aiuto raga!!!!!

[plemax]

ciao raga ho un virus ,un trojan
che mi ha invirrussato il file csrss.exe
nella cartella system di windows
nel sito della norton spiega come levarlo
però io non ho capito un ca''o
il virus si chiama : trojan.boxed.a
sapete darmi un consiglio come levarlo
grazie per ora ciao

[plemax]

nessuno sa dirmi qualcosa???????????

[wgator]

Ciao,

temo che se non posti un log di hijackthis sia un po' difficile aiutarti, almeno da parte mia

Prova a piazzare il log qui sotto che ci guardo

[ironia]

w32.spybot.worm

controlla nei servizi probabile ti abbia aggiunto qualcosa anche li

ciaoo

[The Lenny]

http://securityresponse.symantec.com...n.boxed.a.html

questa è la parte importante:
Trojan.Boxed.A
Discovered on: June 15, 2004
Last Updated on: June 22, 2004 02:23:15 PM







Trojan.Boxed.A is a Trojan horse that performs a Denial of Service (DoS) attack on certain Web sites. DoS attacks are used to deny legitimate users access to a Web site.

Also Known As: DDos.Win32.Boxed.d [Kaspersky]

Type: Trojan Horse
Infection Length: 26,694 bytes



Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Systems Not Affected: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x






Virus Definitions (Intelligent Updater) *
June 16, 2004


Virus Definitions (LiveUpdate™) **
June 16, 2004


*
Intelligent Updater definitions are released daily, but require manual download and installation.
Click here to download manually.

**
LiveUpdate virus definitions are usually released every Wednesday.
Click here for instructions on using LiveUpdate.







Wild:

Number of infections: 0 - 49
Number of sites: 0 - 2
Geographical distribution: Low
Threat containment: Easy
Removal: Moderate
Threat Metrics


Wild:
Low
Damage:
Medium
Distribution:
Low



Damage

Payload Trigger: n/a
Payload: n/a
Large scale e-mailing: n/a
Deletes files: n/a
Modifies files: n/a
Degrades performance: The Trojan's network activity can degrade system performance.
Causes system instability: n/a
Releases confidential info: n/a
Compromises security settings: Terminates services associated with antivirus programs.
Distribution

Subject of email: n/a
Name of attachment: n/a
Size of attachment: n/a
Time stamp of attachment: n/a
Ports: n/a
Shared drives: n/a
Target of infection: n/a


When Trojan.Boxed.A runs, it does the following:


Deletes the following services that are associated with antivirus software:

wuauserv
navapsvc
Symantec Core LC
SAVScan
kavsvc
Network Client
Network Client Monitor


Installs itself as a service named "Network Client" which creates the following registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nwclnt


--------------------------------------------------------------------------------
Note: This service will automatically run at startup.
--------------------------------------------------------------------------------


Performs a DoS attack on the following Web sites:

images.gamemaniacs.org
secure.bootcom.com
pop3.bootcom.com
mail.bootcom.com
ftp.bootcom.com
www.bootcom.com


Replaces the existing %System%\drivers\etc\hosts file with one that contains the following text, so that any attempts to connect to these Web sites fail:



--------------------------------------------------------------------------------
Note: %System% is a variable. The Trojan locates the System folder. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

in fodo non è altro che un "ripetitore"..

x levarlo dovrebbero bastare le consuete procedure..

[plemax]

ecco il logo aspetto notizie
grazie

[wgator]

Ciao,

lo sto controllando, sai darmi qualche info su questi particolari?



Non conosco questo processo, anche se non mi pare sia maligno:

C:\WINDOWS\system32\TFNF5.exe
_______________________________________________________________________________________________________________________

Non pericolose ma da cancellare:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {5FA6752A-C4A0-4222-88C2-928AE5AB4966} - (no file)
_______________________________________________________________________________________________________________________

Sai cos'è?

O4 - HKLM\..\Run: [Adstartup] C:\WINDOWS\System32\automove.exe
________________________________________________________________________________________________________________________

Perchè è in esecuzione automatica?

O4 - HKLM\..\Run: [Windows Taskbar Manager] c:\documents and settings\all users\menu avvio\programmi\esecuzione

automatica\internat.exe
_________________________________________________________________________________________________________________________

Sai cos'è

O4 - HKLM\..\Run: [WinPLOSION] "C:\Programmi\WinPLOSION\winplosion.exe"
__________________________________________________________________________________________________________________________

Da cancellare

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Eipnklng.dll (file missing)

[plemax]

Non conosco questo processo, anche se non mi pare sia maligno:

C:\WINDOWS\system32\TFNF5.exe


file della toshiba
non so ha cosa serve!!



Perchè è in esecuzione automatica?

O4 - HKLM\..\Run: [Windows Taskbar Manager] c:\documents and settings\all users\menu avvio\programmi\esecuzione

automatica\internat.exe


non so a cosa serviva
ma lo gia eliminato!!!



gli altri file non sono riuscito a trovarli
e ad sapere info
cosa devo fare ora??

[wgator]

Ciao,

ok ho controllato. Devi cercare ed eliminare:

csrss.exe (attenzione, quello contenuto in C:\WINDOWS\system NON quello in C:\WINDOWS\system32)

poi devi eliminare wxcahdvp.exe contenuto in C:\WINDOWS\System32

Poi metti la spunta su queste 2 voci e premi fix (con hijackthis)

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\wxcahdvp.exe
O4 - HKLM\..\Run: [BuildLabs] C:\WINDOWS\system\csrss.exe

Naturalmente tutto questo dopo aver attivato la visualizzazione dei file e delle cartelle nascoste, cancellato i temporanei ed i temporanei di internet e disattivato il ripristino della configurazione.

Controlla anche il file HOSTS, aprilo col notepad e guarda che dentro non ci siano riferimenti a siti di antivirus eccetera.

Se è diverso da questo, sostituiscilo:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x

127.0.0.1 localhost


_________________________________________________

Quando hai fatto, riavvia e fai un nuovo log con hijackthis

[plemax]

ciao grazie per ora sei un mito!!!
ora provo a fare tutto quello che mi\ha detto
poi ti faro sapere ciao

[plemax]

ciao wgator ho fatto tutto come mi hai detto
te ,ma il file log non lo ho modificato
non so che file log devo modificare!!
ciao aspetto tue notizie
ecco intanto un nuovo host
ciao e grazie

[wgator]

Quote:

Originariamente inviato da plemax
ciao wgator ho fatto tutto come mi hai detto
te ,ma il file log non lo ho modificato
non so che file log devo modificare!!
ciao aspetto tue notizie
ecco intanto un nuovo host
ciao e grazie

Ciao,

ecco, non c'è male, dovresti localizzare "automove.exe" ed eliminarlo

poi con Hijackthis spunta queste voci e premi FIX

O4 - HKLM\..\Run: [Adstartup] C:\WINDOWS\System32\automove.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {5FA6752A-C4A0-4222-88C2-928AE5AB4966} - (no file)

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Eipnklng.dll (file missing)

Per quanto riguarda il file HOSTS, ti consigliavo solo di controllarlo perchè potrebbe essere stato modificato dal virus.

In pratica dovresti premere "start->cerca" e scrivi HOSTS

Trovi alcuni files con quel nome. Scegli quello senza estensione ed aprilo col blocco note.

Per essere pulito deve essere simile a quello che ho postato sopra. Non devono esserci riferimenti a siti di antivirus e simili.

[plemax]

ciao wgator
ho spuntato le voci che mi hai richiesto
e il file hosts lo controllato
non e stato modificato e uguale identico
al tuo postato!!
ho rifatto un log
nuovo
ora dovrei essere ok ??
ciao mitico

[wgator]

Ciao,

OK, ora è tutto a posto.

Semplice curiosità: è un notebook Toshiba quel PC?

[plemax]

si e un notebook toshiba
cosa ne pensi di questa marca ??
e circa 9 mesi che lo ho
e non mi posso lamentare
sei stato molto gentile wgator
e grazie ancora ciao boss