Виявлення і видалення вірусу csrss.exe

Продовжуємо серію інструкцій, присвячених очищенню комп`ютера від вірусів, що маскуються під важливі системні компоненти. На цей раз ми розберемо, як виявити і видалити csrss exe - шкідливий файл, навантажує процесор і знижує продуктивність системи.

виявлення

Головна проблема - відрізнити шкідливий додаток від системного процесу. З подібним завданням ви могли зіткнутися, якщо видаляли winlogon exe або, наприклад, намагалися видалити rundll32 exe вірус.

Увага! Csrss.exe являє собою важливий системний компонент. Якщо ви видалите його або зупиніть, то Windows не працюватиме коректно.

Однак це ім`я широко використовують різні трояни, клавіатурні шпигуни і інші неприємні додатки. Іноді назва може бути написано з помилками (csrssc, csrse і т.д.).

Місцезнаходження вірусу різниться: його можна знайти в папці «Windows», директорії «Temp», призначеному для користувача каталозі і т.д. На знімних носіях вірус зазвичай виглядає як прихована папка «SANJA».

чистка системи

Намагатися вилікувати систему, коли вірус активний, не має сенсу. Завантаження в безпечному режимі теж не врятує - навіть тут вірус завантажується автоматично. При запуску утиліти AVZ з великою часткою ймовірності з`явиться помилка.

Подібна ситуація дуже схожа на спробу видалити svchost exe: в кінцевому рахунку користувачі втомлюються боротися з шкідливими файлами і просто перевстановлюють систему. Однак не поспішайте вдаватися до крайніх мерам- спочатку спробуйте скористатися аварійно-відновлювальних диском ERD Commander.

1. Запустіть утиліту ERD Commander Explorer.
2. Знайдіть папку «Temp» і видаліть з неї каталог «E 4».
3. Відкрийте папку «Windows» і знищіть файли csrss.exe і restore.exe.
4. У папці «Users» на системному диску відкрийте свій користувальницький каталог і видаліть файл шкідливого програми.

Після знищення всіх виконавчих файлів можна переходити до чищення реєстру.

1. Натисніть «Start», розкрийте меню «Administrative Tools» і натисніть «RegEdit».
2. Розкрийте гілку HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon. Перевірте і при необхідності виправте значення параметра «userinit». Воно повинно виглядати так:
3. На цій же гілці HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon. Видаліть параметр «Taskman», якщо в його значенні є адреса шкідливого файлу.
4. Розкрийте HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Image File Execution Options explorer.exe. Видаліть параметр «Debugger», якщо в його значенні є адреса шкідливого файлу.
5. Перейдіть на HKEY_CURRENT_USER Software Microsoft Windows NT CurrentVersion Devices. Зітріть параметр «explorer» зі значенням «explorer».
6. Закрийте редактор реєстру та перезавантажте комп`ютер.

Дії після перезавантаження

1. Запустіть комп`ютер у звичайному режимі.
2. Вимкніть функцію відновлення системи.
3. Очистіть інтернет-кеш (можна використовувати утиліту CCleaner).
4. Перезавантажте комп`ютер.
5. Увімкніть функцію відновлення системи.

Обов`язково проскануйте комп`ютер антивірусною програмою зі свіжими базами. Використовуйте очищувальну утиліту Dr.WebCureIt, щоб знайти і знищити решту шкідливі файли.