Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

CSRSS infetto

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

CSRSS infetto

Messaggioda Nemonicus » lun giu 09, 2008 10:34 am

Ciao a tutti, questo è il mio primo messaggio e non vorrei cominciare con l'accusa di necroposting...ma meglio questo che aprire un nuovo topic con lo stesso identico argomento.
Ho potuto constatare che avete risolto il problema qui posto e che questo problema è moooolto similare al mio...ma, a quanto pare non identico visto che ho provato a seguire alcuni dei passaggi consigliati e ancora sono fermo con i trojans nel mio pc.
Allora, ho un pc con SO Windows XP service pack 2, antivirus Kaspersky, antispyware AVG e anche Uniblue SpyEraser....e sono sicuramente stato infettato ai seguenti files:
c:\csrss.exe
c:\windows\system32\mydll.dll
hkey_local_machine\software\microsoft\currentversion\run\explorer\
hkey_local_machine\software\microsoft\currentversion\run\help\
hkey_local_machine\software\microsoft\currentversion\run\internet\
c:\windows\system32\autorun.inf


Poi, ho installato i seguenti programmi:
SUPERAntispyware
VirIT
Hijack

e ho fatto le scansioni online con:
Panda
BitDefender
....con la speranza di autorisolvere il problema.
Che mi succede? Beh, mi vengono individuati alcuni fra i problemi...ma non tutti... e ad onor del vero, gli unici che mi dicono che ho il file CSRSS infetto sono stati BitDefender e Spy Eraser....solo che sia Bit Defender lo individua...dice che lo risolve ma non lo fa e Spy Eraser....nel momento in cui gli dico di risolvere il problema fa andare in tilt windows e mi appare la classica e traumatizzante schermata blu che mi avvisa dell'errore critico di sistema e fa riavviare il pc.
Ora....non sapendo più cosa fare....e sperando di non dover ricorrere ad una formattazione forzata del pc....vi chiedo aiuto e comincio riportandovi alcune info:

Riguardo ad Hijack This questo è il logfile:
Logfile of HijackThis v1.99.1
Scan saved at 11.28.57, on 09/06/08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)



In conclusione....HELP ME PLEASE
Avatar utente
Nemonicus
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun giu 09, 2008 9:52 am
Località: Vibo Valentia

Messaggioda crazy.cat » lun giu 09, 2008 10:54 am

Il log per favore lo rialleghi seguendo queste regole
http://www.MegaLab.it/forum/viewtopic.php?t=42331

Adesso lo leggo per bene perché di problemi se ne vedono molti.
Ma kaspersky non ti trova nessun virus?
Mi sembra strano che si sia fatto sfuggire così tante cose.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda crazy.cat » lun giu 09, 2008 11:00 am

Disabilita il ripristino configurazione di sistema.

Scarica la nuova versione di Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada. Se ti restituisce un errore di Applicazione WIN32 non valida o altri errori relativi a file mancanti usa questa versione.
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto
Files to delete:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\security\CSRSS.exe
C:\WINDOWS\help\CSRSS.exe
C:\WINDOWS\system32\CSRSS.exe
C:\WINDOWS\system\CSRSS.exe
C:\WINDOWS\CSRSS.exe
c:\windows\system32\autorun.inf
c:\windows\system32\mydll.dll


Togli il segno di spunta dalla voce Scan for Rootkits
Premi il pulsante Execute
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Se Avenger ti dice che lo script non è valido (Invalid script), riscrivi manualmente il primo comando (Files to delete:) senza dimenticare i due punti finali.


Rifai la scansione con hijackthis, selezioni le caselle di queste righe e premi fix checked per eliminarle.

O4 - HKLM\..\Run: [Discovery] C:\WINDOWS\security\CSRSS.exe
O4 - HKLM\..\Run: [Help] C:\WINDOWS\help\CSRSS.exe
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\CSRSS.exe
O4 - HKLM\..\Run: [Internet] C:\WINDOWS\system32\CSRSS.exe
O4 - HKLM\..\Run: [Host Info] C:\WINDOWS\system\CSRSS.exe
O4 - HKLM\..\Run: [Script di Sistema] C:\WINDOWS\CSRSS.exe
O20 - Winlogon Notify: qommnnl - C:\WINDOWS\
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Messaggioda Nemonicus » lun giu 09, 2008 11:51 am

Innanzitutto mille grazie per la risposta così immediata e per aver perdonato la mia ignoranza sulla lungaggine dei messaggi....e dei report da inviare.
Fatta questa premessa...purtroppo sottolineo che Kaspersky ha visualizzato la presenza di Trojan solo dopo che altri programmi lo hanno sottolineato....e, fra l'altro, fra le opzioni...non mi diceva se volevo o meno eliminare o mandare in quarantena i files in oggetto (premetto che kaspersky è da poco che lo uso e che quindi non sono un mostro nella padronanza del mezzo).

Comunque, riguardo ai report, ho seguito il link datomi e cerco di farmi perdonare immediatamente riportandoti di seguito i risultati di avenger e di hijack dopo che ho eseguito le procedure da te consigliate:

Questo è il report di avenger http://www.mediafire.com/?vmjd3i4yf9f
Questo è il report di hijack http://www.mediafire.com/?cpbdymjmmsw

Grazie ancora
Avatar utente
Nemonicus
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun giu 09, 2008 9:52 am
Località: Vibo Valentia

Messaggioda crazy.cat » lun giu 09, 2008 12:14 pm

Per sicurezza fai analizzare questo file C:\WINDOWS\system32\CSRSS.exe sul sito www.virustotal.com e vedi se ti dicono che è pulito o meno.

Per kaspersky ti puoi fare un idea di come configurarlo seguendo questa guida
http://www.MegaLab.it/2751
almeno per la parte che riguarda la configurazione dell'antivirus.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Nemonicus » lun giu 09, 2008 12:37 pm

Ciao...in effetti...al nuovo riavvio di Windows sono rispuntati i processi e quindi ho immediatamente seguito il tuo consiglio cercando di fare analizzare il file su virustotal, solo che nella cartella system32 il file CSRSS non mi appare e quindi ho analizzato il file nella cartella WINDOWS... il risultato:
http://www.virustotal.com/it/analisis/2 ... ddda50dea0

Quindi...il problema è ancora presente [cry+]
Avatar utente
Nemonicus
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun giu 09, 2008 9:52 am
Località: Vibo Valentia

Messaggioda Nemonicus » mar giu 10, 2008 10:35 am

Ciao a tutti....
Purtroppo...a 24 ore dal mio primo contatto in questo forum mi trovo in una situazione abbastanza compromessa....
Infatti, stamattina, dopo che ieri ho tentato in mille modi di estirpare il male dal pc... Con Avenger, Hijack...A-Squared... Kaspersky.... AVG.... Superantispyware... Spybot search & Destroy... e CCleaner...
mi trovo oggi ad essere allo stesso punto di ieri.
Mi spiego... con kaspersky e la diesa proattiva ho tentato di bloccare CSRSS e SERVICES... e infatti non spuntano più fra i processi in esecuzione nel task manager ma....la cosa che definisco abbastanza grave è che ora quando cerco di accedere a C o a G ( i miei due hard disk ) mi chiede con che programma li voglio aprire....e poi, ogni tanto mi rispuntano sia CSRSS che SERVICES nei due hard disk....


CHIEDO NUOVAMENTE AIUTO....
Avatar utente
Nemonicus
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun giu 09, 2008 9:52 am
Località: Vibo Valentia

Messaggioda crazy.cat » mar giu 10, 2008 10:53 am

Prova con il tools suggerito da ste_95
http://www.MegaLab.it/forum/viewtopic.php?t=44081

Poi anche una scansione con questo cdrom
http://www.free-av.com/en/tools/12/avir ... ystem.html
potrebbe trovare qualche altro virus nascosto.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Nemonicus » mar giu 10, 2008 2:20 pm

crazy.cat ha scritto:Prova con il tools suggerito da ste_95
http://www.MegaLab.it/forum/viewtopic.php?t=44081

Poi anche una scansione con questo cdrom
http://www.free-av.com/en/tools/12/avir ... ystem.html
potrebbe trovare qualche altro virus nascosto.


Ancora una volta....GRAZIE per l'immediata risposta e per il consiglio utilissimo. Appena seguito il consiglio di ste_95 e grazie all'utilizzo del programma in questione... i problemi di riconoscibilità degli hard disks sono spariti.
Poi ho eseguito un controllo con il cd di AVIRA e anch'esso mi ha permesso un controllo maggiormente approfondito del PC...sebbene credo di non essere ancora totalmente ripulito...ora il PC si accende in tre minuti mentre fino a stamattina....ne erano necessari 10.
Avatar utente
Nemonicus
Neo Iscritto
Neo Iscritto
 
Messaggi: 5
Iscritto il: lun giu 09, 2008 9:52 am
Località: Vibo Valentia

Messaggioda crazy.cat » mar giu 10, 2008 2:50 pm

Se vuoi rimuovere qualche programma dall'avvio:

Programmi poco utili da tenere in avvio automatico.
Da start - esegui - digita msconfig e nei programmi in fase di avvio cerca queste voci e rimuovi il flag dalla loro casellina, dopo fai un riavvio e vedi cosa è cambiato.

O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE (si può disinstallare)
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe (se non hai la versione completa con la protezione in tempo reale, questo lo puoi togliere)
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising