Как чистить реестр от вируса

[Северина]

Хватанула вирус, который не увидел НОД, но тормознул Аутпост. Лечащая утилита от Веба вирус увидела и удалила, но в реестре он остался.

Вот скрин, там выделена строка:

[Для просмотра данной ссылки нужно ]

Подскажите, пожалуйста, правильно ли я понимаю, что теперь надо просто стереть сами буквы csrcs.exe в этой строке и не трогать С\Windows\system32?

[Neb4St]

Удалите весь этот ключ. И ищите по реестру дальше. Этот вирус обычно прописывается и к оболочке проводника. Не помню уже куда, но что-то с shell ...exsplore..., csrcs.exe. Так там надо удалить именно само csrcs.exe, не трогая exsplorer. Попадали компы с такой заразой. NOD его ловил, но запись в реестре оставалась, и Винда при загрузке ругалась на невозможность загрузить csrcs.

[Govor Удален]

Зайдите в реестр и вбейте там же в поиск csrcs. Все что найдете удалите. Я ловил тоже такой вирус, как его удалить искал в гугле. Вбейте в поисковик это слово и он Вам выдаст кучу информации как удалить эту заразу.

[commar]

если

Цитата:

Сообщение от Северина

Лечащая утилита от Веба вирус увидела и удалила

, но в реестре осталась запись, запустите утилиту

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

(655 кБ), она определит ошибочные файлы, прописанные в автозагрузку (файл не найден), и просто удалите их там же, в программе.

Цитата:

Винда при загрузке ругалась на невозможность загрузить csrcs

- удалить из автозагрузки ссылку на уничтоженный файл.

[Pilligrim_76]

Северина, Боюсь, что проблема сложнее, чем Вам кажется. Она(csrcs.exe) идет в связке сдругими файлами и они друг друга восстагавливают и физически(причем меняя место дислокации) и прописью в реестре. Я с похожей дрянью сталкивался полгода назад. И чтобы не переустанавливать систему мне помогло только Microsoft Security Essentials.
Пройдитесь поиском по форуму я об этой тузле от мелкософта упоминал с деталировкой об установке и использовании...

[commar]

Да бог с Вами, Вы что же думаете, что бесплатный пакет приложений от мелкомягких умеет больше, чем полноценные антивирусы? Dr.Web CureIt! бьёт эту шнягу.

ПОДРОБНО:

Троянская программа, нарушающая работоспособность компьютера. Программа является приложением Windows (PE EXE-файл). Имеет размер 419920 байт. Упакована при помощи UPX. Распакованный размер – около 603 КБ. Написана на C++.
Инсталляция
После запуска троянец копирует свое тело в системный каталог Windows под именем "csrcs.exe":
%System%\csrcs.exe
Далее файлу присваиваются атрибуты "скрытый" и "только чтение".
Также троянец копирует свое тело во все доступные на запись сетевые ресурсы под случайно сгенерированным именем.
Далее для автоматического запуска при каждом следующем старте системы троянец создает ссылки на свой исполняемый файл в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"
Деструктивная активность
Троянец изменяет значения параметров следующих ключей системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "1"
Таким образом, троянец отключает отображение скрытых файлов и папок.
Троянец производит загрузку файлов со следующих URL:
[Для просмотра данной ссылки нужно ]
[Для просмотра данной ссылки нужно ]
[Для просмотра данной ссылки нужно ] ССЫЛКИ ВИДОИЗМЕНЕНЫ

Загруженные файлы сохраняются в кеш Internet Explorer.
Также троянец содержит встроенного IRC бота, который позволяет злоумышленнику получить полный доступ к компьютеру пользователя.
По завершению своей работы троянец создает файл командного интерпретатора "suicide.bat" во временном каталоге текущего пользователя Windows: %Temp%\suicide.bat
В данный файл троянец записывает код для удаления оригинального тела троянца и самого файла командного интерпретатора.
Далее файл "%Temp%\suicide.bat" запускается на выполнение.

И лечиться даже руками:
Прибить процесс в диспетчере задач,
удалить ветки
HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe"
и удалить сам файл в системной папке

[Neb4St]

Этот вирус уже гуляет в нашем регионе полтора-два года. Масса пострадавших. Хотя с Инетом и близко не стояли. Вся зараза через флешки. [Для просмотра данной ссылки нужно ] личный контакт. Боролся и [Для просмотра данной ссылки нужно ] ))).

[ФЮрий]

У меня мелкософский антивир убрал с компа десятка 3 этих вирусняков, а каспер лицензия даже не чухнулся. Microsoft Security Essentials оставил вторым он с каспером не конфликтует.

[Северина]

После того, как почистила реестр (спасибо за помощь!) остался-таки вопрос: здесь писалось, что NOD должен видеть этот csrcs.exe, но ни на моем, ни на том, откуда мне принесли зараженную флэшку, NOD 4.0 ничего не увидел. Причем не было предупреждающего окна, когда вирус сечётся сразу, больше того - у меня привычка все носители проверять специально через контекстное меню (правая кнопка мыши - сканировать программой Eset NOD 32 Antivirus). Ничего не увидел.
А утилита Dr.Web CureIt! тогда нашла еще вирус zzxsad.exe

Тут вопрос вот в чем: у меня какой-то не такой НОД или он и не может ловить именно эти вирусы (и на старуху бывает проруха)? Кто-нибудь может сказать или дать ссылочку, где это можно посмотреть?

[commar]

а на NOD в последнее время частенько жалуются..