| Autore |
 Discussione  |
|
keeara
Junior Member
52 Messaggi |
 Inserito il - 15/04/2008 : 03:06:13
|
Ciao a tutti, dopo aver cercato inutilmente di eliminare CSRSS, WINLOGON e SERVICES, perche' invisibili e se eliminati con il Task Manager security si moltiplicano,mi arrendo e vi sottopongo il log di hijack. L'ho copiato prima che il computer (xp home) si bloccasse e ci sono attivi antivirus e antispyware vari..ho fatto un bel pasticcio e ora non vedo ne' icone e ne' start..che fare, altre a sgridarmi, ovviamente?
htt*://[www].sendmefile[.com]/00622335
Grazie a chi avra' la pazienza..
Ciao,
keeara
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 15/04/2008 : 07:37:21
|
Disattiva il ripristino configurazione di sistema: start -> pannello di controllo -> sistema -> ripristino configurazione di sistema -> spunta "disattiva ripristino configuraz. di sistema"
apri hjack e spunta:
O4 - HKLM\..\Run: [Internet] C:\WINDOWS\system32\CSRSS.exe
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\CSRSS.exe
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
clicca su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto CON la dicitura files to delete:
files to delete:
C:\WINDOWS\system\WINLOGON.exe
C:\WINDOWS\system32\ToolBand.dll
C:\WINDOWS\system32\ToolBand.dll\MENUSEARCH.HTM
C:\SERVICES.exe
C:\CSRSS.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\security\CSRSS.exe
C:\WINDOWS\help\CSRSS.exe
C:\WINDOWS\system\CSRSS.exe
C:\WINDOWS\CSRSS.exe
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, eseguire l’operazione “avvia pulizia"
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
fai una scansione con kaspersky:
htt*://[www].kaspersky[.com]/service?chapter=161739400
1.Clicca su Kaspersky Online Scanner
2.Scarica un componente ActiveX da Kaspersky, Clicca su "Yes."
3.Attendi la fine del download
4.Clicca su "Next"
5.Clicca su "Scan Settings"
6.Assicurati che siano spuntate le seguenti voci
Scan using the following Anti-Virus database:
Extended
spunta le voci di "Scan options"
Scan Archives
Scan Mail Bases
7.Clicca su "OK"
8.Scegli "My computer"
Attendi la fine della scansione,se viene rilevato qualcosa salva il rapporto cliccando su "Save as Text" |
Modificato da - Leleago in data 15/04/2008 08:52:44 |
 |
|
|
keeara
Junior Member
52 Messaggi |
Inserito il - 15/04/2008 : 10:45:15
|
Ciao, prima di tutto grazie...poi un'altra domanda: sono in modalita' provvisoria, hijack e avenger li ho, l'ultimo che mi consigli no, se cerco di eliminare le tre righe con hijack il computer si riavvia e non li elimina. Posso utilizzare avenger prima di hijack?
Sto scrivendo con un altro computer, ovviamente..
Grazie ancora,
keeara |
Modificato da - keeara in data 15/04/2008 11:36:32 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 15/04/2008 : 12:08:29
|
sì usa prima avenger da provvisoria!
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto CON la dicitura files to delete:
files to delete:
C:\WINDOWS\system\WINLOGON.exe
C:\WINDOWS\system32\ToolBand.dll
C:\WINDOWS\system32\ToolBand.dll\MENUSEARCH.HTM
C:\SERVICES.exe
C:\CSRSS.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\security\CSRSS.exe
C:\WINDOWS\help\CSRSS.exe
C:\WINDOWS\system\CSRSS.exe
C:\WINDOWS\CSRSS.exe
registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Word Profissional\<Windows system folder>\protect | csrss.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Word Profissional\<Windows system folder>\protect | lsass.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Microsoft Word Profissional
Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato
Scansiona con Kaspersky cm ti ho indicato sopra, posta i log di kaspersky e hijack  |
Modificato da - Leleago in data 15/04/2008 12:22:24 |
|
|
|
keeara
Junior Member
52 Messaggi |
Inserito il - 15/04/2008 : 13:13:35
|
Ciao, avevo gia' fatto con avenger in modalita' provv, ma con hijack non c'e' niente da fare, mi da errore e riavvia, dopo dice che il sistema e' stato ripristinato dopo un errore grave.
Avenger:
htt*://[www].sendmefile[.com]/00622382
Hijack:
htt*://[www].sendmefile[.com]/00622383
Posso mettere ora su avenger la seconda parte sul registro?
Spyware doctor vede ancora un C:\Windows\CSRSS.exe
Ora devo eliminare qualche antispyware e cercare di far funzionare kaspersky.
Grazie ancora!
keeara
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 15/04/2008 : 14:08:01
|
| si metti la seconda parte dello script e cerca di far eseguire la scansione a kaspersky |
|
|
|
keeara
Junior Member
52 Messaggi |
Inserito il - 15/04/2008 : 15:30:37
|
Finalmente kaspersky ha finito, non ha trovato niente...
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 15/04/2008 : 15:37:11
|
hai eseguito questo script:
files to delete:
C:\WINDOWS\system\WINLOGON.exe
C:\WINDOWS\system32\ToolBand.dll
C:\WINDOWS\system32\ToolBand.dll\MENUSEARCH.HTM
C:\SERVICES.exe
C:\CSRSS.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\security\CSRSS.exe
C:\WINDOWS\help\CSRSS.exe
C:\WINDOWS\system\CSRSS.exe
C:\WINDOWS\CSRSS.exe
registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Word Profissional\<Windows system folder>\protect | csrss.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Word Profissional\<Windows system folder>\protect | lsass.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Microsoft Word Profissional
?? |
|
|
|
keeara
Junior Member
52 Messaggi |
Inserito il - 15/04/2008 : 16:12:31
|
Purtroppo come ho cercato di accedere a D si e' attivato di nuovo, ho eseguito di nuovo lo script aggiungendo le due righe che in hijack indicavano quei file in D
Avenger:
htt*://[www].sendmefile[.com]/00622409
Hijack:
file link: htt*://[www].sendmefile[.com]/00622411
E non posso piu' entrare ne' in C ne' in D... |
Modificato da - keeara in data 15/04/2008 16:19:44 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 15/04/2008 : 16:55:03
|
1.Scarica il file - htt*://download.bleepingcomputer[.com]/sUBs/combofix.exe
2. Doppio click su combofix.exe & e segui le istruzioni
3. Quando avrà finito, creerà log ....
Postare il log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt
2. Scarica htt*://downloads.andymanchesta[.com]/RemovalTools/SDFix.exe
Doppio click su SDFix.exe e il tool andrà ad estrarsi in C:\SDFix
- avvia il sistema in modalità provvisoria
- Apri la cartella SDFix situata in C:\ e fai un doppio click su RunThis.bat per lanciare lo script
- seleziona Y per avviare la pulizia
- Quando te lo chiederà premi un tasto per riavviare(il sistema sarà piu lungo nell'avviarsi perchè lo script eseguirà l'eliminazione dei file trovati)
- Quando apparirà il desktop il tool terminerà il suo lavoro e visualizzerà il messaggio "Finished"
- Premi un tasto per terminare lo script e ricaricare le icone del desktop
- Il log sarà visualizzato automaticamente,altrimenti potrai trovarlo in C:\SDFix\Report.txt
Posta anche questo log |
|
|
|
keeara
Junior Member
52 Messaggi |
Inserito il - 15/04/2008 : 17:45:23
|
Con Combofix e' andato tutto bene, posso di nuovo accedere a C, ma non trovo il file:
C:\ComboFix-quarantined-files.txt
Ora scarico il secondo...scusa per la lentezza.. |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 15/04/2008 : 17:48:49
|
| ok se nn c'è quel file nn importa l'importante è che posti alla fine i file: combofix.txt e C:\SDFix\Report.txt |
|
|
|
keeara
Junior Member
52 Messaggi |
Inserito il - 15/04/2008 : 17:51:43
|
Ecco il Combofix:
htt*://[www].sendmefile[.com]/00622425
e il log:
htt*://[www].sendmefile[.com]/00622427 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 15/04/2008 : 18:04:22
|
ok combofix ti ha eliminato csrss.exe
posta anche il log di sdfix |
|
|
|
keeara
Junior Member
52 Messaggi |
Inserito il - 15/04/2008 : 18:29:34
|
Dopo il riavvio non e' ricomparso il programma, quindi neanche finished, e nel report compare solo:
Checking services:
Restoring windows Registry values
Restoring windows Default Hosts File
Mi sembra pochino...Devo farlo partire di nuovo? |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 15/04/2008 : 18:36:06
|
|
si fallo ripartire |
|
|
|
Discussione |
|
csrss & co
Forum Bloccato
