Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 13-02-2009, 00.18.26   #1
luca2
Forum supporter
 
Registrato: 22-01-2003
Messaggi: 1.698
luca2 promette bene
TR/Crypt.XPACK.Gen [trojan]

Ciao

Avira mi ha segnalato questo virus:

TR/Crypt.XPACK.Gen [trojan]

I file che a quanto pare causano problemi si trovano

in questo percorso:

Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5

come riportato anche da avira:

'D:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\WT6NW1QZ\dfnqk[1].jpg.


C'è anche questo in verità:

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'D:\WINDOWS\system32\vqdow.dll.

Questi file (immagine) li ho cancellati ma c'è anche un file index.dat (che ho aperto con il notes) nel quale a quanto pare ci sono sospetti indirizzi ip dai quali se ho capito bene vengono scaricati sti file.

Non riesco a cancellarli perchè coinvolgono anche il file svchost.exe in sistem32.

Hijackthis non rileva nulla ma GMER mi avverte di un rootkit.

Mi segnala in rosso 2 voci anche:
Service D:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ljvatlq <-- ROOTKIT !!!
Service D:\WINDOWS\system32\svchost.exe (*** hidden *** )


allego il file di testo del report di gmer:


Cosa devo fare?
Con un live cd linux cancello tutto?

Grazie
Files allegati
Tipo file: txt report gmer.txt (18,6 Kb, 2 visite)
___________________________________

CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610
luca2 non è collegato   Rispondi citando
Vecchio 13-02-2009, 01.05.01   #2
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
ciao,
noto che lo ZoneAlarm che sembra tu abbia installato non si sia accorto di nulla.

In ogni caso potresti provare a eliminare gli altri files con Avenger

(Avira te lo segnala di sicuro, ignora l'avviso)

Prova a usare anche SmithFraudFix

http://www.steven.altervista.org/fil...ls.html#tools3

Ultima modifica di leofelix : 13-02-2009 alle ore 01.21.10
leofelix non è collegato   Rispondi citando
Vecchio 13-02-2009, 11.23.36   #3
luca2
Forum supporter
 
Registrato: 22-01-2003
Messaggi: 1.698
luca2 promette bene
proviamo, grazie.
___________________________________

CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610
luca2 non è collegato   Rispondi citando
Vecchio 13-02-2009, 16.49.30   #4
RNicoletto
Gold Member
Top Poster
 
L'avatar di RNicoletto
 
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
RNicoletto promette bene
Magari dai un'occhiata anche a questa discussione.
___________________________________

"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky
RNicoletto non è collegato   Rispondi citando
Vecchio 13-02-2009, 17.12.14   #5
luca2
Forum supporter
 
Registrato: 22-01-2003
Messaggi: 1.698
luca2 promette bene
ho avviato combofix e sembra tutto risolto adesso.

Mi ha eliminato (così era riportato dalla finestra prompt di combofix) una bel numero di file posto in system32 (anche se in lista non ho visto il famigerato vqdow.dll riportato invece nel log creato da combofix,. Fatto sta che adesso non esiste più nemmeno questo file :-))

Speriamo bene.

Grazie
___________________________________

CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610
luca2 non è collegato   Rispondi citando
Vecchio 14-02-2009, 10.53.00   #6
luca2
Forum supporter
 
Registrato: 22-01-2003
Messaggi: 1.698
luca2 promette bene
uff, mi sa che ho parlato troppo presto.

Avira continua a segnalarmi virus in file immagine che vengono scaricati nella cartella Content.IE5 di cui sopra oltre a qualche file maligno in sistem32 (un certo x. ecc).

Ci deve essere ancora qualche processo avviato da qualche file che non mi hanno intercettato i tool che ho usato.

Ma il processo Service D:\WINDOWS\system32\svchost.exe

Può essere il virus?

Grazie
___________________________________

CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610
luca2 non è collegato   Rispondi citando
Vecchio 14-02-2009, 19.02.42   #7
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
fai una cosa,
intanto pulisci i files tempo e cronologia di navigazione con CCleaner

download CCleaner slim

Quindi scarica MalwareBytes' AntiMalware 1.34 (freeware senza protezione in tempo reale)

http://www.gt500.org/malwarebytes/mbam-setup.exe

installalo aggiornalo e fai una scansione rapida, posta quindi il log qui

Ora scarica anche HijackThis v 2.0.2 sul desktop

http://www.trendsecure.com/portal/en...HiJackThis.exe

lancialo e clicca su "Do a system scan and save a log file", copia e incolla il contenuto del log di seguito per favore

su svchost.exe che è parte del sistema, ma il sistema è installato nella unità D:\?

http://www.processlibrary.com/it/dir...files/svchost/
leofelix non è collegato   Rispondi citando
Vecchio 14-02-2009, 19.14.37   #8
luca2
Forum supporter
 
Registrato: 22-01-2003
Messaggi: 1.698
luca2 promette bene
Quota:
Inviato da leofelix
fai una cosa,
intanto pulisci i files tempo e cronologia di navigazione con CCleaner

download CCleaner slim

Quindi scarica MalwareBytes' AntiMalware 1.34 (freeware senza protezione in tempo reale)

http://www.gt500.org/malwarebytes/mbam-setup.exe

installalo aggiornalo e fai una scansione rapida, posta quindi il log qui

Ora scarica anche HijackThis v 2.0.2 sul desktop

http://www.trendsecure.com/portal/en...HiJackThis.exe

lancialo e clicca su "Do a system scan and save a log file", copia e incolla il contenuto del log di seguito per favore

su svchost.exe che è parte del sistema, ma il sistema è installato nella unità D:\?

http://www.processlibrary.com/it/dir...files/svchost/

CCleaner lo uso regolarmente.
Ho installato la nuova versione di hijackthis e fatto analizzare online il report (non risulta niente)

Proviamo anche con malwareby e vediamo cosa mi dice.

Si il sistema (xp) è installato nell'unità D. In C c'è vista.

Ora sembra che il virus non dia fastidio (credo). Ho controllato zone alarm e mi sono accorto che era tutto su disabilitato. Ho riabilitato le funzioni di controllo e adesso sembra che le cose vadano bene.

Aspettiamo e vediamo

Ciao e grazie
___________________________________

CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610
luca2 non è collegato   Rispondi citando
Vecchio 14-02-2009, 19.16.34   #9
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
prego, ma il log di HijackThis sii così cortese da postarlo qui
leofelix non è collegato   Rispondi citando
Vecchio 14-02-2009, 19.19.38   #10
luca2
Forum supporter
 
Registrato: 22-01-2003
Messaggi: 1.698
luca2 promette bene
Quota:
Inviato da leofelix
prego, ma il log di HijackThis sii così cortese da postarlo qui
eccolo:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:18, on 2009-02-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programmi\xampp\apache\bin\apache.exe
D:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
D:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\xampp\mysql\bin\mysqld-nt.exe
D:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
D:\Programmi\CDBurnerXP\NMSAccessU.exe
D:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programmi\xampp\apache\bin\apache.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programmi\MSN Messenger\usnsvc.exe
D:\Documents and Settings\gianluca\Documenti\Vari\Soft anti spammer\magic-2.94b4\Magic.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmi\Free Download Manager\iefdmcks.dll
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - D:\Documents and Settings\gianluca\Dati applicazioni\Mozilla\Firefox\Profiles\jd7uki5j.def ault\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.59.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "D:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.e xe" -launchedbylogin
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Free Download Manager - file://D:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://D:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://D:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D27B5ECA-0984-432F-ACD4-AB524D8C3776}: NameServer = 85.37.17.9 85.38.28.75
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - D:\Programmi\xampp\apache\bin\apache.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - D:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Unknown owner - D:\Programmi\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - D:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - D:\Programmi\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - D:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\Programmi\xampp\service.exe

--
End of file - 6193 bytes
___________________________________

CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610
luca2 non è collegato   Rispondi citando
Vecchio 14-02-2009, 19.35.07   #11
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
Io inizierei col disinstallare questo programma dubbio (e anche a fissare le voci da HijackThis) per Internet Explorer


O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmi\Free Download Manager\iefdmcks.dll
O8 - Extra context menu item: Scarica con Free Download Manager - file://D:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://D:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://D:\Programmi\Free Download Manager\dlall.htm

Quindi una volta che il MalwareBytes' AntiMalware ha fatto il suo lavoro, inizierei a prendere in seria considerazione l'idea di installare il Service Pack 3 per XP, e le relative patches successive
leofelix non è collegato   Rispondi citando
Vecchio 14-02-2009, 21.38.47   #12
luca2
Forum supporter
 
Registrato: 22-01-2003
Messaggi: 1.698
luca2 promette bene
Quota:
Inviato da leofelix
Io inizierei col disinstallare questo programma dubbio (e anche a fissare le voci da HijackThis) per Internet Explorer


O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmi\Free Download Manager\iefdmcks.dll
O8 - Extra context menu item: Scarica con Free Download Manager - file://D:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://D:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://D:\Programmi\Free Download Manager\dlall.htm

Quindi una volta che il MalwareBytes' AntiMalware ha fatto il suo lavoro, inizierei a prendere in seria considerazione l'idea di installare il Service Pack 3 per XP, e le relative patches successive
Il free download manager non mi ha dato mai problemi. Perchè dovrei disinstallarlo? Mi ci trovo bene.

Per il sp3 hai ragione. Fra un po' dovrei riformattare e instyallare xp con sp3 integrato, grazie.
___________________________________

CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610
luca2 non è collegato   Rispondi citando
Vecchio 16-02-2009, 08.07.24   #13
leofelix
Gold Member
Top Poster
 
Registrato: 10-12-2005
Messaggi: 3.514
leofelix promette bene
Quota:
Inviato da luca2
Il free download manager non mi ha dato mai problemi. Perchè dovrei disinstallarlo? Mi ci trovo bene.
ciao scusa il ritardo con cui ti rispondo (un virus ha colpito anche me, ma intestinale dannazione), ci sono delle versioni taroccate e infette di quel programma, da' un'occhiata qui:

http://freedownloadmanager.org/board...ic.php?t=10655

solo per questo mi sono allarmato, visto che ho avuto in passato esperienze indirette con queste versioni fake

Quota:
Inviato da luca2
Per il sp3 hai ragione. Fra un po' dovrei riformattare e instyallare xp con sp3 integrato, grazie.
Di nulla figurati, il MalwareBytes poi ha risolto?
Noto che l'infezione viene rilevata proprio nella partizione con Vista, non è che per caso quando hai usato il ComboFix non avevi prima disabilitato temporaneamente il system restore?
leofelix non è collegato   Rispondi citando
Vecchio 16-02-2009, 15.27.24   #14
luca2
Forum supporter
 
Registrato: 22-01-2003
Messaggi: 1.698
luca2 promette bene
Quota:
Inviato da leofelix
ciao scusa il ritardo con cui ti rispondo (un virus ha colpito anche me, ma intestinale dannazione), ci sono delle versioni taroccate e infette di quel programma, da' un'occhiata qui:

http://freedownloadmanager.org/board...ic.php?t=10655

solo per questo mi sono allarmato, visto che ho avuto in passato esperienze indirette con queste versioni fake



Di nulla figurati, il MalwareBytes poi ha risolto?
Noto che l'infezione viene rilevata proprio nella partizione con Vista, non è che per caso quando hai usato il ComboFix non avevi prima disabilitato temporaneamente il system restore?


Abilitando il firewall sembra che la cosa si sia risolta.
In pratica da certi indirizzi venivano scaricate delle immagini infette.

Ancora lo devo usare MalwareBytes ( me ne sono dimenticato)..ti faccio sapere.
La partizione infetta è D con xp non vista (che è in C)
il system restore comunque è la prima cosa che disabilito quando installo xp o vista

grazie tante per l'interessamento e l'assistenza. Ciao
___________________________________

CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610
luca2 non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Antivir e trojan..falso? luca2 Sicurezza&Privacy 5 06-08-2008 19.15.41

Orario GMT +2. Ora sono le: 23.31.26.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.