Столкнулся я на работе с проблемой — NOD32 не детектирует csrcs.exe / Win32/Packed.Autoit.Gen.

На флешках и по сетке лез вирус и писался во все расшаренные папки. Прятался под разными именами, но если запускался, то нескромно становился csrcs.exe и продолжал размножение.

NOD32 версии 3 Home Edition с самыми последними базами этих вирусов не видел. Естественно я собрал все фири, что поймал и отправил антивирусникам. Касперский и ДокторВеб ответили мгновенно. Кто-то уже находил его. Кто-то добавил в базы и поблагодарил. Но NOD32 молчал почти 4 дня.

Что такое wmiapsrv.exe?

wmiapsrv.exe – адаптер производительности WMI, который собирает информацию о производительности системы. Процесс используется встроенной системой мониторинга производительности в Windows.  Завершение работы процесса не влияет на производительность системы. Это системный процесс.

Что такое jqs.exe?

jqs.exe - Java Quick Starter (JQS). Java Quick Starter (JQS) уменьшает время первоначального запуска для большинства апплетов и приложений Java. Этот компонент добавлен в выпуск Java SE 6 update 10 (6u10) и будет доступен во всех будущих выпусках.

Что такое csrcs.exe и откуда он взялся.

Последние пару месяцев наблюдаю на работе активность одного компьютерного вируса. Название вируса - Trojan-Downloader.Win32.AutoIt.fn (в нотификация Касперского) или Win32.HLLW.Autoruner.2815 (в нотификации DrWeb цифры в окончании могут быть разными). Вирус, однако, известен под именем своего исполняемого тела, которое лежит в папке %System% - csrcs.exe.

Данный вирус – троянская программа, нарушающая работоспособность компьютера, написанная в виде приложения Windows (PE EXE-файл). Троянец содержит в себе встроенного IRC-бота, с помощью которого "плохие люди" могут получить доступ к компьютеру пользователя. Заразив компьютер, вирус, используя локальную сеть, старается размножить себя по всем доступным сетевым ресурсам (что самое отвратительное, на компьютерах организаций).

Записывая себя в папку с полным доступом сетевого компьютера, вирус часто рядом создает файлы с 0 размером и именами khq, khs. У меня есть подозрение, что таким образом он оставляет отметку о своем существовании на данной машине.

Nod32 странно игнорирует этот вирус, определяя его как нежелательное ПО. Какое нахер нежелательное ПО?

При старте системы выскакивает окно.

Windows не удалось найти 'csrcs.exe'. Проверьте, что имя было введено правильно, и повторите попытку.

Файл csrcs.exe  — это вирус Trojan-Downloader.Win32.AutoIt. Если у вас выскакивает это сообщение, значит

Файл winvnc4.exe является частью программы RealVNC версии 4. А именно VNC Server для Windows. Программа RealVNC является инструментом для удаленного управления компьютером со свободной лицензией. Облажает широким кругом настроек и возможностей.

Запущен либо как служба либо обычным процессом. В зависимости от метода установки.

Автор: RealVNC
Программа: RealVNC Remote Control
Размещение: %programfiles%\RealVNC\VNC4\WinVNC4.exe

Что такое kvpncgui.exe?

Файл kvpncgui.exe является неотъемлемой частью программы Kerio VPN Client от фирмы Kerio Technologies Inc. И служит для связи удаленных компьютеров с виртуальной частной сетью через интернет. Файл kvpncgui.exe является и самой программой и её графическим интерфейсом. Во время работы висит в трее.

Product Name: Kerio VPN Client
Copyright: © Kerio Technologies Inc. All rights reserved.
Description: Kerio VPN Client
Location: %ProgramFiles%\Kerio\VPN Client\

Удаление файла приведет к выходу программы из строя. Вирусов, маскирующихся под этим именем не обнаружено.

Что такое CAP3RSK.exe, CAP3LAK.exe и CAP3SWK.exe.
Файлы CAP3RSK.exe, CAP3LAK.exe и CAP3SWK.exe — это части драйверов и программного обеспечения Canon Advanced Printing Technology для принтеров CANON от компании Canon, Inc.

Author: Canon, Inc.
Part of: Canon Advanced Printing Technology
Common Path(s): %system%\SPOOL\DRIVERS\W32X86\3

В сети появилась зараженная вирусом машина. По всем расшаренным папкам в сети разбрасывает файлы sokmqk.exe и скрытый файл kht. Удаление файлов не помогает, вирус снова их заливает.

Если в сети доменная организация, то самый простой способ обнаружить от кого лезет дрянь. Посмотреть в свойствах файла его владельца, во вкладке безопасность. Я сразу выпалил зараженного юзера, почикал там вирус и блуждания по локальной сети прекратилось.

Если же сеть построена на рабочей группе, прийдется расшарить у себя пару папок, и поставить монитор пищуший сетевые обращения к файлам. И ткм выпалить с какого IP или Хоста лезет вирусня.

Обнаружил у нескольких пользователей процесс CNAB4RPK.exe. Заинтересовало, что это такое. Поиском нашел размещение— WINDOWS\System32. В свойствах и каментах мало информации, но в конце концов выяснил что это такое.

Процесс CNAB4RPK.exe (Canon Advanced Printing Technology RPC Server) является частью драйвера для принтера Canon LBP2900 (Canon Advanced Printing Technology) от фирмы CANON INC (www.canon.com).

Размещение: C:\WINDOWS\System32\CNAB4RPK.EXE