dj GCE

Csrcs.exe, Reader_s.exe

11 messaggi in questa discussione

Vi allego relativo log di HiJack; spero che riusciremo insieme a risolvergli la situazione...

hijackthis.log

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Il sistema Operativo non è aggiornato, per questo è più vulnerabile.

Il nome del trojan bisogne inserirlo, così capiamo di cosa si tratta, anche per definire meglio il topic.

In questo caso è csrcs.exe

Scarica SD fix

Installalo sul pc ove è presente l'infezione, dopo l'install, riavvia il pc in safe mode (provvisoria) e doppio click su RunThis.bat

clicca su Y (sì) e ENTER (Invio) per lanciare la pulizia e lo scanning.

Alla fine riporterà il log.

Riavvia in mod. normale e allega il log alla tua prossima risposta

:):P

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao dj GCE,

il log è molto infetto, credo sia meglio formattare

Se vuoi provare a disinfettare procedi cosi:

Con tutte le applicazioni chiuse e disconnesso da internet

Avvia Hijackthis e clicca su "do a system scan only"

Metti la spunta a queste voci e clicca su "fix checked"

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O2 - BHO: (no name) - {693DA2D4-8CCA-4C95-A276-BB37BD1CD28C} - c:\windows\system32\qznzgwf.dll

O2 - BHO: C:\WINDOWS\system32\a75mbrxlz.dll - {A249BC15-23F2-42AD-F4E4-00AAC39C0004} - C:\WINDOWS\system32\a75mbrxlz.dll (file missing)

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKCU\..\Run: [Protection System] "C:\Programmi\Protection System\psystem.exe" -nosca

O4 - HKCU\..\Run: [Login Software 2009] C:\DOCUME~1\Oem\IMPOST~1\Temp\wgz5v8o .exe

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

O20 - Winlogon Notify: lhlfmfmb - C:\WINDOWS\SYSTEM32\qznzgwf.dll

O22 - SharedTaskScheduler: iukjsf8w3jirojs9f8u3jruhsf78s3jijdif - {A249BC15-23F2-42AD-F4E4-00AAC39C0004} - C:\WINDOWS\system32\a75mbrxlz.dll (file missing)

O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)

scarica Combofix sul desktop

devi rinominare il file prima di salvarlo sul desktop in abc.exe

(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file", cambia il nome che ti appare in abc.exe e salvalo obbligatoriamente sul desktop)

start > esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\abc.exe" /killall

Premi OK

(se usi vista start > tutti i programmi accessori > esegui)

se tutto va bene parte il programma che potrebbe impiegare molto

attendi pazientemente il termine delle operazioni e posta il report C:\ComboFix.txt

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

@Luna75

Non avendo visto il nome dell'agente infettante non l'ho riportato nel titolo discussione.

Detto questo, per ora il tuo consiglio lo accantono, non foss'altro ché m'è stato detto d'usare Combofix, solo per quello :P

Al termine della scansione riporto il log di Combofix, ed attenderò istruzioni; se non ne avrò in 2 giorni, uso il programma suggeritomi da Luna75 :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao, prendi il file che ti allego, mettilo nella stessa cartella di combofix e e trascinalo con il puntatore del mouse sull'icona di combofix. Il programma avviderà una nuova scansione; al termine di essa posta il nuovo log generato.

CFScript.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao dj GCE,

Scarica the Avenger

http://swandog46.geekstogo.com/avenger.zip

Lo salvi in una cartella, scompatti il file .zip

Individua avenger.exe, lo avvii

Inserisci questo script nel box bianco

Registry values to replace with dummy:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Files to delete:

c:\windows\system32\csrcs.exe

folders to delete:

C:\WINDOWS\temp

C:\WINDOWS\Tasks

Clicca su Execute

Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)

Posta il log che verrà creato in C:\Avenger

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao dj GCE,

sono passati 4 mesi spero per te che il problema sia risolto

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora