Processo CSRSS.exe virus o non virus, questo è il problema....

[Enrylion]

Buonasera,

da alcuni gg noto che c'è il processo

csrss.exe

e questa sera noto anche dllhost.exe che saltuariamente compare, ma non lascia traccia dopo poco...

Mi sono documentato ed ho letto essere un processo di win che gestisce le prestazioni grafiche e visive...oltre a varie varianti di worm...

Il discorso per cui temo sia virus è che il pc è maggiormente lento negli ultimi gg, firefox occupa spesso molta molta memoria, e giocando su Facebook tipo a Vita in città &co. il flash spesso da problemi (è aggiornato alla versione più recente, verificato ieri non vi fossero nuove versioni...)

Ho fatto scansione con Avira, ma salvo qualche crack di programma residente da tempo e sbloccato da ancora di più, non vi è niente...

Ho fatto scansioni con Hijackthis ed Adaware che riporto in allegato...

Ricercando il file .exe del titolo non ho risultati nei percorsi indicizzati, però ricerca "manuale" su C:\ - C:\windows - C:\windows\system32 il file incriminato risulta solamente in quest'ultima...risulta dimensione di 6KB e data creazione 19-01-2008.

Ho dimenticato di dire che come OS utilizzo win vista, originale, aggiornato come un orologio...
Il firewall è quello integrato, e windefende è attivo ed impostato per real time protecion...
L'antivirus è Avira, pure questo latest definitions....

A questo punto in base ai log non mi resta che chiedere...la risposta alla domanda del titolo, ovvero:
Virus o non virus??

Molte grazie

Enrico

[Enrylion]

Scusate...non è permesso inserire più di un allegato per volta....

[wjmat]

ciao

configura antivir come indicato qui, fai una scansione completa e carichi il log/report secondo le modalità
poi sempre secondo le stesse regole carica anche il log di adaware

[Enrylion]

Buonasera,
e scusate se non ho rispettato le regole della sezione, ma lavorando sul territorio la sera e/o gg di festa ho pochissimo tempo per stare a pc, e tra aggiornare contatti, rispondi a destra e manca...

Adesso veniamo a noi...

Per il momento ho solamente il file di Log di Hijack, reperibile al link

hijackthis.log

e quello di Adware, reperibile al link

Ad Aware.txt

Per la questione report avira, debbo rifare la scansione con le impostazioni consigliate...erano quasi tutte identiche, però...non si sa mai...



Ecco il log di avira...

AVSCAN-20100411-115717-B75097B8.LOG

Attendo news...

Grazie, saluti...

[|gughi|]

ciao a tutti.
faccio riferimento ai link seguenti in cui, a seguito di una richiesta di aiuto per le bsod, mi si è suggerito di approfondire bene eventuali infezioni, soprattutto riguardo il file csrss.exe
http://www.hwupgrade.it/forum/showpo...&postcount=682
http://www.hwupgrade.it/forum/showpo...&postcount=683

seguendo il regolamento per partecipare a questa sezione vi posto quanto effettuato:

1.
ho letto la sezione del regolamento

2.
Malwarebytes Anti-Malware: ecco il log della scansione
03.mbam-log-2010-07-26 (07-27-45).txt

3.
A-Squared Free v4.x: ecco il log della scansione
02.a2scan_100726-073454.txt

4.
- F-Secure OnLine: dopo la scansione trova 1 file, non me lo fa eliminare perché non sarei abilitato, quindi la finestra si chide e mi è impossibile fare il log
- Kaspersky Virus Removal Tool: scansione troppo lunga, con le temperature di questi giorni il mio notebook non regge, si surriscalda e si spegne durante la scansione
- Eset Online Scanner: ecco il log della scansione
04.eset-online-scanner.txt

5.
Dr.Web CureIT: scansione troppo lunga, con le temperature di questi giorni il mio notebook non regge, si surriscalda e si spegne durante la scansione
Al massimo posso postarvi il log della scansione rapida
05.cureit filtrato.txt

6.
ESET SysInspector: ecco il log della scansione
06.SysInspector-PC-GRANTORTINO-100727-0717.xml

7.
HiJackThis: ecco il log della scansione
07.hijackthis.log

8.
Gmer: impossibile postarvi il log, in quanto nel bel mezzo dello scan il sistema dà la bsod di cui sopra

9.
Prevx 3.0: ecco il log della scansione
09.Prevx 3.0.log

Avete per caso qualche consiglio in merito?
Grazie mille per la pazienza

[Chill-Out]

Ciao, abilita la visualizzazione dei file nascosti da Pannello di controllo mettendo il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

utiyoda2.sys che trovi in c:\windows\system32\drivers\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.

[|gughi|]

Quote:

Originariamente inviato da Chill-Out

Ciao, abilita la visualizzazione dei file nascosti da Pannello di controllo mettendo il segno di spunta su Visualizza cartelle e file nascosti - Togli la spunta da nascondi files protetti di sistema - Applica - OK

controlla su http://virscan.org/ e http://www.virustotal.com/it/ il seguenti file:

utiyoda2.sys che trovi in c:\windows\system32\drivers\

per i risultati e sufficiente riportare nel prossimo post l'URL rilasciata a fine scansione.

Anche abilitando la visualizzazione di files nascosti e di sistema, non sono riuscito a trovare nessun file utiyoda2.sys

[Chill-Out]

Quote:

Originariamente inviato da |gughi|

Anche abilitando la visualizzazione di files nascosti e di sistema, non sono riuscito a trovare nessun file utiyoda2.sys

Chiedo venia il file è questo utm0njex.sys il percorso rimane il medesimo

[|gughi|]

Quote:

Originariamente inviato da Chill-Out

Chiedo venia il file è questo utm0njex.sys il percorso rimane il medesimo

con viruscan
http://virscan.org/report/e8541b64f8...aa9dfd4d2.html

con virustotal
http://www.virustotal.com/it/analisi...237-1280295665

[Chill-Out]

Quote:

Originariamente inviato da |gughi|

con viruscan
http://virscan.org/report/e8541b64f8...aa9dfd4d2.html

con virustotal
http://www.virustotal.com/it/analisi...237-1280295665

Dopo aver caricato il file, devi cliccare su rianalizza.

[|gughi|]

Quote:

Originariamente inviato da Chill-Out

Dopo aver caricato il file, devi cliccare su rianalizza.

eccoli
http://www.virustotal.com/it/analisi...237-1280344885

http://virscan.org/report/e8541b64f8...aa9dfd4d2.html
(su virscan non me lo fa "rianalizzare")

[Chill-Out]

Quote:

Originariamente inviato da |gughi|

eccoli
http://www.virustotal.com/it/analisi...237-1280344885

http://virscan.org/report/e8541b64f8...aa9dfd4d2.html
(su virscan non me lo fa "rianalizzare")

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco

Quote:

Files to delete:
c:\windows\system32\drivers\utm0njex.sys

clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

[|gughi|]

Quote:

Originariamente inviato da Chill-Out

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php scompatta l'archivio compresso, avvia Avenger copia ed incolla il seguente script nel box bianco



clicca su Execute, al termine il Pc si dovrebbe riavviare, se no riavvia tu manualmente ed allega il log che trovi in C:\Avenger.txt

ecco qua:

Codice:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\drivers\utm0njex.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

[Chill-Out]

Quote:

Originariamente inviato da |gughi|

ecco qua:

Codice:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\drivers\utm0njex.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Dai log non emerge altro e c:\windows\system32\csrss.exe non è infetto.

[|gughi|]

Quote:

Originariamente inviato da Chill-Out

Dai log non emerge altro e c:\windows\system32\csrss.exe non è infetto.

Quindi forse il problema dovrebbe essere risolto. Ora vedo in questi giorni la situazione com'è. Intanto grazie mille per l'aiuto!

[Chill-Out]

Quote:

Originariamente inviato da |gughi|

Quindi forse il problema dovrebbe essere risolto. Ora vedo in questi giorni la situazione com'è. Intanto grazie mille per l'aiuto!

Prego, comunque il problema non è/era di natura virale.