Virus cancellato ma ho problemi

oedem · 08-09-2009, 10:57

ciao,
ho cancellato con avenger il virus crscs.exe presente in c:\windows\system32

il problema è che ora avviando il pc mi esce una finestra di errore che mi dice che è impossibile trovare questo file

non capisco perchè visto ce è un virus e non so come rimediare

chi mi aiuta?

**Chill-Out** · 08-09-2009, 11:12

Ciao allega un log del tool indicato al Punto 7 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

oedem · 08-09-2009, 12:54

log con hijackthis fatto

hijackthis.log

malwarebyte me lo rileva ora nel registro mentre avira non lo vede

**Chill-Out** · 08-09-2009, 14:46

Ciao allega i log dei tool indicati in questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446

oedem · 12-09-2009, 16:35

ecco i log:
drweb
Dr web cureit.txt

A2scan
a2scan_090912-132938.txt

hijackthis
hijackthis.txt

malwarebyte non mi ha rilevato nulla, quindi evito di allegare il log

**Chill-Out** · 12-09-2009, 20:38

Quote:

Originariamente inviato da oedem

malwarebyte non mi ha rilevato nulla, quindi evito di allegare il log

Allegalo a prescindere, non si capisce quale azione hai intrapreso con gli oggetti rilevati da A2.

oedem · 15-09-2009, 12:42

ecco anche il log di malwarebyte

mbam-log-2009-09-15 (13-31-08).txt

ora malwarebytes me lo rileva nuovamente

DooM1 · 15-09-2009, 13:03

Se hai cancellato il file crscs.exe e ora windows si lamenta che lo vuole, evidentemente è rimasto qualche riferimento probabilmente nel registro.
Con regedit o altro editor per il registro cerca crscs.exe e cancella tutti i valori relativi.

oedem · 15-09-2009, 15:44

Quote:

Originariamente inviato da DooM1

Se hai cancellato il file crscs.exe e ora windows si lamenta che lo vuole, evidentemente è rimasto qualche riferimento probabilmente nel registro.
Con regedit o altro editor per il registro cerca crscs.exe e cancella tutti i valori relativi.

l'ho già fatto ma senza ottenere i risultati sperati

**Chill-Out** · 15-09-2009, 15:45

Quote:

Originariamente inviato da oedem

ecco anche il log di malwarebyte

mbam-log-2009-09-15 (13-31-08).txt

Per fortuna che MBAM non aveva rilevato nulla

Quote:

Processi delle memoria infetti:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.

No action taken -> significa che non hai eliminato nulla, ripeti scansione completa ed elimina utti gli oggetti rilevati.

oedem · 15-09-2009, 15:56

Quote:

Originariamente inviato da Chill-Out

Per fortuna che MBAM non aveva rilevato nulla

No action taken -> significa che non hai eliminato nulla, ripeti scansione completa ed elimina utti gli oggetti rilevati.

ma la prima volta coì era!

è da diversi giorni che accade questo
un giorno faccio la scansione e non rileva nulla, dopo un paio invece mi ricompare questo maledetto trojan! lo elimino e poi ricompare

non ho eliminato nulla appositamente perché volevo capire se c'era un ordine preferito nel tentativo di rimuoverlo

anche perché con malwarebyte tra qualche giorno ricomparirà

**Chill-Out** · 15-09-2009, 16:02

Quote:

Originariamente inviato da oedem

ma la prima volta coì era!

è da diversi giorni che accade questo
un giorno faccio la scansione e non rileva nulla, dopo un paio invece mi ricompare questo maledetto trojan! lo elimino e poi ricompare

non ho eliminato nulla appositamente perché volevo capire se c'era un ordine preferito nel tentativo di rimuoverlo

anche perché con malwarebyte tra qualche giorno ricomparirà

C'è qualcosa che non quadra, mi sembra assai improbabile che ne A2 ne CureIt lo rilevino.

oedem · 15-09-2009, 16:13

Quote:

Originariamente inviato da Chill-Out

C'è qualcosa che non quadra, mi sembra assai improbabile che ne A2 ne CureIt lo rilevino.

infatti A2 e cureit sono stati fatti quando non ero infetto, quando malwarebyte non rilevava nulla.

ora invece, per magia, eccolo di nuovo

intanto sto facendo le scansioni con malwarebyte e lo elimino, poi faccio anche gli altri e riallego tutti i log

**Chill-Out** · 15-09-2009, 16:15

Quote:

Originariamente inviato da oedem

infatti A2 e cureit sono stati fatti quando non ero infetto, quando malwarebyte non rilevava nulla.

ora invece, per magia, eccolo di nuovo

intanto sto facendo le scansioni con malwarebyte e lo elimino, poi faccio anche gli altri e riallego tutti i log

Hai per caso collegato un qualche supporto removibile USB?

oedem · 16-09-2009, 10:48

Quote:

Originariamente inviato da Chill-Out

Hai per caso collegato un qualche supporto removibile USB?

venerdì collegai una panna usb e avira rilevo un virus (che rimossi, non era crscs)
poi fino a lunedì, ogni giorno, ho fatto scansioni e non è stato rilevato nulla fino a ieri

ieri ho fatto le scansioni e ricollegato la penna per farla scansionare e drweb ha rilevato un virus (non era crscs) non cancellabile (ho formattato così la penna). e poi ho fatto le scansioni all'hd dove solo malware ha rilevato il solito trojan

ecco i log
a2scan_090915-184510.txt

cureit filtrato.txt

hijackthis.log

mbam-log-2009-09-15 (13-31-08).txt

**Chill-Out** · 16-09-2009, 11:05

Ribadisco No action taken -> significa che non hai eliminato nulla

Quote:

Processi delle memoria infetti:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> No action taken.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> No action taken.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> No action taken.

come sospettavo il virus è veicolato da un supporto removibile USB

Quote:

f:\jlvoeg.exe infettato da Win32.HLLW.Autohit.3438 - incurabile - spostato

quindi presta attenzione ad eventuali supporti potenzialmente infetti, all'inserimento tieni e mantieni premuto il tasto SHIFT (freccia in alto) per evitare l'esecuzione in Autoplay

oedem · 16-09-2009, 11:32

Quote:

Originariamente inviato da Chill-Out

Ribadisco No action taken -> significa che non hai eliminato nulla

bah...non caspisco

clicco sul pulsante per eliminare i file infetti e non pulisce nulla

Quote:

come sospettavo il virus è veicolato da un supporto removibile USB

quindi presta attenzione ad eventuali supporti potenzialmente infetti, all'inserimento tieni e mantieni premuto il tasto SHIFT (freccia in alto) per evitare l'esecuzione in Autoplay

però non capisco una cosa: la penna usb la collegai venerdì, fu rilevato un virus e lo cancellai
poi ho fatto scansioni giornaliere con tutto (avira, malware, etc) e non mi hanno rilevato nulla fino a ieri.
ieri mi rileva nuovamente il virus (penna usb sconnessa) e, leggendo la tua risposta, la collego per scansionare anche questa e rileva virus (che cancello)

se la penna è stata sconnessa da venerdì e ieri (collegata dopo aver rilevato già il trojan), perché negli altri giorni non ha rilevato nulla?

**Chill-Out** · 16-09-2009, 11:44

Leggi qui

http://www.hwupgrade.it/forum/showthread.php?t=1898627

alla voce COME COMPORTARSI IN CASO DI INFEZIONE :

Per quanto concerne il discorso penna USB, non ho capito

oedem · 16-09-2009, 17:23

ok, non sapevo dovessi cancellarli anche dalla quarantena affinché li cancellasse effettivamente

riguardo l'usb, mi chiedo perché per 2 giorni non fosse stato rilevato alcun trojan o virus nonostante la penna collegata venerdì avesse un virus.

solo dopo 2 giorni mi è ricomparso.
questa è la cosa che non mi spiego!

p.s.: ora la penna è stata formattata (ho usato shift anche) e malware non rileva nulla su di essa

**Chill-Out** · 16-09-2009, 18:00

Quote:

Originariamente inviato da oedem

ok, non sapevo dovessi cancellarli anche dalla quarantena affinché li cancellasse effettivamente

riguardo l'usb, mi chiedo perché per 2 giorni non fosse stato rilevato alcun trojan o virus nonostante la penna collegata venerdì avesse un virus.

solo dopo 2 giorni mi è ricomparso.
questa è la cosa che non mi spiego!

p.s.: ora la penna è stata formattata (ho usato shift anche) e malware non rileva nulla su di essa

Ipotizzo e sottolineo ipotizzo che venerdì il virus in questione non fosse riconusciuto come tale.

Dal log di CureIt allegato in data 10.09 si evince

Quote:

F:\1.exe infettato da Win32.HLLW.Autoruner.548 - cancellato

08-09-2009, 10:57	#1
oedem Senior Member Iscritto dal: Jun 2004 Città: Sulle falde di un vulcano Messaggi: 3264	Virus cancellato ma ho problemi ciao, ho cancellato con avenger il virus crscs.exe presente in c:\windows\system32 il problema è che ora avviando il pc mi esce una finestra di errore che mi dice che è impossibile trovare questo file non capisco perchè visto ce è un virus e non so come rimediare chi mi aiuta? __________________ Membro dell'Hardware Upgrade Aerospace Group forum Tennis

08-09-2009, 11:12	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ciao allega un log del tool indicato al Punto 7 della presente Guida http://www.hwupgrade.it/forum/showthread.php?t=1599737 Modalità di pubblicazione dei log: Ogni singolo log, esclusivamente in formato .txt deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

08-09-2009, 12:54	#3
oedem Senior Member Iscritto dal: Jun 2004 Città: Sulle falde di un vulcano Messaggi: 3264	log con hijackthis fatto hijackthis.log malwarebyte me lo rileva ora nel registro mentre avira non lo vede __________________ Membro dell'Hardware Upgrade Aerospace Group forum Tennis

08-09-2009, 14:46	#4
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ciao allega i log dei tool indicati in questa Guida http://www.hwupgrade.it/forum/showthread.php?t=1789446 __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

12-09-2009, 16:35	#5
oedem Senior Member Iscritto dal: Jun 2004 Città: Sulle falde di un vulcano Messaggi: 3264	ecco i log: drweb Dr web cureit.txt A2scan a2scan_090912-132938.txt hijackthis hijackthis.txt malwarebyte non mi ha rilevato nulla, quindi evito di allegare il log __________________ Membro dell'Hardware Upgrade Aerospace Group forum Tennis

15-09-2009, 12:42	#7
oedem Senior Member Iscritto dal: Jun 2004 Città: Sulle falde di un vulcano Messaggi: 3264	ecco anche il log di malwarebyte mbam-log-2009-09-15 (13-31-08).txt ora malwarebytes me lo rileva nuovamente __________________ Membro dell'Hardware Upgrade Aerospace Group forum Tennis Ultima modifica di oedem : 15-09-2009 alle 15:43.

15-09-2009, 13:03	#8
DooM1 Senior Member Iscritto dal: Jul 2002 Città: Cagliari Messaggi: 13495	Se hai cancellato il file crscs.exe e ora windows si lamenta che lo vuole, evidentemente è rimasto qualche riferimento probabilmente nel registro. Con regedit o altro editor per il registro cerca crscs.exe e cancella tutti i valori relativi. __________________ MoBo:Asus Prime x470-ProCPU:AMD Ryzen 5700xRAM:Kingston FURY KF432C16RB2K2/16Sk.Vid:Asus DUAL-RX580-O8GAli:Enermax Revolution87+ 550WStorage:Samsung 970 Evo Plus 1TB + Samsung 860 Evo 1TBMons:Dell 2209WAf + LG 24EA53VQ

16-09-2009, 11:44	#18
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Leggi qui http://www.hwupgrade.it/forum/showthread.php?t=1898627 alla voce COME COMPORTARSI IN CASO DI INFEZIONE : Per quanto concerne il discorso penna USB, non ho capito __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

16-09-2009, 17:23	#19
oedem Senior Member Iscritto dal: Jun 2004 Città: Sulle falde di un vulcano Messaggi: 3264	ok, non sapevo dovessi cancellarli anche dalla quarantena affinché li cancellasse effettivamente riguardo l'usb, mi chiedo perché per 2 giorni non fosse stato rilevato alcun trojan o virus nonostante la penna collegata venerdì avesse un virus. solo dopo 2 giorni mi è ricomparso. questa è la cosa che non mi spiego! p.s.: ora la penna è stata formattata (ho usato shift anche) e malware non rileva nulla su di essa __________________ Membro dell'Hardware Upgrade Aerospace Group forum Tennis

Strumenti
Mostra una versione stampabile Invia questa pagina per email