Windows не обнаружил csrcs.exe


При включении компьютера и загрузки ОС Windows XP (или другой ОС серии Windows NT с другим пакетом обновления) в автоматическом режиме появляется окно с ошибкой, характеризующий проблему поиска загрузочного файла.

csrcs


Причина:
Удален из системы вирус Trojan-Downloader.Win32.AutoIt.fn (название по Касперскому) или Win32.HLLW.Autoruner.2815 (по DrWeb. Цифры в окончании могут быть разными) под файлом "csrcs.exe", либо удален файл C:\Windows\prefetch\CSRCS.EXE 17976f63.pf, а в реестре остался процесс запуска данного файла.

Описание:
Троянская программа, нарушающая работоспособность компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 419920 байт. Упакована при помощи UPX. Распакованный размер – около 603 КБ. Написана на C++.

Инсталляция:
После запуска троянец копируется в системный каталог Windows под именем "csrcs.exe":

%System%\csrcs.exe

Копируется во все доступные на запись сетевые ресурсы под случайно сгенерированным именем. Для автоматического запуска вместе с системой, троянец создает ссылки на свой исполняемый файл в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"


[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"


Троянец изменяет значения параметров следующих ключей системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"


[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "1"


Троянец содержит встроенный IRC бот, позволяющий злоумышленнику получить полный доступ к компьютеру пользователя.
По завершению работы, троянец создает файл командного интерпретатора "suicide.bat", во временном каталоге текущего пользователя Windows, %Temp%\suicide.bat

куда троянец записывает код для удаления оригинального тела троянца и самого файла командного интерпретатора.

Методы борьбы:

  1. Запускаем редактор реестра ("Пуск" - "Выполнить" - "regedit").
  2. Нажимаем F3. В появившемся окне ввести csrcs, удалить строковые параметры со значением "csrcs".
  3. Далее с помощью программы Jv Power Tools или CCleaner, удаляем все временные файлы из системы. Этими программами можно дополнительно почистить и реестр.
  4. Перезагружаем компьютер. Если сообщение выскакивает дальше, необходимо повторить действия еще раз. Возможно, что Вы очистили не полностью.


Дополнительно:
Можно проверить ветки: 1) HKLM: policies > Explorer > Run; 2) HKEY_USERS\...\Software\Microsoft\Windows\ShellNoRoam\MUICache
Отключаем автозагрузку: "Пуск" - "Выполнить" - "msconfig" - на вкладке "Автозагрузка" снимаем галочки там, где упоминается "csrcs" (если таковые имеются).

P.S. Для удаления самого вируса, а не его последствий рекомендую использовать Dr. Web Live CD. Подробности его использования можно прочитать здесь.