Не понятно в чем дело
А ещё после загрузки компа высвечивается сообщение:
Windows не удалось найти "csrcs.exe"......
Windows не удалось найти "csrcs.exe"......
Видимо, стоит проверить машину другим антивирусом, так как вирус скорее всего есть.
Если на пальцах:судя по всему комп был заражён вирусом насквозь, инфицированны системные исполняемые файлы, антивирус всё почистил, но повредил в процесе чистки систему. Короче либо переустановка (тру либо восстановление (не тру).
csrcs.exe - это недобитый вирус.
Вирусов может и нет, но как минимум следы в реестре остались.
Вирусов может и нет, но как минимум следы в реестре остались.
Камешек от меня в сторону NOD32 версии 2 ( с локальным обновлением баз 1-2 раза в неделю:Я бы не удалял парметр Shell, а просто изменил его значение на "Explorer.exe"
У жены на работе возникла проблема: При загрузке системы вылезала табличка "не найден файл csrcs.exe"
Пришлось найти в реестре ссылку на csrcs.exe в ключе
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\ CurrentVersion\Winlogon
значение Shell REG_SZ Explorer.exe csrsc.exe и удалить.
На форумах потом нашёл рекомендацию удалять только часть после Explorer.exe, т.е. только csrsc.exe, ибо после удаления вроде бы не запускается панель задач, но у меня всё нормально работает (?)
На флешке данный вирус (или троян) создаёт файл autorun.inf с помощью которого проникает на ПК, прописывается в реестре (создает до трёх ссылок записывает себя в системную папку, создавая файлы csrcs.exe и csrcs.dll
Получается, что NOD32 пропустил-таки вирус на компьютер, позволил ему прописаться в реестре (пусть и не полностью во всех ветках) и, может быть, в системной папке, а затем (так как у знакомой не оказалось на ПК файлов csrcs.exe и csrcs.dll) всё-таки удалил вирус (или всё-таки не дал записаться в системную папку?). Однако, с флешки NOD32, похоже, не удаляет это файл, ибо распознавая csrcs.exe, NOD из-за активного состояния вируса не может удалить его (в наших тестах на x-soft'е NOD тоже был замечен в таком поведении) и при повторном втыканиии флешки сразу же после типа "лечения", вирус обнаруживался снова.
Кстати, AVG8 хорошо справляется с csrsc.exe не позволяя ему абсолютно никаких действий, ибо у жены на той же работе и с теми же вирусами, ПК остался незаражённым. Учитывая, что этот вирус старый, ориентировочно от 24 ноября 2007 года, реакция на него NOD32 выглядит несколько странной.
Вы уж определитесь, csrcs, csrsc или csrss 
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=256...
Trojan-Downloader.Win32.AutoIt.fn
Детектирование добавлено 20 дек 2007 03:41 MSK
Обновление выпущено 20 дек 2007 04:23 MSK
Описание опубликовано 16 дек 2008
Поведение Trojan-Downloader, троянский загрузчик
Технические детали
Деструктивная активность
Рекомендации по удалению Технические детали
Троянская программа, нарушающая работоспособность компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 419920 байт. Упакована при помощи UPX. Распакованный размер – около 603 КБ. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем "csrcs.exe":
%System%\csrcs.exe
Далее файлу присваиваются атрибуты "скрытый" и "только чтение".
Также троянец копирует свое тело во все доступные на запись сетевые ресурсы под случайно сгенерированным именем.
Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылки на свой исполняемый файл в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"Деструктивная активность
Троянец изменяет значения параметров следующих ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "1"
Таким образом, троянец отключает отображение скрытых файлов и папок.
Троянец производит загрузку файлов со следующих URL:
http://www.whatismyip.com/automation/%2A%2A%2A%2A%2A945.asp
http://sousi.extasix.com/%2A%2A%2A%2A%2Ast.htm
http://lemox.myhome.cx/%2A%2A%2A%2A%2Aom.htm
Загруженные файлы сохраняются в кеш Internet Explorer.
Также троянец содержит встроенного IRC бота, который позволяет злоумышленнику получить полный доступ к компьютеру пользователя.
По завершению своей работы троянец создает файл командного интерпретатора "suicide.bat" во временном каталоге текущего пользователя Windows:
%Temp%\suicide.bat
В данный файл троянец записывает код для удаления оригинального тела троянца и самого файла командного интерпретатора.
Далее файл "%Temp%\suicide.bat" запускается на выполнение. Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
При помощи ("Диспетчера задач") завершить троянский процесс.
Удалить параметры в ключах системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
%System%\csrcs.exe
Очистить каталог %Temporary Internet Files%.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Оставить комментарий
gluxar22
стоит XP Proff SP3неожиданно, строчка ПУСК.. —панель задач становится какой то старомодной типа W98 и пропадает инет и нельзя переподключиться
вирусов уже нет
Помогите в чем же дело?