Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Problema con trojan TR/Crypt.XPACK.Gen

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda ares84 » mer set 22, 2010 11:04 am

Salve a tutti
da ieri AVIRA continua a rilevarmi infezioni di questo trojan su diversi file presenti nella partizione dati.
Leggendo altri casi riportati su questo forum ho provato a fare una scansione con ComboFIx, ma non ogni volta che cerco di farla quando compare la schermata blu mi compare un messaggio di errore e il pc si riavvia senza che faccia la scansione.

Ho provato a fare una scansione con vundofix ma questo non rileva nulla.

Ho ripulito tutte le cartelle con file temporanei con ATF-Cleaner

Questo è il log di hjk

Logfile of HijackThis v1.99.1
Scan saved at 1.25.53, on 22/09/2010
Platform: Unknown Windows (WinNT 6.00.1905 SP1)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alice MOBILE\Alice MOBILE.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\bartolo\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: OpenXMLViewer - {803EF67B-3CCD-4750-8B3C-72B070A59192} - C:\Program Files\OpenXMLViewer_IE\OpenXMLViewer.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StartupDelayer] "C:\Program Files\r2 Studios\Startup Delayer\Startup Launcher.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2214BFD4-E56C-4A5C-8ACD-3A6A43A0D780}: NameServer = 194.20.8.1,213.145.3.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2214BFD4-E56C-4A5C-8ACD-3A6A43A0D780}: NameServer = 194.20.8.1,213.145.3.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: igfxcui - C:\Windows\SYSTEM32\igfxdev.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autorun CDROM Monitor - Unknown owner - C:\Windows\system32\SupportAppXL\cdrom_mon.exe
O23 - Service: Google Desktop Manager 5.7.807.15159 (GoogleDesktopManager-071508-051939) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
Ci sono che conosciamo cose che non conosciamo e in mezzo ci sono le porte
Avatar utente
ares84
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: mer nov 22, 2006 11:37 am
Località: palermo

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda stevens » mer set 22, 2010 11:18 am

fai in questo modo

rimuovi combofix con OTC by OldTimer

eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI


scaricalo nuovamente dopo aver disattivato l'antivirus

rinomina il file prima di salvarlo sul desktop in abc.exe
(per rinominare il file, quando lo scarichi ti chiede dove salvarlo e ti compare la casella "nome file" ,basta che cambi il nome che ti appare in abc.exe)
Fatto questo, clicca su start>esegui, nel box bianco copia e incolla questo comando, virgolette comprese:

"%userprofile%\desktop\abc.exe" /killall

Premi OK, se tutto va bene parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , riavvia in modalità normale e posta il contenuto del file o allegalo.


la scansione con hijackthis devi ripeterla, la versione che hai appartiene al passato

scarica la nuova da qui
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda ares84 » mer set 22, 2010 12:21 pm

Ho fatto come da te detto ma continua a darmi errore. Il messaggio che da è il seguente: unable to "enableLVA" (non ne sono al 100% perché il messaggio scompare in fretta)

Questo è il nuovo log

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13.00.55, on 22/09/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Alice MOBILE\Alice MOBILE.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\bartolo\Desktop\hijackthis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: OpenXMLViewer - {803EF67B-3CCD-4750-8B3C-72B070A59192} - C:\Program Files\OpenXMLViewer_IE\OpenXMLViewer.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [StartupDelayer] "C:\Program Files\r2 Studios\Startup Delayer\Startup Launcher.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2214BFD4-E56C-4A5C-8ACD-3A6A43A0D780}: NameServer = 194.20.8.1,213.145.3.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2214BFD4-E56C-4A5C-8ACD-3A6A43A0D780}: NameServer = 194.20.8.1,213.145.3.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autorun CDROM Monitor - Unknown owner - C:\Windows\system32\SupportAppXL\cdrom_mon.exe
O23 - Service: Google Desktop Manager 5.7.807.15159 (GoogleDesktopManager-071508-051939) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 5601 bytes
Ci sono che conosciamo cose che non conosciamo e in mezzo ci sono le porte
Avatar utente
ares84
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: mer nov 22, 2006 11:37 am
Località: palermo


Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda stevens » mer set 22, 2010 2:54 pm

intanto ti ricordo di mettere hijackthis C:\ in programmi o documenti se vuoi mantenere i back up
sembra non esserci niente di particolarmente dannoso

ora fai come ti dico

scarica e avvia rkill

riprova oea se parte combofix col comando che ti ho indicato prima - se non dovesse partire scarica Findykill
per avviare l'installazione:
Inserisci la prima spunta per accettare la licenza e prosegui > Suivant
Clicca su "Si" per destinare una cartella al programma
Clicca su Dèmarrer > Quitter per terminare l'installazione.
Cerca l'icona del programma sul desktop o in programmi ed eseguilo
Scegli solo l'opzione 2 (invio) per la pulizia.
Il report delle operazioni effettuate lo trovarai in C:\FindyKill.txt
Allega il rapporto nella tua risposta.
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda ares84 » mer set 22, 2010 4:08 pm

ComboFix continua a non funzionare (a questo punto penso che non vada per via di un problema che ho con vista da qualche tempo)
Questo è il report di FindyKill

----------------- FindyKill V4.707 ------------------

* User : bartolo - PC-BARTOLO
* executed from : C:\Program Files\FindyKill
* Update on 06/12/08 par Chiquitine29
* Start at 17:00:31 the 22/09/2010
* Windows Vista - Internet Explorer 8.0.6001.18882


((((((((((((((( *** deleting *** ))))))))))))))))))


--------------- [ Active Processes ] ----------------


C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\SupportAppXL\cdrom_mon.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\IoctlSvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe

--------------- [ Infected files / folders ] ----------------


»»»» Supression files in C:


»»»» Supression files in C:\Windows


»»»» Supression files in C:\Windows\Prefetch


»»»» Supression files in C:\Windows\system32


»»»» Supression files in C:\Windows\system32\drivers


»»»» Supression files in C:\Users\bartolo\AppData\Roaming


»»»» Supression files in C:\Users\bartolo\AppData\Local\Temp


»»»» Supression files in C:\Users\bartolo\Local Settings\Temporary Internet Files\Content.IE5

Deleted ! - C:\ProgramData\Skype\Plugins\Local Cache\D3987B641C134048B815DB578D607F42_more.jpg
Deleted ! - C:\Users\All Users\Skype\Plugins\Local Cache\D3987B641C134048B815DB578D607F42_more.jpg

--------------- [ Registry / Infected keys ] ----------------


--------------- [ States / Restarting of services ] ----------------



+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Wlansvc - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2

WinDefend - Type of startup = 2


--------------- [ Cleaning removable drives ] ----------------

+- Informations :

C: - Unità fissa
D: - Unità fissa

+- deleting files :


--------------- [ Registry / Mountpoint2 ] ----------------


-> Not found !


--------------- [ Searching Cracks / Keygen ] ----------------

C:\Users\bartolo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Date Cracker 2000
C:\ProgramData\Adobe\Photoshop Elements\6.0\Locale\it_IT\Photo Creations Metadata\backgrounds\Cracked Paint.xml
C:\ProgramData\Adobe\Photoshop Elements\6.0\Photo Creations\backgrounds\Cracked Paint.jpg
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Date Cracker 2000


---------------- ! End of report ! ------------------


Al momento non mi sono arrivate altre segnalazioni di AVIRA
Ci sono che conosciamo cose che non conosciamo e in mezzo ci sono le porte
Avatar utente
ares84
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: mer nov 22, 2006 11:37 am
Località: palermo

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda stevens » mer set 22, 2010 5:23 pm

(a questo punto penso che non vada per via di un problema che ho con vista da qualche tempo)


che tipo di problema?

scarica questo file

eseguilo con doppio click, successivamente in C dovresti trovare i file .txt da 1 a 10 o perlomeno quelli che sono stati individuati, Inseriscili tutti in una cartella .zip e allegali a un post.
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda ares84 » mer set 22, 2010 6:25 pm

Qualche tempo fa sono stato infettato da bagle, sono riuscito a rimuoverlo ma nonostante dopo la rimozione abbia usato baglerestore(scaricato da qui) è sorto un problema.

Nonostante l'account sia impostato come amministratore e il controllo account utente disattivato(questo prima del problema) adesso mi trovo con l'account senza i privilegi di amministratore e il controllo account utente attivato.

Nonostante provi a cambiare le impostazioni queste restano sempre cosi, non so se il problema di ComboFix possa essere questo.

Ora che ci penso non ho provato ad eseguirlo come amministratore adesso provo
Ci sono che conosciamo cose che non conosciamo e in mezzo ci sono le porte
Avatar utente
ares84
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: mer nov 22, 2006 11:37 am
Località: palermo

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda stevens » mer set 22, 2010 6:29 pm

Ora che ci penso non ho provato ad eseguirlo come amministratore adesso provo


pensavo lo sapessi che in vista i programmi vanno eseguiti come amministratore e col tasto destro
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda ares84 » mer set 22, 2010 7:24 pm

Come non detto non va lo stesso, mi da il medesimo errore.

Si si e che per certe applicazioni non è necessario e nella confusione mi è completamente passato di testa.
Ci sono che conosciamo cose che non conosciamo e in mezzo ci sono le porte
Avatar utente
ares84
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: mer nov 22, 2006 11:37 am
Località: palermo

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda stevens » mer set 22, 2010 7:31 pm

Scarica e installa e aggiorna malwarebytes.
http://www.malwarebytes.org/
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto .

edit

prima della scansione vai in C:\ programmi e controlla se hai una cartella >>>> SpywareGuard
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda ares84 » mer set 22, 2010 11:29 pm

Ho visto il suo edit soltanto adesso, si la cartella è presente.

Questo è il log

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4673

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18882

23/09/2010 0.24.03
mbam-log-2010-09-23 (00-24-03).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi esaminati: 270490
Tempo trascorso: 2 ore, 4 minuti, 22 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 7
File infetti: 25

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
C:\Program Files\Spyware Process Detector (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Base (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Help (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Plugin (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Save (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Uninstall (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Process Detector (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.

File infetti:
D:\download\programmi\Google_Updater.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\register.url (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\spd320.dll (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\spd320.exe (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\spd320.sys (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\spydetector.url (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Help\english.chm (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Help\english.mnl (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Plugin\belarusian.lng (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Plugin\bulgarian.lng (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Plugin\czech.lng (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Plugin\deutsch.lng (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Plugin\english.lng (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Plugin\francais.lng (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Plugin\hungarian.lng (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Plugin\romanian.lng (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Plugin\russian.lng (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Uninstall\IssSurvey.dll (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Uninstall\IssSurvey.ini (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Uninstall\unins000.dat (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Uninstall\unins000.exe (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Process Detector\Online Registration.lnk (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Process Detector\Spyware Process Detector v3.20.lnk (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Process Detector\User Manual.lnk (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Process Detector\Visit our Site.lnk (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.


Durante la scansione avira è tornato a rilevarmi il trojan nei vari file, li ho spostati in quarantena.
Ci sono che conosciamo cose che non conosciamo e in mezzo ci sono le porte
Avatar utente
ares84
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: mer nov 22, 2006 11:37 am
Località: palermo

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda stevens » gio set 23, 2010 8:20 am

ce ne erano di schifezze in quel pc.....SpywareGuard e' un programma che hai installato tu? lo conosci?
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda ares84 » gio set 23, 2010 10:55 am

Ho notato che quasi tutti le infezioni sono relative a un programma che avevo installato, potrebbero essere falsi positivi dovuti a un problema di incompatibilità? è un programma che avevo installato io non ricordo se per qualche motivo o funzionalità in particolare.

Spywareguard è un programma che avevo installato io (probabilmente per fare delle scansioni) ma la cosa strana e che la data di installazione è quella di ieri, molti programmi adesso hanno la data di installazione di ieri. (ho controllato da programmi e funzionalità)
Ci sono che conosciamo cose che non conosciamo e in mezzo ci sono le porte
Avatar utente
ares84
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: mer nov 22, 2006 11:37 am
Località: palermo

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda stevens » gio set 23, 2010 11:16 am

personalmente posso dirti che lo avevo installato e ho fatto molta fatica per toglierlo

se pensi che sia legittimo puoi benissimo recuperarlo

vai su ''quarantena'' selezioni quello che vuoi recuperare e clicchi su ''Ripristina''
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda ares84 » gio set 23, 2010 11:51 am

Non credo di recuperarlo e cercherò di disinstallarlo, anche spywareguard.
é normale che molti programmi abbiano come data di installazione quella di ieri?
Ci sono altre cose da fare?
Grazie tante per il supporto [grazie]
Ci sono che conosciamo cose che non conosciamo e in mezzo ci sono le porte
Avatar utente
ares84
Aficionado
Aficionado
 
Messaggi: 89
Iscritto il: mer nov 22, 2006 11:37 am
Località: palermo

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda stevens » gio set 23, 2010 12:08 pm

scarica Kaspersky Virus Removal Tool

1> al termine della installazione verrà mostrata la schermata principale del tool
2> verrà creata una cartella sul Desktop dal nome Virus Removal Tool
3> seleziona la partizione da scansionare e clicca su Scan per avviare la scansione
4> terminata la scansione, in caso di rilevazione di infezioni, clicca su Neutralize all
5> si apriranno dei popup dove potrai scegliere se Cancellare o Disinfettare l'oggetto
6> metti la spunta su Apply to all e clicca su Quarantine
7> per salvare il Report che verrà rilasciato, clicca sul tasto Reports: salvalo sul Desktop poi allegalo sul forum.
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda FDAC » gio set 23, 2010 12:32 pm

ciao.
Elimina queste cartelle, dalla modalità provvisoria:
C:\Program Files\Spyware Process Detector
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Process Detector

Fai sapere come va.
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda stevens » gio set 23, 2010 4:29 pm

ciao.
Elimina queste cartelle, dalla modalità provvisoria:
C:\Program Files\Spyware Process Detector
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Process Detector

Fai sapere come va.



fdac le ha gia' eliminate mbam

Cartelle infette:
C:\Program Files\Spyware Process Detector (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Base (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Help (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Plugin (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Save (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\Program Files\Spyware Process Detector\Uninstall (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Process Detector (Rogue.SpywareProcessDetector) -> Quarantined and deleted successfully
.
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda FDAC » gio set 23, 2010 4:51 pm

Non si sa mai, magari contengono altri files:
meglio fare piazza pulita delle cartelle, stevens :)
Avatar utente
FDAC
Rompiballe
Rompiballe
 
Messaggi: 750
Iscritto il: dom set 05, 2010 1:00 pm

Re: Problema con trojan TR/Crypt.XPACK.Gen

Messaggioda stevens » gio set 23, 2010 5:04 pm

Non si sa mai, magari contengono altri files:
meglio fare piazza pulita delle cartelle, stevens :)



ma sai leggere il log di mbam che ha rilasciato?
Avatar utente
stevens
Bronze Member
Bronze Member
 
Messaggi: 678
Iscritto il: mer feb 18, 2009 1:39 pm

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising