hola tengo un problema con un proceso llamado csrss.exe que segun e leido es un troyano que maneja la PC remotamente asi que no estoy seguro de borrarlo todavia y si es un proceso critico para el sistema entonces es otro problema.Mil gracias de antemano.

Hola addr50

La ubicación correcta de ese archivo cuando es legitimo es "C:\WINDOWS\system32", si lo ves en otra ubicación entonces si es un troyano


Si deseas puedes hacerte un scanner con el Kaspersky Online y pegas su reporte acá

Salu2

Aqui esta el reporte Kirigi y gracias por tu pronta respues.


sábado, 02 de agosto de 2008 19:39:27
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 2/08/2008
Registros en la base antivirus: 928701
Configuración del análisis
Analizar usando las siguientes bases standard
Analizar archivos verdadero
Analizar bases de correo verdadero
Objetivo a analizar Mi PC
A:\
C:\
D:\
E:\
Estadísticas
Número de objeros analizados 83718
Virus encontrados 1
Objetos infectados 1 / 0
Objetos sospechosos 0
Duración del análisis 00:50:22

Bombre del objeto infectado Nombre del virus Última acción
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\lk\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\lk\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\lk\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\lk\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\3lfc5kb5.default \Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\lk\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\3lfc5kb5.default \Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\lk\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\3lfc5kb5.default \Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\lk\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\3lfc5kb5.default \Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\lk\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\lk\Configuración local\Historial\History.IE5\MSHist0120080802200808 03\index.dat Object is locked saltado
C:\Documents and Settings\lk\Configuración local\Temp\hpodvd09.log Object is locked saltado
C:\Documents and Settings\lk\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\lk\Datos de programa\Mozilla\Firefox\Profiles\3lfc5kb5.default \cert8.db Object is locked saltado
C:\Documents and Settings\lk\Datos de programa\Mozilla\Firefox\Profiles\3lfc5kb5.default \formhistory.dat Object is locked saltado
C:\Documents and Settings\lk\Datos de programa\Mozilla\Firefox\Profiles\3lfc5kb5.default \history.dat Object is locked saltado
C:\Documents and Settings\lk\Datos de programa\Mozilla\Firefox\Profiles\3lfc5kb5.default \key3.db Object is locked saltado
C:\Documents and Settings\lk\Datos de programa\Mozilla\Firefox\Profiles\3lfc5kb5.default \parent.lock Object is locked saltado
C:\Documents and Settings\lk\Datos de programa\Mozilla\Firefox\Profiles\3lfc5kb5.default \search.sqlite Object is locked saltado
C:\Documents and Settings\lk\Datos de programa\Mozilla\Firefox\Profiles\3lfc5kb5.default \urlclassifier2.sqlite Object is locked saltado
C:\Documents and Settings\lk\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\lk\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{68D18640-81DD-4B09-AD5A-2E08D55A60AF}\RP2\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado
C:\WINDOWS\system32\config\OSession.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drive\lam2.exe Infectados: not-a-virus:NetTool.Win32.Sniffer.c saltado
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
Análisis completado.

Hola...
Tengo un problema con ese mismo archivo.
Lo que pasa es que ejecuté el SUPERAntiSpyware, y me detectó ese archivo como un troyano. Lo eliminó, y cuando reinicié mi PC me dio un aviso de que faltaba ese archivo, que no lo encontraba.
Hize un error en eliminarlo??? Parece que sí

Además los avisos siguen apareciendo
Aquí un link a mi problema: Ayuda con Troyanos

Gracias.

Hola addr50


Al parecer el archivo csrss.exe que tienes si es legitimo ya que si fuera un troyano hubiera aparecido en el reporte


´Descargate OTMoveIt2 lo guardas en el Escritorio.

• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt2 nombrado Paste Standard List of Files / Folders to Move.

• Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, hace clic en Exit.
• Reinicia el PC (Este paso es muy importante).

Envía el informe (reporte) de OTMoveIt2 situado sobre C: \ _ OTMoveIt2\MovedFiles.


* jordanu Veo que eres nuevo así que para que sepas como trabaja el foro por favor leete las Politicas del Foro

Salu2

Hola Kirigi ya pase los archivos como me dijiste el problema es que no se donde conseguir el reporte.Espero tu respuesta gracias.
Salu2

Aqui esta Kirigi ya lo encontre no se si es este pero aqui te lo dejo

C:\WINDOWS\system32\drive\lam2.exe moved successfully.
C:\WINDOWS\system32\drive moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08032008_073631

Hola addr50


Si ese mismo es, y bueno OTmoveit hizo su trabajo correctamente, ahora eliminar su carpeta:


C: \ _ OTMoveIt


Descarga y ejecuta Ccleaner, luego si quieres te puedes hacer un nuevo scann con el kaspersky online y comentar como sigue la pc y si aun sigues con problemas

Salu2

Hola Kirigi Gracias me podrias hacer el favor de explicarte mejor en cuando borrar el archivo yo no se mucho de PC T_T. En cuanto a los problemas no tengo ninguno pero como es la primera ves que veo ese proceso en el adm de tareas entonces me preocupe por ahora la PC esta limpia espero que siga asi
Salu2 espero tu respuesta

Hola addr50

Lo que te pedí que eliminaras es la carpeta del OTmoveit ubicado en el disco "C" con el nombre de _ OTMoveIt

Salu2