PDA

Visualizza versione completa : TR/Crypt.XPACK.Gen [trojan]


luca2
12-02-2009, 23.18.26
Ciao

Avira mi ha segnalato questo virus:

TR/Crypt.XPACK.Gen [trojan]

I file che a quanto pare causano problemi si trovano

in questo percorso:

Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5

come riportato anche da avira:

'D:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\WT6NW1QZ\dfnqk[1].jpg.


C'è anche questo in verità:

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'D:\WINDOWS\system32\vqdow.dll.

Questi file (immagine) li ho cancellati ma c'è anche un file index.dat (che ho aperto con il notes) nel quale a quanto pare ci sono sospetti indirizzi ip dai quali se ho capito bene vengono scaricati sti file.

Non riesco a cancellarli perchè coinvolgono anche il file svchost.exe in sistem32.

Hijackthis non rileva nulla ma GMER mi avverte di un rootkit.

Mi segnala in rosso 2 voci anche:
Service D:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] ljvatlq <-- ROOTKIT !!!
Service D:\WINDOWS\system32\svchost.exe (*** hidden *** )


allego il file di testo del report di gmer:


Cosa devo fare?
Con un live cd linux cancello tutto?

Grazie

leofelix
13-02-2009, 00.05.01
ciao,
noto che lo ZoneAlarm che sembra tu abbia installato non si sia accorto di nulla.

In ogni caso potresti provare a eliminare gli altri files con Avenger

(Avira te lo segnala di sicuro, ignora l'avviso)

Prova a usare anche SmithFraudFix

http://www.steven.altervista.org/files/tools.html#tools3

luca2
13-02-2009, 10.23.36
proviamo, grazie.

RNicoletto
13-02-2009, 15.49.30
Magari dai un'occhiata anche a questa discussione (http://forum.wintricks.it/showthread.php?t=141311). ;)

luca2
13-02-2009, 16.12.14
ho avviato combofix e sembra tutto risolto adesso.

Mi ha eliminato (così era riportato dalla finestra prompt di combofix) una bel numero di file posto in system32 (anche se in lista non ho visto il famigerato vqdow.dll riportato invece nel log creato da combofix,. Fatto sta che adesso non esiste più nemmeno questo file :-))

Speriamo bene.

Grazie

luca2
14-02-2009, 09.53.00
uff, mi sa che ho parlato troppo presto.

Avira continua a segnalarmi virus in file immagine che vengono scaricati nella cartella Content.IE5 di cui sopra oltre a qualche file maligno in sistem32 (un certo x. ecc).

Ci deve essere ancora qualche processo avviato da qualche file che non mi hanno intercettato i tool che ho usato.

Ma il processo Service D:\WINDOWS\system32\svchost.exe

Può essere il virus?

Grazie

leofelix
14-02-2009, 18.02.42
fai una cosa,
intanto pulisci i files tempo e cronologia di navigazione con CCleaner

download CCleaner slim (http://www.ccleaner.com/download/builds/downloading-slim)

Quindi scarica MalwareBytes' AntiMalware 1.34 (freeware senza protezione in tempo reale)

http://www.gt500.org/malwarebytes/mbam-setup.exe

installalo aggiornalo e fai una scansione rapida, posta quindi il log qui

Ora scarica anche HijackThis v 2.0.2 sul desktop

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

lancialo e clicca su "Do a system scan and save a log file", copia e incolla il contenuto del log di seguito per favore

su svchost.exe che è parte del sistema, ma il sistema è installato nella unità D:\?

http://www.processlibrary.com/it/directory/files/svchost/

luca2
14-02-2009, 18.14.37
fai una cosa,
intanto pulisci i files tempo e cronologia di navigazione con CCleaner

download CCleaner slim (http://www.ccleaner.com/download/builds/downloading-slim)

Quindi scarica MalwareBytes' AntiMalware 1.34 (freeware senza protezione in tempo reale)

http://www.gt500.org/malwarebytes/mbam-setup.exe

installalo aggiornalo e fai una scansione rapida, posta quindi il log qui

Ora scarica anche HijackThis v 2.0.2 sul desktop

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

lancialo e clicca su "Do a system scan and save a log file", copia e incolla il contenuto del log di seguito per favore

su svchost.exe che è parte del sistema, ma il sistema è installato nella unità D:\?

http://www.processlibrary.com/it/directory/files/svchost/


CCleaner lo uso regolarmente.
Ho installato la nuova versione di hijackthis e fatto analizzare online il report (non risulta niente)

Proviamo anche con malwareby e vediamo cosa mi dice.

Si il sistema (xp) è installato nell'unità D. In C c'è vista.

Ora sembra che il virus non dia fastidio (credo). Ho controllato zone alarm e mi sono accorto che era tutto su disabilitato. Ho riabilitato le funzioni di controllo e adesso sembra che le cose vadano bene.

Aspettiamo e vediamo

Ciao e grazie

leofelix
14-02-2009, 18.16.34
prego, ma il log di HijackThis sii così cortese da postarlo qui

luca2
14-02-2009, 18.19.38
prego, ma il log di HijackThis sii così cortese da postarlo qui

eccolo:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:18, on 2009-02-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programmi\xampp\apache\bin\apache.exe
D:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
D:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
D:\WINDOWS\Explorer.EXE
D:\Programmi\xampp\mysql\bin\mysqld-nt.exe
D:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
D:\Programmi\CDBurnerXP\NMSAccessU.exe
D:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programmi\xampp\apache\bin\apache.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programmi\MSN Messenger\usnsvc.exe
D:\Documents and Settings\gianluca\Documenti\Vari\Soft anti spammer\magic-2.94b4\Magic.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmi\Free Download Manager\iefdmcks.dll
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - D:\Documents and Settings\gianluca\Dati applicazioni\Mozilla\Firefox\Profiles\jd7uki5j.def ault\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.59.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "D:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.e xe" -launchedbylogin
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con Free Download Manager - file://D:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://D:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://D:\Programmi\Free Download Manager\dlall.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D27B5ECA-0984-432F-ACD4-AB524D8C3776}: NameServer = 85.37.17.9 85.38.28.75
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Apache Software Foundation - D:\Programmi\xampp\apache\bin\apache.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - D:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Unknown owner - D:\Programmi\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - D:\Programmi\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - D:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - D:\Programmi\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - D:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Programmi\CDBurnerXP\NMSAccessU.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\Programmi\xampp\service.exe

--
End of file - 6193 bytes

leofelix
14-02-2009, 18.35.07
Io inizierei col disinstallare questo programma dubbio (e anche a fissare le voci da HijackThis) per Internet Explorer


O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmi\Free Download Manager\iefdmcks.dll
O8 - Extra context menu item: Scarica con Free Download Manager - file://D:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://D:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://D:\Programmi\Free Download Manager\dlall.htm

Quindi una volta che il MalwareBytes' AntiMalware ha fatto il suo lavoro, inizierei a prendere in seria considerazione l'idea di installare il Service Pack 3 per XP, e le relative patches successive

luca2
14-02-2009, 20.38.47
Io inizierei col disinstallare questo programma dubbio (e anche a fissare le voci da HijackThis) per Internet Explorer


O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programmi\Free Download Manager\iefdmcks.dll
O8 - Extra context menu item: Scarica con Free Download Manager - file://D:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Scarica selezionati con Free Download Manager - file://D:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Scarica tutto con Free Download Manager - file://D:\Programmi\Free Download Manager\dlall.htm

Quindi una volta che il MalwareBytes' AntiMalware ha fatto il suo lavoro, inizierei a prendere in seria considerazione l'idea di installare il Service Pack 3 per XP, e le relative patches successive

Il free download manager non mi ha dato mai problemi. Perchè dovrei disinstallarlo? Mi ci trovo bene.

Per il sp3 hai ragione. Fra un po' dovrei riformattare e instyallare xp con sp3 integrato, grazie.

leofelix
16-02-2009, 07.07.24
Il free download manager non mi ha dato mai problemi. Perchè dovrei disinstallarlo? Mi ci trovo bene.

ciao scusa il ritardo con cui ti rispondo (un virus ha colpito anche me, ma intestinale dannazione), ci sono delle versioni taroccate e infette di quel programma, da' un'occhiata qui:

http://freedownloadmanager.org/board/viewtopic.php?t=10655

solo per questo mi sono allarmato, visto che ho avuto in passato esperienze indirette con queste versioni fake

Per il sp3 hai ragione. Fra un po' dovrei riformattare e instyallare xp con sp3 integrato, grazie.

Di nulla figurati, il MalwareBytes poi ha risolto?
Noto che l'infezione viene rilevata proprio nella partizione con Vista, non è che per caso quando hai usato il ComboFix non avevi prima disabilitato temporaneamente il system restore?

luca2
16-02-2009, 14.27.24
ciao scusa il ritardo con cui ti rispondo (un virus ha colpito anche me, ma intestinale dannazione), ci sono delle versioni taroccate e infette di quel programma, da' un'occhiata qui:

http://freedownloadmanager.org/board/viewtopic.php?t=10655

solo per questo mi sono allarmato, visto che ho avuto in passato esperienze indirette con queste versioni fake



Di nulla figurati, il MalwareBytes poi ha risolto?
Noto che l'infezione viene rilevata proprio nella partizione con Vista, non è che per caso quando hai usato il ComboFix non avevi prima disabilitato temporaneamente il system restore?



Abilitando il firewall sembra che la cosa si sia risolta.
In pratica da certi indirizzi venivano scaricate delle immagini infette.

Ancora lo devo usare MalwareBytes ( me ne sono dimenticato)..ti faccio sapere.
La partizione infetta è D con xp non vista (che è in C)
il system restore comunque è la prima cosa che disabilito quando installo xp o vista :)

grazie tante per l'interessamento e l'assistenza. Ciao