| Autore |
 Discussione  |
|
|
carler
Junior Member
66 Messaggi |
 Inserito il - 01/02/2009 : 18:18:34
|
Buona sera a tutti. Dopo una scansione on line con kaspersky,
ne ho fatta una con malwarebytes
e questo è il log htt*://freefilehosting.net/download/44j16
alla fine della scansione ho cliccato su "elimina file" (tra quelli infetti).
Avrò cancellato senza saperlo il file C:\WINDOWS\system32\csrcs.exe
perchè dal successivo avvio il computer mi dice: impossibile trovare csrcs.exe
Come posso fare per recuperare questo file? Grazie a chi vorrà aiutarmi.
|
Modificato da - death in Data 01/02/2009 18:29:20
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 01/02/2009 : 18:29:04
|
Buona sera..vedo che sei diventato mio cliente fisso  , per il tuo problema..meno male che non lo trova il file..volevi tenerlo?
CSRCS.EXE
Cloaked Malware
Worm
System Back Door
Malware Downloader
vediamo di rimuovere tutto, segui questa procedura:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
 |
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 01/02/2009 : 22:39:41
|
Buona sera! Beh, cliente soddisfatto direi. 
Fin'ora si è sempre sistemato tutto, anche le cose che sembravano più terribili grazie a te.
Ecco il post di suspectfile htt*://freefilehosting.net/download/44j3h
Attendo, so di essere in buone mani. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/02/2009 : 09:01:42
|
Buon giorno, segui la procedura:
Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => "esporta" => salva la copia del registro in c:\
Poi segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Clicca su "winlogon" una sola volta e individua, nella finestra a destra
"Shell"="Explorer.exe csrcs.exe""
clicca 2 volte su "shell" e, nella finestra che si apre, cancella solo la parte csrcs.exe
e dai l'ok
Praticamente quello che deve restare, nota bene, è:
shell = Explorer.exe
Premi F5 e chiudi il registro.
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system32\autorun.inf
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | csrcs
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
poi visualizza i files nascosti seguendo questo specchietto:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
con la funzione "cerca" esegui una ricerca per questo file ewahcj.exe (metti la spunta su cerca "file nascosti") se lo trovi eliminalo
vai su questo sito htt*://[www].virustotal[.com]/it/ clicca su sfoglia e cerca questo file nel tuo computer (stessa procedura di cui sopra) C:\WINDOWS\system32\drivers\uxydtnqq.sys clicca su invia file, il sito scansionerà il file e ti rilascerà un report, salvalo in formato testo fino alla riga md5 compresa e postalo sul forum.
Per ora non eliminare il file.
In ultimo, cerca C:\Programmi\yzpfpg.txt non aprire il file, zippamelo e mandami il link con un messaggio privato.
|
Modificato da - death in data 02/02/2009 10:39:25 |
|
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 02/02/2009 : 15:59:59
|
Buona sera. Ho seguito tutte le tue indicazioni. All'avvio non mi compare più il messaggio "impossibile trovare csrcs..".
Ti ringrazio.
Questo è il report di avenger htt*://freefilehosting.net/download/44jhe
Il file ewahcj.exe (dopo aver impostato "visualizza file nascosti") non riesco a trovarlo.
Questo è il report di virustotal htt*://freefilehosting.net/download/44jhb |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/02/2009 : 16:08:34
|
Buona sera, dunque, effettivamente quel sys è infetto, io su systemscan non l'ho trovato attivo da nessuna parte, la cosa che mi lascia un poco perplesso è che sia riconosciuto come infetto da troppo pochi antivirus, quindi facciamo in questo modo, creati una cartella, zippa il file C:\WINDOWS\system32\drivers\uxydtnqq.sys , poi ci penso io con avenger a creare un finto file vuoto.
Avenger è andato a buon fine e me ne hai dato conferma, visto che il messaggio di errore è scomparso. Ti preparo la procedura, dammi solo 15 minuti.
EDIT:
Dopo aver salvato il file uxydtnqq.sys esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
Files to replace with dummy:
C:\WINDOWS\system32\drivers\uxydtnqq.sys
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Il programma creerà una copia di back-up del file originale, con questa procedura nel caso vi fosse una infezione che tenta di utilizzare il file resterebbe completamente bloccata, nelle prossime settimane dovrai esaminare di nuovo il file sys originale su virustotal.
Il file txt che mi hai inviato è pulito, cancellalo pure, poi esegui le pulizie sul pc:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata
Aspetto il report di avenger e se non c'e' altro qui abbiamo finito. |
Modificato da - death in data 02/02/2009 16:21:01 |
|
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 02/02/2009 : 16:12:32
|
| Grazie, attendo. Sei davvero gentile. |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/02/2009 : 16:22:17
|
| Ho modificato il mio post precedente, leggi dopo Edit |
|
|
|
carler
Junior Member
66 Messaggi |
Inserito il - 02/02/2009 : 16:55:58
|
Grazie tante! Mi pare che avenger sia andato a buon fine. Tu che dici?
htt*://freefilehosting.net/download/44jib
Faccio le altre pulizie.
Grazie ancora, e ... a presto, direi  |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 02/02/2009 : 17:01:13
|
| Avenger è andato a buon fine, fai le pulizie, poi torniamo sull'altra tua discussione delle pen drive. |
|
|
|
taurus208844
New Member
36 Messaggi |
Inserito il - 21/07/2009 : 10:33:08
|
buon giorno ho un problema su questo punto ho lanciato il programma che mi ha rilasciato il report ma non so cosa farmene ora!
Citazione:
Messaggio inserito da death
Buon giorno, segui la procedura:
Apri il registro (start => esegui => digita regedit e dai l'ok).
Clicca su "Risorse del computer", poi su "file" => "esporta" => salva la copia del registro in c:\
Poi segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Clicca su "winlogon" una sola volta e individua, nella finestra a destra
"Shell"="Explorer.exe csrcs.exe""
clicca 2 volte su "shell" e, nella finestra che si apre, cancella solo la parte csrcs.exe
e dai l'ok
Praticamente quello che deve restare, nota bene, è:
shell = Explorer.exe
Premi F5 e chiudi il registro.
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\WINDOWS\system32\autorun.inf
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run | csrcs
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
poi visualizza i files nascosti seguendo questo specchietto:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
con la funzione "cerca" esegui una ricerca per questo file ewahcj.exe (metti la spunta su cerca "file nascosti") se lo trovi eliminalo
vai su questo sito htt*://[www].virustotal[.com]/it/ clicca su sfoglia e cerca questo file nel tuo computer (stessa procedura di cui sopra) C:\WINDOWS\system32\drivers\uxydtnqq.sys clicca su invia file, il sito scansionerà il file e ti rilascerà un report, salvalo in formato testo fino alla riga md5 compresa e postalo sul forum.
Per ora non eliminare il file.
In ultimo, cerca C:\Programmi\yzpfpg.txt non aprire il file, zippamelo e mandami il link con un messaggio privato.
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 21/07/2009 : 10:41:23
|
|
Buon giorno, taurus, per cortesia apri una nuova discussione nella sezione computer virus ed esponi il tuo problema, non si copiano a casaccio le istruzioni date ad altri utenti, la discussione qui la sistemo io appena hai aperto la tua. |
|
|
| |
Discussione |
|
CSRCS.EXE
Forum Bloccato
