|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
15-04-2009, 21.39.01 | #1 |
Newbie
Registrato: 21-01-2003
Loc.: veneto
Messaggi: 25
|
Come eliminare TR/Crypt.ZPACK.Gen Troian
|
15-04-2009, 22.47.15 | #2 |
Forum supporter
Registrato: 08-04-2005
Loc.: Crema
Messaggi: 1.570
|
prova con malwarebyte intanto
|
15-04-2009, 23.10.46 | #3 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
intanto aggiorna il sistema alle più recenti patch se già non lo hai fatto.
Quindi - oltre a vedere cosa trova il MalwareBytes' AntiMalware come suggerito da Kurtferro - scarica HiJackThis sul desktop http://www.trendsecure.com/portal/en...HiJackThis.exe lancialo e appena si apre clicca su "do a system scan and save a log file", riporta quindi il contenuto del file hijackthis.log nella risposta |
16-04-2009, 15.20.16 | #4 |
Newbie
Registrato: 21-01-2003
Loc.: veneto
Messaggi: 25
|
Fatta la scansione con MalwareBytes' AntiMalware nessuna anomalia.Unisco l'allegato di HiJackThis
|
16-04-2009, 15.22.07 | #5 |
Newbie
Registrato: 21-01-2003
Loc.: veneto
Messaggi: 25
|
Scusa,ci riprovo.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 2:09:46 , on 16/04/2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18226) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Windows\RtHDVCpl.exe C:\Program Files\cFosSpeed\cfosspeed.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Unlocker\UnlockerAssistant.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Users\Noci\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...esario&pf=cndt R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.pagessyndication.com/google/iesearch.php R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Utilità controllo supporti di Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe O8 - Extra context menu item: &Point&&Go - C:\Program Files\Common Files\Expert System\PGPlatform\PGPlatform.htm O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: Selezione intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...nt/swflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe O23 - Service: CSIScanner - Unknown owner - C:\Program Files\Prevx\prevx.exe (file missing) O23 - Service: GameConsoleService - Unknown owner - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe -- End of file - 6049 bytes |
16-04-2009, 19.56.36 | #6 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
allora
secondo la PREVX (di cui vedo hai installato il loro scanner gratuito ma che non rimuove il malware rilavato se non paghi) questa stringa O23 - Service: GameConsoleService - Unknown owner - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe (file missing) potrebbe essere una infezione http://www.prevx.com/filenames/31897...RVICE.EXE.html Inoltre vedo che la tua pagina principale è stata modificata apparentemente da OrbitDowloader R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com Si tratta di programmi legittimi che tu riconosci? - il primo potrebbe essere stato preinstallato col computer apparentemente HP che possiedi: io ho un portatile HP con Vista SP 1, ma non ho questa consolle di "giochi" per esempio. - La modifica alla pagina iniziale di Internet Explorer 7 potrebbe essere stata fatta a tua insaputa mentre installavi OrbitDownloader: non è bene che la home page di IE venga modificata da programmi di terze parti: spesso questo comportamento è dato da spyware. Per il resto non vedo nulla di particolarmente strano nel LOG: potrebbe essere una rootkit se così fosse HiJackThis non è in grado di vederla, come potrebbe essere un falso positivo di Avira free Altre domande: 1)Vedo che usi a-squared free che ha anche integrato il motore dall'antivirus austriaco Ikarus, non ti ha rilevato niente? 2) hai scaricato e installato qualcosa da programmi P2P o simili di recente? 3) navigando per caso ti si è aperta qualche finestrella di popup che ti avvisava che il sistema sarebbe stato infetto da improbabili spyware e ti invitava a scaricare qualche miracoloso software per la rimozione (ma che tutto è tranne che un vero antivirus o un vero antispyware)? |
16-04-2009, 20.40.31 | #7 |
Senior Member
Registrato: 21-07-2008
Loc.: Milano
Messaggi: 422
|
ciao,disattiva il tuo antivirus e tutti i controlli di sicurezza e scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
salvalo sul desktop e disconnettiti da internet. tasto destro sull'icona di combofix presente sul desktop e scegli esegui come amministratore, attendi il caricamento del tool, accetta le condizioni d'uso del tool, non accettare l'installazione della consolle di ripristino e durante la scansione non fare nulla con il pc. al termine il pc dovrebbe riavvarsi, il tool produrra' un file log chiamato C:\ComboFix.txt. allegalo, usando la funzione in risposta-gestione allegati, non copiarlo e incollarlo altrimenti potrebbero servire due pagine di forum, al prossimo post in formato .TXT
___________________________________
William Blake. "The Great Red Dragon and the woman dressed with the sun" |
16-04-2009, 21.28.05 | #8 |
Newbie
Registrato: 21-01-2003
Loc.: veneto
Messaggi: 25
|
Rispondo a leofelix,riguardo al fatto che ho scaricato un prog (cFosSpeed) e credo fosse al suo interno ma lo credevo un falso positivo.
Ora a Cascavel eseguito ComboFix come da istruzioni |
16-04-2009, 21.48.24 | #9 | |
Senior Member
Registrato: 21-07-2008
Loc.: Milano
Messaggi: 422
|
Quota:
___________________________________
William Blake. "The Great Red Dragon and the woman dressed with the sun" Ultima modifica di cascavel : 16-04-2009 alle ore 22.08.50 |
|
16-04-2009, 23.09.44 | #10 |
Newbie
Registrato: 21-01-2003
Loc.: veneto
Messaggi: 25
|
Grazie Cascavel ho eseguito le tue indicazioni ed al momento dembra che tutto sia in ordine,se ho altri problemi ci si risente.
Grazie |
16-04-2009, 23.10.49 | #11 |
Newbie
Registrato: 21-01-2003
Loc.: veneto
Messaggi: 25
|
Grazie anche a leofelix
|
18-04-2009, 22.04.04 | #12 |
Newbie
Registrato: 18-04-2009
Messaggi: 3
|
Ciao a tutti,
ragazzi anche io sto impazzendo per questo disgraziatissimo trojan TR/Crypt.ZPACK.GEN, e AntiVir mi sta mandando avvisi continui di questo contagio. Ho fatto una scansione con Hijackthis e poi anche con ComboFix, vi allego i log così magari mi sapete dire qualcosa. Per esempio che voci fixare in Hijackthis, perchè fino ad ora non ho toccato nulla, per non rischiare di fare sciocchezze. Mi metto nelle vostre mani, e vi ringrazio anticipatamente per il vostro aiuto. Ciao |
18-04-2009, 22.05.13 | #13 |
Newbie
Registrato: 18-04-2009
Messaggi: 3
|
...visto che il forum non mi faceva allegare più di un file x volta, ora vi allego ComboFix
Ciaooo |
18-04-2009, 23.23.20 | #14 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
benvenuta B31panic,
a quanto pare nel tuo sistema è stata rilevata la presenza di 3 rootkit, teoricamente la componente catchme inclusa in comobifx dovrebbe averle rimosse. ovvero queste voci che si leggono dal log di combofix Scansione files nascosti ... c:\windows\system32\jscript.sys 8688 bytes executable c:\windows\system32\jstdrv.dll 24329 bytes executable c:\windows\system32\nar.bin 7 bytes Scansione completata con successo Files nascosti: 3 Controlla pure da te stessa il responso della PREVX (il tool che promuove rileva ma non rimuove le minacce però, a meno che te non lo compri): http://www.prevx.com/filenames/X4434...CRIPT.SYS.html Non conosco bene il Combofix, ma certo è che non rimuove sempre da se' il malware. Inoltre vedo che nel tuo sistema sono presenti dei files che dovrebbero far parte di strumenti di rimozione di altro genere: il VundoFix e il KillBox li avevi già usati te nel tentativo di rimuovere altri tipi di malware? Non ho quindi idea se ComboFix ha rimosso tutta la sequenza di files infetti simili a questo indicato: 2009-04-18 09:23 . 2006-12-10 16:14 268 ---ha-w C:\sqmdata19.sqm. Intanto scarica The Avenger v 2 http://swandog46.geekstogo.com/ Che ci servirà per avere la certezza che quei files infetti siano stati realmente rimossi. Ti dirò come non appena ottenuta una tua gradita risposta. E mi auguro anche che nel frattempo intervenga qualcuno che conosce ComboFix meglio di me Ancora benvenuta Ultima modifica di leofelix : 18-04-2009 alle ore 23.35.53 |
18-04-2009, 23.57.10 | #15 |
Newbie
Registrato: 18-04-2009
Messaggi: 3
|
Ciao,
ho provato a scaricare The Avanger, ma per farlo partire penso di dover scrivere qualcosa nella finestra dove dice "Input script here", ma non so cosa metterci. E poi come dicevi tu precedentemente ho utilizzato VundoFix e KillBox ma a quanto pare non sono serviti a molto. Se provo a riavviare il pc AntiVir mi dice sempre che il trojan è stato rilevato sul file: c:\windows\system32\jstdrv.dll ma quando vado a controllare se questo file esiste, non lo trovo Cosa devo fare? Ciaooo |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
Eliminare cartella danneggiata | adssda | Windows 7/Vista/XP/ 2003 | 5 | 07-03-2007 16.35.36 |
Eliminare File Gia Cercati In Google Ecc... | luigib86 | Windows 7/Vista/XP/ 2003 | 0 | 22-03-2006 17.15.02 |
[XP] Eliminare cartella vuota | Franck | Windows 7/Vista/XP/ 2003 | 14 | 01-02-2006 17.12.50 |
Collegamento che non si riesce ad eliminare | augu | Windows 7/Vista/XP/ 2003 | 15 | 08-01-2005 13.44.15 |
Come eliminare una rete domestica creata con XP | mascoral | Internet e Reti locali | 6 | 14-07-2004 18.24.36 |