Выявление и удаление вируса csrss.exe

удалить csrss exeПродолжаем серию инструкций, посвященных очистке компьютера от вирусов, маскирующихся под важные системные компоненты. На этот раз мы разберем, как выявить и удалить csrss exe – вредоносный файл, нагружающий процессор и снижающий производительность системы.

Выявление

Главная проблема – отличить вредоносное приложение от системного процесса. С подобной задачей вы могли столкнуться, если удаляли winlogon exe или, например, пытались удалить rundll32 exe вирус.

Внимание! Csrss.exe представляет собой важный системный компонент. Если вы удалите его или остановите, то Windows не будет работать корректно.

Однако это имя широко используют различные трояны, клавиатурные шпионы и другие неприятные приложения. Иногда название может быть написано с ошибками (csrssc, csrse и т.д.).csrcs в диспетчере задач

Месторасположение вируса разнится: его можно найти в папке «Windows», директории «Temp», пользовательском каталоге и т.д. На съемных носителях вирус обычно выглядит как скрытая папка «SANJA».Папка Sanja

Чистка системы

Пытаться вылечить систему, когда вирус активен, не имеет смысла. Загрузка в безопасном режиме тоже не спасет – даже здесь вирус загружается автоматически. При запуске утилиты AVZ с большой долей вероятности появится ошибка.Ошибка

Подобная ситуация очень похожа на попытку удалить svchost exe: в конечном счете пользователи устают бороться с вредными файлами и просто переустанавливают систему. Однако не спешите прибегать к крайним мерам; сначала попробуйте воспользоваться аварийно-восстановительным диском ERD Commander.

  1. Запустите утилиту ERD Commander Explorer.
  2. Найдите папку «Temp» и удалите из неё каталог «E 4».
  3. Откройте папку «Windows» и уничтожьте файлы csrss.exe и restore.exe.
  4. В папке «Users» на системном диске откройте свой пользовательский каталог и удалите файл вредоносного приложения.

После уничтожения всех исполнительных файлов можно переходить к чистке реестра.

  1. Нажмите «Start», раскройте меню «Administrative Tools» и нажмите «RegEdit».
  2. Раскройте ветку HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Windows NT→CurrentVersion→Winlogon. Проверьте и при необходимости исправьте значение параметра «userinit». Оно должно выглядеть так:
  3. На этой же ветке HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Windows NT→CurrentVersion→Winlogon. Удалите параметр «Taskman», если в его значении есть адрес вредоносного файла.
  4. Раскройте HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Windows NT→CurrentVersion→Image File Execution Options→explorer.exe. Удалите параметр «Debugger», если в его значении есть адрес вредоносного файла.
  5. Перейдите на HKEY_CURRENT_USER→Software→Microsoft→Windows NT→CurrentVersion→Devices. Сотрите параметр «explorer» со значением «explorer».
  6. Закройте редактор реестра и перезагрузите компьютер.

Действия после перезагрузки

  1. Запустите компьютер в обычном режиме.
  2. Отключите функцию восстановления системы.
  3. Очистите интернет-кэш (можно использовать утилиту CCleaner).CCleaner
  4. Перезагрузите компьютер.
  5. Включите функцию восстановления системы.

Обязательно просканируйте компьютер антивирусной программой со свежими базами. Используйте чистящую утилиту Dr.WebCureIt, чтобы найти и уничтожить оставшиеся вредоносные файлы.


Проблемы , , Bookmark