• Страница 1 из 1
  • 1
Модератор форума: Shurik722  
троян csrcs.exe
Yahoo-eu
Дата: Воскресенье, 01.02.2009, 17:23:10 | Сообщение # 1 |
Профи
Ник: yahooeu51
Замечания: 0%
Статус: Оффлайн

Каспер его не видит (без спец проги читайте ниже), остальные антивирусы тоже как-то вяло его обнаруживают.

как его удалить:
с помощью утилиты Process Explorer убиваем процесс csrcs.exe, он подсвечен фиолетовым цветом (не путать с csrss.exe);
выполняем следующие команды:
Код:

Code
cd %systemroot%\system32
attrib -s -h csrcs.exe
del csrcs.exe

в редакторе реестра в разделе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run удаляем параметр "csrcs";
в разделе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon находим параметр "Shell", изменяем его значение на "explorer.exe";

по моим наблюдениям, трой создает еще одну свою копию в файле с случайным именем (у меня он назывался "cftm.exe") в папке %systemroot%\system32.

заслуживает внимания способ запуска зараженного файла (меняет параметр "Shell" с "explorer.exe" на "explorer.exe csrcs.exe"), AutoRuns его из-за этого не видит.

вот его tth:
Код:

Code
JKEUAB2UHJZ75G5K6MVLSX7U3XWJ34ECRHIWYWY

Либо это та прога об которой писалось в начале программа от моего знакомого программиста и очень хорошего человека Дмитрия Трофимца
сначала качаем запатку
http://www.filefactory.com/file....RUS_exe
устанавливаем,перезагржаемся
потом качаем досовский файлик
http://www.filefactory.com/file/a04cha3/n/klwk_zip
распаковываем,запускаем (запустится в командной строке) и ждём,пока он не выполнит свои действия,к компу не прикасаться!!!!
у меня например када я им проверялся - каспер интрнет секюрити 2009 обнаружил его написав что процес klwk пытается удалить вирус csrcs.exe,после чего комп загдючио,пришлось перезагрузить,и после перезагрузки удалил вирус!





Сообщение отредактировал Yahoo-eu - Воскресенье, 01.02.2009, 17:23:32
 
  • Страница 1 из 1
  • 1
Поиск:


Яндекс.Метрика
Internet Map
Открыть чат