ciao,
ho cancellato con avenger il virus crscs.exe presente in c:\windows\system32

il problema è che ora avviando il pc mi esce una finestra di errore che mi dice che è impossibile trovare questo file

non capisco perchè visto ce è un virus e non so come rimediare

chi mi aiuta?
:help:

Ciao allega un log del tool indicato al Punto 7 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598).

log con hijackthis fatto

hijackthis.log (http://wikisend.com/download/553554/hijackthis.log)

malwarebyte me lo rileva ora nel registro mentre avira non lo vede

Ciao allega i log dei tool indicati in questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

ecco i log:
drweb
Dr web cureit.txt (http://wikisend.com/download/510700/Dr web cureit.txt)

A2scan
a2scan_090912-132938.txt (http://wikisend.com/download/464934/a2scan_090912-132938.txt)

hijackthis
hijackthis.txt (http://wikisend.com/download/470944/hijackthis.txt)

malwarebyte non mi ha rilevato nulla, quindi evito di allegare il log

malwarebyte non mi ha rilevato nulla, quindi evito di allegare il log

Allegalo a prescindere, non si capisce quale azione hai intrapreso con gli oggetti rilevati da A2.

ecco anche il log di malwarebyte

mbam-log-2009-09-15 (13-31-08).txt (http://wikisend.com/download/538020/mbam-log-2009-09-15 (13-31-08).txt)

ora malwarebytes me lo rileva nuovamente

Se hai cancellato il file crscs.exe e ora windows si lamenta che lo vuole, evidentemente è rimasto qualche riferimento probabilmente nel registro.
Con regedit o altro editor per il registro cerca crscs.exe e cancella tutti i valori relativi.

Se hai cancellato il file crscs.exe e ora windows si lamenta che lo vuole, evidentemente è rimasto qualche riferimento probabilmente nel registro.
Con regedit o altro editor per il registro cerca crscs.exe e cancella tutti i valori relativi.
l'ho già fatto ma senza ottenere i risultati sperati

ecco anche il log di malwarebyte

mbam-log-2009-09-15 (13-31-08).txt (http://wikisend.com/download/538020/mbam-log-2009-09-15 (13-31-08).txt)

Per fortuna che MBAM non aveva rilevato nulla


Processi delle memoria infetti:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.

No action taken -> significa che non hai eliminato nulla, ripeti scansione completa ed elimina utti gli oggetti rilevati.

Per fortuna che MBAM non aveva rilevato nulla

No action taken -> significa che non hai eliminato nulla, ripeti scansione completa ed elimina utti gli oggetti rilevati.
ma la prima volta coì era!

è da diversi giorni che accade questo
un giorno faccio la scansione e non rileva nulla, dopo un paio invece mi ricompare questo maledetto trojan! lo elimino e poi ricompare

non ho eliminato nulla appositamente perché volevo capire se c'era un ordine preferito nel tentativo di rimuoverlo

anche perché con malwarebyte tra qualche giorno ricomparirà

ma la prima volta coì era!

è da diversi giorni che accade questo
un giorno faccio la scansione e non rileva nulla, dopo un paio invece mi ricompare questo maledetto trojan! lo elimino e poi ricompare

non ho eliminato nulla appositamente perché volevo capire se c'era un ordine preferito nel tentativo di rimuoverlo

anche perché con malwarebyte tra qualche giorno ricomparirà

C'è qualcosa che non quadra, mi sembra assai improbabile che ne A2 ne CureIt lo rilevino.

C'è qualcosa che non quadra, mi sembra assai improbabile che ne A2 ne CureIt lo rilevino.
infatti A2 e cureit sono stati fatti quando non ero infetto, quando malwarebyte non rilevava nulla.

ora invece, per magia, eccolo di nuovo :muro:

intanto sto facendo le scansioni con malwarebyte e lo elimino, poi faccio anche gli altri e riallego tutti i log

infatti A2 e cureit sono stati fatti quando non ero infetto, quando malwarebyte non rilevava nulla.

ora invece, per magia, eccolo di nuovo :muro:

intanto sto facendo le scansioni con malwarebyte e lo elimino, poi faccio anche gli altri e riallego tutti i log

Hai per caso collegato un qualche supporto removibile USB?

Hai per caso collegato un qualche supporto removibile USB?
venerdì collegai una panna usb e avira rilevo un virus (che rimossi, non era crscs)
poi fino a lunedì, ogni giorno, ho fatto scansioni e non è stato rilevato nulla fino a ieri

ieri ho fatto le scansioni e ricollegato la penna per farla scansionare e drweb ha rilevato un virus (non era crscs) non cancellabile (ho formattato così la penna). e poi ho fatto le scansioni all'hd dove solo malware ha rilevato il solito trojan

ecco i log
a2scan_090915-184510.txt (http://wikisend.com/download/571290/a2scan_090915-184510.txt)

cureit filtrato.txt (http://wikisend.com/download/468672/cureit filtrato.txt)

hijackthis.log (http://wikisend.com/download/345450/hijackthis.log)

mbam-log-2009-09-15 (13-31-08).txt (http://wikisend.com/download/933212/mbam-log-2009-09-15 (13-31-08).txt)

Ribadisco No action taken -> significa che non hai eliminato nulla

Processi delle memoria infetti:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.

come sospettavo il virus è veicolato da un supporto removibile USB

f:\jlvoeg.exe infettato da Win32.HLLW.Autohit.3438 - incurabile - spostato

quindi presta attenzione ad eventuali supporti potenzialmente infetti, all'inserimento tieni e mantieni premuto il tasto SHIFT (freccia in alto) per evitare l'esecuzione in Autoplay

Ribadisco No action taken -> significa che non hai eliminato nulla
bah...non caspisco

clicco sul pulsante per eliminare i file infetti e non pulisce nulla :mc:



come sospettavo il virus è veicolato da un supporto removibile USB

quindi presta attenzione ad eventuali supporti potenzialmente infetti, all'inserimento tieni e mantieni premuto il tasto SHIFT (freccia in alto) per evitare l'esecuzione in Autoplay
però non capisco una cosa: la penna usb la collegai venerdì, fu rilevato un virus e lo cancellai
poi ho fatto scansioni giornaliere con tutto (avira, malware, etc) e non mi hanno rilevato nulla fino a ieri.
ieri mi rileva nuovamente il virus (penna usb sconnessa) e, leggendo la tua risposta, la collego per scansionare anche questa e rileva virus (che cancello)

se la penna è stata sconnessa da venerdì e ieri (collegata dopo aver rilevato già il trojan), perché negli altri giorni non ha rilevato nulla?

Leggi qui

http://www.hwupgrade.it/forum/showthread.php?t=1898627

alla voce COME COMPORTARSI IN CASO DI INFEZIONE :

Per quanto concerne il discorso penna USB, non ho capito :stordita:

ok, non sapevo dovessi cancellarli anche dalla quarantena affinché li cancellasse effettivamente

riguardo l'usb, mi chiedo perché per 2 giorni non fosse stato rilevato alcun trojan o virus nonostante la penna collegata venerdì avesse un virus.

solo dopo 2 giorni mi è ricomparso.
questa è la cosa che non mi spiego!

p.s.: ora la penna è stata formattata (ho usato shift anche) e malware non rileva nulla su di essa

ok, non sapevo dovessi cancellarli anche dalla quarantena affinché li cancellasse effettivamente

riguardo l'usb, mi chiedo perché per 2 giorni non fosse stato rilevato alcun trojan o virus nonostante la penna collegata venerdì avesse un virus.

solo dopo 2 giorni mi è ricomparso.
questa è la cosa che non mi spiego!

p.s.: ora la penna è stata formattata (ho usato shift anche) e malware non rileva nulla su di essa

Ipotizzo e sottolineo ipotizzo che venerdì il virus in questione non fosse riconusciuto come tale.

Dal log di CureIt allegato in data 10.09 si evince

F:\1.exe infettato da Win32.HLLW.Autoruner.548 - cancellato