Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 15-04-2009, 21.39.01   #1
biliconi
Newbie
 
Registrato: 21-01-2003
Loc.: veneto
Messaggi: 25
biliconi promette bene
Come eliminare TR/Crypt.ZPACK.Gen Troian

Chiedo aiuto per eliminare questo tormento TR/Crypt.ZPACK.Gen Troian che Avira mi notifica con una insistenza assurda.
biliconi non è collegato   Rispondi citando
Vecchio 15-04-2009, 22.47.15   #2
Kurtferro
Forum supporter
 
L'avatar di Kurtferro
 
Registrato: 08-04-2005
Loc.: Crema
Messaggi: 1.570
Kurtferro promette bene
prova con malwarebyte intanto
___________________________________

Kurtferro non è collegato   Rispondi citando
Vecchio 15-04-2009, 23.10.46   #3
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
intanto aggiorna il sistema alle più recenti patch se già non lo hai fatto.

Quindi - oltre a vedere cosa trova il MalwareBytes' AntiMalware come suggerito da Kurtferro - scarica HiJackThis sul desktop

http://www.trendsecure.com/portal/en...HiJackThis.exe

lancialo e appena si apre clicca su "do a system scan and save a log file", riporta quindi il contenuto del file hijackthis.log nella risposta
leofelix non è collegato   Rispondi citando
Vecchio 16-04-2009, 15.20.16   #4
biliconi
Newbie
 
Registrato: 21-01-2003
Loc.: veneto
Messaggi: 25
biliconi promette bene
Fatta la scansione con MalwareBytes' AntiMalware nessuna anomalia.Unisco l'allegato di HiJackThis
biliconi non è collegato   Rispondi citando
Vecchio 16-04-2009, 15.22.07   #5
biliconi
Newbie
 
Registrato: 21-01-2003
Loc.: veneto
Messaggi: 25
biliconi promette bene
Scusa,ci riprovo.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:09:46 , on 16/04/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\cFosSpeed\cfosspeed.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Noci\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...esario&pf=cndt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.pagessyndication.com/google/iesearch.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Utilità controllo supporti di Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O8 - Extra context menu item: &Point&&Go - C:\Program Files\Common Files\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Selezione intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...nt/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe
O23 - Service: CSIScanner - Unknown owner - C:\Program Files\Prevx\prevx.exe (file missing)
O23 - Service: GameConsoleService - Unknown owner - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

--
End of file - 6049 bytes
biliconi non è collegato   Rispondi citando
Vecchio 16-04-2009, 19.56.36   #6
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
allora
secondo la PREVX (di cui vedo hai installato il loro scanner gratuito ma che non rimuove il malware rilavato se non paghi) questa stringa

O23 - Service: GameConsoleService - Unknown owner - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe (file missing)

potrebbe essere una infezione

http://www.prevx.com/filenames/31897...RVICE.EXE.html

Inoltre vedo che la tua pagina principale è stata modificata apparentemente da OrbitDowloader

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com

Si tratta di programmi legittimi che tu riconosci?
- il primo potrebbe essere stato preinstallato col computer apparentemente HP che possiedi: io ho un portatile HP con Vista SP 1, ma non ho questa consolle di "giochi" per esempio.

- La modifica alla pagina iniziale di Internet Explorer 7 potrebbe essere stata fatta a tua insaputa mentre installavi OrbitDownloader: non è bene che la home page di IE venga modificata da programmi di terze parti: spesso questo comportamento è dato da spyware.

Per il resto non vedo nulla di particolarmente strano nel LOG: potrebbe essere una rootkit se così fosse HiJackThis non è in grado di vederla, come potrebbe essere un falso positivo di Avira free



Altre domande:

1)Vedo che usi a-squared free che ha anche integrato il motore dall'antivirus austriaco Ikarus, non ti ha rilevato niente?

2) hai scaricato e installato qualcosa da programmi P2P o simili di recente?
3) navigando per caso ti si è aperta qualche finestrella di popup che ti avvisava che il sistema sarebbe stato infetto da improbabili spyware e ti invitava a scaricare qualche miracoloso software per la rimozione (ma che tutto è tranne che un vero antivirus o un vero antispyware)?
leofelix non è collegato   Rispondi citando
Vecchio 16-04-2009, 20.40.31   #7
cascavel
Senior Member
 
L'avatar di cascavel
 
Registrato: 21-07-2008
Loc.: Milano
Messaggi: 422
cascavel promette bene
ciao,disattiva il tuo antivirus e tutti i controlli di sicurezza e scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
salvalo sul desktop e disconnettiti da internet.
tasto destro sull'icona di combofix presente sul desktop e scegli esegui come amministratore, attendi il caricamento del tool, accetta le condizioni d'uso del tool, non accettare l'installazione della consolle di ripristino e durante la scansione non fare nulla con il pc.
al termine il pc dovrebbe riavvarsi, il tool produrra' un file log chiamato C:\ComboFix.txt.
allegalo, usando la funzione in risposta-gestione allegati, non copiarlo e incollarlo altrimenti potrebbero servire due pagine di forum, al prossimo post in formato .TXT
___________________________________

William Blake. "The Great Red Dragon and the woman dressed with the sun"
cascavel non è collegato   Rispondi citando
Vecchio 16-04-2009, 21.28.05   #8
biliconi
Newbie
 
Registrato: 21-01-2003
Loc.: veneto
Messaggi: 25
biliconi promette bene
Rispondo a leofelix,riguardo al fatto che ho scaricato un prog (cFosSpeed) e credo fosse al suo interno ma lo credevo un falso positivo.
Ora a Cascavel eseguito ComboFix come da istruzioni
Files allegati
Tipo file: txt ComboFix.txt (24,5 Kb, 12 visite)
biliconi non è collegato   Rispondi citando
Vecchio 16-04-2009, 21.48.24   #9
cascavel
Senior Member
 
L'avatar di cascavel
 
Registrato: 21-07-2008
Loc.: Milano
Messaggi: 422
cascavel promette bene
Quota:
Inviato da biliconi
Rispondo a leofelix,riguardo al fatto che ho scaricato un prog (cFosSpeed) e credo fosse al suo interno ma lo credevo un falso positivo.
Ora a Cascavel eseguito ComboFix come da istruzioni
OK, salva il file in allegato su desktop, comunque nella directory dove hai messo combofix, e trascinalo con la freccia del mouse sull'icona di combofix per delle eliminazioni. non e' necessario allegare il nuovo log, la situazione sembra risolta: elimina combofix e la cartella backup generata dal tool C.\qoobox, elimina il contenuto del cestino e pulisci il sistema con CCleaner o i tool di pulizia che utilizzi di solito, riavvia il sistema e controlla nei prossimi giorni se la cosa e' risolta.
Files allegati
Tipo file: txt CFScript.txt (122 Bytes, 7 visite)
___________________________________

William Blake. "The Great Red Dragon and the woman dressed with the sun"

Ultima modifica di cascavel : 16-04-2009 alle ore 22.08.50
cascavel non è collegato   Rispondi citando
Vecchio 16-04-2009, 23.09.44   #10
biliconi
Newbie
 
Registrato: 21-01-2003
Loc.: veneto
Messaggi: 25
biliconi promette bene
Grazie Cascavel ho eseguito le tue indicazioni ed al momento dembra che tutto sia in ordine,se ho altri problemi ci si risente.
Grazie
biliconi non è collegato   Rispondi citando
Vecchio 16-04-2009, 23.10.49   #11
biliconi
Newbie
 
Registrato: 21-01-2003
Loc.: veneto
Messaggi: 25
biliconi promette bene
Grazie anche a leofelix
biliconi non è collegato   Rispondi citando
Vecchio 18-04-2009, 22.04.04   #12
Br1panic
Newbie
 
Registrato: 18-04-2009
Messaggi: 3
Br1panic promette bene
Ciao a tutti,
ragazzi anche io sto impazzendo per questo disgraziatissimo trojan TR/Crypt.ZPACK.GEN, e AntiVir mi sta mandando avvisi continui di questo contagio.
Ho fatto una scansione con Hijackthis e poi anche con ComboFix, vi allego i log così magari mi sapete dire qualcosa. Per esempio che voci fixare in Hijackthis, perchè fino ad ora non ho toccato nulla, per non rischiare di fare sciocchezze.
Mi metto nelle vostre mani, e vi ringrazio anticipatamente per il vostro aiuto.
Ciao
Files allegati
Tipo file: txt hijackthis.txt (7,1 Kb, 3 visite)
Br1panic non è collegato   Rispondi citando
Vecchio 18-04-2009, 22.05.13   #13
Br1panic
Newbie
 
Registrato: 18-04-2009
Messaggi: 3
Br1panic promette bene
...visto che il forum non mi faceva allegare più di un file x volta, ora vi allego ComboFix
Ciaooo
Files allegati
Tipo file: txt log-combofix.txt (14,4 Kb, 6 visite)
Br1panic non è collegato   Rispondi citando
Vecchio 18-04-2009, 23.23.20   #14
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
benvenuta B31panic,

a quanto pare nel tuo sistema è stata rilevata la presenza di 3 rootkit, teoricamente la componente catchme inclusa in comobifx dovrebbe averle rimosse.

ovvero queste voci che si leggono dal log di combofix

Scansione files nascosti ...


c:\windows\system32\jscript.sys 8688 bytes executable
c:\windows\system32\jstdrv.dll 24329 bytes executable
c:\windows\system32\nar.bin 7 bytes

Scansione completata con successo
Files nascosti: 3


Controlla pure da te stessa il responso della PREVX (il tool che promuove rileva ma non rimuove le minacce però, a meno che te non lo compri):

http://www.prevx.com/filenames/X4434...CRIPT.SYS.html

Non conosco bene il Combofix, ma certo è che non rimuove sempre da se' il malware.

Inoltre vedo che nel tuo sistema sono presenti dei files che dovrebbero far parte di strumenti di rimozione di altro genere: il VundoFix e il KillBox li avevi già usati te nel tentativo di rimuovere altri tipi di malware?

Non ho quindi idea se ComboFix ha rimosso tutta la sequenza di files infetti simili a questo indicato:

2009-04-18 09:23 . 2006-12-10 16:14 268 ---ha-w C:\sqmdata19.sqm.

Intanto scarica The Avenger v 2

http://swandog46.geekstogo.com/

Che ci servirà per avere la certezza che quei files infetti siano stati realmente rimossi.

Ti dirò come non appena ottenuta una tua gradita risposta.

E mi auguro anche che nel frattempo intervenga qualcuno che conosce ComboFix meglio di me

Ancora benvenuta

Ultima modifica di leofelix : 18-04-2009 alle ore 23.35.53
leofelix non è collegato   Rispondi citando
Vecchio 18-04-2009, 23.57.10   #15
Br1panic
Newbie
 
Registrato: 18-04-2009
Messaggi: 3
Br1panic promette bene
Ciao,
ho provato a scaricare The Avanger, ma per farlo partire penso di dover scrivere qualcosa nella finestra dove dice "Input script here", ma non so cosa metterci.
E poi come dicevi tu precedentemente ho utilizzato VundoFix e KillBox ma a quanto pare non sono serviti a molto. Se provo a riavviare il pc AntiVir mi dice sempre che il trojan è stato rilevato sul file:
c:\windows\system32\jstdrv.dll
ma quando vado a controllare se questo file esiste, non lo trovo
Cosa devo fare?
Ciaooo
Br1panic non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Eliminare cartella danneggiata adssda Windows 7/Vista/XP/ 2003 5 07-03-2007 16.35.36
Eliminare File Gia Cercati In Google Ecc... luigib86 Windows 7/Vista/XP/ 2003 0 22-03-2006 17.15.02
[XP] Eliminare cartella vuota Franck Windows 7/Vista/XP/ 2003 14 01-02-2006 17.12.50
Collegamento che non si riesce ad eliminare augu Windows 7/Vista/XP/ 2003 15 08-01-2005 13.44.15
Come eliminare una rete domestica creata con XP mascoral Internet e Reti locali 6 14-07-2004 18.24.36

Orario GMT +2. Ora sono le: 13.28.17.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.