Файл csrcs.exe

**Onion** · 6 марта, 2009

В один прекрасный день после запуска компа вылазит окошко с ошибкой "Виндовс не удалось найти фаил csrcs.exe ...". Как я понял НОД32 его вроде опледелил как заражённый не смог вылечить и удалил. Система работает нормально, но это окошечко при старте явно раздражает и даёт понять что в компе чтото не то.

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

**ТроПа** · 6 марта, 2009

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('D:\WINDOWS\system32\csrcs.exe','');DeleteFile('D:\WINDOWS\system32\csrcs.exe');BC_ImportAll;ExecuteSysClean;ExecuteRepair(16);BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В письме укажите ссылку на тему.

Повторите логи.

**thyrex** · 6 марта, 2009

to wise-wistful

Заранее прошу прощения, что вмешиваюсь, но думаю, что сказанное мной не будет ошибочным

Думаю файл карантина будет пуст.

Скорее у человека был удален Packed.Win32.Klone.bj (по классификации ЛК). Боролся, знаю

Нужно было зачистить его следы

Из лога HiJack

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] D:\WINDOWS\system32\csrcs.exe

Если вы не против, то я в следующем посте дам человеку ссылку на документ, где указано, что еще стоит поискать и зачистить

**akoK** · 6 марта, 2009

Из лога HiJack
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] D:\WINDOWS\system32\csrcs.exe

Эти действия выполнит AVZ во время выполнения скрипта.

**thyrex** · 6 марта, 2009

Эти действия выполнит AVZ во время выполнения скрипта.

Не спорил с этим. Я просто говорил, что можно было обойтись без скрипта AVZ. Но от этого зловреда еще есть мусор в реестре, удалив который можно собственными глазами увидеть доселе скрытые файлы

**Onion** · 6 марта, 2009

Вот...

+ Ваше письмо для 54712@rambler.ru отправлено

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

**akoK** · 6 марта, 2009

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:FilesF:\mhprgl.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3460864-ecad-11dd-bbcb-0007e9627ef1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed14d21d-e655-11dd-bbbb-0007e9627ef1}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Отключите автозапуск

thyrex: мне интересно...выкладывайте :blush2:

**ТроПа** · 6 марта, 2009

Не спорил с этим. Я просто говорил, что можно было обойтись без скрипта AVZ. Но от этого зловреда еще есть мусор в реестре, удалив который можно собственными глазами увидеть доселе скрытые файлы

АВЗ чистит реест при удалении файлов, а не просто их удаляет.

Кроме того я в скрипте АВЗ применяю ещё одну команду, которая вернёт нормальный запуск проводнику.

Изменено 6 марта, 2009 пользователем wise-wistful

**Onion** · 6 марта, 2009

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

File/Folder F:\mhprgl.exe not found.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d3460864-ecad-11dd-bbcb-0007e9627ef1}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed14d21d-e655-11dd-bbbb-0007e9627ef1}\\ deleted successfully.

========== COMMANDS ==========

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

Java cache emptied.

FireFox cache emptied.

Opera cache emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03062009_235651

_________________________________________________________________

Malwarebytes' Anti-Malware 1.34

Версия базы данных: 1825

Windows 5.1.2600 Service Pack 3

07.03.2009 0:16:08

mbam-log-2009-03-07 (00-16-08).txt

Тип проверки: Полная (C:\|D:\|)

Проверено объектов: 110667

Прошло времени: 14 minute(s), 7 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 0

Заражено значений реестра: 0

Заражено параметров реестра: 0

Заражено папок: 0

Заражено файлов: 0

Заражено процессов в памяти: