dottpalmito

Infezione Da Tr Crypt.zpack.gen

55 messaggi in questa discussione

Ok, il log è a posto.

Svuota del suo contenuto la cartella Prefetch:

● Start

● clicca su Risorse del Computer

● clicca su Disco locale C:

● cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila e individua la cartella Prefetch

● aprila ed elimina tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)

Vediamo il computer adesso, quindi:

1) lancia una scansione completa del sistema con Malwarebytes e salva il relativo log.

2) scarica ed installa SuperAntispyware Free Edition: clicca qui per il download

Una volta installato, configuralo in questo modo:

● imposta la lingua ITA

● alla richiesta di aggiornamento delle definizioni consenti l'aggiornamento

● nelle quattro finestre successive clicca su Avanti ed alla quinta su fine

● nella finestra Protezione homepage clicca sul tasto Protezione

● nella maschera principale clicca su Preferenze

● nella sezione Opzioni di Avvio togli la spunta alle prime tre voci e clicca sul tasto Ferma

● nella maschera principale clicca su tasto Scansione del Computer

● nella maschera successiva metti la spunta alle unità disco da sottoporre a scansione e, a destra, spunta la voce Fai una scansione completa

● clicca su Avanti per avviare la scansione

● al termine della scansione verrà rilasciato un log: salvalo

Allega i due log con le stesse modalità di prima.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ok, grazie. Faccio la procedura domani. Una cosa sola, ieri avevo lanciato avira per uno scan periodico ed era tutto ok. Stamani invece c'era il virus... l'unica modifica che ho fatto ieri è stato disattivare il firewall di windows (adesso l'ho rimesso in funzione) e guarda caso stamani, in una nuova rete ho beccato il virus. CI puo' essere correlazione?

Grazie!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
... l'unica modifica che ho fatto ieri è stato disattivare il firewall di windows (adesso l'ho rimesso in funzione) e guarda caso stamani, in una nuova rete ho beccato il virus. CI puo' essere correlazione?

Non è da escludere.

Tra l'altro, per l'uso che fai del computer, sarebbe opportuno installare un firewall software; quello di Windows, almeno nel tuo caso, che è particolare è decisamente inadatto.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

A spanne direi che sei a posto, però sistemerei alcuni dettagli.

Da Installazione Applicazioni, disinstalla le vecchie versioni di:

Abobe Reader

Adobe flash player

tutte le eventuali toobar che trovi installate

Scarica ed installa le versioni aggiornate di:

● Adobe Reader: clicca qui per il download

● Adobe Flash Player: clicca qui per il download

● JavaSun: clicca qui per il download

Una volta installato Adobe Reader lancialo e dopo aver accettato la licenza:

● nella barra degli strumenti clicca sul ?

● clicca su Ricerca aggiornamenti ed esegui gli aggioramenti che veranno proposti.

Note:

JavaSun provvederà, anche, alla disinstallazione automatica di tutte le vecchie versioni, precedentemente installate (a meno che non siano ancora installate alcune precedenti alla versione 6.13 - controlla - caso mai le vecchie le disinstalli da Installazione Applicazioni);

● Per tutti e tre i software, in fase di installazione, verrà richiesto di installare la toolbar di Google (o altro): non la installarlare; quindi, togli la spunta alla relativa voce.

Al termine riavvia ed allega un nuovo log di Hijackthis

Poi, come ti avevo già detto, visto l'uso che fai del computer sarebbe opportuno prendere in considerazione la installazione di un firewall software (quello di XP non è adatto alla tua particolare situazione di lavoro).

Modificato da Riverside

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Grazie per i suggeriementi farò come hai detto. Tuttavia, avira continua a segnalarmi il virus su un file infetto... oggi per esempio mentre mbam funzionave è comparso un alert mente scansionave il file eevtei.if. Ho fatto una nuova scansione completa con avira prima di pranzo ed infatti il troian era lì in win32. :)

ancora ci sono problemi!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Aveva anche un nome questo trojan?

Hai pensato di fare pulizia della cache di Java?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ho fatto una nuova scansione completa con avira prima di pranzo ed infatti il troian era lì in win32. :) ancora ci sono problemi!

> ripulisci la quarantena di Malwarebytes (Scheda quarantena);

> recupera il log della scansione di oggi fatta con Avira (Report nel menu a sinistra) - seleziona l'ultima scansione in ordine di tempo - clicca sopra - si apre una finestrella - clicca sul tasto Report - salva il file txt ed allegalo;

> ripulisci la sezione Eventi di Avira (Eventi nel menu a Sinistra);

> ripeti la scansione con Avira ed allega il report che verrà rilasciato (dopo vediamo di configurare Avira come si deve);

Modificato da Riverside

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Aveva anche un nome questo trojan?

Hai pensato di fare pulizia della cache di Java?

Il Virus è tr crypt.zpack.gen. come si fa a fare la pulizia della cache di java?

Grazie per il supporto!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Aveva anche un nome questo trojan?

Hai pensato di fare pulizia della cache di Java?

Il Virus è tr crypt.zpack.gen. come si fa a fare la pulizia della cache di java?

Grazie per il supporto!

Il nome del file che lo conteneva quale era?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Aveva anche un nome questo trojan?

Hai pensato di fare pulizia della cache di Java?

Il Virus è tr crypt.zpack.gen. come si fa a fare la pulizia della cache di java?

Grazie per il supporto!

Il nome del file che lo conteneva quale era?

eccolo qua: C:\WINDOWS\system32\eevtei.if

Per la cache?

grazie!!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ho fatto una nuova scansione completa con avira prima di pranzo ed infatti il troian era lì in win32. :) ancora ci sono problemi!

> ripulisci la quarantena di Malwarebytes (Scheda quarantena);

> recupera il log della scansione di oggi fatta con Avira (Report nel menu a sinistra) - seleziona l'ultima scansione in ordine di tempo - clicca sopra - si apre una finestrella - clicca sul tasto Report - salva il file txt ed allegalo;

> ripulisci la sezione Eventi di Avira (Eventi nel menu a Sinistra);

> ripeti la scansione con Avira ed allega il report che verrà rilasciato (dopo vediamo di configurare Avira come si deve);

No, nn mi ero perso, stavo solo terminado la procedura da seguire!

Allora, aggiornati i programmi come suggerito, lanciato Hijackthis pulita la quarantena di mbam e gli eventi di avira. Allego i log, in più ho fatto anche una scansione - se puo' essere utili con eset.

http://wikisend.com/download/641778/2. hijackthis.log

http://wikisend.com/download/950178/2. Virus Found AVSCAN-20100316.LOG

http://wikisend.com/download/512416/4. Eset scan.txt

grazie!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

No, Nicola, qui decisamente c'è qualcosa che non mi convince.

Riparti da qui:

Disattiva il Ripristino configurazione di sistema:

● Start

● tasto destro del mouse sull'icona Risorse del Computer

● seleziona la voce Proprietà

● apri la scheda Ripristino configurazione di sistema

● spunta la voce Disattiva Ripristino configurazione di sistema

● conferma, la modifica, con Applica e, poi OK

poi, segui il percorso: C:\WINDOWS\system32\eevtei.if - individua quel eevtei.if e fallo analizzare su Virustotal - terminata l'analisi allega il link al report che verrà rilasciato.

poi, segui queste istruzioni ed invia, ad Avira, eevtei.if, per l'analisi (quando ti risponderanno, fammi sapere il responso).

Scarica Norman Malware Cleaner: clicca qui per il download

> crea una cartella apposita sul Desktop e, al suo interno, posiziona, il tool che hai scaricato

> disconnettiti da Internet

> sconnetti, fisicamente, il modem dal computer

> disabilita il tuo antivirus

> lancia Norman ed esegui una scansione completa

> al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman1 e riavvia il sistema

> riavvia il sistema

> rilancia Norman ed esegui una seconda scansione completa

> al termine della scansione verrà rilasciato un log: salvalo sul Desktop con il nome Norman2 e:

allega, in questa sequenza, tutti i log che hai salvato

> Norman1

> Norman2

Una domanda: Avira è stato configurato oppure gira con le impostazioni di default?

Modificato da Riverside

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Avira dovrebbe essere configurato, ma non so se sono configurazioni buone. Sto in ogni caso cercando un firewall che non faccia conflitto con il sistema che ho... suggerimenti? sto pensando ad avira sec. suite.

:P grazie 1000 cmq, per adesso!!

Inoltre dopo aver fatto la procedura di pulizia di mbam e eventi avira, ho rilanciato e non mi ha trovato nessun virus...

http://wikisend.com/download/908430/1. Pulito AVSCAN-LOG.txt

ho riavviato e sta rigirando avira... vediamo che esce fuori, cmq cosa strana :) ... il file eevtei.if, nn c'è più. A questo punto pero' vorrei comunque andare avanti perchè non sono convinto.

Boh... che ne dici?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

@Riverside

La disattivazione del ripristino configurazione di sistema e successiva creazione di un nuovo punto di ripristino pulito,

è un operazione che consiglio di eseguire alla fine delle operazioni, quando il sistema è pulito e stabile.

I virus nel restore non sono nocivi, a meno che non si esegua un ripristino appunto.

Anche se un utente esperto può scegliere se attivare o disattivare questa funzionalità, lo fa a proprio rischio e pericolo.

Per l'utente "comune", che potrebbe facilmente sbagliare con il pc e vorrebbe risolvere nel modo più indolore possibile, l'utilizzo di questa utility può essere una soluzione molto vantaggiosa.

Sarebbe come andare in aereo e decidere di non imbarcare il paracadute.

In generale, e di buona norma, cerchiamo di lasciare la scelta agli utenti, lasciando attivata tale opzione per fornire maggiore protezione e sicurezza per i computer degli utenti.

Spero di essere stata chiara :)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Sto in ogni caso cercando un firewall che non faccia conflitto con il sistema che ho... suggerimenti?

Quello lo vediamo dopo, ora vorrei vedere i diversi log e report che ti ho richiesto.

@Angelique: la questione è "vecchia" (ne abbiamo già parlato in altre occasioni) e come ti ho sempre detto è una questione di punti di vista (rispettabile il tuo, credo altrettanto il mio).

Terminata la bonifica, il ripristino di sistema verrà fatto riattivare.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

@Riverside

Parli senza tener conto degli imprevisti che potrebbero sorgere sul pc dell'utente.

Non siamo in un centro di assistenza o non siamo in possesso fisicamente del pc, in modo da poter seguire dall'inizio alla fine il processo di disinfettazione del computer.

L'utente potrebbe avere problemi in corso di risoluzione del problema o semplicemente decidere di non seguire i nostri consigli. Operiamo a distanza, ma l'effettivo svolgimenti delle operazioni è affidato agli utenti e alla loro pazienza.

Qui in sezione (esperienza insegna) non facciamo mai disattivare il ripristino, perchè se qualcosa va storto l'utente deve essere in grado di ripristinare autonomamente la propria macchina con questa utility.

Per evitare problemi di ripristino a punti precedenti a fine procedura noi facciamo semplicemente creare un nuovo punto di ripristino.

Tutto molto più semplice e sicuro.

C'è gente che ha dedicato tanto tempo per la risoluzione di questi problemi e l'osservazione e l'individuazione della migliore euristica di risoluzione del problema.

Ti pregherei di non vanificare il lavoro e gli sforzi degli altri.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Li mando in mattinata. Potro' mandare solo i due log di norman ma non gli altri report in quanto il file incriminato non lo trovo più, è sparito dopo la cncellazione degli eventi di avira. peccato poteva essere interessante il loro feedback.

Per intanto posso anticipare che anche la seconda scansione di avira (con il ripristino attivo) è risultata pulita come la prima.

Mi intrometto solo per dire che per adesso non ho ancora disattivato e per me non è un problema farlo, se pero' posso aspettare un attimo lo preferisco poichè ancora nn ho un backup, visto che sono scaramantico, e visto che se n'è parlato troppo aspetto! A parte gli scherzi per ora ho lanciato con il ripristino attivo, ma non so che è meglio fare!

Modificato da dottpalmito

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Per intanto posso anticipare che anche la seconda scansione di avira (con il ripristino attivo) è risultata pulita come la prima.

Evidentemente durante il lavoro che svolgi, c'è qualcosa che lo ricrea.

Domani vediamo i log di Norman.

Per il firewall, i migliori tra quelli free, sono:

1) Comodo Firewall

2) PCTools Firewall Plus

3) Outpost firewall Free

4) Online Armor Free

Se vuoi farti una idea più precisa, dai una occhiata a questa comparativa di Matousec.com

Il primo ed il quarto (in particolare Comodo) sono un pò ostici per un utente poco esperto;

Il terzo è davvero ottimo e piuttosto user friendly;

Il secondo è quello che ti suggerisco: efficace e di una semplicità direi quasi disarmante (in più, rispetto agli altri, in lingua ITA).

Ti sconsiglio le suite antivirus + firewall: almeno tra quelle che conosco nessuna è davvero completamente all'altezza in fatto di sicurezza.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Nulla di nulla, niente virus.

Quel eevtei.if individuato e posto in quarantena da Avira, dovresti trovarlo proprio nella quarantena.

Nella Knowledge base di Avira che ti avevo linkato precedentemente è anche spiegato come inviare ad Avira un file da sottoporre ad analisi, recuperandolo dalla quarantena.

Quindi segui quel passaggio ed invia quel file per l'analisi.

Ora puoi disattivare il Ripristino configuarazione di sistema (verranno rimossi tutti i punti di ripristino precedenti, compresi quelli infetti) riavviare il sistema e riattivare il Ripristino configurazione di sistema.

> Norman lo puoi cestinare;

> Malwarebytes e Superantispyware lasciali installati (tienili aggiornati e esegui scansioni di controllo almeno una volta la settimana).

Allega solo un ultimo log di Hijsckthis.

Modificato da Riverside

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Nulla di nulla, niente virus.

Quel eevtei.if individuato e posto in quarantena da Avira, dovresti trovarlo proprio nella quarantena.

Nella Knowledge base di Avira che ti avevo linkato precedentemente è anche spiegato come inviare ad Avira un file da sottoporre ad analisi, recuperandolo dalla quarantena.

Quindi segui quel passaggio ed invia quel file per l'analisi.

Ora puoi disattivare il Ripristino configuarazione di sistema (verranno rimossi tutti i punti di ripristino precedenti, compresi quelli infetti) riavviare il sistema e riattivare il Ripristino configurazione di sistema.

> Norman lo puoi cestinare;

> Malwarebytes e Superantispyware lasciali installati (tienili aggiornati e esegui scansioni di controllo almeno una volta la settimana).

Allega solo un ultimo log di Hijsckthis.

Ok. effetivamente avira mi dice che si trova lì, ma il fatto è che non trovo la cartella della quarantena da cui prelevarlo, dovrebbe essere rinominato con estenzione .qua, ma anche se faccio una ricerca con windows non trovo quei file da nessuna parte.

In mattinata mando i log!

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Nella maschera principale di Avira clicca su Visualizza ---> scegli Amministrazione ---> Quarantena

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora