csrss.exe:asquared lo rileva come backdoor\ ORA IL PROBLEMA è UN ALTRO

[murack83pa]

oggi ho fatto una bella scoperta
ho fatto la scansione deep con asquared e mi ha rilevato il file csrss.exe contenuto sia nella cartella system32 sia nella cartella nascosta unistalservicepack....
vi allego il log di asquared (nb: mi ha rilevato pure un altro backdoor,inserito in un vecchio programma di mixer,virtualdj...mi ero dimenticato di cancellarlo...)
dopo aver ripristinato il csrss che era nella cartella del servicepack, l'ho inviato a virus total, il quale nn me l'ha rilevato come virus,almeno cosi credo: se mi da come risultato 0/32 vuol dire che nessuno di quei 32 antivirus lo ha rilevato come virus,no?

aspetto vostre delucidazioni su questo file di sistema,che in teoria dovrebbe essere legittimo...

vorrei puntualizzare questo:
in questi 10 giorni ho fatto le seguenti scansioni:
scan completo con avira
scan completo con ad-aware 2007
scan completo antirootkit con panda
scan completo(ieri) con prevx
ho sempre tenuto attivo il firewall comodo 2.4

se ne parla anche qui...dovrebbe essere un falso positivo
http://www.hwupgrade.it/forum/showth...6#post19877736

[murack83pa]

ok, in parte ora sono piu tranquillo
xò è sorto un altro problema,anzi un problema trascurato da me:
riguarda msn, che da un po di tempo mi dava problemi di connessione,comodo me lo bloccava...
poco tempo prima,dopo aver installato norton system works, wind doctor mi rilevava un problema con msn:nn riusciva a trovare una libreria...credo msvcr80.dll
anche framework mi da lo stesso problema
sono riuscito a caricarlo,da un sito credo attendibile tipo il punto informatico o megalab,nn ricordo il nome (cmq ho fatto scansione antivirus dopo averlo scaricato)
x win doctor il problema era risolto,ma msn continuava nn camminare con il firewall e qui ho fatto una caxxata(aveendo la ragazza all'estero che usa solo msn,forse capirete):ho disattivato il component monitor di comodo,cosi facend potevo utilizzare msn
qualke giorno fa ho notato che comodo aveva bloccato un misterioso componente di msn, un componente il cui nome era scritto in cinese o simile
io mi sono subito preocccupato:ho fatto la scansione antivirus, ho fatto la scansione antirootkit con panda, e ho fatto la scansione con prevx
poi oggi ho deciso di fare la scansione con asquared(l'ultima volta l'avevo fatta un mesetto fa) e ha trovato questo falso positivo
cosa è successo dopo?
dopo è successo che mentre stavo aspettando una vostra risposta ed ero gia andato sul sito della trend x fare una scansione on line,prima di farla,ho deciso di ricaricare la pagina della scheda di firefox riguarda il mio profilo,x vedere se aggiornando c'erano stati o meno risposte e cosa mi capita?
firefox nn va piu in internet, mi da errore
sono andato su comodo e chi ti ho trovato?
quel componente cinese che ha ora infettatto ff.....
ora sto facendo la scansione ads con il programmino che ho scaricato da qui,quello di nod32...
finisco questa scansione e poi che faccio?
attendo vostre notizie e mi dispiace della lunghezza del post....

per adesso puoi seguire la guida alla disinfezione (visto che hai già usato a-squared e il tool della nod non ti resta che prevx csi) magari salvane anche i vari log in quanto potrebbero venirti richiesti
ti conviene per il resto aspettare chi ne sa più di me...io posso consigliarti questa guida http://www.microsoft.com/italy/techn...i/spyware.mspx

[murack83pa]

si,infatto avevo proprio intenzione di seguirla

[murack83pa]

prevx csi nn mi ha trovato nulla ed ora che c penso avevo fatto la scasione con questo programma proprio ieri e neanche ieri mi dava nulla...
adesso mi accingo a fare una scansione online con ff in modalità provvissoria e vediamo...

EDIT: trend mi ha rilevato "CRCK_WINXP.B", dice che si tratta di "password-tracking application", parla di "gryware"
gli dico disinfetta?
gli ho detto disinfetta
trend ha pure rilevato una vulnerabilità relativa ad asp.net, gli ho detto disinfetta, mi ha detto che bisogna intervenire manualmente, sono andato sul link "ulteriori informazioni" che mi ha dirottato sul sito della microsof, dove si parlava di una vulnerabilità di framwork 1.1 e bisognava scaricare una pacth, sp1, l'ho scaricata ,installato ma mi dice che nn c'è nessun framework 1.1

EDIT 2: forse ho cpt:ieri ho utilizzato un vecchio cd di windows....di seconda mano(xchè il mio l'ho prestato a mio zio,tanto era solo una prova)l'ho utilizzato,dicevo,x provare a creare un nuovo cd di windows con sp2 integrato,ieri stesso avevo scoperto x caso questa cosa e quindi ero curioso di farlo....puo essere che sia rimasta qualke traccia di questo win?ma io ho cancellato tutto,ho fatto pure la pulizia con ccleaner....se la causa è questa,butto questo cd del ca**o,tanto nn mi serve piu

[Chill-Out]

C:\WINDOWS\ServicePackFiles\i386\csrss.exe rilevati: Backdoor.Win32.Bifrose.em
C:\WINDOWS\system32\csrss.exe rilevati: Backdoor.Win32.Bifrose.em

questi sono falsi positivi, gli altri due non li commento.

[murack83pa]

ho eliminato il punto di ripristino,ho fatto la scansione con virIt(credo si scriva cosi) il quale nn mi ha rilevato nulla
ho disinstallato sia windows live messenger,sia msnplus e anche firefox:li riscaricherò di nuovo dai siti ufficiali

mi rimane ancora il dubbio di quei componente "cinesi" relativi ad msn e poi anche ff che mi comparivano in comodo....

ho cpt: su quello che ha detto chill out....a me era sorto il dubbio,ma nn essendo mai andato sul sito di windows....io poi solo gli aggiornamenti critici eseguivo ed eseguo
questo pc l'ho ereditato da mio fratello da meno di 1 anno.....
scarico ogni responsabilità su mio fratello
un giorno di questi prometto che installo quello originale...guarda te: mio fratello si e io no....

[Riverside]

Quote:

Originariamente inviato da murack83pa

D:\Dati\Programmi\audio-video\Mixer\VirtualDJ 3.3 Home Edition 2006 (Full)\Crack.rar/virtualdj.exe rilevati: Backdoor.Win32.Ciadoor.13

....... vediamo ........

[murack83pa]

premesso che x il momento sono costretto ad utilizzare questa "versione" di windows (motivo di studio x la tesi...se ne parla fra qualke mese)
quell crck cui si riferiva la scansione di trend quindi si riferica a quel programma cracckato?
se è cosi,ora che l'ho cancellato,rifacendo la scansione on line nn mi dovrebbe piu rivelare nulla,giusto?domani lo farò
rimangono ancora 2 dubbi:
1)la vulnerabilità di asp.net rilevata da trend
2)quei componenti cinesi di msn e poi di ff, che sono????
vi posto l'immagine di comodo in cui si rileva questo componente cinese di msn

EDIT: ho reinstallato di nuovo ff e msn(x essere precisi:windows live messenger, che ho scoperto essere completamente diverso da quello che avevo prima....)
moniterò comodo e vediamo se mi compare di nuovbo questo componente cinese

[murack83pa]

vi posto il log di hijackthis, x essere cosi piu sicuro della mia situazione attuale
grazie, ciao

EDIT:
ho fatto oggi la scansione approfondita con asquared, e ad esclusione di quei 2 falsi positivi, nn mi ha trovato nulla
cosi come nn mi ha trovato nulla nemmeno viIt
boh....cmq ho reinstallato il nuovo windows live messenger, che continua a darmi problemi di connessione,ma questo dipende dall config firewall
fino ad esso quel misterioso componente cinese nn si è fatto vedere....nn so cosa pensare....
posto il log di hijackthis nel 3d ufficiale?
attendo vostre risposte...grazie
ciao ciao