| Autore |
 Discussione  |
|
Al3x9
New Member
45 Messaggi |
 Inserito il - 04/03/2010 : 17:02:17
|
salve a tutti sono un neo-registrato e vorrei chiedervi aiuto su un mio problema...innanzitutto da un paio di giorni mi appare un nuovo account (mai creato)il quale una volta eliminato si riscrea...inoltre all'avvio di windows mi esce un seganle di avviso dicendomi che nn riesce a trovare un certo file chiamato csrcs.exe...ora io mi ricordo che facendo un scansione con avg,tale programma aveva trovati diversi virus(packed.autolt) e avevano infettato il file csrcs.exe...io ho eliminato questi file e di conseguenza credo di aver eliminato anche quello....qualcuno mi può aiutare?!?!vi ringrazio in anticipo:)
|
Modificato da - in Data
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 04/03/2010 : 17:36:49
|
ciao e benvenuto nel forum
csrcs.exe e' un trojan e se non lo hai piu' nel pc e' meglio 
per il problema dell'account prova cosi'
start\esegui\ digita nel box bianco control userpasswords2 e dimmi quali utenti vedi
controlla in c\documenti and setting se ci sono cartelle help assistant.
scarica hijackthis
lancia il programma cliccando l’eseguibile e avvia la scansione, scegliendo la voce "Do a system scan and save a logfile"
Ricordati di mettere HIJACKTHIS in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee è importante se vuoi salvare i backup
Posta il log che ti rilascia
|
Modificato da - shang in data 04/03/2010 18:23:43 |
 |
|
|
Al3x9
New Member
45 Messaggi |
Inserito il - 05/03/2010 : 10:11:18
|
Allora nella schermata vedo:
1)administrator
2)Principale
3)ASPNET(non so cosa sia!)
4)Remote user
in c:\document and settings non c'è nessuna cartella ma ricordo che ieri quando ho inviato il post c'era una cartella chiamata remote user!!!!
ecco fatto
htt*://wikisend[.com]/download/535704/hijackthis.rar
|
Modificato da - Al3x9 in data 05/03/2010 11:00:35 |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/03/2010 : 10:31:00
|
intanto comincia ad eliminare l'account Remote user non credo debba rimanere nel pc se non hai attivo il desktop remoto
per caso hai attivo il desktop remoto? hai NET Framework installato?
nel log sono presenti delle infezioni, compresa quella nel winlogon(e' infetto) e dovremo mettere mano al registro se malwarebytes non riuscira' ad eliminarla
prosegui in questo modo
Avvia Hijack e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"
Citazione:
O4 - HKCU\..\Run: [TOY5KNQ8OC] C:\DOCUME~1\PRINCI~1\IMPOST~1\Temp\Cmw.exe
O4 - HKCU\..\Run: [qlvbc] "c:\documents and settings\principale\impostazioni locali\dati applicazioni\qlvbc.exe" qlvbc
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
scarica ed esegui malwarebytes
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto e per ora non rimuovere nulla
edit
per cortesia cancella il postato del log di hijackthis e caricalo qui
leggi il regolamento |
Modificato da - shang in data 05/03/2010 10:54:59 |
|
|
|
Al3x9
New Member
45 Messaggi |
Inserito il - 05/03/2010 : 11:34:34
|
l'account l ho eliminato...non ho il desktopo remoto e ho installato NET framework.
Ho elimitato le tre righe che mi avevi detto
malware ha finito...questo è il risultato:
htt*://wikisend[.com]/download/679786/mbam-log-2010-03-05 (11-32-13).rar
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/03/2010 : 11:45:11
|
riavvia malwarebytes ed elimina tutto, in questo modo avrai anche eliminato quell'infezione nel registro
per l'account ASPNET prova a leggere qui
fai anche questa scansione - prima di effetuare il download disattiva il tuo antivirus
scarica combofix sul desktop
(non installare la recovery console)
Lascia lavorare il programma senza interferire
Allega il rapporto C:\ComboFix.txt nella tua risposta.
non usare il pc durante la scansione, nemmeno il mouse |
|
|
|
Al3x9
New Member
45 Messaggi |
Inserito il - 05/03/2010 : 11:52:25
|
come faccio a disattivare l'antivirus
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/03/2010 : 12:08:54
|
dovrebbe esere cosi'
Tasto destro sull'icona vicino all'orologio poi exit |
|
|
|
Al3x9
New Member
45 Messaggi |
Inserito il - 05/03/2010 : 12:12:14
|
non c'è!!!!!!ci sta scritto solo aggiorna adesso e apri interfaccia utente avg ma li ho gia visto ma nn si sa come disattivarlo...cmq ho cercato anche in rete ma non ho ancora trovato nnt
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
|
|
Al3x9
New Member
45 Messaggi |
Inserito il - 05/03/2010 : 12:18:28
|
già l ho letta ma nn dice nnt
cmq ci sono riuscito in pratica bisognava disattivare il resident shild adesso faccio la scansione con combofix
ecco il log:
htt*://wikisend[.com]/download/447228/ComboFix.rar |
Modificato da - Al3x9 in data 05/03/2010 12:36:05 |
|
|
|
Al3x9
New Member
45 Messaggi |
Inserito il - 05/03/2010 : 12:46:27
|
cmq sto notando che il computer inizia ad andare meglio e che internet va piu veloce
|
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/03/2010 : 13:02:52
|
apri un file di testo (dal blocco note di windows), al suo interno incollaci il seguente script:
File::
C:\os629005.bin
c:\documents and settings\principale\impostazioni locali\dati applicazioni\qlvbc.exe
salva il file nella stessa cartella dove hai messo combofix chiamandolo obbligatoriamente CFScript.txt
Fatto ciò, con il puntatore del mouse, trascina il file sull'icona di combofix. Il programma avvierà una nuova scansione, come la precedente. Non fare e non muovere nulla. Al termine di essa, se non si riavvierà automaticamente il computer, fallo tu. Allega il nuovo file c:\combofix.txt prodotto dalla scansione.
|
|
|
|
Al3x9
New Member
45 Messaggi |
Inserito il - 05/03/2010 : 13:17:29
|
eccolo:
htt*://wikisend[.com]/download/447512/ComboFix.rar |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 05/03/2010 : 13:50:57
|
sembra tutto a posto
fai pulizia del sistema con ccleaner
Una volta installato configuralo in questo modo:
lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi clicca su:
Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
alla voce Pulizia, nella sezione Avanzate spunta le voci Vecchi dati Prefetch e Disinstallatori aggiornamenti di WinUpdate
nel menu a sinistra, clicca sulla voce Pulizia
clicca su tasto Avvia pulizia per eseguire la scansione
finita la scansione, sempre nel menu a sinistra, clicca sulla voce Registro e spunta tutte le voci comprese nella sezione meno la voce estensioni file non usate
clicca sul tasto Trova problemi ed avvia una scansione
al termine della scansione clicca sulla voce Ripara selezionati e prosegui con la riparazione (questo ultimo passaggio ripetilo più volte, fino a quando non verranno rilevati più problemi da correggere)
usa anche qesto pulitore
Avvia ATFCleaner.exe con un doppio click
1) seleziona la casella Select All
2) clicca sul pulsante Empty selected
3) aspetta l'avviso Done Cleaning
(se usi opera o firefox,spunta anche le loro sezioni)
disinstalla combofix con questo programma
eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI
vai in Disco Locale C: ed elimina la cartella QooBox
postami un log aggiornato di hijackthis e se e' tutto a posto dovremo aver finito |
|
|
|
Al3x9
New Member
45 Messaggi |
Inserito il - 05/03/2010 : 17:48:15
|
Ho fatto tutto quello che mi hai detto...questo è il nuovo log:
htt*://wikisend[.com]/download/573840/hijackthis.rar
T ringrazio tantissimo sei stato gentilissimo oltre che bravissimo,grazie ancora |
|
|
|
Discussione |
|
Problemi: Remote desktop help assistant
Forum Bloccato
