Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

TR/Crypt.ZPACK.Gen8 Opzioni
gpl1984
Inviato: Sunday, August 18, 2013 10:11:16 AM
Rank: AiutAmico

Iscritto dal : 2/7/2011
Posts: 70
Buongiorno.
Ho l'abitudine a fine di ogni navigazione internet di fare una pulizia con ccleaner.
Da un po di tempo come avvio la ricerca dei files da pulire avast mi avvisa della presenza di un trojan tra i files temporanei.

Questo è il log della scansione avast a seguito del rilevamento



Avira Free Antivirus
Data del file di report: domenica 18 agosto 2013 01:59


Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Microsoft Windows XP
Versione di Windows : (Service Pack 3) [5.1.2600]
Modalità di avvio : Booting eseguito regolarmente
Nome utente : SYSTEM
Nome computer : NBASUS

Informazioni sulla versione:
BUILD.DAT : 13.0.0.3885 54851 Bytes 05/08/13 10:07:00
AVSCAN.EXE : 13.6.0.1722 634936 Bytes 16/08/13 13:58:52
AVSCANRC.DLL : 13.6.0.1550 60984 Bytes 16/08/13 13:58:52
LUKE.DLL : 13.6.0.1550 65080 Bytes 16/08/13 13:59:46
AVSCPLR.DLL : 13.6.0.1712 92216 Bytes 16/08/13 13:58:52
AVREG.DLL : 13.6.0.1550 247864 Bytes 16/08/13 13:58:50
avlode.dll : 13.6.2.1704 449592 Bytes 16/08/13 13:58:45
avlode.rdf : 13.0.1.22 26240 Bytes 16/08/13 14:01:04
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04/04/13 10:35:23
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30/04/13 10:35:29
VBASE002.VDF : 7.11.80.60 2751488 Bytes 28/05/13 23:21:13
VBASE003.VDF : 7.11.85.214 2162688 Bytes 21/06/13 14:12:33
VBASE004.VDF : 7.11.91.176 3903488 Bytes 23/07/13 13:53:02
VBASE005.VDF : 7.11.91.177 2048 Bytes 23/07/13 13:53:02
VBASE006.VDF : 7.11.91.178 2048 Bytes 23/07/13 13:53:02
VBASE007.VDF : 7.11.91.179 2048 Bytes 23/07/13 13:53:02
VBASE008.VDF : 7.11.91.180 2048 Bytes 23/07/13 13:53:03
VBASE009.VDF : 7.11.91.181 2048 Bytes 23/07/13 13:53:03
VBASE010.VDF : 7.11.91.182 2048 Bytes 23/07/13 13:53:03
VBASE011.VDF : 7.11.91.183 2048 Bytes 23/07/13 13:53:04
VBASE012.VDF : 7.11.91.184 2048 Bytes 23/07/13 13:53:04
VBASE013.VDF : 7.11.92.32 156160 Bytes 24/07/13 13:53:04
VBASE014.VDF : 7.11.92.147 168960 Bytes 25/07/13 13:53:05
VBASE015.VDF : 7.11.93.93 419328 Bytes 28/07/13 13:53:07
VBASE016.VDF : 7.11.93.170 1403392 Bytes 29/07/13 13:53:12
VBASE017.VDF : 7.11.94.31 222208 Bytes 31/07/13 13:53:13
VBASE018.VDF : 7.11.94.141 273408 Bytes 03/08/13 13:53:14
VBASE019.VDF : 7.11.94.203 200192 Bytes 04/08/13 13:53:15
VBASE020.VDF : 7.11.95.8 1925632 Bytes 05/08/13 13:53:20
VBASE021.VDF : 7.11.95.81 203776 Bytes 06/08/13 13:53:21
VBASE022.VDF : 7.11.95.175 148480 Bytes 07/08/13 13:53:22
VBASE023.VDF : 7.11.95.248 1224192 Bytes 09/08/13 13:53:26
VBASE024.VDF : 7.11.96.43 861184 Bytes 10/08/13 13:53:31
VBASE025.VDF : 7.11.96.83 197632 Bytes 11/08/13 13:53:34
VBASE026.VDF : 7.11.96.151 285696 Bytes 13/08/13 13:53:36
VBASE027.VDF : 7.11.96.245 352256 Bytes 16/08/13 13:53:38
VBASE028.VDF : 7.11.96.246 2048 Bytes 16/08/13 13:53:39
VBASE029.VDF : 7.11.96.247 2048 Bytes 16/08/13 13:53:39
VBASE030.VDF : 7.11.96.248 2048 Bytes 16/08/13 13:53:39
VBASE031.VDF : 7.11.96.250 33280 Bytes 16/08/13 13:53:40
Motore : 8.2.12.106
AEVDF.DLL : 8.1.3.4 102774 Bytes 20/06/13 23:21:32
AESCRIPT.DLL : 8.1.4.142 512382 Bytes 16/08/13 13:53:57
AESCN.DLL : 8.1.10.4 131446 Bytes 12/05/13 10:35:45
AESBX.DLL : 8.2.16.22 1241464 Bytes 16/08/13 13:54:00
AERDL.DLL : 8.2.0.128 688504 Bytes 20/06/13 23:21:32
AEPACK.DLL : 8.3.2.24 749945 Bytes 20/06/13 23:21:31
AEOFFICE.DLL : 8.1.2.76 205181 Bytes 16/08/13 13:53:55
AEHEUR.DLL : 8.1.4.556 6115706 Bytes 16/08/13 13:53:55
AEHELP.DLL : 8.1.27.4 266617 Bytes 30/06/13 14:12:51
AEGEN.DLL : 8.1.7.12 442743 Bytes 16/08/13 13:53:41
AEEXP.DLL : 8.4.1.46 287095 Bytes 16/08/13 13:54:01
AEEMU.DLL : 8.1.3.2 393587 Bytes 15/07/12 10:06:43
AECORE.DLL : 8.1.31.6 201081 Bytes 30/06/13 14:12:49
AEBB.DLL : 8.1.1.4 53619 Bytes 25/11/12 15:45:52
AVWINLL.DLL : 13.6.0.1550 23608 Bytes 16/08/13 13:57:41
AVPREF.DLL : 13.6.0.1550 48184 Bytes 16/08/13 13:58:49
AVREP.DLL : 13.6.0.1550 175672 Bytes 16/08/13 13:58:50
AVARKT.DLL : 13.6.0.1626 258104 Bytes 16/08/13 13:58:20
AVEVTLOG.DLL : 13.6.0.1550 164920 Bytes 16/08/13 13:58:28
SQLITE3.DLL : 3.7.0.1 394824 Bytes 16/08/13 14:00:28
AVSMTP.DLL : 13.6.0.1550 60472 Bytes 16/08/13 13:58:56
NETNT.DLL : 13.6.0.1550 13368 Bytes 16/08/13 13:59:58
RCIMAGE.DLL : 13.4.0.360 4782880 Bytes 16/08/13 13:57:46
RCTEXT.DLL : 13.6.0.1624 67640 Bytes 16/08/13 13:57:46

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: AVGuardAsyncScan
File di configurazione......................: C:\Documents and Settings\All Users\Dati applicazioni\Avira\AntiVir Desktop\TEMP\AVGUARD_521001d6\guard_slideup.avp
Report......................................: standard
Azione primaria.............................: ripara
Azione secondaria...........................: quarantena
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Non attivo
Scansione dei programmi attivi..............: Attivo
Scansiona la registrazione..................: Non attivo
Cerca Rootkits..............................: Non attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: completo

Avvio della scansione: domenica 18 agosto 2013 01:59

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '89' modulo(i) scansionato(i)
Scansione processo 'avscan.exe' - '95' modulo(i) scansionato(i)
Scansione processo 'ATKOSD.exe' - '14' modulo(i) scansionato(i)
Scansione processo 'HControl.exe' - '45' modulo(i) scansionato(i)
Scansione processo 'CCleaner.exe' - '71' modulo(i) scansionato(i)
Scansione processo 'avgnt.exe' - '66' modulo(i) scansionato(i)
Scansione processo 'wmiapsrv.exe' - '47' modulo(i) scansionato(i)
Scansione processo 'avshadow.exe' - '21' modulo(i) scansionato(i)
Scansione processo 'TUProgSt.exe' - '19' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '44' modulo(i) scansionato(i)
Scansione processo 'nvsvc32.exe' - '33' modulo(i) scansionato(i)
Scansione processo 'jqs.exe' - '83' modulo(i) scansionato(i)
Scansione processo 'HWDeviceService.exe' - '29' modulo(i) scansionato(i)
Scansione processo 'ouc.exe' - '25' modulo(i) scansionato(i)
Scansione processo 'mDNSResponder.exe' - '34' modulo(i) scansionato(i)
Scansione processo 'avguard.exe' - '72' modulo(i) scansionato(i)
Scansione processo 'regsvr32.exe' - '48' modulo(i) scansionato(i)
Modulo OK -> <C:\WINDOWS\system32\regsvr32.exe>
[NOTA] Processo 'regsvr32.exe' concluso
Modulo infetto -> <C:\WINDOWS\TEMP\5431.tmp>
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Crypt.ZPACK.Gen8
[NOTA] Il file è stato spostato in quarantena con il nome '5721ac93.qua'!
Scansione processo 'cmd.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'sched.exe' - '42' modulo(i) scansionato(i)
Scansione processo 'spoolsv.exe' - '57' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '40' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '35' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '130' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '32' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '166' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '42' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '57' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '53' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '43' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '73' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '14' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\WINDOWS\temp\5431.tmp'
Il percorso C:\WINDOWS\temp\5431.tmp non può essere trovato!
Errore di sistema [2]: Impossibile trovare il file specificato.


Fine della scansione: domenica 18 agosto 2013 02:01
Tempo impiegato: 02:08 Minuto(i)

La scansione è stata completamente eseguita.

0 Directory scansionate
4079 I file sono stati scansionati
1 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
0 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
1 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
4078 File non infetti
21 Archivi scansionati
0 Avvisi
2 Note



...e questo è il log di HijackThis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 2.25.10, on 18/08/13
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Documents and Settings\All Users\Dati applicazioni\Chiavetta Internet\OnlineUpdate\ouc.exe
C:\Documents and Settings\All Users\Dati applicazioni\DatacardService\HWDeviceService.exe
C:\Programmi\Java\jre7\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre7\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [HW_OPENEYE_OUC_Chiavetta Internet] "C:\Programmi\Chiavetta Internet\UpdateDog\ouc.exe"
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{19B354A7-6BBC-40DF-A59A-CC1CD081C6B1}: NameServer = 212.216.0.100,151.99.125.2
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira Pianificatore (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: Chiavetta Internet. OUC (Chiavetta Internet. RunOuc) - Unknown owner - C:\Programmi\Chiavetta Internet\UpdateDog\ouc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HWDeviceService.exe - Unknown owner - C:\Documents and Settings\All Users\Dati applicazioni\DatacardService\HWDeviceService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Java\jre7\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programmi\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Programmi\Skype\Updater\Updater.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 6489 bytes


Potete dare una occhiata per capire qual'è il problema?

Grazie mille
Sponsor
Inviato: Sunday, August 18, 2013 10:11:16 AM

 
r16
Inviato: Sunday, August 18, 2013 12:16:06 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema (consigliato)

Segui questo percorso:
C:\WINDOWS\TEMP\5431.tmp
Elimina il file in rosso.

Svuota il cestino.

Poi:
Scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days

Metti la spunta a LOP Check e Purity Check.

Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.

Per postare il log:

Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
gpl1984
Inviato: Sunday, August 18, 2013 12:39:34 PM
Rank: AiutAmico

Iscritto dal : 2/7/2011
Posts: 70
OTL

OTL.Txt
gpl1984
Inviato: Sunday, August 18, 2013 12:40:14 PM
Rank: AiutAmico

Iscritto dal : 2/7/2011
Posts: 70
gpl1984
Inviato: Sunday, August 18, 2013 12:40:45 PM
Rank: AiutAmico

Iscritto dal : 2/7/2011
Posts: 70
FATTO.
Fammi sapere

grazie mille intanto!
r16
Inviato: Sunday, August 18, 2013 1:05:17 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Code:
:OTL
DRV - (xpsec) -- C:\WINDOWS\system32\drivers\xpsec.sys File not found
DRV - (xcpip) -- C:\WINDOWS\system32\drivers\xcpip.sys File not found
DRV - (9fwqkk.sys) -- C:\WINDOWS\system32\drivers\9fwqkk.sys File not found

:Files
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.

Rifai una scansione con Avira e vedi se rileva ancora infezioni.
gpl1984
Inviato: Sunday, August 18, 2013 2:38:21 PM
Rank: AiutAmico

Iscritto dal : 2/7/2011
Posts: 70
r16 ha scritto:
Ciao.
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Code:
:OTL
DRV - (xpsec) -- C:\WINDOWS\system32\drivers\xpsec.sys File not found
DRV - (xcpip) -- C:\WINDOWS\system32\drivers\xcpip.sys File not found
DRV - (9fwqkk.sys) -- C:\WINDOWS\system32\drivers\9fwqkk.sys File not found

:Files
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.

Rifai una scansione con Avira e vedi se rileva ancora infezioni.





Prima di fare ciò in OTL devo dare le stesse impostazioni di prima? (scan all user - minimal output - 60 days - lop check e purity ceck) oppure procedo con le impostazioni di default?
r16
Inviato: Sunday, August 18, 2013 2:45:26 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Non dovrebbe cambiare niente.
In caso contrario me ne accorgerò dal log che posterai. (quello delle eliminazioni e cioè RUN-FIX)
gpl1984
Inviato: Sunday, August 18, 2013 2:59:02 PM
Rank: AiutAmico

Iscritto dal : 2/7/2011
Posts: 70
ecco il report

08182013_144720.log
gpl1984
Inviato: Sunday, August 18, 2013 3:01:47 PM
Rank: AiutAmico

Iscritto dal : 2/7/2011
Posts: 70
gpl1984 ha scritto:
ecco il report

08182013_144720.log




Ho aperto ccleaner ....cliccato su analizza....e avast mi ha segnalato di nuovo il solito files nella cartella temp ...(punto e a capo?)



volevo dire avira
r16
Inviato: Sunday, August 18, 2013 3:40:12 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Scarica TDSSKiller sul desktop:
http://support.kaspersky.com/downloads/utils/tdsskiller.exe
Fai doppio clik su TDSSKiller.exe
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" .
Clicca OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui. (con Wikisend)
gpl1984
Inviato: Sunday, August 18, 2013 4:46:50 PM
Rank: AiutAmico

Iscritto dal : 2/7/2011
Posts: 70
r16 ha scritto:
Scarica TDSSKiller sul desktop:
http://support.kaspersky.com/downloads/utils/tdsskiller.exe
Fai doppio clik su TDSSKiller.exe
Clicca su:
Change parameters.
Metti la spunta su "detect tdlfs file system" .
Clicca OK.
Poi clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà "skip",clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui. (con Wikisend)



tutto fatto!
posto il report
TDSSKiller.2.8.16.0_18.08.2013_16.29.17_log.txt


ho fatto la solita prova: apro ccleaner , analizzo e ....avira continua a segnalare il solito file! (mannaggia!)


...ero infetto da Backdoor.Win32.Sinowal.d ??
Lo sono ancora?
Io ho seguito il tuo procedimento in modalità normale....sarà il caso di ripetere in modalità provvisoria disattivando il ripristino di configurazione di sistema?

r16
Inviato: Sunday, August 18, 2013 5:11:47 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
...ero infetto da Backdoor.Win32.Sinowal.d ??

Certo.
L' MBR è stato infettato dal rootkit.
Verifichiamo:
ASWMBR:
Scarica aswMBR.exe sul desktop.
http://public.avast.com/~gmerek/aswMBR.exe
Oppure lo scarichi da questo link:
http://public.avast.com/~gmerek/aswMBR.htm

Fai doppio clic aswMBR.exe per eseguirlo
Ti chiederà di aggiornare le firme.
Clicca Si.
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui.
r16
Inviato: Sunday, August 18, 2013 5:18:20 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
I link non funzionano.
Prova questo:
http://www.bleepingcomputer.com/download/aswmbr/
Clicca download Now, e segui le istruzioni che ho postato sopra.
gpl1984
Inviato: Sunday, August 18, 2013 5:19:04 PM
Rank: AiutAmico

Iscritto dal : 2/7/2011
Posts: 70
r16 ha scritto:
Commenta:
...ero infetto da Backdoor.Win32.Sinowal.d ??

Certo.
L' MBR è stato infettato dal rootkit.
Verifichiamo:
ASWMBR:
Scarica aswMBR.exe sul desktop.
http://public.avast.com/~gmerek/aswMBR.exe
Oppure lo scarichi da questo link:
http://public.avast.com/~gmerek/aswMBR.htm

Fai doppio clic aswMBR.exe per eseguirlo
Ti chiederà di aggiornare le firme.
Clicca Si.
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui.



vado in modalità normale o vuoi che vada in mod provvisioria disattivando il ripristino config di sistema?
r16
Inviato: Sunday, August 18, 2013 5:23:06 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
vado in modalità normale o vuoi che vada in mod provvisioria disattivando il ripristino config di sistema?

No.
Non fare niente di più di quello che ti indico.
Lo esegui in modalità normale, e NON disattivi il Ripristino.
Hai il CD di ripristino?
gpl1984
Inviato: Sunday, August 18, 2013 5:26:12 PM
Rank: AiutAmico

Iscritto dal : 2/7/2011
Posts: 70
r16 ha scritto:
Commenta:
vado in modalità normale o vuoi che vada in mod provvisioria disattivando il ripristino config di sistema?

No.
Non fare niente di più di quello che ti indico.
Lo esegui in modalità normale, e NON disattivi il Ripristino.
Hai il CD di ripristino?



Ok eseguo in mod normale!

per cd di ripristino intendi i cd che uso per la formattazione? Si.
Se questa dovesse essere l'ultima spiaggia dovrò fare prima una copia di alcuni files importanti (poca roba a dire il vero).
r16
Inviato: Sunday, August 18, 2013 5:33:07 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Se questa dovesse essere l'ultima spiaggia dovrò fare prima una copia di alcuni files importanti

Prima di fasciarci la testa, aspettiamo che si rompa. Drool
In ogni caso salva i tuoi dati importanti da qualche parte.
Se le successive indicazioni non funzioneranno dovremo usare la Console di ripristino che si trova nel CD. (spero che non sia un "Recovery" ma un cd d'installazione originale di Windows che è cosa diversa dal Recovery.)
gpl1984
Inviato: Sunday, August 18, 2013 5:41:37 PM
Rank: AiutAmico

Iscritto dal : 2/7/2011
Posts: 70
r16 ha scritto:
Commenta:
Se questa dovesse essere l'ultima spiaggia dovrò fare prima una copia di alcuni files importanti

Prima di fasciarci la testa, aspettiamo che si rompa. Drool
In ogni caso salva i tuoi dati importanti da qualche parte.
Se le successive indicazioni non funzioneranno dovremo usare la Console di ripristino che si trova nel CD. (spero che non sia un "Recovery" ma un cd d'installazione originale di Windows che è cosa diversa dal Recovery.)



sono due cd che mi diedero all'acquisto del portatile e si tratta di recovery. Mi pare di capire che se non ce la faccio con questo programma che mi hai indicato la recovery (formattazione) non risolverà il problema?

(ci sta mettendo una vita a scaricare aswMBR ...)
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.