Chiedo aiuto per eliminare questo tormento TR/Crypt.ZPACK.Gen Troian che Avira mi notifica con una insistenza assurda.

prova con malwarebyte intanto

intanto aggiorna il sistema alle più recenti patch se già non lo hai fatto.

Quindi - oltre a vedere cosa trova il MalwareBytes' AntiMalware come suggerito da Kurtferro - scarica HiJackThis sul desktop

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

lancialo e appena si apre clicca su "do a system scan and save a log file", riporta quindi il contenuto del file hijackthis.log nella risposta

Fatta la scansione con MalwareBytes' AntiMalware nessuna anomalia.Unisco l'allegato di HiJackThis

Scusa,ci riprovo.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:09:46 , on 16/04/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\cFosSpeed\cfosspeed.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Noci\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=83&bd=Presario&pf=cndt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.pagessyndication.com/google/iesearch.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Utilità controllo supporti di Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O8 - Extra context menu item: &Point&&Go - C:\Program Files\Common Files\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Selezione intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe
O23 - Service: CSIScanner - Unknown owner - C:\Program Files\Prevx\prevx.exe (file missing)
O23 - Service: GameConsoleService - Unknown owner - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

--
End of file - 6049 bytes

allora
secondo la PREVX (di cui vedo hai installato il loro scanner gratuito ma che non rimuove il malware rilavato se non paghi) questa stringa

O23 - Service: GameConsoleService - Unknown owner - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe (file missing)

potrebbe essere una infezione

http://www.prevx.com/filenames/3189767572634483472-X1/GAMECONSOLESERVICE.EXE.html

Inoltre vedo che la tua pagina principale è stata modificata apparentemente da OrbitDowloader

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com

Si tratta di programmi legittimi che tu riconosci?
- il primo potrebbe essere stato preinstallato col computer apparentemente HP che possiedi: io ho un portatile HP con Vista SP 1, ma non ho questa consolle di "giochi" per esempio.

- La modifica alla pagina iniziale di Internet Explorer 7 potrebbe essere stata fatta a tua insaputa mentre installavi OrbitDownloader: non è bene che la home page di IE venga modificata da programmi di terze parti: spesso questo comportamento è dato da spyware.

Per il resto non vedo nulla di particolarmente strano nel LOG: potrebbe essere una rootkit se così fosse HiJackThis non è in grado di vederla, come potrebbe essere un falso positivo di Avira free



Altre domande:

1)Vedo che usi a-squared free che ha anche integrato il motore dall'antivirus austriaco Ikarus, non ti ha rilevato niente?

2) hai scaricato e installato qualcosa da programmi P2P o simili di recente?
3) navigando per caso ti si è aperta qualche finestrella di popup che ti avvisava che il sistema sarebbe stato infetto da improbabili spyware e ti invitava a scaricare qualche miracoloso software per la rimozione (ma che tutto è tranne che un vero antivirus o un vero antispyware)?

ciao,disattiva il tuo antivirus e tutti i controlli di sicurezza e scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
salvalo sul desktop e disconnettiti da internet.
tasto destro sull'icona di combofix presente sul desktop e scegli esegui come amministratore, attendi il caricamento del tool, accetta le condizioni d'uso del tool, non accettare l'installazione della consolle di ripristino e durante la scansione non fare nulla con il pc.
al termine il pc dovrebbe riavvarsi, il tool produrra' un file log chiamato C:\ComboFix.txt.
allegalo, usando la funzione in risposta-gestione allegati, non copiarlo e incollarlo altrimenti potrebbero servire due pagine di forum, al prossimo post in formato .TXT

Rispondo a leofelix,riguardo al fatto che ho scaricato un prog (cFosSpeed) e credo fosse al suo interno ma lo credevo un falso positivo.
Ora a Cascavel eseguito ComboFix come da istruzioni

Rispondo a leofelix,riguardo al fatto che ho scaricato un prog (cFosSpeed) e credo fosse al suo interno ma lo credevo un falso positivo.
Ora a Cascavel eseguito ComboFix come da istruzioni
OK, salva il file in allegato su desktop, comunque nella directory dove hai messo combofix, e trascinalo con la freccia del mouse sull'icona di combofix per delle eliminazioni. non e' necessario allegare il nuovo log, la situazione sembra risolta: elimina combofix e la cartella backup generata dal tool C.\qoobox, elimina il contenuto del cestino e pulisci il sistema con CCleaner o i tool di pulizia che utilizzi di solito, riavvia il sistema e controlla nei prossimi giorni se la cosa e' risolta.

Grazie Cascavel ho eseguito le tue indicazioni ed al momento dembra che tutto sia in ordine,se ho altri problemi ci si risente.
Grazie

Grazie anche a leofelix

Ciao a tutti,
ragazzi anche io sto impazzendo per questo disgraziatissimo trojan TR/Crypt.ZPACK.GEN, e AntiVir mi sta mandando avvisi continui di questo contagio.
Ho fatto una scansione con Hijackthis e poi anche con ComboFix, vi allego i log così magari mi sapete dire qualcosa. Per esempio che voci fixare in Hijackthis, perchè fino ad ora non ho toccato nulla, per non rischiare di fare sciocchezze.
Mi metto nelle vostre mani, e vi ringrazio anticipatamente per il vostro aiuto.
Ciao :)

...visto che il forum non mi faceva allegare più di un file x volta, ora vi allego ComboFix ;)
Ciaooo

benvenuta B31panic,

a quanto pare nel tuo sistema è stata rilevata la presenza di 3 rootkit, teoricamente la componente catchme inclusa in comobifx dovrebbe averle rimosse.

ovvero queste voci che si leggono dal log di combofix

Scansione files nascosti ...


c:\windows\system32\jscript.sys 8688 bytes executable
c:\windows\system32\jstdrv.dll 24329 bytes executable
c:\windows\system32\nar.bin 7 bytes

Scansione completata con successo
Files nascosti: 3

Controlla pure da te stessa il responso della PREVX (il tool che promuove rileva ma non rimuove le minacce però, a meno che te non lo compri):

http://www.prevx.com/filenames/X44345541565620112-X1/JSCRIPT.SYS.html

Non conosco bene il Combofix, ma certo è che non rimuove sempre da se' il malware.

Inoltre vedo che nel tuo sistema sono presenti dei files che dovrebbero far parte di strumenti di rimozione di altro genere: il VundoFix e il KillBox li avevi già usati te nel tentativo di rimuovere altri tipi di malware?

Non ho quindi idea se ComboFix ha rimosso tutta la sequenza di files infetti simili a questo indicato:

2009-04-18 09:23 . 2006-12-10 16:14 268 ---ha-w C:\sqmdata19.sqm.

Intanto scarica The Avenger v 2

http://swandog46.geekstogo.com/

Che ci servirà per avere la certezza che quei files infetti siano stati realmente rimossi.

Ti dirò come non appena ottenuta una tua gradita risposta.

E mi auguro anche che nel frattempo intervenga qualcuno che conosce ComboFix meglio di me;)

Ancora benvenuta

Ciao,
ho provato a scaricare The Avanger, ma per farlo partire penso di dover scrivere qualcosa nella finestra dove dice "Input script here", ma non so cosa metterci.
E poi come dicevi tu precedentemente ho utilizzato VundoFix e KillBox ma a quanto pare non sono serviti a molto. Se provo a riavviare il pc AntiVir mi dice sempre che il trojan è stato rilevato sul file:
c:\windows\system32\jstdrv.dll
ma quando vado a controllare se questo file esiste, non lo trovo :(
Cosa devo fare?
Ciaooo

non trovi il file infetto perché come dicevo si tratta di una rootkit

http://it.wikipedia.org/wiki/Rootkit

Intanto fa' così apri The Avenger 2 disattivando temporaneamente la protezione in tempo reale dell'antivirus, togli la spunta dove c'è scritto "scan for rootkit" (che non va bene)
Quindi nella finestrella che appare incolla queste stringhe che sono sicuramente le infezioni

Files to delete:
c:\windows\system32\jscript.sys
c:\windows\system32\jstdrv.dll
c:\windows\system32\nar.bin

Quindi dovrai riavviare il sistema.

Adesso scarica e installa

MalwareBytes ' AntiMalware (gratuito senza protezione in tempo reale)

http://www.gt500.org/malwarebytes/mbam.jsp

Se il sistema risulta non più infetto, puoi benissimo tirare un sospiro di sollievo e magari usufruire dellla promozione per avere gratis per 6 mesi Avira PREMIUM

http://forum.wintricks.it/showthread.php?t=142867

attendo i risultati allora

Ciao,
ho provato a scaricare The Avanger, ma per farlo partire penso di dover scrivere qualcosa nella finestra dove dice "Input script here", ma non so cosa metterci.
E poi come dicevi tu precedentemente ho utilizzato VundoFix e KillBox ma a quanto pare non sono serviti a molto. Se provo a riavviare il pc AntiVir mi dice sempre che il trojan è stato rilevato sul file:
c:\windows\system32\jstdrv.dll
ma quando vado a controllare se questo file esiste, non lo trovo :(
Cosa devo fare?
Ciaooo

scarica il file in allegato e trascinalo sull'icona di combofix con il puntatore del mouse per una nuova scansione, allega il nuovo log generato insieme ad un altro log di hijackthis, non copiato dal sito di analisi altrimenti non si capisce nulla.

Salve,
anch'io sono alle prese con questo malware, gentilmente qualcuno mi può dare indicazioni?
Allego il il log del combofix

Aggiungo anche il log di hijackthis.
Grazie

Ciao ragazzi, sono nuovo del sito perciò perdonatemi se tiro fuori stupidaggini..... Vi allego il file uscito fuori dalla scansione con ComboFix..... sapete dirmi qualcosa??? Vi prego saranno un milione di volte che Anti vir Gard mi segnala la stessa cosa.....TR/Crypt.ZPACK.Gen

ciao a tutti anche io sono stato infettato da questo virus ed ho fatto tutto il procedimento con combofix ora vi allego il file.txt..cosa devo fare ora?