File Csrcs.exe

[paghna05]

scusatemi del linguaggio sicuramente poco consono, ma è la prima volta che accedo ad un forum di questo tipo. per questo motivo, se qualcuno potesse aiutarmi, chiederei di utilizzare un linguaggio consono . All'accensione del PC, caricato il Sistema Operativo, winxp, mi compare un messaggio che dice che il file csrcs.exe non è stato trovato. mi sembra d'aver capito che sia un virus, ma che l'antivirus (avira) non mi individua.

x favore, spiegatemi, se non chiedo troppo, cosa devo fare passo passo.

[Riverside]

Ciao, intanto inizia da qui:

Scarica ed installa Hijackthis: clicca qui per il download

● una volta istallato lancia Hijackthis

● clicca su Do a system scan and save a logfile

● al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Per allegare il log utilizza questo servizio di upload: clicca qui per wikisend

e, pubblica il Forumlink che verrà rilasciato dopo il caricamento del file.

Poi ti indicherò come procedere per sistemare il problema.

[paghna05]

ecco il forum link

hijackthis.txt.log

aspetto tue notizie. hai scritto in maniera perfetta: son riuscito a capire (almeno credo!)

grazie e a presto

[Riverside]

Come pnsavo, adesso procedi in questa maniera:

1) Svuota del suo contenuto la cartella Prefetch:

● Start

● clicca su Risorse del Computer

● clicca su Disco locale C:

● cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch

● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

2) Scarica Combofix: clicca qui per il download

● crea una cartella apposita sul Desktop e, al suo interno, posiziona, il tool che hai scaricato

● disconnettiti da Internet

● sconnetti, fisicamente, il modem dal computer

● disabilita temporaneamente il tuo antivirus

● lancia ComboFix

● verrà chiesto di installare la Console di ripristino: non la installare

● prosegui seguendo le istruzioni che verranno rilasciate per eseguire la scansione

● senza eseguire altre operazioni, lascia che il tool completi la scansione e la fase di creazione del log

● al termine della operazione, il sistema verrà riavviato automaticamente (in caso contraio, riavvialo tu)

Note: durante la scansione:

● verranno creati alcuni file sul desktop e poi eliminati

● spariranno, per un attimo, tutte le icone presenti sul Desktop

● protrebbe venire rilasciato un messaggio in relazione all'antivirus in uso: prosegui ingnorando il messaggio

● il firewall, se attivo, potrebbe rilasciare un avviso che verranno rimossi alcuni driver: consentire

Verrà creato un log in Disco Locale C: dal nome combofix.txt che dovrai allegare

Ricollega il modem al computer, connettiti a Internet e:

> ripeti uno scan con Hijackthis, salva il log e lo alleghi

> allega il log di Combofix

con le stesse modalità che ti ho indicato prima.

Modificato March 23, 2010 da Riverside

[paghna05]

ecco i due forum link

ComboFix.txt

hijackthis.log

[Riverside]

Infezione risolta ma ci sono un altro paio di problemi da sistemare, quindi andiamo per gradi:

Disattiva il Ripristino configurazione di sistema:

● Start

● tasto destro del mouse sull'icona Risorse del Computer

● seleziona la voce Proprietà

● apri la scheda Ripristino configurazione di sistema

● spunta la voce Disattiva Ripristino configurazione di sistema

● conferma, la modifica, con Applica e, poi OK

Disinstalla Combofix, quindi scarica sul desktop, OTC by OldTimer: clicca qui per il download

● doppio clic sulla icona per eseguirlo

● clicca su CleanUP

● clicca su Yes e nuovamente su Yes

Riavvia il computer e dopo il riavvio ripeti il primo passaggio e riattiva il Ripristino Configurazione di Sistema

Poi prosegui in questo modo (ViriIT non ti serve):

> dalla icona presente sulla traybar (accanto all'orologio, disattiva il monitor di controllo di VirIT;

> Start

> Pannello di Controllo

> Installazione Applicazioni

> individua VirIT e procedi con la disinstallazione

dopo la disinstallazione riavvia il computer e:

rilancia Hijackthis e:

● spunta la casellina fianco di ogni singola voce che ti indicherò sotto

● una volta spuntate le voci:

● chiudi tutte le applicazioni aperte

● chiudi tutte le pagine del browser aperte

● in Hijkackthis fixa le voci cliccando su Fixchecked

Queste le voci da fixare:

R3 - URLSearchHook: SSearch Toolbar - {03573284-1498-43a0-a8d0-07ee8c0a1442} - C:\Programmi\SSearch\tbSSea.dll

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: SSearch Toolbar - {03573284-1498-43a0-a8d0-07ee8c0a1442} - C:\Programmi\SSearch\tbSSea.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program files\real\realplayer\rpbrowserrecordplugin.dll

O2 - BHO: DIALux 3.1 ULDBrowserHelper Class - {69AB812A-8CE4-4BF3-B49B-3B60A9F31FB2} - C:\Programmi\DIALux\DLXShellExtension.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: SSearch Toolbar - {03573284-1498-43a0-a8d0-07ee8c0a1442} - C:\Programmi\SSearch\tbSSea.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [bDRegion] C:\Programmi\Cyberlink\Shared Files\brs.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programmi\Logitech\QuickCam\Quickcam.exe" /hide

O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WD Anywhere Backup] C:\Programmi\WD\WD Anywhere Backup\MemeoLauncher2.exe --silent

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: EuroOffice 2008.lnk = C:\Programmi\EuroOffice 2008\program\quickstart.exe

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: McAfee Security Scan.lnk = ?

O4 - Global Startup: PHOTOfunSTUDIO -viewer-.lnk = C:\Programmi\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe

ripeti una nuova scansione con Hijackthis ed allega un nuovo log.

Modificato March 23, 2010 da Riverside

[paghna05]

ecco il nuovo forum link

hijackthis.log

[Riverside]

Ottimo, adesso vediamo di aggiornare i software di terze parti più importanti.

Da Installazione Applicazioni, disinstalla:

● Adobe Reader

● Adobe Flash Player

● JavaSun (tutte le versioni eventualmente installate)

Poi, scarica ed installa le versioni aggiornate:

● Adobe Reader: clicca qui per il download

● Adobe Flash Player: clicca qui per il download

● JavaSun: clicca qui per il download

Una volta installato Adobe Reader lancialo dalla icona che verrà creata sul desktop, accetta la licenza e:

● nella barra degli strumenti clicca sul ?

● clicca su Ricerca aggiornamenti ed esegui gli aggioramenti che veranno proposti.

Note:

in fase di installazione, verrà richiesto di installare la toolbar di Google oppure la Versione gratuita di McAfee® Security Scan Plus: non la installarlare; quindi, togli la spunta alla relativa voce.

Al termine riavvia ed allega un nuovo log di Hijackthis

Modificato March 24, 2010 da Riverside

[paghna05]

fatto. ecco il log

hijackthis.log

[Riverside]

rilancia Hijackthis e:

● spunta la casellina fianco di ogni singola voce che ti indicherò sotto

● una volta spuntate le voci:

● chiudi tutte le applicazioni aperte

● chiudi tutte le pagine del browser aperte

● in Hijkackthis fixa le voci cliccando su Fixchecked

Queste le voci da fixare:

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\File comuni\Java\Java Update\jusched.exe"

Scarica ed installa CCleaner: clicca qui per il download

Una volta installato configuralo in questo modo:

lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:

● Impostazioni, e spunta la voce Cancellazione sicura (lenta) e nel menu a tendina seleziona la voce DOD 520.22-M (3 passaggi)

poi clicca su:

● Avanzate togli la spunta alla voce Cancella solo file più vecchi di 48 ore

● alla voce Pulizia nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate

● nel menu a sinistra, clicca sulla voce Pulizia e clicca su tasto Avvia pulizia per eseguire la scansione

● finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce Estensioni file non usate

● clicca sul tasto Trova problemi ed avvia una scansione

● al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)

Scarica ed installa MalwareBytes: clicca qui per il download

● dopo averlo aggiornato, clicca su tasto scansiona ed esegui una scansione completa

● al termine della scansione verrà rilasciato un log: allegalo

[paghna05]

fatto. ecco il log

mbam-log-2010-03-24 (12-42-34).txt

[Riverside]

Direi che ci siamo.

Per scrupolo, aggiorna le firme di Avira, esegui una scansione completa ed allega il report che verrà rilasciato al termine della scansione.

Noti ancora problemi?.

[paghna05]

ecco il report della scansiona fatta con avira

AVSCAN-20100324-153312-744CAB3E.LOG

per il resto tutto a posto. il problema dell'allarme durante l'avvio di windows era gia sparito un paio di passaggi fa, quindi tutto ok, avendo sistemato anche le altre cose dovrei avere un pc in stato migliore rispetto a qualche giorno fa

grazie mille di tutto

magari, un'altra volta mi spieghi cosa abbiamo fatto... ma con calma

Modificato March 24, 2010 da paghna05

[pike]

ciao paghna05, direi che per capire che cosa hai fatto basta rileggere i log e i passaggi suggeriti da Riverside. Con google e pazienza tutto diventa chiaro

[paghna05]

giustamente la fai facile. un esperto come te ... ma la vita è gia così piena: difficile trovare tempo per studiare anche queste cose: famiglia, professione, conti... l'informatica mi intriga, ma non me la posso permettere. è più facile fare una domanda a riverside, non credi?

grazie ancora e a presto

[pike]

Eccome se credo, più facile, efficace e veloce.

Il tutto sta ad ammettere che in realtà il pc non ce lo si è messo a posto da soli ma si ha avuto il fondamentale aiuto di qualcuno dall'altra parte della rete.

Figurati che c'è chi nonostante famiglia, professione, conti e vita privata trova anche il tempo di aiutare qualcuno che non ha mai visto prima tramite un forum.

Che cosa strana la vita eh?

Buona giornata anche a te

[Riverside]

.... è più facile fare una domanda a riverside, non credi?

E' più facile che sia io a fare domande e, ne ho una giusta pronta ..... in un post precedente ti avevo suggerito:

Infezione risolta ma ci sono un altro paio di problemi da sistemare, quindi andiamo per gradi:

Disattiva il Ripristino configurazione di sistema:

● Start

● tasto destro del mouse sull'icona Risorse del Computer

● seleziona la voce Proprietà

● apri la scheda Ripristino configurazione di sistema

● spunta la voce Disattiva Ripristino configurazione di sistema

● conferma, la modifica, con Applica e, poi OK

Riavvia il computer e dopo il riavvio ripeti il primo passaggio e riattiva il Ripristino Configurazione di Sistema

poi ..... dal log di Avira che hai allegato vedo sta cosa:

Inizia con la scansione di 'C:\'

C:\pagefile.sys

[AVVISO] Impossibile aprire il file!

[NOTA] Questo è un file di sistema di Windows.

[NOTA] Impossibile aprire questo file per la scansione.

C:\Documents and Settings\marcello\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Cache\f_00017c

[0] Tipo di archivio: NSIS

--> ProgramFilesDir/uninst.exe

[AVVISO] Nessun file ulteriore può essere estratto da questo archivio. L'archivio verrà chiuso

[AVVISO] Nessun file ulteriore può essere estratto da questo archivio. L'archivio verrà chiuso

C:\System Volume Information\_restore{5BE22C9E-B89A-4848-BF2E-7F7DE4605064}\RP7\A0001056.dll

[RILEVAMENTO] Si tratta del cavallo di tr**a TR/Trash.Gen

C:\System Volume Information\_restore{5BE22C9E-B89A-4848-BF2E-7F7DE4605064}\RP7\A0001057.dll

[RILEVAMENTO] Si tratta del cavallo di tr**a TR/Trash.Gen

Avvio della disinfezione:

C:\System Volume Information\_restore{5BE22C9E-B89A-4848-BF2E-7F7DE4605064}\RP7\A0001056.dll

[RILEVAMENTO] Si tratta del cavallo di tr**a TR/Trash.Gen

[NOTA] Il file è stato spostato in quarantena con il nome '4bda324c.qua'!

C:\System Volume Information\_restore{5BE22C9E-B89A-4848-BF2E-7F7DE4605064}\RP7\A0001057.dll

[RILEVAMENTO] Si tratta del cavallo di tr**a TR/Trash.Gen

[NOTA] Il file è stato spostato in quarantena con il nome '4831d445.qua'!

Fine della scansione: mercoledì 24 marzo 2010 16:39

ovvero il Ripristino Configurazione di Sistema infetto; la domanda sorge spontanea: il passaggio che ti avevo suggerito lo avevi eseguito?