Topic: [RISOLTO] virus csrcs.exe

Ciao.. allora.. avvia in modalità provvisoria... (entrando nel tuo accuont che usi di
solito) avvia una scansione con hijackthis e metti il segno di spunta alla seguente voce:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

e fixala..

E fin qui abbiamo fatto una parte... adesso segui ATTENTAMENTE le mie istruzioni..
elimina il ripristino configurazione di sistema (pannello di controllo -> prestazioni
manutenzione -> sistema.. ed in sistema vai alla scheda relativa al ripristino
configurazione di sistema.. e digli di elimanarlo da tutti i dischi... applica e ok)
Vai in start -> esegui e digita: regedit    (premendo invio per fare accettare)
Segui il seguente percorso nel registro di sistema (nella colonna sinistra)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

e cliccando sulla chiave Advanced (per selezionarla)... verifica se nella parte
a destra ci siano queste voci e che abbiano questi valori corretti:

Hidden = "1"

ShowSuperHidden = "1"

SuperHidden = "1"

Se le voci non hanno i valori corretti... devi farci doppio clic sopra ed inserire
quelli che ti ho indicato io... (cioè 1)

Dopo aver fatto questo chiudi regedit, avvia Avira, clicca su "Configuration" e selezionando
"Scanner" (a sinistra nella finestra), nel riquadro "Files" (a destra), metti il segno in:

All Files

e clicca su OK... Nella finestra che ti ritroverai a questo punto.. clicca su
"Local Protection", seleziona "Scanner" e poi clicca sulla lente d'ingrandimento
(start scann with the selected profile) per avviare la scansione... (sarà abbastanza lunga)

Dopo che ha finito ed eliminato tutti fi files infetti.. Vai in Risorse del computer
e nella finestra vai nel menù Strumenti -> Opzioni Cartella -> Visualizzazione...
In visualizzazione fai le seguenti scelte mettendo il segno alla seguente voce:

- Visualizza cartelle e file nascosti

e poi TOGLIENDO il segno dalle seguenti voci:

- Nascondi i file protetti di sistema...

- Nascondi le estensioni per i tipi di file conosciuti

(per quanto il sistema ti avverta che sia pericoloso... tu continua e accetta le modifiche)

Applica ed OK.

Adesso clicca con il tasto destro del mouse sul'icona del disco C: (mi raccomando
non farci doppio clic sopra) e scegli Esplora dal menù contestuale...

Aperto il disco... cerca ed elimina l'eventuale file Autorun.inf

Poi cliccando con il tasto destro del mouse nello spazio bianco del disco...
scegli dal menù contestuale "Nuovo" e poi "Cartella"... e nella casellina del
nome della nuova cartella che andrai a creare metti come nome: autorun.inf

(sarà una cartella "sentinella".. nel senso che fin quando la vedrai sul disco...
significa che  facendo doppio clic sull'icona del disco... il disco si aprirà ma senza
avviare nessun eseguibile contenuto in un eventuale autorun.inf melevolo..
preciso.. non dico che non possano esser copiati files infetti dovuti ad una infezione...
dico solo che ti metti relativamente al riparo da avvi degli stessi dovuti a doppi clic
sull'icona del disco)

Fai gli stessi passi per pulire ogni disco partizione che hai sul pc eliminado eventuali
Autorun.inf presenti... mi raccomando... gli stessi passi! (quindi nessun doppio clic
per aprire il disco... ma andando nel menù contestuale e scegliendo esplora)

In questa pulizia prevedo che avira riesca ad individuare i file infetti che
dovrebbero trovarsi nella root dei dischi/partizioni che hai sul pc...
Tu comunque indicaci cosa ti ha trovato la scansione di avira.. e dove l'ha trovata..
(naturalmente anche il nome del relativo file)

Dopo aver fatto questo... ci sarebbero da controllare eventuali cartelle condivise
in rete (se hai una rete di computer), perchè appunto il malware si potrebbe esser salvato
anche in queste... (quindi tutte le cartelle condivise che hai in rete devono essere
scansionate in maniera approfondita... e possibilmente controllate a vista per verificare la
presenza di eventuali file sospetti... (impostando i criteri di visualizzazione che ti ho
indicato prima))
Preciso che la ricerca del malware va fatta su ogni pc dell'eventuale rete locale...

Adesso avvia una pulizia con CCleaner (se non lo hai instalato.. scaricalo ed
installalo), apri il programma, vai in Opzioni -> Impostazioni -> Avanzate ed in
avanzate togli il segno di spunta in: "Cancella i file in windows temp solo se più
vecchi di 24 ore", Poi clicca su Pulizia e nella colonna Windows, in Avanzate,
metti anche il segno di spunta in "Vecchi dati prefetch"...
A questo punto clicca su Analizza e quando ha finito la ricerca dei file da eliminare, clicca
su Avvia Pulizia... Dopo aver fatto questa pulizia, clicca su Registro, clicca su Trova
problemi e quando ha finito l'analisi... clicca su Ripara selezionati...

Altra nota dolente è che questo tipo di malware si diffonde anche su supporti removibili
(quindi penne usb, hdd esterni, macchinette fotografiche, lettori mp3, schede di memoria ecc.)
che diventano a loro volta infettanti per altri pc...
Quindi.. una volta pulito il pc.. si deve passare alla pulizia di questi supporti... (quindi
non inserirli ne in questo e ne in altri pc)

Per adesso fai quello che ti ho indicato... (eventualmente stampa questo post in modo tu
possa seguirlo dettagliatamente) e mi raccomando.. nessun clic in più rispetto a ciò che ti
ho indicato.. altrimenti c'è il rischio di reinfettarsi prima ancora di concludere la pulizia..
A questo punto, dopo la pulizia, riavvia e posta un altro log di hijackthis.
Ciao


PS: mi raccondo di indicare tutto quello che ti è stato riscontrato dall'antivirus

PPS: insisto sul fatto di non fare doppio clic sull'icona dei dischi/partizioni per
aprirli... Infatti questo provoca l'avvio dell'autorun..


Modificato da prgn - 05/Novembre/2009 alle 13:52