта допоможе у багатьох випадках, але, якщо говорити по справі, зараз нас цікавить контроль автозавантаження. Запускаємо avz.exe, в головному меню вибираємо «Сервіс» - «Менеджер автозапуску». Отримуємо картинку, подібну на скріншоті.

Що нам потрібно зробити?

По-перше, видалити запуск самого вірусу, стаємо на рядок (на зображенні з позначкою 1) і натискаємо кнопку на панелі інструментів «Видалити» (на зображенні позначка 2).

Далі, що дуже важливо, треба виправити ключ запуску провідника (на зображенні 3), саме через модифікованого ключа запуску виникає помилка при старті системи (вікно з повідомленням «Windows не вдалося знайти" csrcs.exe ". Перевірте, що ім'я було введено правильно, і спробуйте ще раз. Щоб знайти файл, натисніть кнопку "пуск", а потім виберіть команду "Знайти". »). Для видалення ключів стаємо на перший рядок «Explorer.exe csrcs.exe» і натискаємо кнопку на панелі інструментів «Відновити значення за замовчуванням» (на зображенні 4), другий рядок повинна виправитися автоматично на «Explorer.exe».

Так само можна воспорльзоваться редактором реєстру. «Пуск», «Виконати», вводимо «regedit» (без лапок). У відкритому редакторі «Знайти» вводимо наш csrcs.exe (бажано вводити без розширення, тобто csrcs).

Має знайтися кілька ключів містять csrcs.exe.

Приклад: HKEY_CURRENT_USER \ software \ microsoft \ windows \ shell noroam \ muicache

параметр - \ C: \ WINDOWS \ system32 \ csrcs.exe

HKEY_USERS \ S-1-5-21-1801674531-1292428093-72534554 3-1003 \ software \ microsoft \ windows \ shellnoroam \ muic ache

параметр - \ C: \ WINDOWS \ system32 \ csrcs.exe

У деяких випадках буває 5 і більше ключів містять в параметрах csrcs.exe

Видаляємо всі параметри містять csrcs.exe,
за винятком HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Shell параметром ключа повинен бути тільки Explorer.exe. Витираємо після Explorer.exe_csrcs.exe.

Хочу додати ще одне, дуже непоганим фінальним кроком буде ще і видалити всі системні точки відновлення, щоб через деякий час вірус чудесним чином не відновився.

Для останнього кроку відкриваємо властивості «Мій комп'ютер», переходимо на закладку «Відновлення системи» і встановлюємо опцію «Вимкнути відновлення системи на всіх дисках».
Натискаємо «Застосувати», чекаємо деякий час, поки втечуть всі точки відновлення, а потім прибираємо опцію. Для недосвідчених рекомендую натискати не "Застосувати», а «Ok», потім знову зайти в властивості і прибрати встановлену раніше пташку.

Користувачам, успішно впорався з проблемою цього вірусу, також рекомендую очищати папку% Temporary Internet Files% (вона знаходиться в профілі користувача). У цю папку записується весь кеш броузера IE, тобто все що надходить до Вас при перегляді сайтів Інтернету. І якщо є припущення, що вірус Ви «підчепили» з інтернету (частіше з локальних мереж) і Ви користуєтеся браузером Internet Explorer ця рада має вагу для Вас.

Обов'язково перенавантажуємо комп'ютер, все, ми видалили вірус з підступним ім'ям csrcs.exe.