| Autore |
 Discussione  |
|
robbyT
Average Member
.jpg)
80 Messaggi |
 Inserito il - 26/03/2009 : 10:04:45
|
salve a tutti,
lunedì scorso 23/03 ho avuto un problema, con il file csrcs.exe segnalato da AVG, simile a quanto riportato nel post di carler del 01/02/09
htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=12986&SearchTerms=,csrcs
Ho seguito le istruzioni di death cancellando da : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon il csrcs.exe .
Tutto funzionava bene fino ad oggi quando AVG mi rileva una minaccia indicando:
Nome file: "C:\System Volume Information\_restore{F9419393-6B40-46C5-BB55-A1BBFCCB7C17}\RP827\A0152982.exe
Nome Minaccia: "Virus identificato Worm/Autoit.YOL"
Il nome del Worm è lo stesso pertanto credo che i due eventi siano collegati, per ora l'ho spostato in Quarantena e tutto funziona bene, ma vorrei estrirpare sto maledetto perchè domani sicuramente si ripresenta.
Grazie a chiunque possa aiutarmi
|
Modificato da - in Data
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/03/2009 : 10:06:56
|
Buon giorno e benvenuto su Notrace, non è mai prudente utilizzare procedure prese da altre discussioni, potrebbero succedere spiacevoli inconvenienti, segui la procedura:
scarica Hijackthis
1) crea una cartella dedicata e scompattalo al suo interno
2) lancia il programma
3) nel menu' di destra clicca su "do a system scan and save a log file"
4) il programma ti rilascerà un file di report in formato txt, salvalo e postalo sul forum secondo il regolamento
poi
scarica Malwarebytes
1.1) lo installi
2.1) lo aggiorni
3.1) fai una scansione scegliendo la modalità completa
4.1) NON eliminare le eventuali minacce che rileva
5.1) finita la scansione seleziona il tabellino log, apri il file di testo e postalo sul forum
poi
scarica LopSD.exe
1.2) doppio click su Lop S&D.exe
2.2) scegli il linguaggio
3.2) seleziona l'opzione 1 (ricerca/search)
4.2) attendi la fine della scansione
5.2) Posta il report che troverai in c:\Lop SD con il nome lopR.txt
per postare i report segui questa scaletta:
a) andare sul sito htt*://[www].savefile[.com]/
b) clicca su Upload My file
c) clicca su upload oppure registrarsi per avere più opzioni
d) clicca su browser e scegli il file di log, txt ecc dal tuo computer
e) compila i restanti campi e clicca su Upload File
f) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file:]
g) oppure utilizza questo servizio: htt*://[www].wikisend[.com]
|
 |
|
|
robbyT
Average Member
80 Messaggi |
Inserito il - 26/03/2009 : 10:42:16
|
[quote]Messaggio inserito da death
Buon giorno e benvenuto su Notrace,
Buon giorno a te e grazie,
qui il log di Hijackthis: htt*://[www].savefile[.com]/files/2055311
intanto sto facendo la scansione con Malwarebytes ... mi sa che ci vorrà un po
eccoci qua
il log di Malwarebytes : htt*://[www].savefile[.com]/files/2055414
il log di LopSD: htt*://[www].savefile[.com]/files/2055415
Attendo indicazioni.
Ancora grazie |
Modificato da - robbyT in data 26/03/2009 12:18:15 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/03/2009 : 12:24:13
|
Buon giorno, riesegui malwarebytes, elimina tutte le infezioni trovate, riavvia il pc, esegui queste pulizie:
scarica Ccleaner
1) per il download dell'ultima versione clicca a destra in alto sotto la freccia verde
2) installalo (senza la toolbar aggiuntiva)
3) clicca su "avvia pulizia", ripeti il procedimento 2 volte
4) NON eseguire le pulizie sul registro
poi
scarica Atfcleaner
Avvia ATFCleaner.exe con un doppio click
1.1) seleziona la casella Select All
2.1) clicca sul pulsante Empty selected
3.1) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
poi
vai qui e segui la procedura indicata
Riavvia nuovamente poi esegui una scansione con questo tool:
scarica Systemscan
1) disconnetti il pc da internet
2) disattiva l'antivirus
3) esegui systemscan
4) clicca su "Scan Now"
Nota bene: il programma potrebbe essere riconosciuto come un virus visto che è un tool per l'analisi profonda del sistema, si tratta di un "falso positivo" il file non è un virus ed è innocuo per il sistema. Il programma alla fine ti rilascerà un report in formato testo, salvalo con nome e poi postalo, lo stesso report lo trovi all'interno della cartella suspectfile (contenuto in un file zip) che ti verrà creata sul desktop. |
|
|
|
robbyT
Average Member
80 Messaggi |
Inserito il - 26/03/2009 : 16:58:14
|
Ok fatto tutto direi
il report è qui: htt*://[www].savefile[.com]/files/2055701
grazie 1000 |
|
|
|
robbyT
Average Member
80 Messaggi |
Inserito il - 26/03/2009 : 17:39:43
|
opsss ...
non so se collegato a quello che ho fatto ma ora in avvio di windows mi compare il messaggio:
protezione esecuzione programmi -
per facilitare la protezione del computer, il programma è stato chiuso
nome: generic host process for win32 services
autore microsoft corporation
cosa ne pensi? |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 26/03/2009 : 20:40:19
|
Buona sera, finiamo le pulizie di primavera poi vediamo i vari errori se persistono, segui la procedura:
scarica Avenger
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\kht
C:\khr
C:\YServer.txt
C:\DOCUME~1\Roberto\IMPOST~1\Temp\Z S5.tmp
C:\DOCUME~1\Roberto\IMPOST~1\Temp\ZR6.tmp
C:\DOCUME~1\Roberto\IMPOST~1\Temp\ZS7.tmp
C:\DOCUME~1\Roberto\IMPOST~1\Temp\ZR4.tmp
C:\WINDOWS\system32\csrcs__.exe
C:\WINDOWS\system32\autorun.in
C:\WINDOWS\system32\autorun.i
C:\WINDOWS\system32\uninstall.exe
C:\WINDOWS\temp\8811f483-2098-4488-8a36-8745ea9050a6.tmp
C:\WINDOWS\temp\508a1f43-1807-4482-bbc2-c9d14f487554.tmp
C:\WINDOWS\temp\3c053d4a-b998-4bcf-bd93-9b961d0fd715.tmp
C:\WINDOWS\temp\bcb6e532-3037-43db-998a-682e30dabab4.tmp
C:\WINDOWS\temp\a642c5eb-5a94-4354-b7f9-df5668ff4404.tmp
C:\WINDOWS\temp\dd41a090-8492-4b11-aae2-64ceafe13723.tmp
C:\WINDOWS\temp\02b26a9e-d9d3-491a-8a0f-af365de7bb94.tmp
C:\WINDOWS\temp\0218b918-65b3-463a-9524-846bd5ad918e.tmp
C:\WINDOWS\temp\3f5419f1-5fe1-4a53-ba13-8ef990f82989.tmp
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
NOTA BENE: la devi digitarla tu, qui è un immagine, quindi quando copierai lo script andrà persa, devi reinserirla tu a "manina"
Al riavvio esegui nuovamente le pulizie con ccleaner e atf.
|
Modificato da - death in data 26/03/2009 20:41:34 |
|
|
|
robbyT
Average Member
80 Messaggi |
Inserito il - 27/03/2009 : 08:20:21
|
Fatto, qui trovi avenger.txt
htt*://[www].savefile[.com]/files/2056587
Il problema segnalato cmq si è ripresentato .
grazie |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/03/2009 : 08:42:36
|
Buon giorno, ma hai eseguito avenger 2 volte? mi dice che tutti i files sono inesistenti  mi riesegui un nuovo systemscan per cortesia e mi posti il report. |
|
|
|
robbyT
Average Member
80 Messaggi |
Inserito il - 27/03/2009 : 09:22:04
|
Buon giorno
effettivamente questa mattina ero ancora un po addormentato (o rinco) ho eseguito avenger una prima volta senza mettere la (chiocciolina) poi una volta accorto mi dell'errore l'ho ripetuto mettendola senza accorgermi che il comando prevedeva un "files to delete" e quindi ... quaglia due volte. SORRY
qui ho messo il la nuova scansione con systemscan: htt*://[www].savefile[.com]/files/2056617
Grazie e scusa x la distrazione  |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/03/2009 : 09:29:36
|
| Buon giorno, tranquillo, volevo solo accertarmi di non essere diventato "rimba" io tutto in un colpo, spero in serata di riuscire a verificarti il report, oggi purtroppo sono messo molto male. |
|
|
|
robbyT
Average Member
80 Messaggi |
Inserito il - 27/03/2009 : 10:37:53
|
Non ti preoccupare, anche per me è una giornataccia
 |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 27/03/2009 : 21:36:52
|
Buona sera, sono riuscito dopo stenti e patimenti a verificare il report i files infetti sono stati rimossi, ora per prima cosa dovresti rimuovere queste 2 toolbar
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programmi\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Softonic Italia Toolbar - {4edd5c14-2d22-4d7a-9748-c975a7fd933b} - C:\Programmi\Softonic_Italia\tbSoft.dll
da pannello di controllo >>> installare applicazioni dovresti trovare le relative voci, rimuovile entrambe.
poi riesegui le pulizie con ccleaner e atf, riavvia il pc ed esegui questa scansione on line:
scansione on line con Kaspersky
1. Clicca su Kaspersky Online Scanner
2. Clicca su Accept
3. Partirà un Update
4. Vai nella colonna di sinistra dov'è scritto Scan e scegli my computer
5. Al termine della scansione in fondo a destra trovi la voce View Scan Report. Cliccaci sopra e poi clicca su Save "Save Report As" e salvalo sul desktop.
La scansione richiede il java della sun e l'accettazione del controllo activex
Per effettuare la scansione, portati sulla pagina di kaspersky, devi avere solo quella pagina aperta, disattiva il tuo antivirus, lancia la scansione, dopo che avrà caricato tutti i files del database e comincerà a scansionare puoi anche disconnettere il pc da internet e lasciarlo lavorare.
Posta il report della scansione.
|
Modificato da - death in data 27/03/2009 21:37:50 |
|
|
|
robbyT
Average Member
80 Messaggi |
Inserito il - 29/03/2009 : 15:39:18
|
Buongiorno, eccoti il report di kaspersky
htt*://[www].savefile[.com]/files/2059087
mi sembra che abbia trovato parecchia roba
Grazie |
|
|
|
death
Moderatore
Città: Pinerolo e dintorni
7791 Messaggi |
Inserito il - 29/03/2009 : 16:35:58
|
Buona sera, devo dire che ci sono parecchi files che purtroppo da systemscan non potevo vedere, segui la procedura:
Esegui avenger e nella finestra copia/incolla tutto il testo in rosso:
files to delete:
C:\CONDIVISA\ylnjqp.exe
C:\Documents and Settings\All Users\Documenti\ylnjqp.exe
C:\Documents and Settings\Roberto\crbcwxxb.exe
C:\Documents and Settings\Roberto\degrxzgq.exe
C:\Documents and Settings\Roberto\Documenti\Immagini\Scarica\ylnjqp.exe
C:\Documents and Settings\Roberto\Documenti\Lavori 2007\yzzhza.exe
C:\Documents and Settings\Roberto\ibagduta.exe
C:\Documents and Settings\Roberto\jpyilisq.exe
C:\Documents and Settings\Roberto\nsksfxpp.exe
C:\Documents and Settings\Roberto\nzyonsar.exe
C:\Documents and Settings\Roberto\ppfqgeya.exe
C:\Documents and Settings\Roberto\sgkqudda.exe
C:\Documents and Settings\Roberto\vsxdsohk.exe
C:\Documents and Settings\Roberto\wadejasa.exe
C:\Documents and Settings\Roberto\xchjslfy.exe
C:\Documents and Settings\Roberto\xxsbsavi.exe
C:\Documents and Settings\Roberto\yrbsclsi.exe
C:\Documents and Settings\Roberto\zkvhrygo.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato lo trovi in c:\avenger.
Hai gli archivi della posta infetti, quindi attento se apri vecchie mail, qualche allegato si è portato dietro il cliente, poi apri il rapporto di kaspersky e rimuovi a mano gli ultimi 3 files...evito di metterli su avenger.
|
|
|
|
robbyT
Average Member
80 Messaggi |
Inserito il - 30/03/2009 : 08:46:28
|
Buon giorno, e buona settimana
seguito la procedura descritta, il report è il seguente:
htt*://[www].savefile[.com]/files/2059914
Ancora grazie |
|
|
|
Discussione |
|
eliminare Worm/Autoit.YOL
Forum Bloccato
