Как удалить Win32/Tifaut - троянскую программу

Последние пару месяцев наблюдаю на работе активность одного компьютерного вируса. Название вируса - Trojan-Downloader.Win32.AutoIt.fn (в нотификация Касперского) или Win32.HLLW.Autoruner.2815(в нотификации DrWeb цифры в окончании могут быть разными). Вирус, однако, известен под именем своего исполняемого тела, которое лежит в папке %System% - csrcs.exe

Данный вирус – троянская программа, нарушающая работоспособность компьютера, написанная в виде приложения Windows (PE EXE-файл). Троянец содержит в себе встроенного IRC-бота, с помощью которого "плохие люди" могут получить доступ к компьютеру пользователя. Заразив компьютер, вирус, используя локальную сеть, старается размножить себя по всем доступным сетевым ресурсам (что самое отвратительное, на компьютерах организаций).

Записывая себя в папку с полным доступом сетевого компьютера, вирус часто рядом создает файлы с 0 размером и именами khq, kht, khs. У меня есть подозрение, что таким образом он оставляет отметку о своем существовании на данной машине.

Естественно, вирус детектируется и удаляется любым современным антивирусом с обновленными базами. Например, используемый мной на работе антивирус DrWeb прекрасно справляется с этой напастью.

Здесь я хочу рассказать, как проверить свою машину на наличие этого вируса, научить вручную удалять вирус (бывает надо и такое, когда антивирус в упор не видит этот файл как вирус). Возможно, статья поможет и тем, у кого после лечения вируса при загрузке системы возникает сообщение о невозможности запустить csrcs.exe. Такое бывает, когда антивирус засек вирусную программу по происшествии некоторого времени и вирус успел "окопаться в системе".

Нажмите Ctrl-Alt-Delete, выберите вкладку процессы, чтобы посмотреть, какие процессы у вас запущены. И если вы видите, что под вашим логином запущен процесс csrcs.exe, знайте, ваш компьютер заражён. Но учтите, что есть такой системный процесс как csrss.exe, (он запущен от имени системы, разница только в одной букве, присмотритесь внимательнее csrCs.exe - это вирус, csrSs - это системный процесс). Кликните правой кнопкой мыши на процессе csrcs.exe и в появившемся меню выберите "Завершить процесс”.

Затем, запустите проводник, если вы не знаете как это сделать, то нажмите кнопку с флажком Windows, это между Alt и Ctrl и кнопку E… Т.е. комбинацию клавиш Win+E. В этом случае запустится "проводник”. На панели инструментов найдите "поиск”. Нажмите. Затем в левой панели введите csrcs.exe, затем ниже нажмите кнопку "Найти”. Далее в результатах поиска, если что-то появилось, это нужно будет удалить. А именно выбираем найденный файл правой кнопкой и в выпадающем меню выбираем "удалить”.

Но это не всё. Что бы при загрузке компьютер не ругался на то, что он не нашёл файл "csrcs.exe", нужно выполнить следующее. Нажимаем на "Пуск”->”Выполнить”, пишем там "regedit” (без кавычек). Откроется окно редактора реестра. Нажимаем F3 для поиска необходимых строчек. В строке запроса пишем "csrcs” опять же без кавычек и нажимаем "Найти далее”.

Все найденные строки необходимо удалить из реестра. А именно, в правой половине редактора реестра нужно правой кнопкой мыши нажать на строке, содержащей "csrcs” и выбрать в выпадающем меню "удалить”. Обычно это около пяти строк. После того, как вы проделаете все эти процедуры, рекомендую перезагрузиться и обязательно обновить антивирус, какой бы он у вас не стоял.

Такие вот мои рекомендации, как удалить вирус csrcs.