Восстановление Windows после вирусной атаки

Алексей Комолов (С.-Петернбург)

Если Windows не может найти  файл csrcs.exe

Представьте себе, что во время загрузки операционной системы Windows XP у вас выскочит окно с сообщением об ошибке следующего содержания:

Windows не удалось найти ‘csrcs.exe’. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку «Пуск», а затем выберите команду «Найти».

Такое сообщение может выскочить вследствие заражения вашего компьютера троянским вирусом Trojan-Downloader.Win32.AutoIt.fn, который также известен под именем Win32.HLLW.Autoruner.2815 (цифры в конце могут отличаться). Однако чаще всего называют именем своего исполняемого тела, которое лежит в папке C: > Windows > System — csrcs.exe.

BIGITALRU_post-2

Данный троянец нарушает работоспособность компьютера и написан в виде приложения Windows (PE EXE-файл). После заражения компьютера, вирус стремится распространиться через локальную сеть, стараясь размножить себя по всем доступным сетевым ресурсам, что делает его особенно опасным для крупных организаций с большими локальными сетями.

Троянец, записывая себя в папку с полным доступом сетевого компьютера, часто создает файлы с “нулевым” размером и с именем khq или khs.

Также троянец присваивает файлу csrcs.exe атрибуты “скрытый” и “только для чтения”, что делает его более скрытым и дает ему возможность не показываться в стандартном проводнике Windows. В добавок троянец, изменив свой атрибут на скрытый, правит в редакторе реестра некоторые ключи, полностью блокируя отображение скрытых файлов в системе.

Вирус успешно лечится Антивирусом Касперского и Dr Web, но после лечения вируса и при последующей перезагрузке системы как раз и выскакивает описанное выше сообщение о невозможности запустить csrcs.exe. Такое бывает в том случае, если антивирус засек троянца слишком поздно с момента заражения компьютера и вирус успел основательно  “окопаться в системе”.

В принципе, в Интернете описано множество методов борьбы с данным вирусом и его последствиями. Один из самых простых и действенных методов борьбы – это скачать и установить программу CSRCS Remove (скачать можно с:  <a href=»http://aysan.ru/poleznye-programmy/csrcs-remove-utilita-dlya-udaleniya-virusa-w32-harakit.html»>http://aysan.ru/poleznye-programmy/csrcs-remove-utilita-dlya-udaleniya-virusa-w32-harakit.html</a>), которая предназначена для поиска, обнаружения и удаления данного вируса. CSRCS Remove не только удаляет сам вирус, но так же избавляется и от неактивных частей вируса, которые часто остаются после лечения некоторыми антивирусами.

Самопроизвольное завершение сеанса при входе в Windows

Представьте себе такую ситуацию: у вас установлена ОС Windows с несколькими пользователями. И вот в один день вы подхватываете вирус-баннер, блокирующий вашу систему. После успешного лечения компьютера вы перезагружаете компьютер, в процессе загрузки появляется окно выбора пользователей, вы выбираете нужного вам, и… сеанс связи автоматически завершается, снова возвращаясь к окну выбора пользователей. То же самое происходит и при попытке войти в систему под любым другим зарегистрированным пользователем.

Возникает один из двух извечных вопросов: “Что делать?”. Ниже я опишу вам способ восстановления работоспособности Windows.

Вам понадобится любой LiveCD, желательно с комплектом ERD Commander.

Вставьте LiveCD в привод дисков, перезагрузитесь и войдите в BIOS, где вам необходимо выставить загрузку с CD и вновь перезагрузиться теперь ваш компьютер запустится с диска.

Теперь приступим к восстановлению системы.

Сначала необходимо отключить восстановление системы, чтобы после запуска ПК на нем не смог восстановиться и удаленный вирус. Для этого необходимо удалить все содержимое папки C: > System Volume Information.

Теперь идите в C: > WINDOWS > system32 > dllcache, найдите там файлы userinit.exe и explorer.exe и удалите их. В принципе вы можете полностью очистить эту папку – ни чего страшного не произойдет, так как в этой папке ОС Windows хранит копии системных файлов на случай сбоя системы.

Затем проверьте в С: > WINDOWS > system32 наличие файлов: winlogon.exe, userinit.exe и logonui.exe. А так же наличие в C: > WINDOWS файла explorer.exe. Если у вас будет возможность, то постарайтесь скопировать эти файлы с другого, не зараженного, компьютера и заменить ими существующие. Просто довольнее часто бывает, что вирусы подменяют собой эти файлы, поэтому их нужно заменить.

В том случае, если вы по какой-либо причине нигде не нашли эти файлы, то вы можете скачать их с http://depositfiles.com/files/r7kt6ow82, где в архиве лежат системные файлы для Windows XP и Vista.

Теперь займемся редактором реестра, в котором необходимо найти все записи, которые могли остаться после вируса и мешающие нормальной загрузке вашего компьютера.

С LiveCD добраться до реестра компьютера с рухнувшей системой не так просто. Тут есть два выхода:

  • если в загрузочный диск уже встроены утилиты для работы с удаленным реестром, то проблем не возникнет, так как достаточно просто запустить такую программу и начать работу;
  • если таких программ на вашем LiveCD, то можно воспользоваться стандартным редактором реестра, применив функцию загрузки куста.

Об этом поподробнее ниже.

Надеюсь, что на вашем LiveCD найдутся программы из комплекта ERD Commander для редактирования реестра. На любом диске их можно найти обычно здесь:

Идите в Пуск > Администрирование (Инструменты администрирования (Administrative Tools)) > Редактор реестра (Regedit) — должно открыться стандартное окно редактора реестра, в котором уже будет доступно редактирование Windows.

В реестре идите в ветку  HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows NT > CurrentVersion > Winlogon

В правой части окна реестра ищите параметры:

Shell – дважды кликните левой кнопкой мыши — откроется окно с цифровым значением данного параметра – оно должно быть – Explorer.exe. Если оно другое – то поменяйте его на это.

BIGITALRU_post-(2)

UIHost – значение данного параметра должно быть logonui.exe (при необходимости – поменяйте ваше на это).

Userinit – значение данного параметра должно быть  C:WINDOWSSYSTEM32Userinit.exe,

(в конце обязательно должна быть  запятая), при необходимости – поменяйте ваше на это).

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>