aiuto!!molti virus navigano nel mio pc liberamente

[Beta7]

da pochi giorni,ho preso un virus che mi fa rallentare il pc,quando apro il task manager,mi fa salire l'utilizzo dell memoria a 100%,poi se vado a vedere cala,poi chiudo il taskm e lo fa risalire a 100%,non solo ho preso il virus cavallo di troia ma anche:

5-6 svchost.exe,ce ne sono molti e se levo quello sbagliato esce quel virus del reset in 1 min
ctfmon.exe
alg.exe
a volte dice il task che ci sono aperti 3-4 internet explorer anche se ho appena acceso il pc,2-3 msn anche se non l'ho ancora aperto
rundll32.ese(è un virus)
khost.exe
isass.exe
csrss.exe
smss.exe

credo solo questi,COME POSSO FARE PER CANCELLARE TUTI STI VIRUS??
norton li trova e dice che non riesce nè a rinominarli nè a cancellarli,il nod32 li trova tutti ma non li mette manco in quarantena,dovrò scaricare spybot search&destroy??
che prog mi consigliate?
il pc mi va lento sia a internet sia nel pc normale!

AIUTOOO

[Nicky]

Quote:

Originariamente inviato da Beta7

5-6 svchost.exe,ce ne sono molti e se levo quello sbagliato esce quel virus del reset in 1 min

Avere più svchost è normalissimo...
Se chiudi quello sbagliato interviene nt authority system o come si chiama, ma che io sappia non c'entra nulla con il sasser o il blaster [anche se l'avviso è quello]

Quote:

ctfmon.exe
alg.exe
csrss.exe
smss.exe

Ma questi non sono normalissimi file che si trovano in system32?

Quote:

credo solo questi,COME POSSO FARE PER CANCELLARE TUTI STI VIRUS??
norton li trova e dice che non riesce nè a rinominarli nè a cancellarli,il nod32 li trova tutti ma non li mette manco in quarantena,dovrò scaricare spybot search&destroy??

Prova con qualche antivirus online [tipo il trend della micro] oppure con un tool di rimozione stile stinger in mod provvisoria..

Fai anche una scansione con un programma antispyware.
Se non risolvi prova ad utilizzare hijackthis.

Cmq aspetta il consiglio di qualcuno più competente

[wgator]

Ciao,

uhm la situazione è "quasi" drammatica ma non incurabile.

Questi forse sono virus:

khost.exe
isass.exe

Questo è un normale processo di windows a patto che si trovi in Windows/system32

csrss.exe

Se hai un csrss.exe in un'altra cartella, per esempio in Windows/system (senza 32) va cancellato.

Hai un antivirus? Se l'hai aggiornalo e lancialo da modalità provvisoria (F8 al boot) e vedi se ti elimina o quarantena qualcosa.
Fai uno scan on line con questo: http://it.trendmicro-europe.com/cons...secall_pre.php

poi, scarica hijackthis e posta il log che leviamo a mano quello che è rimasto

[Beta7]

ho appena finito di usare spybot e hijackis,ora posto i log


Logfile of HijackThis v1.98.2
Scan saved at 13.35.44, on 11/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\kdx\KHost.exe
C:\Programmi\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Avant Browser\avant.exe
C:\Programmi\IDA\ida.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\alex91\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O11 - Options group: [!CNS] Chinese keywords



spybot mi ha trovato 1773 spyware e virus,ora li ho immunizzati

[Kintaro10]

Dai log non mi sembra di vedere alcun processo anomalo, ma potrei anke sbagliarmi, cmq quale è quello ke ti occupa la cpu a 100?

[Andytrendy]

prova ad incollare il log di hijackthis qui :http://hijackthis.de/index.php?langselect=english

[wgator]

Ciao,

no, processi anomali attivi non ce ne sono più, tuttavia ci sono 2 cose in qualche modo associabili a schifezze. Metti (con hijackthis) il segno di spunta su queste 2 voci e premi "FIX"

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32

Mi sembra che nella cartella windows/downloaded program files ci sia qualcosa da eliminare. Fammi sapere quali voci contiene. Se c'è una cosa che si chiama CnsMin o qualcosa di simile, cancellala.

Cerca ed elimina "cnsMin.dll" e "CnsHook.dll"

Questa non la conosco. Sai cos'è? Se non l'hai messa tu Fissala!

O11 - Options group: [!CNS] Chinese keywords

Quando hai fatto posta un nuovo log

[eliogolf]

Ehm,anche io ho Isass,ma è un virus?perchè a me nn da problemi e lo ho avuto pure alla 1° accensione e nell'altro pc!

[wgator]

Ciao,

attenzione: ISASS (con iniziale I come IMPERIA) è un virus, mentre LSASS, (con iniziale L come Livorno) è un normale processo di sistema.

Quale hai dei due?

[eliogolf]

se inizia con la lettera maiuscola, è I,,però a me sembra di + una stanghetta retta verticale,come la l minuscolo(anzi è proprio quella!)quindi se inizia cn minuscolo,quindi lsass, io ho quello non isass

[Beta7]

a me inizia con la I

Isass.exe

[Beta7]

comunque,grazie a tutti

[wgator]

Quote:

Originariamente inviato da Beta7
a me inizia con la I

Isass.exe

Ciao,

basandomi sul log che hai postato sopra: C:\WINDOWS\system32\lsass.exe

c'è scritto lsass con la "L" minuscola, comunque "L"

Se fosse scritto Isass.exe (con la I di Imperia) avresti parecchi problemi