csrss e "Windows - disco non presente"

W

wcnet2001

Digital-Forum Junior
Registrato
20 Giugno 2004
Messaggi
70
Ciao a tutti.

Ho recentemente installato un ulteriore HD e formattato quello vecchio con installato il SO.
Quello che mi ha convinto a fare questo passo è stato un fastidiosissimo messaggio che usciva sia all'avvio di win, sia ogni 30/40 minuti circa.

"Windows - disco non presente... impossibile trovare il disco nell'unità, inserire un disco nell'unità.... annulla, riprova, tralascia"

Aprendo il task manager di win, clikkando con il dx, su quest'unica operazione in esecuzione -vai al processo- mi veniva evidenziato il file csrss.exe.

-Impossibile da terminare il processo
-Processo di sistema critico. impossibile da terminarlo

Ho subito pensato ad un virus o diavolerie del genere.
dalle ricerche che ho effettuato in rete, molti parlano di questo file come file di sistema, molti altri dicono che il file stesso sia un virus.
Visto che le idee erano contrastanti e il mio win aveva bisogno della solita ripulita annuale... ho deciso di formattare.

Adesso, per farla breve, dopo aver formattato e dopo 2 giorni di lavoro a reinstallare tutti i programmi, mi sono ribeccato il presunto "virus".

Ho clikkato su un setup.exe dopo aver scaricato la voce del ranzani per tomtom.

Lo so, sono un fesso, non dovevo clikkarci sopra ( anche perchè per installare la voce van copiati un paio di file nella mmc del navigatore, nulla da installare)

cosa faccio adesso.... riformatto???
Non sembra mi procuri problemi al pc, se non la solita schermata che esce ogni tot tempo.
E la cosa mi da sui nervi...

grazie
 
csrss.exe è un file di sistema ,ma può anche essere duplicato e diventare un virus.

Se csrss.exe si trova in c:windows/system32 è ok ed è un file di sistema.

Se invece è presente da altre parti ,sicuramente è un virus.

Esempio di Virus

Questo è il file leggittimo
 
Allora Ercolino

Sul sito symantec, diceva di controllare nel registro la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e vedere se si fosse aggiunta la stringa "BagleAV"="%Windir%\csrss.exe"
Negativo... non era presente.

Ho provato a vedere dove fosse il csrss.exe e me lo dava in 3 posizioni...
una in c:windows/system32 le altre due sono in:

C:\WINDOWS\ServicePackFiles\i386\csrss.exe e in
C:\WINDOWS\SoftwareDistribution\Download\59c09c8627b551c5be08ab5777d2dca8

Apparentemente hanno tutti e tre la stessa dimensione e stessa data ultima modifica 18-08-2004 alle 23.39 ( non so se possa servire).

Ho scaricato, dal secondo link che mi hai passato registryboosterplib.exe
mi ha trovato 82 errori... ho provato a riparali (purtroppo solo 15 in versione trial) e, al seguente riavvio il famoso messaggio di disco non presente non c'era.

ero quasi convinto di averlo eliminato che.... è riapparso poco fa.

hai altri suggerimenti?
 
scarica HijackThis e posta qua l'output del log.
In alternativa, se vuoi "risparmiare" il nostro Ercolino, ho scoperto che c'è un servizio automatico in rete di analisi del log ...

PS: dòtati di un buon antivirus, e non cliccare troppi "setup.exe" ....:D
 
ANDREMALES ha scritto:
scarica HijackThis e posta qua l'output del log.
In alternativa, se vuoi "risparmiare" il nostro Ercolino, ho scoperto che c'è un servizio automatico in rete di analisi del log ...

PS: dòtati di un buon antivirus, e non cliccare troppi "setup.exe" ....:D
Clicca per espandere...

Grazie mille ANDREMALES...
Ho inserito il log di hijackthis sulla pagina che hai linkato...
l'unico file che mi da " Abbastanza sospetto" è un file che risiede in "C:\DOCUME~1\***\IMPOST~1\Temp\svchost.exe"

"Questo elemento non viene eseguito dalla cartella System32 quindi, con buona probabilità, è pericoloso.
Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\windows\system32\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.Questo elemento non viene eseguito dalla cartella System32 quindi, con buona probabilità, è da considerarsi pericoloso."

questo file lo avevo già individuato nel registro in "WindowsServicesStartup"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
e avevo l'impressione che fosse un file sospetto...

come devo fare per eliminarlo?

a parte questo, HijackThis non mi individua nessun file pericoloso.
stesso discosrso Pc cilling 14 con firme aggiornatissime, però il famoso messaggio di disco non presente continua ad uscire....

HELPPPPPPPPPPPPPPPP!!
 
controlla le proprietà del file (dimensione, data...) confrontandole con quelle del svchost.exe originale, che deve risiedere nella cartella system32. Io dal regedit farei un bel backup di tutto il registro, e poi lo cancellerei dai servizi che partono in automatico
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run)
Stai attento però che la versione nella chiave del registro sia esattamente quella indicata da HijackThis, e cioè quella con il percorso:
"C:\DOCUME~1\***\IMPOST~1\Temp\svchost.exe" che rappresenta l'svchost "sospetto".
Ciauz
 
Metti il log sul forum che gli do un'occhiata anche io ;)

Affidarsi solo all'analizzatore automatico molte volte non basta ,visto da info anche in base alle info che gli danno gli utenti
 
Ti consiglio di non toccare il registro se non sei pratico ,seleziona semplicemente

C:\DOCUME~1\***\IMPOST~1\Temp\svchost.exe" ,dovrebbe esserci anche sulla chiave 04

ed eliminalo con Fix del programma.

Il problema è lui

Se metti il log ci do un'occhiata dettagliata ;)
 
ANDREMALES ha scritto:
controlla le proprietà del file (dimensione, data...) confrontandole con quelle del svchost.exe originale, che deve risiedere nella cartella system32. Io dal regedit farei un bel backup di tutto il registro, e poi lo cancellerei dai servizi che partono in automatico
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run)
Stai attento però che la versione nella chiave del registro sia esattamente quella indicata da HijackThis, e cioè quella con il percorso:
"C:\DOCUME~1\***\IMPOST~1\Temp\svchost.exe" che rappresenta l'svchost "sospetto".
Ciauz
Clicca per espandere...

Allora...
Non vedendo risposte sul forum ho provato ad eliminare il file nella cartella temp.
Per questa volta mi è andata bene, nel senso che, avendo fatto di testa mia potevo combinare più guai che altro.

Infatti non ho fatto nessuna copia del registro e mi è andata bene cavolo.

Visto che non si faceva eliminare perchè in esecuzione, non sapendo quale era
ho terminato tutti i file svchost.exe che trovavo attivi nel task manager, e qualcuno mi resettava il pc con il conto alla rovescia.
Cmq sono riuscito ad eliminare il fetente,dalla cartella temp, 1 secondi prima che mi si spegnesse il pc per la quarta volta.

Precedentemente da msconfig, avevo anche deselezionato il file incriminato, in modo che non partisse all'avvio..
Beh.. al riavvio successivo non era in esecuzione e ho finito cancellando anche la stringa dal registro.

Per il momento il messaggio di notifica non si è presentato.
 
ERCOLINO ha scritto:
Ti consiglio di non toccare il registro se non sei pratico ,seleziona semplicemente

C:\DOCUME~1\***\IMPOST~1\Temp\svchost.exe" ,dovrebbe esserci anche sulla chiave 04

ed eliminalo con Fix del programma.

Il problema è lui

Se metti il log ci do un'occhiata dettagliata ;)
Clicca per espandere...

questo è il log nuovo ercolino... purtroppo i vecchi li cancellavo


HijackThis v1.99.1
Scan saved at 21.16.20, on 26/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\Programmi\Trend Micro\Internet Security 14\pccguide.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRAMMI\MESSENGER\MSMSGS.EXE
C:\Programmi\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PCCTLCOM.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TMPROXY.EXE
C:\PROGRA~1\TRENDM~1\INTERN~1\TMPFW.EXE
C:\EMULE\EMULE_ADNZA.EXE
C:\PROGRAMMI\EBAY\EBAY TOOLBAR2\EBAYTBDAEMON.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\Documents and Settings\****\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security 14\pccguide.exe"
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\PROGRAMMI\MESSENGER\MSMSGS.EXE" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166939741031
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
 
bene :D
Mi ero dimenticato che da hijackThis si potesse fixare :eusa_whistle:.... ma chi la dura la vince. Regà, fate SEMPRE un backup del registro prima di fare ogni cosa, e nel dubbio, invece di cancellare completamente i files, rinominateli:
esempio:
svchost.exe -> svchost_exe.bad
in caso di danni, potrete sempre tornare indietro...
:D
 
Se hijackThis lo si installa direttamente in C: lo fa in automatico lui il backup
 
Devi accedere o registrarti per poter rispondere.
Indietro
Alto Basso