Четверг, 19.06.2025, 18:36

Leonid-Balakovo

Главная | Регистрация | Вход | RSS
Меню сайта
Категории раздела
Мои статьи [3]
Наш опрос
Оцените мой сайт
Результаты | Архив опросов
Всего ответов: 12
Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
Поиск
Друзья сайта
  • Все для веб-мастера
  • Программы для всех
  • Мир развлечений
  • Лучшие сайты Рунета
  • Кулинарные рецепты
    		•
    Главная » Статьи » Мои статьи
    csrcs.exe
    Windows не удалось найти csrcs.exe
    · Компьютерный вирус · Windows XP После включения компьютера и загрузки ОС Windows XP обнаруживается следующее. Описание проблемы: При включении компьютера и загрузки ОС Windows XP SP 2 (или другой ОС серии Windows NT с другим пакетом обновления) в автоматическом режиме появляется окно с ошибкой, характеризаующий проблему поиска загрузочного файла. Текст ошибки: csrcs.exe Windows не удалось найти 'csrcs.exe'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти". Скриншоты: Причины:
    Перед этим был удален из системы вирус Trojan-Downloader.Win32.AutoIt.fn (в нотификация Касперского) или Win32.HLLW.Autoruner.2815 (в нотификации DrWeb цифры в окончании могут быть разными) под файлом csrcs.exe, либо удален файл C:\Windows\prefetch\CSRCS.EXE 17976f63.pf. В реестре остался процесс запуска данного файла. Методы решения: 1) Запустить редактор реестра ("Выполнить" → regedit), выполнить следующее "Правка" → "Найти" (Ctrl+F), ввести csrcs, удалить строковые параметры со значением csrcs. · Проверить ветки: 1) HKLM: policies → Explorer → Run; 2) HKEY_USERS\...\Software\Microsoft\Windows\ShellNoRoam\MUICache · Проверить строковый параметр Shell REG_SZ Explorer.exe со значением csrsc.exe · Проверять все результаты поиском "Правка" → "Найти далее" до результата "Поиск в реестре завершен". 2) Очистить автозагрузку в реестре с помощью программы Autoruns. 3) Найти в С:\windows\prefetch файл CSRCS.EXE 17976f63.pf (может иметь другое название) 4) Удалить файл C:\Windows\System32\csrcs.exe (файл скрыт) 5) Автозагрузка в поиске файла отключается так: ПУСК → Выполнить → Msconfig → на вкладке "Автозагрузка" снять галочки там, где упоминается csrcs. 6) Имеется определенная комбинация действий в борьбе с этой проблемой: · с помощью утилиты Process Explorer убираем процесс csrcs.exe, не путать с csrss.exe; · выполняем следующие команды:
    Код:
    cd %systemroot%\system32 (или найти его через поиск)
    attrib -s -h csrcs.exe
    del csrcs.exe · в редакторе реестра в разделе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run удаляем параметр "csrcs";
    в разделе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon находим параметр "Shell", изменяем его значение на "explorer.exe". Дополнительная информация о борьбе с этим вирусом далее по ссылке: http://blog.manticora.ru/category/virus/udalenie_csrcs_exe_i_ego_posledstvii.html Нажмите Ctrl-Alt-Delete, выберите вкладку процессы, чтобы посмотреть, какие процессы у вас запущены. И если вы видите, что под вашим логином запущен процесс csrcs.exe, знайте, ваш компьютер заражён. Но учтите, что есть такой системный процесс как csrss.exe, (он запущен от имени системы, разница только в одной букве, присмотритесь внимательнее csrCs.exe - это вирус, csrSs - это системный процесс). Кликните правой кнопкой мыши на процессе csrcs.exe и в появившемся меню выберите "Завершить процесс”. Затем, запустите проводник, если вы не знаете как это сделать, то нажмите кнопку с флажком Windows, это между Alt и Ctrl и кнопку E… Т.е. комбинацию клавиш Win+E. В этом случае запустится "проводник”. На панели инструментов найдите "поиск”. Нажмите. Затем в левой панели введите csrcs.exe, затем ниже нажмите кнопку "Найти”. Далее в результатах поиска, если что-то появилось, это нужно будет удалить. А именно выбираем найденный файл правой кнопкой и в выпадающем меню выбираем "удалить”. Но это не всё. Что бы при загрузке компьютер не ругался на то, что он не нашёл файл "csrcs.exe", нужно выполнить следующее. Нажимаем на "Пуск”->”Выполнить”, пишем там "regedit” (без кавычек). Откроется окно редактора реестра. Нажимаем F3 для поиска необходимых строчек. В строке запроса пишем "csrcs” опять же без кавычек и нажимаем "Найти далее”. Все найденные строки необходимо удалить из реестра. А именно, в правой половине редактора реестра нужно правой кнопкой мыши нажать на строке, содержащей "csrcs” и выбрать в выпадающем меню "удалить”. Обычно это около пяти строк. После того, как вы проделаете все эти процедуры, рекомендую перезагрузиться и обязательно обновить антивирус, какой бы он у вас не стоял. Такие вот мои рекомендации, как удалить вирус csrcs. Троянская программа, нарушающая работоспособность компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 419920 байт. Упакована при помощи UPX. Распакованный размер – около 603 КБ. Написана на C++.
    Инсталляция
    После запуска троянец копирует свое тело в системный каталог Windows под именем "csrcs.exe":
    %System%\csrcs.exe
    Далее файлу присваиваются атрибуты "скрытый" и "только чтение".
    Также троянец копирует свое тело во все доступные на запись сетевые ресурсы под случайно сгенерированным именем.
    Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылки на свой исполняемый файл в ключах автозапуска системного реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
    "csrcs" = "%System%\csrcs.exe"
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell" = "Explorer.exe csrcs.exe"
    Деструктивная активность
    Троянец изменяет значения параметров следующих ключей системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden" = "2"
    "SuperHidden" = "0"
    "ShowSuperHidden" = "0"
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue" = "1"
    Таким образом, троянец отключает отображение скрытых файлов и папок.
    Троянец производит загрузку файлов со следующих URL:
    http://www.whatismyip.com/automation/*****945.asp
    http://sousi.extasix.com/*****st.htm
    http://lemox.myhome.cx/*****om.htm
    Загруженные файлы сохраняются в кеш Internet Explorer.
    Также троянец содержит встроенного IRC бота, который позволяет злоумышленнику получить полный доступ к компьютеру пользователя.
    По завершению своей работы троянец создает файл командного интерпретатора "suicide.bat" во временном каталоге текущего пользователя Windows: %Temp%\suicide.bat
    В данный файл троянец записывает код для удаления оригинального тела троянца и самого файла командного интерпретатора.
    Далее файл "%Temp%\suicide.bat" запускается на выполнение.
    Категория: Мои статьи | Добавил: LeoBal (01.02.2010)
    Просмотров: 9528 | Комментарии: 1 | Рейтинг: 4.2/5
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]