| Autore |
 Discussione  |
|
Qwerta91
New Member
Città: Roma
40 Messaggi |
 Inserito il - 06/02/2008 : 14:54:17
|
salve ragazzi...io ho letto una vostra discussione sul file Csrss.exe e sulle sue caratteristiche (precisamente la discussione era questa htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5827&whichpage=1 )
bene io sn sicuro che il file CsRss.exe d cui sto parlando e' un virus...dato che nel taskmanager ne ho 2....uno su system e uno sulla mia sezione utente (specificatamente nella cartella c:windows/media). questo si attiva automaticamente all'avvio di Windows. qualkuno di voi mi sa dire cm eliminarlo?!?!?!?
ah...e inoltre ho letto che era meglio se si postava quello che c'era scritto in hijack....e cosi' faccio!
hijackthis242.log
grazie in aticipo delle eventuali risposte!!!
vi prego aiutatemi!
Qwerta91
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 06/02/2008 : 14:59:14
|
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\Media\csrss.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - Startup: rfrof.exe
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - htt*://cdn1.acclaimdownloads[.com]/solidstateion .cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - htt*s://my.levelupgames.ph/keycrypt/npkcx .cab
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe
clicca alla fine su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli il SEGUENTE testo così come l'ho scritto:
files to delete:
C:\WINDOWS\Media\csrss.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\npkcsvc.exe
C:\rfrof.exe
C:\WINDOWS\rfrof.exe
C:\WINDOWS\system32\rfrof.exe
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, eseguire l’operazione “avvia pulizia"
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato |
Modificato da - Leleago in data 06/02/2008 16:58:48 |
 |
|
|
Qwerta91
New Member
Città: Roma
40 Messaggi |
Inserito il - 06/02/2008 : 15:24:07
|
ODDIO GRAZIE MILLE...davvero nn so cm ringraziarti...problema risolto!!!
grazie grazie grazie grazie
velocissimo l'auito e soprattutto molto soddisfacente...!
grazie ancora!! |
|
|
|
Qwerta91
New Member
Città: Roma
40 Messaggi |
Inserito il - 06/02/2008 : 15:29:15
|
un'ultima cosa....avenger quando ho riavviato mi ha lasciato questo file di testo...
avenger31.txt
e' normale che alcuni file nn sn stati trovati?!?!
di nuovo grazie in anticipo per la risp! |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 06/02/2008 : 16:57:27
|
si è normale cmq purtroppo sn ancora nel sistema quindi fa una ricerca (start,esegui,cerca,file e cartelle, tutti i file e cartelle) e digiti il nome del file da cercare. Prima di far partire il cerca vai su: "altre opzioni avanzate" e spunta: cerca nei file e cartelle nascosti e cerca nelle sottocartelle. Poi fa partire il cerca.
cerca questi file: smss.exe e rfrof.exe!!
N.B. ricordati di NON eliminare però il file SMSS.EXE contenuto in c:\WINDOWS\system32 che è un file legittimo..il file SMSS.EXE che DEVI eliminare si trova invece in c:\WINDOWS\system 
|
Modificato da - Leleago in data 06/02/2008 17:00:09 |
|
|
|
Qwerta91
New Member
Città: Roma
40 Messaggi |
Inserito il - 06/02/2008 : 18:02:31
|
| ok faccio subito..grazie 1000 ancora per la tua disponibilita'!!!! |
|
|
|
Qwerta91
New Member
Città: Roma
40 Messaggi |
Inserito il - 06/02/2008 : 18:07:28
|
sn ancora qui  quando faccio la ricerca nn mi trova nessun file smss.exe che sta in c:\windows\system e riguardo al file rfrof.exe nn me lo trova ma trova questo RFROF.EXE-0859F5FC.pf
che faccio?!?
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 07/02/2008 : 07:55:11
|
se nn l'ha trovato allora vuol dire che nn è presente sul pc smss!
sì elimina quel file rfrof.exe |
|
|
|
huskerdu
New Member
39 Messaggi |
Inserito il - 10/02/2008 : 10:04:26
|
Salve a tutti.
Anche io ho riscontrato lo stesso problema dopo aver installato un software per IM chiamato digsby (htt*://[www].digsby[.com]/).
Effettuata questa operazione Norton antivirus mi riportava di aver tovato un trojan chiamato appunto csrss.exe.
Ho contattato quelli del sofwtare in questione riportando l'accaduto, ma loro mi hanno risposto così:
"I guarantee that there are no viruses, spyware, or third party applications bundled in digsby. We use the NSIS installer to distribute digsby and some anti-virus applications detect it as a virus incorrectly. You can read more here:
htt*://nsis.sourceforge.net/NSIS_False_Positives"
e, in effetti, ho effettuato delle scansioni online che mi dicono di non trovare nessun virus.
Dal momento che però ora io mi ritrovo due file csrss.exe (uno nella cartella system e uno nella cartella windows/system32), come posso sapere se uno dei due è un virus?
Questo è il log di hijackthis. Se qualcuno mi sapesse dire qualcosa in più gliene sarei grato.
hijackthis252.log
Grazie
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 10/02/2008 : 10:51:45
|
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok
apri hijack e spunta:
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\system32\wiiXslIB.dll (file missing)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\csrss.exe
O4 - HKLM\..\Run: [GPPrinterNotify] "C:\GreenPrint World\GPPrinterNotify.exe"
O9 - Extra button: GreenPrint - {554099FE-3856-4d93-86B5-0024AEF63BC7} - C:\GreenPrint World\GPIEPlugin.dll
O9 - Extra button: (no name) - {DF96BA30-57F6-4700-8065-910EC3BE9E3B} - (no file)
clicca alla fine su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento
Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli il SEGUENTE testo così come l'ho scritto con le diciture files to delete e folders to delete:
files to delete:
C:\WINDOWS\system32\wiiXslIB.dll
C:\WINDOWS\csrss.exe
C:\GreenPrint World\GPPrinterNotify.exe
C:\GreenPrint World\GPIEPlugin.dll
folders to delete:
C:\GreenPrint World
clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, eseguire l’operazione “avvia pulizia"
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Disinstalla il Norton antvirus e mettiti antivir che è gratuito e uno dei migliori.
Lo scarichi da qui [www].free-av[.com] ,lo aggiorni e scansioni
Scaricati anche spybot htt*://[www].safer-networking.org/it/mirrors/index.html
lo aggiorni e scansioni |
|
|
|
huskerdu
New Member
39 Messaggi |
Inserito il - 10/02/2008 : 11:35:16
|
Solo un chiarimento.
Quindi il software infettato (o perlomeno quello che mi ha dato questi problemi) dovrebbe essere Green Print, dal momento che (quasi) tutte le voci riguardano quello?
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 10/02/2008 : 13:55:46
|
| si |
|
|
|
huskerdu
New Member
39 Messaggi |
Inserito il - 10/02/2008 : 21:14:50
|
ok grazie
 |
|
|
|
huskerdu
New Member
39 Messaggi |
Inserito il - 10/02/2008 : 22:00:23
|
fatto tutto e il file in questione sembra essere sparito
grazie ancora
|
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 11/02/2008 : 08:01:27
|
| di niente |
|
|
|
lorenzo891
New Member
39 Messaggi |
Inserito il - 04/06/2008 : 21:25:39
|
buona sera purtroppo anche io ho beccato questo virus
vi posto il file di hijackhijackthis_1212607500799.log
vi prego di aiutarmi grazie |
|
|
|
Discussione |
|
Csrss.exe Raga aiutatemi
Forum Bloccato
