Il vostro PC (o la vostra LAN) è infetta da files KHQ e da altri files eseguibili lunghi 501k che non riuscite ad eliminare? E’ il virus w32.harakit e va rimosso manualmente, se il vs. antivirus non riesce a farlo !
Per rimuovere il virus occorre capire come funziona. Il virus si insedia nella cartella windowssystem32 e si chiama CSRCS.EXE (potete vederlo attivando la visualizzazione file nascosti e files/cartelle di sistema).
Viene lanciato nel file di registro di windows attraverso la chiave “run” di explorer. Sostanzialmente, ad ogni avvio, controlla le cartelle condivise del PC (e le “radici” degli hard disk) per verificare se si era già insediato. Dove trova possibilità va a copiare dentro due files, un eseguibile da circa 501Kb (con nomi sempre diversi, solitamente 6 caratteri e con estensione .exe, ad esempio qwertyu.exe . Vengono visualizzati come cartelle ma con nome di un file. Se effettuate una visualizzazione delle cartello lo individuate subito proprio per il fatto che ha una estensione .exe). Il secondo file è un file nascosto chiamato KHQ che sembra funga da “flag” (per dire al virus che quella cartella è già stata “attaccata”).
Se si tratta di un PC isolato, la situazione è questa. Se invece siete in rete (LAN) potreste avere sul vs. PC solo gli eseguibili da 501k ed i files KHQ (qualcuno ve li ha scaricati inconsapevolmente, in attesa che poi vi clicckiate sopra attivando l’installazione del csrcs.exe nella system32). Quello che dovete fare, per rimuovere l’infezione, in ambedue i casi è questo:
1- attivate la visualizzazione di cartelle e files nascosti e/o di sistema (in risorse del computer -> strumenti -> opzioni cartella -> visualizzazione)
2- cercate il file CSRCS.EXE nella windowssystem32 oppure cercatelo con il cerca (START-> cerca -> file e cartelle) secondo l’esempio QUI
3- cancellate il file ed editate il registro di windows (start -> esegui -> regedit). Cercate “csrcs.exe”. Troverete questa stringa in una chiave di explorer (run). Eliminatela in modo che non venga più lanciata.
4- Bene, avete eliminato la fonte principale. Ora bisogna togliere le “mine”. Sempre con il cerca (per evitare di sfogliare le cartelle ad una ad una, con il rischio di lasciarne indietro qualcuna) cercate “KHQ”. Nella cartella dove trovate il KHQ (lunghezza 0 byte) cercate l’eseguibile da 501K. Cancellate entrambi.
by the way, this windowsbootcd is easy to use and works
eccellente spiegazione. Grazie
Grazie infinite per la chiarissima spiegazione, erano tre giorni che cercavo di capire cosa fosse e come fosse entrato dato che uso Norton antivirus, sfinito non trovando il nome del Virus ho formattato due volte windows (che non è uno scherzo).
Ho provato a fargli una scansione da linux con Clam AV e ho visto che ha cancellato proprio questo file CSRCS.EXE, ma non riparando il registro quando ho riformattato il tutto dopo un pò mi sono rivisto tornare le “finestre jpg di invio posta spamming” anche se non avevo ancora installato il programma di email…
Finalmente mi sono accorto che in una cartella venivano copiati una serie di file tutti con lo stesso nome… e chiudendo windows l’ultimo programma che chiudeva il sistema era 7mbkb9.exe e finalmente ho trovato il tuo sito con la perfetta spiegazione…ho fatto ed ora spero sia proprio sparito…:O) così questa notte riesco a dormire :O)
ciao e grazie ancora intanto ti aggiungo nei miei segnalibri importanti
sono scomparsi i file 7mbkb9.exe, csrcs.exe, agrsmmsg.exe, sia da regedit che dalle cartelle, ma le finestre continuano a comparire, mi sa che non dormirò neppure qs notte mi puoi aiutare?
Grazie
Forse riuscirò a dormire, Ho riprovato a fare una scansione sullo stesso pc ma da Ubuntu con Clamav, mi ha scovato ancora un sacco di file infetti di tutti i tipi che norton non aveva visto tra cui il Heuritic….
Beh mi sa che stanotte si dorme ….grazie
niente da farenon è scomparso, rieccolo aiiuto_-!!!!