|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
13-02-2009, 00.18.26 | #1 |
Forum supporter
Registrato: 22-01-2003
Messaggi: 1.698
|
TR/Crypt.XPACK.Gen [trojan]
Avira mi ha segnalato questo virus: TR/Crypt.XPACK.Gen [trojan] I file che a quanto pare causano problemi si trovano in questo percorso: Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5 come riportato anche da avira: 'D:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\WT6NW1QZ\dfnqk[1].jpg. C'è anche questo in verità: Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]' detected in file 'D:\WINDOWS\system32\vqdow.dll. Questi file (immagine) li ho cancellati ma c'è anche un file index.dat (che ho aperto con il notes) nel quale a quanto pare ci sono sospetti indirizzi ip dai quali se ho capito bene vengono scaricati sti file. Non riesco a cancellarli perchè coinvolgono anche il file svchost.exe in sistem32. Hijackthis non rileva nulla ma GMER mi avverte di un rootkit. Mi segnala in rosso 2 voci anche: Service D:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ljvatlq <-- ROOTKIT !!! Service D:\WINDOWS\system32\svchost.exe (*** hidden *** ) allego il file di testo del report di gmer: Cosa devo fare? Con un live cd linux cancello tutto? Grazie
___________________________________
CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610 |
13-02-2009, 01.05.01 | #2 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
ciao,
noto che lo ZoneAlarm che sembra tu abbia installato non si sia accorto di nulla. In ogni caso potresti provare a eliminare gli altri files con Avenger (Avira te lo segnala di sicuro, ignora l'avviso) Prova a usare anche SmithFraudFix http://www.steven.altervista.org/fil...ls.html#tools3 Ultima modifica di leofelix : 13-02-2009 alle ore 01.21.10 |
13-02-2009, 11.23.36 | #3 |
Forum supporter
Registrato: 22-01-2003
Messaggi: 1.698
|
proviamo, grazie.
___________________________________
CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610 |
13-02-2009, 16.49.30 | #4 |
Gold Member
Top Poster
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
|
Magari dai un'occhiata anche a questa discussione.
___________________________________
"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky |
13-02-2009, 17.12.14 | #5 |
Forum supporter
Registrato: 22-01-2003
Messaggi: 1.698
|
ho avviato combofix e sembra tutto risolto adesso.
Mi ha eliminato (così era riportato dalla finestra prompt di combofix) una bel numero di file posto in system32 (anche se in lista non ho visto il famigerato vqdow.dll riportato invece nel log creato da combofix,. Fatto sta che adesso non esiste più nemmeno questo file :-)) Speriamo bene. Grazie
___________________________________
CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610 |
14-02-2009, 10.53.00 | #6 |
Forum supporter
Registrato: 22-01-2003
Messaggi: 1.698
|
uff, mi sa che ho parlato troppo presto.
Avira continua a segnalarmi virus in file immagine che vengono scaricati nella cartella Content.IE5 di cui sopra oltre a qualche file maligno in sistem32 (un certo x. ecc). Ci deve essere ancora qualche processo avviato da qualche file che non mi hanno intercettato i tool che ho usato. Ma il processo Service D:\WINDOWS\system32\svchost.exe Può essere il virus? Grazie
___________________________________
CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610 |
14-02-2009, 19.02.42 | #7 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
fai una cosa,
intanto pulisci i files tempo e cronologia di navigazione con CCleaner download CCleaner slim Quindi scarica MalwareBytes' AntiMalware 1.34 (freeware senza protezione in tempo reale) http://www.gt500.org/malwarebytes/mbam-setup.exe installalo aggiornalo e fai una scansione rapida, posta quindi il log qui Ora scarica anche HijackThis v 2.0.2 sul desktop http://www.trendsecure.com/portal/en...HiJackThis.exe lancialo e clicca su "Do a system scan and save a log file", copia e incolla il contenuto del log di seguito per favore su svchost.exe che è parte del sistema, ma il sistema è installato nella unità D:\? http://www.processlibrary.com/it/dir...files/svchost/ |
14-02-2009, 19.14.37 | #8 | |
Forum supporter
Registrato: 22-01-2003
Messaggi: 1.698
|
Quota:
CCleaner lo uso regolarmente. Ho installato la nuova versione di hijackthis e fatto analizzare online il report (non risulta niente) Proviamo anche con malwareby e vediamo cosa mi dice. Si il sistema (xp) è installato nell'unità D. In C c'è vista. Ora sembra che il virus non dia fastidio (credo). Ho controllato zone alarm e mi sono accorto che era tutto su disabilitato. Ho riabilitato le funzioni di controllo e adesso sembra che le cose vadano bene. Aspettiamo e vediamo Ciao e grazie
___________________________________
CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610 |
|
14-02-2009, 19.16.34 | #9 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
prego, ma il log di HijackThis sii così cortese da postarlo qui
|
14-02-2009, 19.19.38 | #10 | |
Forum supporter
Registrato: 22-01-2003
Messaggi: 1.698
|
Quota:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:18, on 2009-02-14 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\spoolsv.exe D:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe D:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\Programmi\xampp\apache\bin\apache.exe D:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe D:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe D:\WINDOWS\Explorer.EXE D:\Programmi\xampp\mysql\bin\mysqld-nt.exe D:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe D:\Programmi\CDBurnerXP\NMSAccessU.exe D:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe D:\WINDOWS\RTHDCPL.EXE D:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Programmi\xampp\apache\bin\apache.exe D:\WINDOWS\system32\rundll32.exe D:\WINDOWS\system32\ctfmon.exe D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe D:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\Programmi\MSN Messenger\usnsvc.exe D:\Documents and Settings\gianluca\Documenti\Vari\Soft anti spammer\magic-2.94b4\Magic.exe D:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmi\Free Download Manager\iefdmcks.dll O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - D:\Documents and Settings\gianluca\Dati applicazioni\Mozilla\Firefox\Profiles\jd7uki5j.def ault\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.59.dll O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [avgnt] "D:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "D:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.e xe" -launchedbylogin O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Scarica con Free Download Manager - file://D:\Programmi\Free Download Manager\dllink.htm O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://D:\Programmi\Free Download Manager\dlselected.htm O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://D:\Programmi\Free Download Manager\dlall.htm O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{D27B5ECA-0984-432F-ACD4-AB524D8C3776}: NameServer = 85.37.17.9 85.38.28.75 O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2 - Apache Software Foundation - D:\Programmi\xampp\apache\bin\apache.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - D:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Unknown owner - D:\Programmi\Bonjour\mDNSResponder.exe (file missing) O23 - Service: Diskeeper - Diskeeper Corporation - D:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: mysql - Unknown owner - D:\Programmi\xampp\mysql\bin\mysqld-nt.exe O23 - Service: Network WanMiniport First Position - Unknown owner - D:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe O23 - Service: NMSAccessU - Unknown owner - D:\Programmi\CDBurnerXP\NMSAccessU.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\Programmi\xampp\service.exe -- End of file - 6193 bytes
___________________________________
CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610 |
|
14-02-2009, 19.35.07 | #11 |
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Io inizierei col disinstallare questo programma dubbio (e anche a fissare le voci da HijackThis) per Internet Explorer
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmi\Free Download Manager\iefdmcks.dll O8 - Extra context menu item: Scarica con Free Download Manager - file://D:\Programmi\Free Download Manager\dllink.htm O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://D:\Programmi\Free Download Manager\dlselected.htm O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://D:\Programmi\Free Download Manager\dlall.htm Quindi una volta che il MalwareBytes' AntiMalware ha fatto il suo lavoro, inizierei a prendere in seria considerazione l'idea di installare il Service Pack 3 per XP, e le relative patches successive |
14-02-2009, 21.38.47 | #12 | |
Forum supporter
Registrato: 22-01-2003
Messaggi: 1.698
|
Quota:
Per il sp3 hai ragione. Fra un po' dovrei riformattare e instyallare xp con sp3 integrato, grazie.
___________________________________
CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610 |
|
16-02-2009, 08.07.24 | #13 | ||
Gold Member
Top Poster
Registrato: 10-12-2005
Messaggi: 3.514
|
Quota:
http://freedownloadmanager.org/board...ic.php?t=10655 solo per questo mi sono allarmato, visto che ho avuto in passato esperienze indirette con queste versioni fake Quota:
Noto che l'infezione viene rilevata proprio nella partizione con Vista, non è che per caso quando hai usato il ComboFix non avevi prima disabilitato temporaneamente il system restore? |
||
16-02-2009, 15.27.24 | #14 | |
Forum supporter
Registrato: 22-01-2003
Messaggi: 1.698
|
Quota:
Abilitando il firewall sembra che la cosa si sia risolta. In pratica da certi indirizzi venivano scaricate delle immagini infette. Ancora lo devo usare MalwareBytes ( me ne sono dimenticato)..ti faccio sapere. La partizione infetta è D con xp non vista (che è in C) il system restore comunque è la prima cosa che disabilito quando installo xp o vista grazie tante per l'interessamento e l'assistenza. Ciao
___________________________________
CPU CORE 2 DUO E6600, ASUS P5LD2/C R2.0, DDR2 4GB PC533 KINGSTON, SSD Crucial M500 120GB, NVIDIA GeForce GT 610 |
|
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
Antivir e trojan..falso? | luca2 | Sicurezza&Privacy | 5 | 06-08-2008 19.15.41 |