| Precedente :: Successivo |
| Autore |
Messaggio |
And@
Eroe in grazia degli dei
Registrato: 21/03/09 12:51
Messaggi: 99
|
 Inviato: 17 Ott 2010 23:55 Oggetto: * TR/Crypt.XPACK.Gen2 |
 |
|
Ciao!!
Questo pomeriggio mi sono trovato alle prese con un virus...stavo navigando in internet quando mi è apparsa la schermata di un finto antivirus sul computer...e poco dopo avira mi segnalava la presenza di un virus... Ho rimosso alcune voci sospette con hijackthis...ho fatto la scansione completa con avira e con superantyspyware che dovrebbero aver eliminato il virus...
questi sono i log:
AVSCAN-20101017-152150-A79CC41B.LOG
SUPERAntiSpyware Scan Log - 10-17-2010 - 22-24-11.log
hijackthis.log
Però mi sa che c'è ancora qualcosa che non va: mi sono accorto che ora non riesco più ad avviare internet explorer con sandboxie: se provo ad avviarlo non succede nulla... Invece con altri programmi sandboxie funziona ancora...
Ho provato anche con il ripristino di configurazione del sistema ma non è servito a nulla...
Sapete aiutarmi?
Grazie!!! |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 18 Ott 2010 08:16 Oggetto: |
|
|
| Adesso, segui le istruzioni di questo topic per usare MBAM. Carica il log su WikiSend e posta il Forum Link che ti viene assegnato. |
|
| Top |
|
|
And@
Eroe in grazia degli dei
Registrato: 21/03/09 12:51
Messaggi: 99
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 18 Ott 2010 21:11 Oggetto: |
|
|
Rimasugli nel ripristino di sistema... nulla di che. 
Controlliamo le impostazioni di IE:
- Pannello di controllo
- Opzioni internet
- Connessioni
- Impostazioni LAN
- togli il segno di spunta a:
Ignora server proxy per indirizzi locali
Utilizza un server proxy per le connessioni LAN
- OK
- OK
Vediamo una scansione più approfondita:
- Scarica questo programma (OTL) e salvalo sul desktop
- Doppio click sull'icona di OTL per avviarlo
- Metti il segno di spunta su Scan All Users
- Clicca il bottone Quick Scan
- Aspetta pazientemente fino al termine dei lavori
- Verranno creati 2 logs:
- OTListIt.txt (aperto)
- Extra.txt (ridotto a icona)
- Carica entrambi i logs su wikisend e posta i forum links che ti verranno assegnati
|
|
| Top |
|
|
And@
Eroe in grazia degli dei
Registrato: 21/03/09 12:51
Messaggi: 99
|
| Inviato: 18 Ott 2010 23:04 Oggetto: |
|
|
Ho controllato le impostazioni di IE ed entrambi erano già senza spunta.
Ecco i log della scansione con OTL:
OTL.Txt
Extras.Txt
Ti ringrazio per l'aiuto!  |
|
| Top |
|
|
And@
Eroe in grazia degli dei
Registrato: 21/03/09 12:51
Messaggi: 99
|
| Inviato: 19 Ott 2010 23:40 Oggetto: |
|
|
Oggi ho anche provato a installare la nuova versione di sandboxie, la 3.50, ma il problema persiste...
Se avvio IE con sandboxie si apre per un istante la finestra ma poi si richiude subito...
Con firefox invece compare una schermata di errore...poi però chiudendola il programma si avvia...
Questa è la finestra di errore:
Invece con safari o altri programmi il problema non si presenta... |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 20 Ott 2010 00:04 Oggetto: |
|
|
Scusa, mi ero dimenticato di te.
Fai queste operazioni:
- disinstalla SandboxIE
- riavvia il pc
- esegui una pulizia del file di registro con CCleaner e/o WiseCleaner
- riavvia il pc
- reinstalla SandBoxIE
|
|
| Top |
|
|
And@
Eroe in grazia degli dei
Registrato: 21/03/09 12:51
Messaggi: 99
|
| Inviato: 20 Ott 2010 17:03 Oggetto: |
|
|
| Ho provato a fare come mi hai suggerito facendo la pulizia del registro con entrambi i programmi, ma non ho risolto il problema... |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 18:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 21 Ott 2010 21:29 Oggetto: Re: TR/Crypt.XPACK.Gen2 |
|
|
| And@ ha scritto: | | stavo navigando in internet quando mi è apparsa la schermata di un finto antivirus sul computer...e poco dopo avira mi segnalava la presenza di un virus... |
Ma tutto questo dentro sandboxie? |
|
| Top |
|
|
And@
Eroe in grazia degli dei
Registrato: 21/03/09 12:51
Messaggi: 99
|
| Inviato: 21 Ott 2010 22:07 Oggetto: |
|
|
No, in quel momento non stavo usando sandboxie... Se l'avessi usato forse mi sarebbe bastato svuotare l'area virtuale per rimuovere il virus senza dover fare le scansioni. Comunque ora il computer per il resto funziona bene e non mi pare ci siano tracce del virus.
Però dopo l'episodio del virus sandboxie ha iniziato a darmi problemi (o almeno è stata in quell'occasione che me ne sono accorto). Non so se la causa di questo sia proprio il virus oppure no, magari non c'entra e il problema è dovuto a qualcos'altro, però fino all'ultima volta che avevo usato sandboxie (mi pare un paio di giorni prima di prendere il virus) aveva sempre funzionato bene. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 21 Ott 2010 23:17 Oggetto: |
|
|
Una curiosità: hai provato a installare/usare un browser alternativo a IE e Firefox con SandboxIE?
Opera, Chrome, Safari?
Solo per capire se lo fa anche con eventuali nuovi browser. |
|
| Top |
|
|
And@
Eroe in grazia degli dei
Registrato: 21/03/09 12:51
Messaggi: 99
|
| Inviato: 22 Ott 2010 12:43 Oggetto: |
|
|
Con Safari non mi da alcun errore e funziona normalmente.
Ho anche provato a installare chrome, ma mi da dei problemi: sia usando sandboxie che senza il browser si apre ma poi sembra non essere connesso...
Ho anche trovato un'altro problema con il pc: è già la seconda volta tra ieri e oggi che mi compare un messaggio di errore relativo a "generic host process for win32 services" e successivamente il firewall di windows risulta essere disattivato. Provando a riavviarlo da un'errore e risulta impossibile attivarlo. Anche riavviando il pc il problema non si risolve. Sono riuscito a riavviare il servizio solo usando il comando "netsh winsock reset" nel promt dei comandi e poi riavviando il pc...
Edit:
questo è il messaggio di errore:
Uploaded with ImageShack.us |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 23 Ott 2010 12:49 Oggetto: |
|
|
Quindi è rimasto danneggiato qualche elemento nel file di registro...
Vediamo se è qualcosa legato esclusivamente alle connessioni:
- Scarica e installa XP TCP/IP Repair 2.0
- Avvialo
- Clicca Reset TCP/IP
- Clicca Repair Winsock
- Chiudi il programma
- Riavvia il pc
|
|
| Top |
|
|
And@
Eroe in grazia degli dei
Registrato: 21/03/09 12:51
Messaggi: 99
|
| Inviato: 23 Ott 2010 14:22 Oggetto: |
|
|
Ho seguito le indicazioni. Al momento però è sempre tutto come prima:
il servizio del firewall di windows dopo un po' si blocca sempre, google chrome non da segni di vita, non riesco ad accedere a windows update e sandboxie non riesce ad avviare IE.
Ti segnalo anche che quando ho clikkato sul link per scaricare XP TCP/IP Repair 2.0 avira mi ha segnalato un virus:
"Nel file 'C:\Documents and Settings\HP_Proprietario\Impostazioni locali\Temporary Internet Files\Content.IE5\O5G6F4JG\pop_under[1]'
è stato rilevato un virus o programma indesiderato 'HTML/Crypted.Gen' [virus].
Azione eseguita: Sposta file in quarantena" |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 24 Ott 2010 11:14 Oggetto: |
|
|
allora c'è ancora qualcosa. 
Fai una scansione con drWeb Live CD |
|
| Top |
|
|
And@
Eroe in grazia degli dei
Registrato: 21/03/09 12:51
Messaggi: 99
|
| Inviato: 24 Ott 2010 20:13 Oggetto: |
|
|
La scansione con drWed ha trovato alcuni file infetti nella cartella di Avira.
La scansione salva un log da qualche parte oppure no? |
|
| Top |
|
|
And@
Eroe in grazia degli dei
Registrato: 21/03/09 12:51
Messaggi: 99
|
| Inviato: 26 Ott 2010 18:15 Oggetto: |
|
|
Siccome mi sembrava strano che la scansione fosse durata meno di 5 ore (hard disk da 250 GB quasi pieno) ieri ne ho fatta partire un'altra.
Ha finito poco fa dopo più di 24 ore...quindi la prima volta si era bloccata anche se non so perchè...
Questa volta ha trovato un'altro elemento infetto sempre nella cartella di avira e poi anche dei file .wma infetti...
Poi cos'altro posso fare? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 26 Ott 2010 21:33 Oggetto: |
|
|
Segui le istruzioni di questo topic per postare il log di combofix. |
|
| Top |
|
|
And@
Eroe in grazia degli dei
Registrato: 21/03/09 12:51
Messaggi: 99
|
| Inviato: 27 Ott 2010 19:31 Oggetto: |
|
|
Fatta la scansione con combofix. Quando l'ho fatto partire mi ha avvertiro che avira era attivo e di chiuderlo prima di continuare, anche se in realtà l'avevo già disattivato in precedenza...quindi ho proseguito comunque...
In fase di scansione è comparsa una finestra in cui diceva che erano state trovate attività di rootkit e che era necessario riavviare il pc. Al riavvio ha continuato la scansione equesto è il log:
ComboFix.txt |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 28 Ott 2010 19:51 Oggetto: |
 |
|
| Citazione: | Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.0 by Gmer, http://www.gmer.net
Windows 5.1.2600
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86EED446]<<
1 ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Harddisk0\DR0[0x86FE9AB8]
2 ntkrnlpa[0x804EE130] -> CLASSPNP.SYS[0xF7570FD7] -> \Device\Harddisk0\DR0[0x86FE9AB8]
3 CLASSPNP[0xF7570FD7] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\00000067[0x86F7BE98]
4 ntkrnlpa[0x804EE130] -> ACPI.sys[0xF73C8620] -> \Device\00000067[0x86F7BE98]
5 ACPI[0xF73C8620] -> ntkrnlpa!IofCallDriver[0x804EE130] -> [0x86F58D98]
\Driver\atapi[0x86F382F8] -> IRP_MJ_CREATE -> 0x86EED446
6 ntkrnlpa[0x804EE130] -> UNKNOWN[0x86EED449] -> [0x86F58D98]
kernel: MBR read successfully
detected hooks:
\Device\Ide\IdeDeviceP0T0L0-3 -> \??\IDE#DiskST3250823AS_____________________________3.03____#5&1e0f25ad&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
\Driver\Disk -> CLASSPNP.SYS @ 0xf7574f28
\Driver\ACPI -> ACPI.sys @ 0xf73c8cb8
\Driver\atapi DriverStartIo -> 0x86EED292
\Driver\atapi -> atapi.sys @ 0xf7380852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
SecurityProcedure -> ntkrnlpa.exe @ 0x805791fa
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
SecurityProcedure -> ntkrnlpa.exe @ 0x805791fa
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
user != kernel MBR !!!
sectors 488396914 (+253): user != kernel |
Molto probabilmente MBR infetto...
Noto con piacere che i "ragazzi" di gmer hanno aggiornato il loro tool.
- Scarica questo programma e salvalo in C:\
- Clicca Start
- Per Windows XP:
Clicca Esegui...
Digita:
Clicca su ok
Per Windows Vista/7:
Tutti i programmi
Accessori
Clicca con il tasto destro del mouse su Prompt dei comandi e scegli Esegui come amministratore
si apre la finestra DOS, digita:
premi invio
digita:
premi invio
digita:
premi invio
Riavvia il pc
Posta qui il contenuto del log C:\mbr.log |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
