| Autore |
 Discussione  |
|
|
emanuele_c2004
New Member
Città: torino
39 Messaggi |
 Inserito il - 08/02/2007 : 21:51:00
|
CIao a tutti, come nuovo iscritto ho già in mente un modo per rompere le scatole a tutti voi.!
Domanda.
Ho letto nel forum, riguardo ad un file chiamato CSRSS.EXE, che questi è un normalissimo processo di windows, conferma che mi giunge anche dal sito microsoft, dove comunque si accomuna il nome di quel file a un worm autoreplicante, e dal sito simantec, dove per lo stesso motivo si consiglia la scannsione con un anti-trojan apposito.
Per sicurezza ho scaricato e testato il mio sistema, pero niente, nessuna segnalazione.
Allora il mio dubbio cresce, e incomincioa a pensare a dover reinstallare XP Home per il seguente motivo.
Dopo aver avviato una sessione di lavoro (acceso il pc e attivato il mio navigatore), noto con mio grosso rammarico che:
In alto a sinistra dello schermo mi appare una finestra miniaturizzata che incomincia sfarfallare (non perchè sia scema, ma perchè richiama del continuo il programma in questioen CSRSS.EXE)
Appaiono delle finestre che mi avvisano che per magior sicureza il processo sarà isolato e terminato
firefox (ma prima di lui anche opera) non si apre più, in nessun modo, manco facendo Enter dalla tastiera
riesco ad usare solo AvantBrowser
aprendo il TM di windows, non viene visualizzato nessun processo attivo però, se non provvedo a bloccare nel firevall l'applicazione
"service and controller app", questa finestrella nche sfarfalla mi impedisce di spostare il puntatore del mouse e di eseguire qualsiasi attività.
avete notizie in merito a questo problema/difetto?
Sicuro non è un virus, anceh perchè , dopo svariate e approfondite analisi con diversi sistemi di rilevamento, non se ne sono rivelate tracce.
Grazie a tutti
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 09/02/2007 : 00:34:17
|
per un controllo più approfondito del problema
posta un log di Hijackthis htt*://[www].merijn.org/files/hijackthis.zip
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare
secondo le regole htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
Ciao.
Ps. bella accoppiata il tuo messaggio n.1 ed il mio numero 1000 |
 |
|
|
emanuele_c2004
New Member
Città: torino
39 Messaggi |
Inserito il - 09/02/2007 : 09:09:34
|
come da te richiesto e come specificato nelle info da te suggeritemi ti invio la pagina del servizio di hosting dove ho scaricato il file di log.
htt ://freefilehosting.net/download/ODU3NzY=
giustamente il mio primo messaggio corrisponde al tuo millesiomo....bene, buon inizio.
grazie dell'aiuto
emanuele |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 09/02/2007 : 12:55:08
|
avvia Hijackthis clic su "Do a system scan only" viene fuori un elenco , spunta la casellina accanto alle seguenti voci e clicca su "Fix checked"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: Shell Browser Object Class - {00534B55-3155-CA4F-B41D-0E922121D03C} - C:\WINDOWS\system32\browsemu.dll
O4 - HKLM\..\Run: [Services] C:\WINDOWS\Services.exe
O20 - Winlogon Notify: flballoon - C:\WINDOWS\SYSTEM32\flwzx.dll
ora devi trovare, seguendo il percorso, ed eliminare i file:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\system32\browsemu.dll
C:\WINDOWS\SYSTEM32\flwzx.dll
riposta un nuovo log di HJT |
|
|
|
emanuele_c2004
New Member
Città: torino
39 Messaggi |
Inserito il - 09/02/2007 : 19:13:11
|
Citazione:
Messaggio inserito da michal
avvia Hijackthis clic su "Do a system scan only" viene fuori un elenco , spunta la casellina accanto alle seguenti voci e clicca su "Fix checked"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: Shell Browser Object Class - {00534B55-3155-CA4F-B41D-0E922121D03C} - C:\WINDOWS\system32\browsemu.dll
O4 - HKLM\..\Run: [Services] C:\WINDOWS\Services.exe
O20 - Winlogon Notify: flballoon - C:\WINDOWS\SYSTEM32\flwzx.dll
ora devi trovare, seguendo il percorso, ed eliminare i file:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\system32\browsemu.dll
C:\WINDOWS\SYSTEM32\flwzx.dll
riposta un nuovo log di HJT
ho fatto come tu mi hai indicato eccezzionfatta per
C:\WINDOWS\SERVICES.EXE
che non lo posso cancellare manco in modalità provvisoria, per osono riuscito a eliminare un C:\WINDOWS\SERVICES.EXE.xxxxxxxxx.pif che nopn so manco da dove sia uscito
in compenso ho guadagnato che il pc non parte più quindi penso che dovro riformattarlo tutto.
Comunque grazie di averci provato.
Ciao |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 09/02/2007 : 20:20:37
|
Citazione:
ora devi trovare, seguendo il percorso, ed eliminare i file:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\system32\browsemu.dll
C:\WINDOWS\SYSTEM32\flwzx.dll
probabilmente hai rimosso il Service.exe legittimo e non il fasullo
C:\windows\service.exe da eliminare
C:\windows\system32\service.exe file di sistema.
mi spiace, ma bisogna prestare molta attenzione alle indicazioni che vengono date e non eliminare mai file di propria iniziativa |
|
|
| |
Discussione |
|
|
|
Sfarfallio fastidioso
Forum Bloccato
