Alexsander

Csrssc.exe: Trojandownloader.small.cyf Malware

35 messaggi in questa discussione

il mio pc ha questi sintomi se apro una finestra di internet o una cartella in generale essa dopo un po si scolorisce (cioe e come se io nn ho il puntatore su come se nn stesse in primo piano) e devo fare qst ogni 2 minuti.

Nod 32 riesce a trovarmi dei trojan ma nn me li fa eliminare me li mette in quarantena e qst sono i percorsi che mi da

C:\docume~1\alexsa~1\impost~1\temp\csrssc.exe

// // // // \ 3371404328.exe

// // // // // \ 4044983538.exe

e una marea di numeri cosi ma qst csrssc.exe e quello che mi preocupa di piu nn vorrei che e lui il guaio aiutatemi sto impazzendo a e un altro particolare scompaiono le icone le ripristino e ok ma mi sono scomparse anke opzione cartelle pero qst lo risolto ora volgio il mio pc come era prima!!!!!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao

la prima cosa utile da fare sarebbe quella di evitare il linguaggio sms..

poi ;

posta un log di hijackthis

insieme a quello di combofix

http://www.wininizio.it/forum/index.php?showtopic=98188

fai anche uno scan con MalwareBytes Antimalware,elimina quello che trova e posta anche il suo log

http://www.majorgeeks.com/Malwarebytes_Ant...ware_d5756.html

Attenzione !

titolo.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ho cercato di istallare malwarebytes ma faccio ingnora e me lo istalla ma dopo nn me lo fa aprire dice run-time error '0' e run-time error '440' automatic error

Qst e quanto ha fatto combofix

log.txt

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

fai cosi;

apri il bloc notes di windows e copia/incolla quanto segue;

driver::
unvcegbgxzygpm
restore

File:
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\msvrc20.dl
C:\WINDOWS\system32\EgfLmUtv.ini
C:\WINDOWS\system32\EMSrrBeg.ini
C:\WINDOWS\system32\EMSrrBeg.ini2
C:\WINDOWS\system32\rCKUBJlm.ini
C:\WINDOWS\system32\rCKUBJlm.ini2
C:\WINDOWS\system32\vtUmLfgE.dll
C:\af516382cc13ce87f874f3c02701f215
C:\WINDOWS\system32\oonVwyxx.ini
C:\WINDOWS\system32\jsd72hf4t.dll
C:\Documents and Settings\All Users\Dati applicazioni\vghihkxs
C:\keygen
C:\WINDOWS\system32\drivers\unvcegbgxzygpm.sys
 	  
Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byXQJDSI]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hkmfqz]
 	  
Folder::
C:\WINDOWS\temp
C:\Programmi\agxajxb
C:\Windows\Tasks
C:\WINDOWS\system32\drivers\downld

Salvalo il file con il nome CFScript.txt e trascinalo sull'icona combofix...

riposta il suo log

Fai lo scan online, quello con malwarebytes, e con hijackthis ....

_________________________

ops ho dimenticato qualcosa,vabbé fa niente,tanto le procedure non sono finite, vai avanti con quanto richiesto

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ripeto malwarebytes non riesco ad aprirlo

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
ripeto malwarebytes non riesco ad aprirlo

mica ti ho chiesto solo quello , fai il resto per adesso

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

steve scusami ma combofix mi dice di scaricare la nuova versione pero cerca di saricare poi mi dicimpossibile scaricare continuare con la versione attuale

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

scaricala tu manualmente e poi fai l'operazione...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ecco

Modificato da Alexsander

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
ecco

fai cosi;

vai su www.virustotal.com e fai analizzare questi due file ;

C:\secsetup.sdb

C:\WINDOWS\system32\dllcache\xlog.exe

poi,ripeti l'operazione con combofix e inserisci quanto segue che ieri sera come già ti avevo annunciato avevo dimenticato delle cosine  :)

KillAll::

File::

C:\WINDOWS\system32\drivers\unvcegbgxzygpm.sys

C:\WINDOWS\SYSTEM32\byXQJDSI.dll

C:\WINDOWS\SYSTEM32\hkmfqz.dll

C:\WINDOWS\system32\jsd72hf4t.dll

C:\WINDOWS\system32\oonVwyxx.ini

folder::

C:\af516382cc13ce87f874f3c02701f215

C:\Documents and Settings\All Users\Dati applicazioni\vghihkxs

C:\keygen

C:\Documents and Settings\All Users\Dati applicazioni\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

Con hijackthis fixa queste voci;

 O3 - Toolbar: (no name) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - (no file)

 O4 - HKLM\..\Run: [LayoutM] KLayMgr.exe

postaci il log di malwarebytes se parte, e quello dello scan online

sicuro che il tuo antivirus sia attivo?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ho fatto tutto cio che mi hai kiesto tra poco ti posto il resoconto della scansione on-line ma malwarebytes ankora nn mi parte

La scansione on-line dice che sono pulito!!!!

Modificato da Alexsander

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

e malwarebytes che dice?

hai fatto l'operazione combofix? e il log?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

malwarebytes niente perke non mi parte!!! ora pero qualcosa nn torna firefox mi da un problemino se lo kiudo e poi lo riapro mi apre l'ultima pagina che visitavo e invece io tengo impostato msn.it come homepage iniziale

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

per firefox si tratta solo di un opzione, per malwarebytes invece no..

hai provato a riscaricarlo?

il pc dà problemi?

combofix é andato a buon fine?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

combofix ora vd ma gia lo provato va bnenn mi dice nulla malwarebayts non ne vuole sapere firefox nn so ma sto problema mi da fastidio e il pc nn mi da problemi ora oltre a qst due cosette

non si apre malwarebytes

e firefox mi da problemi come ti ho detto prima

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Uso del Linguaggio SMS vietato dal regolamento:

Attenzione Alexsander!

linguaggio_sms.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Steve un altro problemino qualcosa i temp sempre si crea e poi mi st facendo un problemino il mouse se voglio cliccare un cosa (evidenziarla e una fatica cioe me la evidenzia a tratti etc)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

si ma se vuoi fare a modo tuo ,é difficile andare avanti...

ti ho chiesto dei log da una settimana e non li ho mai visti, quindi dimmi te come faccio ad aiutarti....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

scusa alexsander ma lo fai apposta?

mi hai postato lo stesso log postato il primo giorno, senza aver fatto alcuna procedura consigliata....

bhé quando avrai deciso di fare le procedure consigliate, e postare i responsi, io sono qui

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

scusa io le ho fatto le cose che mi hai chiesto mi da questi file txt cosa posso dirti i problemi di prima sono passati pero il pc mi sembra ancora infetto......e anche la scansione on.line mi dice che sono pulito tu che mi consigli....?

in temp ora mi trovo dei file con l'icona di vlc e ogni file ha il nome di una lingua mondiale poi ci sono questi file

~ROMFN_000004C8

~ROMFN_00000300

_iu14D2N.tmp

Twain001.Mtx

Twunk001.MTX

Twunk002.MTX

e il malwarebytes non va priopio

Modificato da Alexsander

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao Alexsander,

vediamo di capirci qualcosa...magari c'è solo della confusione tra i vari log...

scarica OtMoveIt

doppio click sull'icona

clicca su "cleanup"

conferma l'operazione

se ti viene chiesto il riavvio acconsenti

**************************

Scarica ed esegui Combofix allega il log

Scarica ed esegui SDfix allega il log

Scarica HijackThis allega il log

:P:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sicuro di aver usato questo programma?? sdfixiu6.jpg

Scarica PSERV.CPL

Clicca con il tasto destro sul nome del servizio

SessionLauncher - Unknown owner

seleziona "Delete"

ora controllo anche combofix...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora