csrcs.exe

[Francesco_^]

Salve a tutti, ho un problema molto simile a quello di Cris88. Da un pò di giorni a questa parte il mio pc si comporta in modo strano, la cpu funziona al 100%, noto grossi rallentamenti e attivando la scansione dell'intero sistema con AVG antivirus dopo qualche minuto appare una schermata con righe colorate orizzontali. Nei processi del Task Manager mi dice che i due programmi che utilizzano la cpu al 100% sono CONSVC.EXE e CSRCS.EXE. Spegnendo il pc spesso appare "termina programma OAISJDNOIFJ" oppure "termina programma AUTOLTV3". Seguendo le indicazioni che avete dato sopra a Cris88, ho scaricato ed istallato HijackThis versione 2.0.2 ed ho ottenuto il file di log che vi allego. Confrontandolo con quello di Cris88 risulta molto simile, ma alcune voci appaiono diverse. Ringrazio anticipatamente per il prezioso aiuto che vorrete darmi, attendo fiducioso Vs istruzioni.

Allego log file
Grazie
Francesco

[JeanGrey]

Ciao Francesco_^ e benvenuto.

Con tutte le applicazioni chiuse e disconnesso da internet
Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

Codice:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\FILECO~1\TEKNUM~1\update.exe /startup
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [HP Online Support] C:\WINDOWS\system32\ConSvc.exe
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

Scarica DelDomains usando Internet Explorer
http://www.google.it/url?q=http://ww...6Mw3748XHBtHtg
con il tasto destro sul file, seleziona >> INSTALLA

Scarica ed esegui Combofix
Una guida ed un tutorial sull' utilizzo di ComboFix
allega il risultato.

[Francesco_^]

Ciao JeanGrey, Ti ringrazio di cuore per la risposta.

Ho seguito le Tue istruzioni, tranne l'istallazione di DelDomains, in quanto il link che mi hai indicato mi porta in explorer su una pagina che dice "nota di reindirizzamento. La pagina visualizzata sta tentando di indirizzarti verso http://ww...6Mw3748XHBtHtg." Cliccando sul relativo link mi dice impossibile visualizzare la pagina web.
Ho però scaricato ed eseguito combofix e Ti allego il risultato.
Dopo che il programma ha lavorato, devo dirti che il rallentamento è diminuito notevolmente (anzi forse il pc mi pare tornato come prima) ed anche la cpu mi sembra utilizzata in maniera corretta (intorno al 7%-10%).

Non so se i virus sono stati eliminati, allego il file di log e aspetto istruzioni.
Saluti

[JeanGrey]

@Francesco_^
Salva il documento che ti allego CFScript
Con il mouse trascina il file CFScript.txt sull'icona rossa di Combofix

Lascia lavorare il programma
Verrà creato un nuovo log combofix.txt
Allega il rapporto per un controllo.

[Francesco_^]

Ho eseguito le istruzioni,

allego il nuovo rapporto
grazie

[JeanGrey]

@Francesco_^
Allega un nuovo log di hijackthis.

[Francesco_^]

Questo è il nuovo log di hijackthis. Allego

[JeanGrey]

@Francesco_^
Il log è pulito.

[Efyno71]

Ho individuato anche io sul pc il virus csrcs.exe.
Per ora ho problemi molto più lievi di quelli letti nel forum, ma non vorrei che la cosa degenerasse a breve.
L'unica cosa che noto è la richiesta di un collegamento ad internet ogni volta che accendo o riavvio il pc.
Nel task manager ho trovato il processo csrcs.exe che "si mangia" costantemente il 10/15% della CPU.
Premetto che non sono un esperto (neppure di forum, per la verità). Allego il log di HijjackThis.
Dimenticavo. Ho attivo Norton Internet Security aggiornato, ma di questo virus se ne fa un baffo...
Grazie dell'attenzione. Rimango in attesa...

[JeanGrey]

Ciao e benvenuto.

Con tutte le applicazioni chiuse e disconnesso da internet
Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

Codice:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

Segui questa guida ed allega i rapporti di combofix e malwarebytes.
[Guida] Come ripulire un computer infetto

[Efyno71]

Ho proceduto alle azioni suggerite. Grazie.
Ti allego i risultati delle scansioni di combofix e malwarebyte.

Vorrei approfittare anche per chiedere due cose:
- è possibile che il visrus si sia installato anche su supporti removibili (pen drive, hard disk esterni, ecc.)?
Nel caso, come li rimuovo?
- è possibile che il virus abbia danneggiato il driver di un convertitore USB/seriale (marca Belkin) che da un mesetto lavora male?

Grazie ancora. Riamango in attesa.

[JeanGrey]

Ciao, i log sono puliti, il virus è stato eliminato.
Non credo che il vorus abbia provocato effetti collaterali al convertitore USB/seriale.
In questa guida vengono riportati alcuni consigli per i supporti removibili.
Trucchi e tools per eliminare i virus dalle PenDrive USB

[Efyno71]

Ciao Jean e grazie 1000.
Mi hai risolto brillantemente e rapidamente il problema.