| Autore |
 Discussione  |
|
barkio89
Junior Member
54 Messaggi |
 Inserito il - 25/05/2008 : 15:05:24
|
salve a tutti sono un nuovissimo del forum...un nuovissimo con un vecchissimo problema...il mio pc è infestato dal trojan TR/Crypt.XPACK.Gen
ho visto che ci sono già molti forum, questo compreso, dove viene affrontato il problema, ma devo dire che un aiuto passo passo sarebbe una cosa meravigliosa...se qualcuno magari potesse aiutarmi mi farebbe un enorme favore, è la prima volta che mi trovo a che fare con un virus così fastidioso...
comunque ho riscontrato il problema da quando AntiVir mi ha chiesto cosa fare con:
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Documents and Settings\Gianni\Impostazioni locali\Temporary Internet Files\Content.IE5\45EEW62P\css4[1].
e
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\WINDOWS\system32\fccyyAss.dll.
in entrambi i casi ho scelto l'eliminazione del file in questione, ma dopo un po' torna un messaggio simile, con altra directory
insomma l'ho trovato come l'han trovato tutti!  se ora facessi una scansione con hiJackthis, dove la potrei postare per mostrarla a quella buonissima anima che mi venga in aiuto? (e spero che ci sia!...)
grazie comunque. e complimenti per il forum e per la vostra professionalità
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 25/05/2008 : 15:48:34
|
Scarica hijack da qui: htt*://[www].trendsecure[.com]/portal/en-US/threat_analytics/HJTInstall.exe
Avvia il programma e clicca su "scan"; clicca poi su "save log".
Otterrai un file di testo che dovrai postare secondo queste regole htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
1.Scarica il file - htt*://subs.geekstogo[.com]/ComboFix.exe
2. Doppio click su combofix.exe & e segui le istruzioni
3. Quando avrà finito, creerà log ....
Posta i log C:\combofix.txt e anche il file; C:\ComboFix-quarantined-files.txt caricandoli su htt*://[www].sendmefile[.com]/ e posti i link 
Fai una scansione con kaspersky:
htt*://[www].kaspersky[.com]/service?chapter=161739400
1.Clicca su Kaspersky Online Scanner
2.Scarica un componente ActiveX da Kaspersky, Clicca su "Yes."
3.Attendi la fine del download
4.Clicca su "Next"
5.Clicca su "Scan Settings"
6.Assicurati che siano spuntate le seguenti voci
Scan using the following Anti-Virus database:
Extended
spunta le voci di "Scan options"
Scan Archives
Scan Mail Bases
7.Clicca su "OK"
8.Scegli "My computer"
Attendi la fine della scansione salva il rapporto cliccando su "Save as Text" e postalo caricandolo su htt*://[www].sendmefile[.com]/ e posti il link |
Modificato da - Leleago in data 25/05/2008 15:49:24 |
 |
|
|
barkio89
Junior Member
54 Messaggi |
Inserito il - 25/05/2008 : 21:22:54
|
allora...
1) link per log hijackthis:
htt*://[www].freefilehosting.net/download/3hi8l
2)link per log di ComboFix:
htt*://[www].sendmefile[.com]/00630352
3)link per il txt quarantined di ComboFix:
htt*://[www].freefilehosting.net/download/3hi91
grazie tantissimo per l'aiuto...poi fatto Kaspersky posto anche il suo report..scusa se sono poco reattivo nel rispondere, ma fra scuola e lavoro me mancava solo questa, dannazione... grazie ancora sei un grande! |
|
|
|
barkio89
Junior Member
54 Messaggi |
Inserito il - 26/05/2008 : 11:50:48
|
ed ecco il link per il log del Kaspersky:
htt*://[www].freefilehosting.net/download/3hif8
mentre intanto mi avventuro nel cercare di capire come siano fatti i log nella guida del sito, una domanda ce l'ho per te o pre chi voglia\sappia rispondere: vicino alla barra dell' htt* di explorer, quando sono su google, mi compare uno smile verde, che sembra, come forma, un segnale dello stop stradale, con due occhi bianchi e un tratto orizzontale sempre bianco...cosa significa? E' dovuto all'infezione o sono un ignorante ed è una cosa normale di windows explorer?
aggiungo sempre i soliti ringraziamenti!  |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 26/05/2008 : 12:50:03
|
Disattiva ripristino config di sistema
Start -> Pannello di Controllo -> Sistema -> Ripristino configurazione di sistema -> metti il segno di spunta su Disattiva Ripristino configurazione di sistema.
apri hijack e spunta:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B6E95516-27C0-443D-9BA9-ABD8C12BAE16} - C:\WINDOWS\system32\geBrponL.dll
O15 - Trusted Zone: *.whataboutadog[.com]
O15 - Trusted Zone: *.whataboutarabit[.com]
O20 - Winlogon Notify: geBrponL - C:\WINDOWS\SYSTEM32\geBrponL.dll
clicca su fix checked
scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio
Avvia il file avenger.exe
Copi e incolli nella finestra: "Imput script here" il SEGUENTE testo COSI' come l'ho scritto:
files to delete:
C:\WINDOWS\TEMP\EZ4DC8.EXE
C:\WINDOWS\system32\geBrponL.dll
registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\geBrponL
registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks | {B6E95516-27C0-443D-9BA9-ABD8C12BAE16}
files to move:
C:\Programmi\CyberLink\PowerDVD\bak\PDVDServ.exe | C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\DAEMON Tools\bak\daemon.exe | C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\File comuni\Ahead\Lib\bak\NMBgMonitor.exe | C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\File comuni\PCSuite\DataLayer\bak\DATALA~1.EXE | C:\Programmi\File comuni\PCSuite\DataLayer\DATALA~1.EXE
C:\Programmi\iTunes\bak\iTunesHelper.exe | C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Nokia\Nokia PC Suite 6\bak\PcSync2.exe | C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\Programmi\REGSHAVE\bak\REGSHAVE.EXE | C:\Programmi\REGSHAVE\REGSHAVE.EXE
C:\Programmi\SlySoft\CloneCD\bak\CloneCDTray.exe | C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmi\Winamp\bak\winampa.exe | C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe
folders to delete:
C:\Programmi\CyberLink\PowerDVD\bak
C:\Programmi\DAEMON Tools\bak
C:\Programmi\File comuni\Ahead\Lib\bak
C:\Programmi\File comuni\PCSuite\DataLayer\bak
C:\Programmi\iTunes\bak
C:\Programmi\Nokia\Nokia PC Suite 6\bak
C:\Programmi\QuickTime\bak
C:\Programmi\REGSHAVE\bak
C:\Programmi\SlySoft\CloneCD\bak
C:\Programmi\Winamp\bak
C:\WINDOWS\system32\bak
Spunta "Automatically disable any rootkits found"
clicca sul pulsante "Execute"
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente
scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, scheda Pulizia, eseguire l’operazione “avvia pulizia"
Scheda registro, eseguire problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato
Scaricati DelDomains da qui: htt*://[www].mvps.org/winhelp2002/DelDomains.inf
Lo salvi sul desktop! Clicchi col tasto destro su installa e segui le istruzioni
Posta log di avenger contenuto in c:\
Posta nuovo log di hijack |
Modificato da - Leleago in data 26/05/2008 19:55:16 |
|
|
|
barkio89
Junior Member
54 Messaggi |
Inserito il - 26/05/2008 : 12:57:11
|
ok tutto benissimo ma.... ehm...dove trovo le opzione da spuntare su hijack?  |
|
|
|
barkio89
Junior Member
54 Messaggi |
Inserito il - 26/05/2008 : 12:59:18
|
| ah aspetta capito devo fare una scandsione...almeno credo.[.com]unque ora ilpc si sta riempendo di adv e pubblicità varie...in un certo senso me lo aspettavo eheheh |
|
|
|
barkio89
Junior Member
54 Messaggi |
Inserito il - 26/05/2008 : 13:02:57
|
ok ora smetto di fare il logorroico ma volevo solo riportare il fatto che hijack non mi dà fra i risultati della scansione
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B6E95516-27C0-443D-9BA9-ABD8C12BAE16} - C:\WINDOWS\system32\geBrponL.dll
e
O20 - Winlogon Notify: geBrponL - C:\WINDOWS\SYSTEM32\geBrponL.dll
ergo non le posso spuntare...le altre due ci sono, comunque |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 26/05/2008 : 13:03:14
|
| Spunta le voci O15 allora poi esegui avenger! |
Modificato da - Leleago in data 26/05/2008 13:04:05 |
|
|
|
barkio89
Junior Member
54 Messaggi |
Inserito il - 26/05/2008 : 13:33:51
|
link per log avenger:
htt*://[www].freefilehosting.net/download/3hih2
link per nuovo log di hijack:
htt*://[www].freefilehosting.net/download/3hih4 |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 26/05/2008 : 14:12:47
|
da hijack risulta che devi fixare ancora queste voci:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B6E95516-27C0-443D-9BA9-ABD8C12BAE16} - C:\WINDOWS\system32\geBrponL.dll
O15 - Trusted Zone: *.whataboutadog[.com]
O15 - Trusted Zone: *.whataboutarabit[.com]
O20 - Winlogon Notify: geBrponL - C:\WINDOWS\SYSTEM32\geBrponL.dll
Dopo averle fixate scaricati DelDomains da qui: htt*://[www].mvps.org/winhelp2002/DelDomains.inf
Lo salvi sul desktop! Clicchi col tasto destro su installa e segui le istruzioni |
|
|
|
barkio89
Junior Member
54 Messaggi |
Inserito il - 26/05/2008 : 14:18:27
|
ooops
ok è accertato sono un cretino all'ennesima potenza...mi sono sbagliato, l'avevo corretti, ma solo le righe 015, perchè le altre tre, come t'avevo detto, non le ha mai trovate..insommma ho posttao il log sbagliato, ora metto quello corretto...
htt*://[www].freefilehosting.net/download/3hiii
ecco qua, scusa per la noia |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 26/05/2008 : 14:40:34
|
Ok hai eseguito deldomain cm ti ho indicato??
Dato che ci sei scarica questo software:
htt*://[www].download[.com]/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm lo aggiorni e scegli la modalità scansione completa. Elimina le minacce che ti trova. Alla fine vai nella scheda file di log, apri il file di testo e lo posti secondo le regole del forum |
Modificato da - Leleago in data 26/05/2008 14:41:17 |
|
|
|
barkio89
Junior Member
54 Messaggi |
Inserito il - 26/05/2008 : 14:58:25
|
| si ho eseguito deldomain, tasto dx-->installa-->(finestra) esegui, ma poi non mi ha dato nessuna istruzione, è solo comparsa la clessidra per mezzo secondo e basta...spero non sia un problema! |
|
|
|
Leleago
Advanced Member
1918 Messaggi |
Inserito il - 26/05/2008 : 15:50:39
|
| no |
|
|
|
barkio89
Junior Member
54 Messaggi |
Inserito il - 26/05/2008 : 19:31:05
|
ecco il link per il log dell'Anti-Malware:
htt*://[www].freefilehosting.net/download/3hj36
ma tutti questi programmi sono per fare un bellìapprofondito controllo incrociato, vero? o sono molto differenti per funzione e scopo? |
|
|
|
Discussione |
|
ancora su TR/Crypt.XPACK.Gen
Forum Bloccato
