Infezione Da Tr Crypt.zpack.gen

[dottpalmito]

Salve a tutti,

mi presento, mi chiamo Nicola e sono nuovo del forum e vi scrivo perchè ho un problema al PC.

Il mio antivirus AVIRA, mi ha rilevato il seguente virus tr crypt.zpack.gen, lo rileva durante la scanzione (e lo mette in quarantena) e lo rileva "runtime" spero rendendolo innoquo, ma tuttavia non riesce a eliminarlo. Per adesso non ho avuto cambiamenti/difficoltà particolari nell'uso del PC, ma poichè il PC lo uso per lavoro, vorrei riuscire a pulirlo... ho letto qua e là in rete e in questo forum, ma non ho ben chiaro come fare.

Avete delle idee o suggerimenti? Magari un programma specifico? Sapete come fare ad eliminarlo o sapete se è realmente pericoloso?

Grazie a chi vorrà intervenire.

[Luna75]

Ciao, Nicola

Allega anche un log di Hijackthis

1) Scarica combofix http://forum.wininizio.it/index.php?showtopic=98188

2) scarica e lancia Malwarebytes A. M. (scan completo).

Pulisci i temp con www.ccleaner.com

allega i tre log

[dottpalmito]

Grazie 1000! Vi tengo informati!

Una domanda cortesemente, quando lancio combofix, mi dice che è ancora attivo antivir desktop per avendo disabilitato Antivir Guard dal pannello di controllo e avendo disabilitato da msconfig il servizio che lo avvia all'avviare di Windows... combobox riconosce che è attivo e si raccomanda di non lanciarlo. Grazie!

[Luna75]

Da pannello di controllo? Basta cliccare col tasto dx sull'"ombrello" di Avira e disabilitare temporaneamente togliendo la spunta al guard.

Dai conferma e procedi con i tool di pulizia

[dottpalmito]

Boh Luna75, l'ho fatto, ma continua a darmi l'alert.

Ho due aqccount utenti sul PC, magari si arrabbia perchè nell'altro profilo - antivir - non è disabilitato? Cmq ho lanciato lo stesso combofix e allego il log, il pc si è riavviato e prima della caricamento di windows compare una finestra nera che mi fa scegliere il sistema operativo, non faccio a tempo a leggere cosa dice.

Ho poi provato a disabilitare Avira come hai detto tu e ho rilancianto. Allego il log di combofix con Avira attivato e non.

Saluti e mi affido a mani esperte!

grazie!

Log.zip

[Luna75]

Nicola, esegui ancora uno scan online con eset:

http://www.eset.com/onlinescan/

dopodichè posta il relativo report generato.

[dottpalmito]

Perfetto grazie. Nel frattempo ho messo antivir premium, ora sono curioso se cambia qualche cosa. Scansiono e loggo. Grazie 1000

Fatto... non mi ha trovato nulla né mi ha prodotto nessun report, comunqe era tutto pulito (l'ho fatto girare installando la patch con mozzilla).

Ora sta girando Kaspersky on line, ma non vorrei che non mi trovano nulla perchè c'era la scansione con eset in corso e antir attivo.

Let me know, tnx!

[Luna75]

Quella cosigliata da me elimina ciò che trova.

Grazie a te.

[dottpalmito]

Non ho capito scusami... che intendi? E' stato eliminato? Avira continua a trovarlo! io ho fatto solo uno scan con eset, senza pulire nulla... fammi capire! Grazie, Nicola.

[$angelique!?]

Ciao dottpalmito,

salva il documento che ti allego CFScript.txt

apri il blocco note copia e salva questo testo, chiamandolo CFScript

col mouse trascina il file CFScript.txt sull'icona rossa di combofix

lascia lavorare il programma

finito verrà creato un nuovo log combofix.txt, postalo

Allega un log di hijackthis eseguito con l'ultima versione

http://free.antivirus.com/hijackthis/

[dottpalmito]

Carissimi,

vi aggiorno sulla situazione. In realtà ho riprovato a fare una scansione con avira prima di aver lanciato lo script (praticamente dopo aver fatto la scansione on line di Luna75) e il virus non era più segnalato ma solo 2 avvisi, ho eseguito ComboFix e Hijackthis. Ho rilanciato eset (pulito) e mbam che mi ha rimosso un malware (allego log).

Ho lanciato lo script e rilanciato avira e non segnala virus ma i medesimi avvisi di prima, che segnalano l'impossibilità ad aprire i due archivi. Allego quindi log di combofix, avira e hijackthis aggiornato dopo lo script.

Ho visto (credo di aver inteso) che con lo script si cancella una dll e si aprono delle porte, che è successo con lo script? Fatemi capire anche a me!

Tra l'altro appena ho letto il nome della dll mi sono ricordato che la prima segnalazione faceva riferimento a quella dll ed io l'ho eliminata fisicamente dal sistema a mano nella speranza che non fosse un file vitale per qualche applicazione e ho anche disabilitato un servizio all'avvio con lo stesso nome, ma questo prima di conoscere il forum. In ogni caso il virus ricompariva.

A questo punto ci dovremmo essere, sbaglio? che dicono i log? posso/devo fissare qls magari per migliorare la stabilità o le prestazioni?

Nel ringraziarvi ancora, attendo con ansia vostro parere.

[$angelique!?]

Ciao dottpalmito,

con tutte le applicazioni chiuse e disconnesso da internet

avvia Hijackthis e clicca su "do a system scan only"

metti la spunta a queste voci e clicca su "fix checked"

(fixanso queste voci avrai un avvio più rapido del pc, ed i programmi continueranno a funzionare)

O4 - HKLM\..\Run: [AESTFltr] %SystemRoot%\system32\AESTFltr.exe /NoDlg

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun

O4 - HKLM\..\Run: [OrderReminder] C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe"

O4 - HKLM\..\Run: [indexSearch] "C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe"

O4 - HKLM\..\Run: [PPort11reminder] "C:\Programmi\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"

O4 - HKLM\..\Run: [brMfcWnd] C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

O4 - HKLM\..\Run: [ControlCenter3] C:\Programmi\Brother\ControlCenter3\brctrcen.exe /autorun

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [hpqSRMon] C:\Programmi\HP\Digital Imaging\bin\hpqSRMon.exe

O4 - HKCU\..\Run: [iSUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe

Dai una ripulita al sistema con Ccleaner

Hai installato tu UltraVNC ?

[Luna75]

Oltre a fare ciò che ti suggerisce Angelique che saluto per quanto riguarda la voce trovata da malwarebytes non preoccuparti.

Dopo tutte le operazioni di pulizia crea un nuovo punto (pulito di ripristino) e vedrai che non si ripresenterà.

[dottpalmito]

Oltre a fare ciò che ti suggerisce Angelique che saluto per quanto riguarda la voce trovata da malwarebytes non preoccuparti.

Dopo tutte le operazioni di pulizia crea un nuovo punto (pulito di ripristino) e vedrai che non si ripresenterà.

Carissimi,

grazie a tutti per l'aiuto prezioso! una po' di cose ancora!

1) Qualora dovessi disinstallare i programmi che ho messo su per la pulizia (credo che non potro tenerli - sebbene free), basta toglieri da pannello di controllo o è necessario pulire i registri perchè lasciano qualcosa in giro. Ancora, a questo preposito, ho visto che ccleaner ha una routine che pulisce il registro di windows, conviene pulirlo, a me segnala molte voci da togliere.

2) Ho una serie di HD portatili e penne usb che uso e temo di aver preso l'infezione da lì, come posso bonificarli? Se li attacco al pc avira se ne accorge, oppure, se la fonte fossero loro, ribecco da capo e via andare!?

3) mi compare nella barra accanto all'orologio l'icona gialla dell'udate di windows che segnala 0% ma non riesce a scaricare ed inoltre se ci clicco non succede nulla e anzi scompare, è una reminiscenza del virus?

Grazie!!

Modificato January 10, 2010 da dottpalmito

[$angelique!?]

Ciao dottpalmito,

non hai risposto alla mia domanda, evidentemente conosci il programma.

Malwarebytes puoi disinstallarlo da pannello di controllo.

Per pulire il registro meglio Wise Registry Cleaner

Per disinstallare Combofix, segui questa procedura:

Start > Esegui > nella casella di dialogo, digita (oppure, copia ed incolla) questo comando: combofix /u

premi invio.

Se non dovesse funzionare

scarica OTC, clicca su

riavvia.

[dottpalmito]

Sì scusa Angelique, non avevo letto. Sì, ho installato io VNC, serve per assistenza remota... da problemi?

A proposito hai idea del perché di del problema di windows update e di come evitare o pulire le penne USB? se è probabile che abbia preso da lì virus?

Grazie!

Nicola.

[$angelique!?]

Il programma VNC non è un problema, lo sarebbe se fosse stato installato a tua insaputa.

Per disinfettare le chiavette puoi usare UsbFix oppure Flash Disinfector

Esegui una scansione online ed allega il report

http://www.bitdefender.com/scanner/online/free.html

[dottpalmito]

Intendi una scansione on line con BitDefender delle chiavette? Va bene anche per l'ipod?

[$angelique!?]

Ciao dottpalmito,

intendo di tutto il pc, comprese le chiavette dopo averle disinfettate come suggerito

[dottpalmito]

Ciao a tutti,

sono tornato perchè ho ancora un'infezione da tr crypt.zpack.gen nello stesso file percui ho postato la prima volta. In raltà è capitato anche in precedenza che avessi altri alert ma sempre su file in recycler che ho tolto con combofix, ma questa volta è tornato su un file in win32. Cosa mi suggeriti di fare? per intanto faccio girare ComboFix e mbam.

saluti e grazie,

nicola

[Riverside]

sono tornato perchè ho ancora un'infezione da tr crypt.zpack.gen nello stesso file percui ho postato la prima volta.

Scusa Nicola, forse prima di far girare tool e software, dovresti provare a farci capire come hai fatto nuovamente ad infettarti (io una idea la avrei anche) in cosi breve tempo.

Altra cosa: il computer infetto è un computer aziendale o un computer ad uso personale?

Per ora allega un nuovo log di Hijackthis (e per favore non zippato).

Da ora, per allegare i log che ti verranno richiesti, utilizza questo servizio di upload: clicca qui per wikisend

e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.

Modificato March 15, 2010 da Riverside

[dottpalmito]

Si tratta di un PC che uso per lavoro, su varie reti in azienda e altrove, e che uso per uso personale.

Per quando riguara la prima domanda, le precedenti infezioni credo di essermerle procurate collegando l'HD (pulito!) via USB su un'altro PC per un backup di fortuna, rimontato il PC mi sono accorto dell'infezione, che ho tolto secondo la procedura suggerita in questo forum.

L'infezione di oggi potrebbe essere causata da chiavette o cose simili, ma me la spiego meno essendo che ho avira aggiornato e credo che la avrebbe dovuta segnalare, se dovesse trattarsi di chiavette è un problema visto che le utilizzo costantemente per lo scambio di dati, nè posso "bonificare" altri PC infetti a cui mi collego in rete, alla protezione mi affido ad avira. I casi sono due, o avira non funziona correttamente o non è stato debellato correttamente. La cosa che mi ha preoccupato è che il file si chiama allo stesso modo della prima volta. Mando il log in giornata.

Grazie!

[pike]

Si tratta di un PC che uso per lavoro, su varie reti in azienda e altrove, e che uso per uso personale.

Una domanda dottpalmito: il tuo Avira AntiVir è la versione "Personal"?

[dottpalmito]

Si tratta della versione premium con licenza.

Questi sono i log di Hijackthis:

5. hijackthis.log

http://wikisend.com/download/652984/5. hijackthis.log

Saluti,

nicola

[Riverside]

L'infezione di oggi potrebbe essere causata da chiavette o cose simili, ma me la spiego meno essendo che ho avira aggiornato e credo che la avrebbe dovuta segnalare

Che Avira avrebbe dovuto segnalarla non è detto.

L'unica strada che avevi per infettare nuovamente il computer è attraverso l'uso di periferiche di archiviazione esterne infette ed è dalla bonifica di quelle che è necessario partire.

Suggerirei di procedere in questo modo, almeno inizialmente:

1) scarica e salva sul desktop Panda USB Vaccine: clicca qui per il download

> in C:/Programmi, crea una nuova cartella (chiamala Panda USB Vaccine)

> all'interno della cartella posiziona il setup che hai scaricato e lancia l'installazione

> in fase di installazione ti verrà mostrata una finestra all'interno della quale ti verrà proposto di spuntare alcune opzioni; la prima è già spuntata (lasciala come la trovi), spunta solo l'ultima (quella che fa riferimento a NTFS)

> terminata l'installazione clicca su Launch Panda USB Vaccine e noterai che verrà creata una icona sulla traybar, accanto all'orologio

A questo punto:

inserisci, una per volta, le periferiche di archiviazione esterne che utilizzi di norma e quando suggerito (la cosa è piuttosto banale da capire) vaccina la periferica (si otterranno due risultati: il primo, verrà inibita l'esecuzione automatica della periferiche; il secondo, la protezione dalla modifica e dalla sovrascrittura, da parte di eventuale malware, del file autorun.inf);

2) scarica ed installa MalwareBytes: clicca qui per il download e lascia che scarichi gli aggiornamenti

A questo punto:

inserisci, una per volta, le periferiche di archiviazione esterne che utilizzi di norma e quando suggerito (la cosa è piuttosto banale da capire) vaccina la periferica.

Una volta vaccinata la periferica:

> Start

> Risorse del computer

> seleziona (senza aprirla) l’unità relativa alla periferica di archiviazione

> tasto destro del mouse e dal menu contestuale scegli: Scansiona con Malwarebytes

al termine della scansione verrà rilasciato un log: salvalo sul Desktop perché lo dovrai allegare

Ripeti l’operazione per tutte le chiavette.

Per allegare i log utilizza questo servizio di upload: clicca qui per wikisend

e, pubblica il Forumlink che verrà rilasciato dopo il caricamento di ogni singolo file.

Un paio di altre info:

> una volta vaccinate, le chiavette non partiranno più in auto neppure se le utilizzi su altri computer (e questo è un vantaggio);

> volendo, dal menu contestuale, potrai eseguire anche una scansione supplementare con Avira;

> infine, ti suggerisco (visto che le usi spesso) di eseguire sempre, preventive scansioni delle periferiche, quando apporti modifiche al contenuto (salvataggio dati da altri computer, ecc.).

Per ora, esegui questa parte e vediamo cosa salta fuori dai log e dopo vedremo se è il caso di ricontrollare anche il computer.