| shahrukhkha |  |
|
2010-02-22 17:28 - Respuestas: 2 - Tema nº: 2663897
Windows XP Profesional .
hola que tal cada ves que prendo la pc me aparece un aviso sobre el archivo csrcs.exe windows no puede encontrar el archivo csrcs.exe. asegurese de ...... no me acuerdo como ago para borrarlo o kitarlo sek es un virus eh echo casi todo me fui a mi pc disco "c" windows osea lo busque y no lo encuntro como puedo eliminarlo para k ya no me aparesca porfavor ayuden casi todo eh probado y no me da resultado aki les dejo esa cosa k nose como se llam es de mi computadoira el k save me diga cual tengo k borrar
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:12:45, on 22/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Application Updater\ApplicationUpdater.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
C:\Archivos de programa\Windows Live\Toolbar\wltuser.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\SUPERAntiSpyware\7f0a849e-1aa2-47c3-8ea1-4dc7a5a15cdd.exe
C:\Documents and Settings\David\Mis documentos\Downloads\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Archivos de programa\Ask.com\GenericAskToolbar.dll (file missing)
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\SearchSettings.dll
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O1 - Hosts: 118.184.63.53 msnfix.changelog.fr
O1 - Hosts: 118.184.63.53 www.incodesolutions.com
O1 - Hosts: 118.184.63.53 virusinfo.prevx.com
O1 - Hosts: 118.184.63.53 download.bleepingcomputer.com
O1 - Hosts: 118.184.63.53 www.dazhizhu.cn
O1 - Hosts: 118.184.63.53 foro.noticias3d.com
O1 - Hosts: 118.184.63.53 www.spybotupdates.com
O1 - Hosts: 118.184.63.53 club.myce.com
O1 - Hosts: 118.184.63.53 www.k7computing.com
O1 - Hosts: 118.184.63.53 softwaresecuritysolutions.com
O1 - Hosts: 118.184.63.53 www.nabble.com
O1 - Hosts: 118.184.63.53 lurker.clamav.net
O1 - Hosts: 118.184.63.53 lexikon.ikarus.at
O1 - Hosts: 118.184.63.53 research.sunbelt-software.com
O1 - Hosts: 118.184.63.53 www.virusdoctor.jp
O1 - Hosts: 118.184.63.53 www.elitepvpers.de
O1 - Hosts: 118.184.63.53 guru.avg.com
O1 - Hosts: 118.184.63.53 downloads.sophos.com
O1 - Hosts: 118.184.63.53 share.skype.com
O1 - Hosts: 118.184.63.53 myantispyware.com
O1 - Hosts: 118.184.63.53 www.computerhilfen.de
O1 - Hosts: 118.184.63.53 www.superuser.co.kr
O1 - Hosts: 118.184.63.53 ntfaq.co.kr
O1 - Hosts: 118.184.63.53 v.dreamwiz.com
O1 - Hosts: 118.184.63.53 cit.kookmin.ac.kr
O1 - Hosts: 118.184.63.53 forums.whatthetech.com
O1 - Hosts: 118.184.63.53 forum.hijackthis.de
O1 - Hosts: 118.184.63.53 avg.vo.llnwd.net
O1 - Hosts: 118.184.63.53 ftp.drweb.com
O1 - Hosts: 118.184.63.53 www.zonealarm.com
O1 - Hosts: 118.184.63.53 smadaver.com
O1 - Hosts: 118.184.63.53 support.emsisoft.com
O1 - Hosts: 118.184.63.53 psychoski.blogspot.com
O1 - Hosts: 118.184.63.53 www.huaifai.go.th
O1 - Hosts: 118.184.63.53 www.mostz.com
O1 - Hosts: 118.184.63.53 www.krupunmai.com
O1 - Hosts: 118.184.63.53 www.cddchiangmai.net
O1 - Hosts: 118.184.63.53 forum.malekal.com
O1 - Hosts: 118.184.63.53 tech.pantip.com
O1 - Hosts: 118.184.63.53 sapcupgrades.com
O1 - Hosts: 118.184.63.53 www.elguruinformatico.com
O1 - Hosts: 118.184.63.53 forums.avg.com
O1 - Hosts: 118.184.63.53 zastita.com
O1 - Hosts: 118.184.63.53 support.kaspersky.com
O1 - Hosts: 118.184.63.53 foro.msgpluslive.es
O1 - Hosts: 118.184.63.53 www.247fixes.com
O1 - Hosts: 118.184.63.53 forum.sysinternals.com
O1 - Hosts: 118.184.63.53 forum.telecharger.01net.com
O1 - Hosts: 118.184.63.53 sophos.com
O1 - Hosts: 118.184.63.53 foros.-.com
O1 - Hosts: 118.184.63.53 avast-home.uptodown.com
O1 - Hosts: 118.184.63.53 dr-web-cureit.-.com
O1 - Hosts: 118.184.63.53 heavenward.ru
O1 - Hosts: 118.184.63.53 forum.smadav.net
O1 - Hosts: 118.184.63.53 www.forum.kaspersky.com
O1 - Hosts: 118.184.63.53 www.f-secure.com
O1 - Hosts: 118.184.63.53 www.chkrootkit.org
O1 - Hosts: 118.184.63.53 diamondcs.com.au
O1 - Hosts: 118.184.63.53 www.rootkit.nl
O1 - Hosts: 118.184.63.53 www.sysinternals.com
O1 - Hosts: 118.184.63.53 z-oleg.com
O1 - Hosts: 118.184.63.53 espanol.dir.groups.yahoo.com
O1 - Hosts: 118.184.63.53 ftp01net.telechargement.fr
O1 - Hosts: 118.184.63.53 modelayu.com
O1 - Hosts: 118.184.63.53 vaksin.com
O1 - Hosts: 118.184.63.53 bbs.kaspersky.com.cn
O1 - Hosts: 118.184.63.53 www.castlecrops.com
O1 - Hosts: 118.184.63.53 www.misec.net
O1 - Hosts: 118.184.63.53 safecomputing.umn.edu
O1 - Hosts: 118.184.63.53 www.antirootkit.com
O1 - Hosts: 118.184.63.53 www.greatis.com
O1 - Hosts: 118.184.63.53 ar.answers.yahoo.com
O1 - Hosts: 118.184.63.53 www.-.org
O1 - Hosts: 118.184.63.53 research.linkeliminadophandaxxx
O1 - Hosts: 118.184.63.53 www.tpu.ro
O1 - Hosts: 118.184.63.53 www.pinoyden.com
O1 - Hosts: 118.184.63.53 forum.avira.de
O1 - Hosts: 118.184.63.53 www.rootkit.com
O1 - Hosts: 118.184.63.53 www.pctools.com
O1 - Hosts: 118.184.63.53 www.pcsupportadvisor.com
O1 - Hosts: 118.184.63.53 www.resplendence.com
O1 - Hosts: 118.184.63.53 www.personal.psu.edu
O1 - Hosts: 118.184.63.53 foro.ethek.com
O1 - Hosts: 118.184.63.53 foro.-.net
O1 - Hosts: 118.184.63.53 download.zonealarm.com
O1 - Hosts: 118.184.63.53 spywarehammer.com
O1 - Hosts: 118.184.63.53 www.codelain.com
O1 - Hosts: 118.184.63.53 www.thaicert.org
O1 - Hosts: 118.184.63.53 vil.nail.com
O1 - Hosts: 118.184.63.53 search.mcafee.com
O1 - Hosts: 118.184.63.53 wwww.mcafee.com
O1 - Hosts: 118.184.63.53 download.nai.com
O1 - Hosts: 118.184.63.53 wwww.experts-exchange.com
O1 - Hosts: 118.184.63.53 www.bakunos.com
O1 - Hosts: 118.184.63.53 www.darkclockers.com
O1 - Hosts: 118.184.63.53 www2.gmer.net
O1 - Hosts: 118.184.63.53 ariefew.com
O1 - Hosts: 118.184.63.53 www.emsisoft.com
O1 - Hosts: 118.184.63.53 forum.romeonet.ro
O1 - Hosts: 118.184.63.53 www.arenajunkies.com
O1 - Hosts: 118.184.63.53 www.Merijn.org
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Archivos de programa\Ask.com\GenericAskToolbar.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll (file missing)
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Archivos de programa\Search Settings\SearchSettings.dll
O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\msgr.es.es-la\msntb.dll (file missing)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Archivos de programa\Ask.com\GenericAskToolbar.dll (file missing)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\antyspiwore\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\David\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Application Updater - Spigot, Inc. - C:\Archivos de programa\Application Updater\ApplicationUpdater.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
End of file - 11121 bytes
| |
|
|
| marinalope |  |
|
Re: Tengo un proble con el archivo csrcs.exe - 2010-02-22 18:08 - Respuesta 2
Hola shahrukhkha.Está muy infectado.Empieza por eliminar todas las entradas 01 marcándolas el el HijackThis y pulsando fix checked.
Después haz lo siguiente:
Paso 1: Descarga e instala los siguientes programas:
Spybot
Ccleaner (Manual de uso aquí)
Unlocker.
SUPERAntispyware (Manual de uso aquí)
malwarebytes anti malware instalacion configuracion y uso
RegSeeker. (Este último no requiere instalación. Sólo descomprímelo y mueve la carpeta a archivos de programa. Luego puedes crear un acceso directo del ejecutable en el escritorio)
Hijackthis (Manual de uso aquí)
Paso 2: Inicia en modo seguro con funciones de red
Paso 3: Haz una limpieza de archivos temporales con el Ccleaner
Paso 4: Actualiza el Spybot,el SUPERAntispyware y malwarebytes.
Paso 5: Escanea tu equipo con el Spybot,SUPERAntispyware,Malwarebytes y limpia lo que te encuentren.
Paso 6: Escanea tu equipo con algún antivirus on-line.
Te recomiendo alguno de estos:
Panda antivirus
Computer associates
Trend micro (Para usar éste, necesitas tener instalado el Java)
Bit defender
Nod32
Paso 7: Reinicia nuevamente en modo seguro y escanea nuevamente con el Spybot y limpia lo que encuentre
Paso 8: Haz una limpieza de registro con el Regseeker (Escanea varias veces hasta que ya no quede nada por limpiar)
Paso 9: Reinicia en modo normal.
Paso 10: Abre el hijackthis y le das en donde dice Do a system scan and save a log file.
Te generará un archivo de texto. Copia su contenido y lo pegas aqui para que sea analizado. | |
|
|
| Big_CeSSar | |
|
Re: Tengo un proble con el archivo csrcs.exe - 2010-02-23 20:35 - Respuesta 3
Si es que te aparece la leyenda de que falta el archivo CSRCS.EXE cada vez que inicias la maquina significa que el virus ya se encuentra eliminado pero desde el registro aun intenta llamarlo para que se ejecute.
SOLUCION:
1 - Ejecutas el REGEDIT. (Vas a INICIO, seleccionas EJECUTAR, escribes REGEDIT le das enter y te saldrá una ventana que es dentro de la cual borraremos la llamada al proceso.) Todo esto escribo por la dudas que no lo sepas hacer o esas cosas que ocurren a veces te has olvidado…..
2 – Dentro de esta pantalla vamos al menú EDICION, y seleccionamos la opción BUSCAR.
3 – Una vez dentro escribiremos el nombre del proceso/archivo que se esta queriendo ejecutar, en nuestro caso escribiremos CSRCS.EXE y le damos en BUSCAR SIGUIENTE.
4- Te saldrán 2 entradas al registro, no me acuerdo bien cuales pero creo que una de ella comienza con “C:\Windows…..” o algo por el estilo, de no ser así borra de todas maneras la última entrada al registro que te aparece.
5 – Repetimos el paso 2 y en vez de escribir nuevamente el parámetro le damos simplemente BUSCAR SIGUIENTE ya que se encuentra escrito lo que estamos buscando “CSRCS.EXE” (por si lo olvidabas).
6 – Esta vez saldrán una cantidad de entradas al registro relacionadas con la búsqueda que hicimos. Fíjate que quedará resaltada un entrada que tampoco recuerdo bien como se llama pero creo que comienza con algo de SHELL o tiene esta palabra en algún lado (en el caso que no te haya aparecido seleccionada búscala manualmente entre todas las que encontró).
7- Por último borra esta entrada (La que contiene la palabra SHELL) y listo, cierra todo, reinicia tu maquina y cunado se inicie nuevamente tu sistema operativo la leyenda de que falta el archivo CSRCS.EXE debería haber desaprecido.
Espero que lo puedas hacer con éxito en la empresa en la que trabajo viven con este problema (mejor dicho con este virus), y de esta forma es con la que logro eliminarlo por completo siempre. Un Salu2.
| |
|
|
|
