| Autore |
 Discussione  |
|
Alexmono
Senior Member
98 Messaggi |
 Inserito il - 24/03/2009 : 20:18:19
|
Ciao a tutti,
vi scrivo perchè ho un problemino.....qaundo navigo con Mozilla ogni tanto mi appare un messaggio di warning che dice: "Access violation on address..... csrss.exe"...
sto facendo girare Avira e mi ha trovato diversi Trojan.....ma non penso di aver risolto il problema.
Avete qualche consiglio?
Sono sicuro di si....visto che una volta mi avete già dato un grandissimo aiuto...
Ale
|
Modificato da - in Data
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 24/03/2009 : 20:23:22
|
| Buona sera, quando hai finito con avira, postami il log della scansione, se hai ancora la versione 8 di avira, scarica dal sito di avita la nuova versione, lancia il setup, provvederà in automatico a rimuoverti la vecchia versione, aggiornalo e ripeti la scansione e posta il relativo log così vedo subito cosa si ricrea di infetto. |
 |
|
|
Alexmono
Senior Member
98 Messaggi |
Inserito il - 24/03/2009 : 20:48:24
|
Ho avira 8..... sta girando ma è un po' lungo....non appena finito di posto il log....e scarico la nuova versione...
Ale |
|
|
|
Alexmono
Senior Member
98 Messaggi |
Inserito il - 24/03/2009 : 21:07:25
|
Buona sera Death,
ecco il log di Avira 8.00
htt*://freefilehosting.net/download/468ll
e quello di Avira 9.00
htt*://freefilehosting.net/download/468mk
Cosa ne dici??
Grazie
Ale |
Modificato da - Alexmono in data 24/03/2009 22:42:31 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 25/03/2009 : 08:43:46
|
Buon giorno, segui la procedura:
Citazione:
Cancellare i punti di ripristino tranne l'ultimo
Per cancellare tutti i punti di ripristino di windows, tranne l'ultimo, procedere in questo modo:
da Risorse del computer cliccate con il tasto destro del mouse sul disco di sistema
cliccare su Proprietà
cliccare su "Pulitura disco"
nella finestra che appare dopo il calcolo selezionate la scheda Altre opzioni
cliccare sul pulsante "Esegui pulitura..."della sezione Ripristino di configurazione di sistema.
poi esegui questa scansione:
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum |
|
|
|
Alexmono
Senior Member
98 Messaggi |
Inserito il - 25/03/2009 : 21:05:46
|
Procedo....scusa il ritardo ma oggi giornata pesante al lavoro....
l'errore esatto se ti può servire è il seguente:
Access violation at address 00404033 in module "csrss.exe". Read of address 0274C0D4
 |
|
|
|
Alexmono
Senior Member
98 Messaggi |
Inserito il - 25/03/2009 : 21:40:55
|
Terminato...3 elementi infettati: ecco il log
htt*://freefilehosting.net/download/469dl
Com'è?
Ale |
|
|
|
Alexmono
Senior Member
98 Messaggi |
Inserito il - 26/03/2009 : 21:30:12
|
Buona sera Death,
ho sempre lo stesso problema....hai avuto il tempo di dare un occhio al log di malwarebytes?
Ciao
Ale |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/03/2009 : 21:34:34
|
| Buona sera, quel link non è corretto, me lo puoi ripostare e domattina presto te lo controllo. |
|
|
|
Alexmono
Senior Member
98 Messaggi |
Inserito il - 26/03/2009 : 21:49:58
|
Eccolo
htt*://freefilehosting.net/download/46a3c
Ale
PS Ho provato e a me anche il link di ieri lo apre correttamente |
Modificato da - Alexmono in data 26/03/2009 21:51:00 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/03/2009 : 23:26:36
|
Buona sera, riesegui malwarebytes e rimuovi tutto quello che trova di infetto poi esegui queste pulizie:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
4) NON utilizzare la sezione dedicata alla pulizia del registro
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata (se non trovi l'icona del java nel pannello di controllo non preoccupartene, vuol dire che non stai utilizzando il java della sun) |
|
|
|
Alexmono
Senior Member
98 Messaggi |
Inserito il - 27/03/2009 : 21:46:58
|
Fatto tutto Death.
Purtroppo però mi è appena ricapitato lo stesso problema......mi sa che non ci è risolto...
Altre idee??
Grazie
Ale |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/03/2009 : 21:48:45
|
Buona sera, tranquillo, vediamo di risolvere a manina, segui le istruzioni:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
|
|
|
Alexmono
Senior Member
98 Messaggi |
Inserito il - 28/03/2009 : 00:30:26
|
Ciao Death,
ecco il log di systemscan
htt*://freefilehosting.net/download/46b0d
nella mia ignoranza vedo che mi segnala più di una volta C:\Arquivos de programas\xerox\csrss.exe
Considerando che non ho nessuna periferica Xerox e che non ho mai sentito parlare di questa directory...mi sa che c'è qualcosa di strano....sei d'accordo?
Grazie
Ale
|
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 28/03/2009 : 10:36:29
|
Buon giorno, il cliente si è nascosto bene ed è proprio annidato dove l'hai segnalato tu, si vede chiaramente nelle voci in avvio, ora segui con molta attenzione tutta la procedura:
il primo intervento è molto delicato e devi farlo con molta attenzione . Se stampi questa pagina è meglio.
scarica Avenger e salvalo sul desktop
poi
apri il registro -> Start / Esegui ,digita regedit e dai l'ok
portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Clicca su winlogon e nella finestra a destra, trova "Userinit"
Nella colonna "dati" vedrai scritto:
C:\WINDOWS\system32\userinit.exe,C:\Arquivos de programas\xerox\csrss.exe
Tutto quello scritto in rosso è la parte che dovrai eliminare, guardala bene...
Ora, fai doppio clic su "userinit" e, nella finestra che si apre, elimina solo
C:\Arquivos de programas\xerox\csrss.exe
(ricorda devi togliere anche la virgola finale dopo csrss.exe se presente, io non la vedo dal report)
Al termine della modifica, nella finestra deve esserci scritto esattamente :
c:\windows\system32\userinit.exe,
(virgola compresa, mi raccomando!)
ATTENZIONE a non eliminare altro, altrimenti il computer non sarà più in grado di riavviarsi!!!
Chiudi il registro ed esegui avenger senza riavviare ne fare qualsiasi altra operazione:
esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\Arquivos de programas\xerox\csrss.exe
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | ctfmon
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Se non hai creato tu la cartella C:\Arquivos de programas\xerox\ (come credo) esegui questo avenger:
files to delete:
C:\Arquivos de programas\xerox\csrss.exe
folders to delete:
C:\Arquivos de programas\xerox
registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | ctfmon
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Al successivo riavvio visualizza i files nascosti seguendo lo specchietto:
Citazione:
Windows XP
Tasto destro su Start–>Esplora–>Menù Strumenti–>Opzioni Cartella–>Visualizzazione
-Mettere la spunta a ‘Visualizza tutti i files’ o “Visualizza cartelle e files nascosti”
-Togliere la spunta a ‘Non visualizzare cartelle e files di sistema’ o “Nascondi i files protetti di sistema”
Poi vai su questo sito htt*://[www].virustotal[.com]/it/ clicca su sfoglia e cerca questo file nel tuo computer C:\StiImg.dat clicca su invia file, il sito scansionerà il file e ti rilascerà un report, salvalo in formato testo fino alla riga md5 compresa e postalo sul forum.
Posta il report di avenger, il report di virustotal e un nuovo systemscan.
|
Modificato da - death in data 28/03/2009 10:37:54 |
|
|
|
Alexmono
Senior Member
98 Messaggi |
Inserito il - 28/03/2009 : 12:32:33
|
Ho seguito tutta la procedura, qui di seguito trovi tutti i log:
Avenger 1
htt*://freefilehosting.net/download/46b7i
Avenger 2
htt*://freefilehosting.net/download/46b7j
Virustotal
htt*://freefilehosting.net/download/46b7k
Systemscan
htt*://freefilehosting.net/download/46b7l
Ho lanciato 2 volte avenger perchè inizialmente avevo usato il primo script senza cancellare la cartella...
Spero che ora sia tutto ok.
Ale
|
|
|
|
Discussione |
|
Acess violation on address.... csrss.exe
Forum Bloccato
