Visualizzazione dei risultati da 1 a 10 su 10

Discussione: csrss.exe non se ne va

  1. #1

    csrss.exe non se ne va

    Ciao a tutti,

    da qualche giorno sto cercando di eliminarlo senza successo. Ho provato con Ad-Aware, che accoda l'eliminazione al boot ma poi ricompare in gestione risorse e in navigazione compaiono all'improvviso siti indesiderati. La scansione di Ad-Aware segnala sempre

    Spy.Agent.Kf c:\users\...\temp\csrss.exe

    ma a quanto pare non riesce ad eliminarlo

    Accodo log di HijackThis

    Grazie mille




    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 9.53.43, on 20/02/2011
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16890)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Users\Monica\AppData\Roaming\dwm.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Common Files\Java\Java Update\jusched.exe
    C:\Program Files\Toshiba\ConfigFree\NDSTray.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\ItSecMng.exe
    C:\Program Files\Toshiba\Toshiba Online Product Information\TOPI.exe
    C:\Users\Monica\AppData\Roaming\Microsoft\conhost. exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe
    C:\Program Files\Toshiba\HDMICtrlMan\HDMICtrlMan.exe
    C:\Program Files\Toshiba\Power Saver\TPwrMain.exe
    C:\Program Files\Toshiba\SmoothView\SmoothView.exe
    C:\Program Files\Toshiba\FlashCards\TCrdMain.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
    C:\Program Files\VMware\VMware Player\hqtray.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
    C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
    C:\Users\Monica\AppData\Local\Temp\csrss.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Program Files\Toshiba\ConfigFree\CFSwMgr.exe
    C:\Windows\system32\taskmgr.exe
    C:\Program Files\Internet Explorer\ieuser.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
    C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe
    C:\Windows\system32\Macromed\Flash\FlashUtil10d.ex e
    F:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.it
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:52444
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    F3 - REG:win.ini: load=C:\Users\Monica\AppData\Local\Temp\csrss.exe
    O1 - Hosts: ::1 localhost
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O3 - Toolbar: Foxit Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
    O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
    O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
    O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe" /start
    O4 - HKLM\..\Run: [HDMICtrlMan] C:\Program Files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe
    O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
    O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
    O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
    O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
    O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
    O4 - HKLM\..\Run: [VMware hqtray] "C:\Program Files\VMware\VMware Player\hqtray.exe"
    O4 - HKLM\..\Run: [conhost] C:\Users\Monica\AppData\Roaming\Microsoft\conhost. exe
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
    O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
    O4 - HKCU\..\Run: [\\http://192.168.1.1:631\NetPrinter] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIC AE.EXE /FU "C:\Windows\TEMP\E_S146D.tmp" /EF "HKCU"
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [AntamediaDHCP] C:\Antamedia\DHCP\ADHCP.exe
    O4 - HKCU\..\Run: [conhost] C:\Users\Monica\AppData\Roaming\Microsoft\conhost. exe
    O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (User 'Default user')
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
    O4 - Global Startup: VPN Client.lnk = ?
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: iOpus iMacros - {0483894E-2422-45E0-8384-021AFF1AF3CD} - C:\Program Files\iMacros\imacros.dll (file missing)
    O9 - Extra 'Tools' menuitem: iMacros Web Automation - {0483894E-2422-45E0-8384-021AFF1AF3CD} - C:\Program Files\iMacros\imacros.dll (file missing)
    O9 - Extra button: Inizia a fare affari su eBay.it! - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/724-44559-9400-3/4 (file missing)
    O9 - Extra button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.co.uk/exec/obidos/...k-21&site=home (file missing)
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware player\vsocklib.dll
    O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware player\vsocklib.dll
    O16 - DPF: {A811D2D3-9F4B-4ECF-9904-374329395D60} (AXUpload Control) - http://foto.esselungaacasa.it/pod/AXUploadLib.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O20 - AppInit_DLLs: c:\progra~1\wi9130~1\datamngr\datamngr.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
    O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
    O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
    O23 - Service: NMSAccess - Unknown owner - C:\Program Files\Blaze Media Pro\NMSAccess32.exe (file missing)
    O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Flash Memory Card Driver\o2flash.exe
    O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
    O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\TOSHIBA DVD PLAYER\TNaviSrv.exe
    O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
    O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\Power Saver\TosCoSrv.exe
    O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
    O23 - Service: TOSHIBA SMART Log Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe
    O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Player\vmware-ufad.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Player\vmware-authd.exe
    O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
    O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exe
    O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
    O23 - Service: webcamXP Service (wxpSvc) - Unknown owner - C:\Program Files\wLite\wService.exe
    O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

    --
    End of file - 11839 bytes

  2. #2
    Utente di HTML.it
    Registrato dal
    May 2010
    Messaggi
    1,024
    Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su "fix checked":
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
    R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    F3 - REG:win.ini: load=C:\Users\Monica\AppData\Local\Temp\csrss.exe
    Scarica ed installa MalwareBytes:
    clicca qui per il download :http://www.malwarebytes.org/
    Prima di fare la scansione AGGIORNALO . (è molto importante)
    Esegui una scansione co mpleta del sistema.
    Elimina gli eventuali file infetti trovati.
    Posta il log .

  3. #3
    Grazie R16, eseguito alla lettera, sembra che abbia funzionato, non lo vedo più tra i processi attivi, c'e' solo il csrss di sistema, almeno credo sia quello, prima ne comparivano due. Inoltre Ad-Aware non lo rileva più.

    Accodo il log di MalwareBytes, fammi sapere cosa te ne pare, e se devo fare ancora qualche azione.

    Grazie di nuovo
    Arigghe

    ========

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Versione database: 5818

    Windows 6.0.6000
    Internet Explorer 7.0.6000.16890

    20/02/2011 19.22.20
    mbam-log-2011-02-20 (19-22-09).txt

    Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|)
    Elementi esaminati: 369860
    Tempo trascorso: 1 ore, 40 minuti, 52 secondi

    Processi infetti in memoria: 3
    Moduli di memoria infetti: 0
    Chiavi di registro infette: 0
    Valori di registro infetti: 3
    Voci infette nei dati di registro: 0
    Cartelle infette: 0
    File infetti: 3

    Processi infetti in memoria:
    c:\Users\Monica\AppData\Roaming\dwm.exe (Trojan.Downloader) -> 1904 -> No action taken.
    c:\Users\Monica\AppData\Roaming\microsoft\conhost. exe (Backdoor.Bot) -> 372 -> No action taken.
    c:\users\monica\appdata\local\temp\csrss.exe (Backdoor.Bot) -> 768 -> No action taken.

    Moduli di memoria infetti:
    (Non sono stati rilevati elementi nocivi)

    Chiavi di registro infette:
    (Non sono stati rilevati elementi nocivi)

    Valori di registro infetti:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\conhost (Backdoor.Bot) -> Value: conhost -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\conhost (Backdoor.Bot) -> Value: conhost -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken.

    Voci infette nei dati di registro:
    (Non sono stati rilevati elementi nocivi)

    Cartelle infette:
    (Non sono stati rilevati elementi nocivi)

    File infetti:
    c:\Users\Monica\AppData\Roaming\dwm.exe (Trojan.Downloader) -> No action taken.
    c:\Users\Monica\AppData\Roaming\microsoft\conhost. exe (Backdoor.Bot) -> No action taken.
    c:\users\monica\appdata\local\temp\csrss.exe (Backdoor.Bot) -> No action taken.

  4. #4
    Sorry, questo è il log con le azioni eseguite

    ==============================
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Versione database: 5818

    Windows 6.0.6000
    Internet Explorer 7.0.6000.16890

    20/02/2011 19.22.25
    mbam-log-2011-02-20 (19-22-25).txt

    Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|)
    Elementi esaminati: 369860
    Tempo trascorso: 1 ore, 40 minuti, 52 secondi

    Processi infetti in memoria: 3
    Moduli di memoria infetti: 0
    Chiavi di registro infette: 0
    Valori di registro infetti: 3
    Voci infette nei dati di registro: 0
    Cartelle infette: 0
    File infetti: 3

    Processi infetti in memoria:
    c:\Users\Monica\AppData\Roaming\dwm.exe (Trojan.Downloader) -> 1904 -> Unloaded process successfully.
    c:\Users\Monica\AppData\Roaming\microsoft\conhost. exe (Backdoor.Bot) -> 372 -> Unloaded process successfully.
    c:\users\monica\appdata\local\temp\csrss.exe (Backdoor.Bot) -> 768 -> Unloaded process successfully.

    Moduli di memoria infetti:
    (Non sono stati rilevati elementi nocivi)

    Chiavi di registro infette:
    (Non sono stati rilevati elementi nocivi)

    Valori di registro infetti:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\conhost (Backdoor.Bot) -> Value: conhost -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\conhost (Backdoor.Bot) -> Value: conhost -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.

    Voci infette nei dati di registro:
    (Non sono stati rilevati elementi nocivi)

    Cartelle infette:
    (Non sono stati rilevati elementi nocivi)

    File infetti:
    c:\Users\Monica\AppData\Roaming\dwm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\Users\Monica\AppData\Roaming\microsoft\conhost. exe (Backdoor.Bot) -> Quarantined and deleted successfully.
    c:\users\monica\appdata\local\temp\csrss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

  5. #5
    Utente di HTML.it
    Registrato dal
    May 2010
    Messaggi
    1,024
    Salve.
    Cercherò di essere il più chiaro possibile.
    L'infezione che hai preso, permette il controllo a distanza del tuo pc, da parte di criminali informatici.
    La migliore soluzione, (la più sicura) è la formattazione.
    Io per principio, sono contro il format in generale, ma, in questi casi, pur eliminando il virus, non si ha la certezza matematica, di risolvere il problema.
    Detto questo, se vuoi continuare, ti consiglio questa scansione:
    Scarica Combofix (usa Internet Explorer )

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Rinomina combofix prima di salvarlo sul desktop in abc.exe
    Per rinominare il file, quando lo scarichi ti chiede dove salvarlo, e ti compare la casella "nome file" ,basta che cambi il nome che ti appare li in abc.exe )
    Una volta scaricato il programma, clicca su start\ esegui nel box bianco copia e incolla questo comando, virgolette comprese:
    "%userprofile%\desktop\abc.exe" /killall
    Premi OK.
    Durante la scansione non usare il pc. (nemmeno il mouse)
    Posta il log

    Per postare il log :
    Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
    Clicca sul bottone "Sfoglia "
    Seleziona il file appena salvato
    Clicca su Upload file
    Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
    Download Link / Forum Link
    Seleziona Forum Link , copialo e incollalo in un nuovo messaggio per il forum.

  6. #6
    Tutto chiaro, grazie mille

    Ecco il link al log di ComboFix

    Arigghe70_ComboFix.txt

    Ciao

  7. #7
    Utente di HTML.it
    Registrato dal
    May 2010
    Messaggi
    1,024
    Salve.

    Disistalla Firefox . (lo reistalli,in un secondo momento )

    Poi:
    Apri un file di testo con il Block Note sul Desktop
    Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txt

    codice:
    KillAll::
    
    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
    [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
    [-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
    [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
    [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
    [-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
    [-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
    [-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
    
    DDS::
    uInternet Settings,ProxyServer = http=127.0.0.1:52444
    
    RegLock::
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    e trascinalo sull'icona di ComboFix.
    Attendi la fine dei lavori, senza toccare tastiera, mouse o altro.
    Posta il log aggiornato di combofix.

  8. #8
    Fatto

    cflog.txt

    Ciao
    Grazie

  9. #9
    Utente di HTML.it
    Registrato dal
    May 2010
    Messaggi
    1,024
    Disattiva il ripristino configurazione di sistema,

    Poi:
    Scarica TFC by OldTimer sul desktop
    http://oldtimer.geekstogo.com/TFC.exe
    chiudi tutti i programmi
    avvia TFC, clicca su "start"
    al termine della scansione ti chiederà il riavvio, dai ok.

    Per eliminare i vari Tooll scaricati: (Combofix)
    Scarica OTC by OldTimer sul desktop:
    http://oldtimer.geekstogo.com/OTC.exe
    doppio clic per eseguirlo
    Clicca su CleanUp.
    Ti chiederà di riavviare il pc.
    Clicca sì.

    Segui questo percorso e svuota la cartella Prefetch : (non eliminare la cartella)
    C:\Windows\Prefetch
    SVUOTA IL CESTINO

    Lancia Hijackthis e pulisci gli ADS in questo modo:
    clicca sulla voce Open the misc tool section .
    clicca su Open ads spy .
    togli la spunta alla voce Quick scan (windows base folder only)
    clicca su Scan .
    Aspetta pazientemente la fine della scansione.
    se venissero rilevati ADS, spunta tutte le caselline e clicca su Remove selected

    Riattiva il ripristino configurazione di sistema.

    Consiglio:
    Cambia tutte le password che ci sono in quel pc.

    Riferisci se riscontri anomalie, o problemi.

  10. #10
    Ok, ricevuto, al momento sembra tutto a posto.

    Grazie mille per gentilezza e disponibilità.

    Ciao
    Arigghe

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.