DR-PC
Главная
Вход
Регистрация
Пн, 23.12.2024, 09:55Приветствую Вас Блуждающий | RSS
Блок рекламы

People group

Поделиться

Меню сайта

Форма входа


Рекомендую

Наш опрос
Оцените мой сайт
Всего ответов: 43

Статистика

Онлайн всего: 2
Гостей: 2
Пользователей: 0


Главная » 2010 » Март » 30 » csrcs.exe, Не стоит путать с CSRSS.exe
14:08
csrcs.exe, Не стоит путать с CSRSS.exe

csrcs.exe

Троянская программа, нарушающая работоспособность компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 419920 байт. Упакована при помощи UPX. Распакованный размер – около 603 КБ. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем "csrcs.exe":
%System%\csrcs.exe
Далее файлу присваиваются атрибуты "скрытый" и "только чтение".
Также троянец копирует свое тело во все доступные на запись сетевые ресурсы под случайно сгенерированным именем.
Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылки на свой исполняемый файл в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"
Деструктивная активность
Троянец изменяет значения параметров следующих ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "1"
Таким образом, троянец отключает отображение скрытых файлов и папок.
Загруженные файлы сохраняются в кеш Internet Explorer.
Также троянец содержит встроенного IRC бота, который позволяет злоумышленнику получить полный доступ к компьютеру пользователя.
По завершению своей работы троянец создает файл командного интерпретатора "suicide.bat" во временном каталоге текущего пользователя Windows: %Temp%\suicide.bat
В данный файл троянец записывает код для удаления оригинального тела троянца и самого файла командного интерпретатора.
Далее файл "%Temp%\suicide.bat" запускается на выполнение

Источник

Метод борьбы

Ручном способ лечения:
  1. Нажимаем Win+R ЗАПУСК ПРОГРАММЫ вводим "cmd", откроется КОМАНДНАЯ СТРОКА
  2. Командой tasklist ищем процесс C:\WINDOWS\system\csrcs.exe
  3. Командой taskkill /f /im csrcs.exe убиваем процесс
  4. Командой del /f C:\WINDOWS\system\csrcs.exe удаляем вирус
  5. Нажимаем Win+R ЗАПУСК ПРОГРАММЫ вводим "msconfig", откроется НАСТРОЙКА СИСТЕМЫ 
  6. В разделе startup удаляем C:\WINDOWS\system\csrcs.exe
  7. Нажимаем Win+F ищем файл под именем "csrcs.exe"
  8. Удаляем все найденные файлы
  9. Нажимаем Win+R ЗАПУСК ПРОГРАММЫ вводим "regedit"
  10. В РЕДАКТОРЕ РЕЕСТРА нажимаем F3 либо Ctrl+F для поиска по ключу "csrcs.exe"
  11. Все найденные ветви ключей удаляем
Примеры ключей заражения:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\csrcs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Но может быть и в других местах. Кстати после перезагрузки рекомендую повторить процедуру, так как могут быть варианты разные.
И на последок поменять с Explorer.exe csrcs.exe на Explorer.exe
Категория: Антивирус | Просмотров: 2498 | Добавил: TiJester | Теги: антивирус | Рейтинг: 0.0/0
Приглашаю присоединиться ко мне в следующих сервисах:

Всего комментариев: 5
5 DuaddyfusDifs  
0
Хехе, неплохо

4 inhinantgum  
0
Данный пост — одно из немногих исключений, когда читаешь с удовольствием и что-то для себя выносишь. Спасибо Вам. Добавлю в избранноеhttp://voronezh.recikl.ru/ - . :)

2 Liska  
0
Я підписався на RSS стрічку, але повідомлення чомусь у вигляді якихось ієрогліфів: (Як це виправити ?

3 TiJester  
0
У меня все работает.. можно попробовать изменить кодировку.

1 vipgod  
0
Отличная статья, мне нравится, достойн.о

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Блок рекламы Tak.ru

Реклама UsefulContacts

Друзья сайта

Категории новостей
3 d [13]
Антивирус [42]
Графика [127]
Видео [432]
Видео документальное [153]
Интернет [148]
Мультимедиа [91]
Софт [221]
Трейлеры фильмов и игр [1]
Темы на рабочий стол [34]
Текстуры [2]
Рецепты [96]
Хобби [100]
Ось [46]
Обучение [109]
Игры [20]
Программирование [1]
Работа с HDD [5]
Новости игровой индустрии [13]
Новости сайта [5]
Новости сайта "www.Dr-Pc.ucoz.ru"
Новости софта [30]
Новости IT новинок [46]
Новости о Microsoft [2]

Поиск

Посетитель
Приветствуем вас "Блуждающий" Браузер: Версия: Ваша группа: Гости

Календарь
«  Март 2010  »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
293031

Архив записей

Статистика сайта
Rambler's Top100

Яндекс.Метрика

МЕТА - Украина. Рейтинг сайтов

PR-CY.ru


Реклама

Облако
антивирус LG ATI Intel AMD Sony GeForce Новости сайта GlobalFoundries софт материалы Compaq Dec NEC nortel it Gigabyte Radeon кожа Новости асфальт Hynix TRENDnet игры nVidia Пергамент Samsung Aerocool утилиты IBM Microsoft Приключенческие камуфляж Мелодрамы Комедии триллер фантастические фэнтези 2004 мультфильмы 2010 Биографические текстура 2001 2003 2009 2005 фантастика боевик Драмы Гео брусчатка 1994 1997 аудио 1998 русский рок Action 1999 2011 утилита 3D Angelina Jolie Nikki Sanderson Avril Lavigne Brooke Burke английский язык Блог в интернете бизнес в интернете Advanced-SystemCare-Pro Editor video Wondershare Comodo Dragon Mod RUS браузер information SIV system Viewer HyperSnap-DX portable InsidePro PasswordsPro pесторан блюд Chasing SLEEP Changi haunted больница бизнес деньги Интернет 1996 2006 2008 бумажное моделирование

 
Все файлы предоставлены для ознакомительного просмотра.
Копирование материалов на другие сайты запрещено!