Errore :csrss.exe Non Trovato

[alamen]

in ufficio ho due Pc uno dei quali si era infettato da una chiavetta usb ...

Trovati ed eliminati i virus con Avira (tra cui csrss.exe), al riavvio mi compariva l'errore

del titolo .

ho trovato qui la soluzione facendo riferimento a un post che consigliava una scansione con

Norman malware cleaner e tra le altre cose l'eliminazione di alcune chiavi dal Registro

NON trovo piu' il post della soluzione riguardante le voci di registro PERCHE'............

come un pirla ho inserito la chiavetta infetta nel secondo PC pensando fosse pulita,

invece era infetto l'autorun e sono punto a Capo

I virus li ho tolti, ma il Fastidioso avviso CSRSS non trovato e' rimasto

Help Me

[$angelique!?]

Ciao alamen,

esegui su entrambi i pc Combofix ed allega i report.

[alamen]

Ok ci provo_ Stavo quasi per formattare

Inoltre : Non posso eseguire il regedit

non mi esegue sfc/scannow

non posso selezionare dall'impostazione catelle di visualizzare i file nascosti

non mi parte piu' Normal malware cleaner (Che, per caso e' a Scadenza?)

E......chissa' che altro........

Modificato January 16, 2009 da alamen

[alamen]

fatto la scansione con combofix ( non Online) perche' su quel pc non ho una connessione

il messaggio "csrss.exe non trovato" non appare piu' ma mi si aprono finestre in continuazione

di update manager " Insert the update manager Disk" Cos'è ?

log combofix

log.txt

[$angelique!?]

Scarica the Avenger

Lo salvi in una cartella, scompatti il file .zip

Individua avenger.exe, lo avvii

Inserisci questo script nel box bianco

Drivers to disable:

tdssserv

505e052f

Drivers to delete:

tdssserv

505e052f

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\tdssserv.sys

HKLM\SYSTEM\CurrentControlSet\Enum\Root\Legacy_tdssserv.sys

HKEY_LOCAL_MACHINE\System\ControlSet001\Services\5a2cf54b

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\tdssserv.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\tdssserv.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID

HKEY_LOCAL_MACHINE\SOFTWARE\tdss

Files to move:

c:\programmi\File comuni\InstallShield\UpdateService\bak\isuspm.exe | c:\programmi\File comuni\InstallShield\UpdateService\isuspm.exe

c:\windows\system32\bak\ctfmon.exe | c:\windows\system32\ctfmon.exe

Files to delete:

c:\windows\system32\drivers\505e052f.sys

F:\UFO.exe

F:\LaunchU3.exe

F:\wak.cmd

I:\UFO.exe

C:\WINDOWS\system32\tdssadw.dll

C:\WINDOWS\system32\tdssinit.dll

C:\WINDOWS\system32\tdssl.dll

C:\WINDOWS\system32\tdsslog.dll

C:\WINDOWS\system32\tdssmain.dll

C:\WINDOWS\system32\tdssserf.dll

C:\WINDOWS\system32\tdssservers.dat

C:\WINDOWS\system32\drivers\tdssserv.sys

c:\windows\system32\d3d8caps.dat

folders to delete:

C:\WINDOWS\temp

C:\WINDOWS\Tasks

Clicca su Execute

Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

******************************

Salva il documento che ti allego

apri il blocco note copia e salva questo testo,chiamandolo CFScript

col mouse trascina il file CFScript.txt sull'icona rossa di combofix

lascia lavorare il programma

finito verra creato un nuovo log combofix.txt, postalo

******************************

Scarica, installa, aggiorna ed esegui una scansione completa con Malwarebytes

allega il report.

******************************

Per ripulire la pendrive

Scarica questo tool (spagnolo)

http://www.plusexpert.cl/download/AntiKnight.rar

- estrai tutti i file in una cartella

- inserisci la pendrive nel pc

- apri il file AntiKnight

- clicca su "buscar y reparar"

- Alla fine togli la pendrive e riavvia il sistema

******************************

Esegui Combofix anche sul pc che ti sembra in ordine.

CFScript.txt

[alamen]

Ti Ringrazio

Ma mi stai facendo fare gli Straordinari

Questo PC in fase di pulizia mi serve "Pulito" per il semplice motivo che comanda

una macchina a controllo numerico, e se avesse un minimo blocco o mi partisse

all'Improvviso qualsiasi processo sarebbe un bel danno

Sull'altro PC vorrei evitare di fare la procedura perche' ho installato parecchi programmi

che mi servono per lavoro e macchine collegate in rete .

per Ora non mi dà problemi, se dovesse darmene allora si passa alla Cura, quindi opterei per lasciare Il Mondo com'è:

se dovessi fare qualche errore e dovessi reinstallare tutto non so quanti giorni

mi servirebbero .......Senza contare che nel frattempo non potrei Lavorare

Per Ora sistemiamo il "Malato Grave".........poi si vedra'

Modificato January 17, 2009 da alamen

[alamen]

per ora do seguito le indicazioni per avenger e combofix

ecco i Log

Log_avenger.txt

ComboFix.txt

[Luke57]

Ciao, relativamente al report di combofix, utilizza Avenger con questo script:

Files to move:

c:\programmi\File comuni\InstallShield\UpdateService\bak\issch.exe |

c:\programmi\File comuni\InstallShield\UpdateService\issch.exe

c:\programmi\Java\jre1.5.0_02\bin\bak\jusched.exe |

c:\programmi\Java\jre1.5.0_02\bin\jusched.exe

c:\windows\system32\bak\NeroCheck.exe |

c:\windows\system32\NeroCheck.exe

c:\windows\system32\spool\drivers\w32x86\3\bak\E_S10IC2.EXE |

c:\windows\system32\spool\drivers\w32x86\3\E_S10IC2.EXE

c:\windows\system32\spool\drivers\w32x86\3\bak\E_S4I0T1.EXE |

c:\windows\system32\spool\drivers\w32x86\3\E_S4I0T1.EXE

Registry values to delete:

HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run |

csrcs

Al riavvio del computer, copi e incolli in un file di testo il seguente script in neretto:

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d8a26de6-050e-11dc-83ce-0040f4bf6643}]

;

lo salvi sul desktop con il nome di fix.reg (cambiando l'estensione da .txt a .reg) tipo di file=tutti i file e poi con doppio click su di esso accetti le modifiche proposte.

[alamen]

ma dopo tutte queste operazioni avendo controllato i log inviati ,

........mi dite come sto messo?

quest'altra operazpne a che serve?

scusate ma per me e' quasi Arabo

[Luke57]

Ciao, almeno dal report di combofix (il motivo per cui viene chiesto di postarlo è proprio quello di controllarlo) si vedono due valori di registro infetti (uno non si può eliminare con avenger e va utilizzato lo script con fix.reg). Inoltre sembra che siano sempre presenti cartelle bak in cui l'infezione colloca i file eseguibili dei programmi e che devono essere ripristinati nella loro posizione originale. Comunque, sei liberissimo di seguire o no il consiglio che ti ho dato.

[alamen]

non dubitavo dell'utilita' e dei consigli.......era solo per capirci qualcosa in piu'

[alamen]

Luke, ho inserito lo sript che mi hai dato:

Files to move:

c:\programmi\File comuni\InstallShield\UpdateService\bak\issch.exe |

c:\programmi\File comuni\InstallShield\UpdateService\issch.exe

c:\programmi\Java\jre1.5.0_02\bin\bak\jusched.exe |

c:\programmi\Java\jre1.5.0_02\bin\jusched.exe

c:\windows\system32\bak\NeroCheck.exe |

c:\windows\system32\NeroCheck.exe

c:\windows\system32\spool\drivers\w32x86\3\bak\E_S10IC2.EXE |

c:\windows\system32\spool\drivers\w32x86\3\E_S10IC2.EXE

c:\windows\system32\spool\drivers\w32x86\3\bak\E_S4I0T1.EXE |

c:\windows\system32\spool\drivers\w32x86\3\E_S4I0T1.EXE

Registry values to delete:

HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run |

csrcs

Ma mi segnala "Invalid script".........forse sbaglio qualcosa?

[$angelique!?]

Ciao alamen,

prova cosi:

Files to move:

c:\programmi\File comuni\InstallShield\UpdateService\bak\issch.exe | c:\programmi\File comuni\InstallShield\UpdateService\issch.exe

c:\programmi\Java\jre1.5.0_02\bin\bak\jusched.exe | c:\programmi\Java\jre1.5.0_02\bin\jusched.exe

c:\windows\system32\bak\NeroCheck.exe | c:\windows\system32\NeroCheck.exe

c:\windows\system32\spool\drivers\w32x86\3\bak\E_S10IC2.EXE | c:\windows\system32\spool\drivers\w32x86\3\E_S10IC2.EXE

c:\windows\system32\spool\drivers\w32x86\3\bak\E_S4I0T1.EXE | c:\windows\system32\spool\drivers\w32x86\3\E_S4I0T1.EXE

Registry values to delete:

HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run | csrcs

Scarica anche il fix che ti allego, estrai il contenuto ed eseguilo accettando le modifiche.

fix_alamen.rar

[alamen]

OK ANGELIQUE Fatto tutto

questo e' il nuovo log da avenger

log_avenger_NUOVO.txt

Modificato January 19, 2009 da alamen

[$angelique!?]

Perfetto

Eliminiamo tutto quello che hai usato per la pulizia OtCleanit

http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe

avvialo con un doppio click e clicca su "cleanup"

conferma l'operazione, e se ti viene chiesto il riavvio acconsenti.

[alamen]

Tutto OK !.......Good Job

[$angelique!?]

Sono contenta che hai risolto!