+ Rispondi alla Discussione
Risultati da 1 a 11 di 11

Grossi Problemi TR/Crypt.XDR.Gen

Ultimo Messaggio di pigGio il:
  1. #1
    User L'avatar di Superpigo
    Data Registrazione
    Jun 2009
    Messaggi
    10

    Grossi Problemi TR/Crypt.XDR.Gen

    Salve, sono nuovo e mi sono iscritto questa mattina perchè da ieri sera sto diventando matto con il Trojan TR/Crypt.XDR.Gen. Ho come antivirus AntiVir che continua a rilevarmi file nella cartella C:\WINDOWS\system32\drivers\. Hanno un'estensione .sys, la loro creazione è ciclica e non sono frutto dell'infezioni di file pre-esistenti perchè data di creazione e data di ultima modifica coincidono con la data e l'ora del rilevamento. Hanno a rotazione sempre i soliti nomi, od al massimo di nuovi ma raramente. I file sono rilevati come il Trojan di cui ho detto sopra ma, nonostante, continui ad eliminarli ogni volta, questi riappaiono. Il che mi ha fatto pensare che ci sia un processo o una applicazione che mi continui a creare questi file; ho provato a fare una ricerca sui file creati poco dopo l'infezione ma non ho avuto risultati soddisfacenti. Sapete cosa posso fare? AntiVir mi rileva continuamente quei file .sys e nient'altro. All'inizio, cioè all'avvio di Windows, dopo aver effettuato l'accesso all'utente, mi da un cascata infinita di errori dell'applicazione Matteo.exe; ho pensato che sia proprio questa l'applicazione che genera tonnellate di file, dato che non esistono applicazioni simili in Windows, ma effettuando la ricerca non ho avuto risultati; come se il file venisse eliminato al momento della sua terminazione.

    Purtroppo non so perchè ma non posso allegare file. Altrementi avrei postato il Log di Hijackthis e anche un file di quelli infetti. Ora non è che voglio diffondere l'infezione, ma è che, forse, avendo un file infetto sotto mano riuscite a trovare il processo che lo ha creato e magari così, riesco ad eliminarlo manualmente.

    Se volete posso postare il log nella discussione, ma è parecchio lungo...

    Aspetto vostre notizie, Grazie ^^


    P.S. Ho un forte bisogno del pieno funzionamente del PC dato che giovedì ho la prima prova della maturità XD... sto ripassando tutti i vari programmi e mi serve utilizzare internet per ricercare informazioni, ma con questo coso di AntiVir che appare in continuo sto diventando matto XD

  2. #2
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,484
    Segui Wolf Otakar su Twitter
    Ciao Superpigo e benvenuto nel forum GT!



    Citazione Originariamente Scritto da Superpigo Visualizza Messaggio
    Se volete posso postare il log nella discussione, ma è parecchio lungo...

    Carica il log su, filefactory.com e riporta qui sul forum l'url.


  3. #3
    User L'avatar di Superpigo
    Data Registrazione
    Jun 2009
    Messaggi
    10
    Sono riuscito a trovare poi l'eseguibile Matteo.exe ed ad eliminarlo. Dopo questo la creazione continua di file si è interrotta. Nel caso possa servire ad altri l'ho trovato in C:\Documents and Settings\[Nome Utente]. Casomai causasse problemi anche ad altri è un file nascosto, chiamato con il nome del vostro account.

    Vorrei postarvi comunque il log perchè magari il virus sta continuando ad agire a mia insaputa ma mi è impossibile postare link attivi dato che non sono utente premium.... che faccio?

  4. #4
    Consiglio Direttivo
    Bibliotecario
    L'avatar di Leonov
    Data Registrazione
    Oct 2008
    Località
    Biblioteca del Forum.
    Messaggi
    12,435
    Ciao Superpigo.

    Puoi inserire il link inattivo in una delle forme seguenti:

    h**p://[indirizzo]

    h t t p :// [indirizzo]

    hxxp://[indirizzo]

    O qualsiasi altra che tu riesca a inventarti, anche soltanto togliendo la parte iniziale fino a "www" compreso.

    MODBiblioteca del Forum gt --- Kàspar Àiolos Lèonov, Ph.D. --- Bibliosaurus ModSenior e Bibliotecario del Forum gt. Al vostro servizio.
    Regole della Casa --- Web Marketing Festival! A Rimini; a giugno! La festa della formazione. Passa a trovarci.
    Sono con te, sei con me.

  5. #5
    User L'avatar di Superpigo
    Data Registrazione
    Jun 2009
    Messaggi
    10
    Avevo già provato prima ma lo rilevava lo stesso XD avrò sbagliato qualcosa XDXD ora riprovo grazie ^^

  6. #6
    User L'avatar di Superpigo
    Data Registrazione
    Jun 2009
    Messaggi
    10
    h t t p : / / filefactory.com/file/ag799fe/n/hijackthis_21-06-09_log

    Bah...ora è venuto fuori chissà cosa rilevava prima XD

    Ora tocca a voi XD mi sapete dire se c'è rimasto qualcosa di malfunzionante nel pc?

    Grazie

  7. #7
    Consiglio Direttivo L'avatar di Wolf Otakar
    Data Registrazione
    Apr 2006
    Località
    Calabria
    Messaggi
    7,484
    Segui Wolf Otakar su Twitter
    Ciao Superpigo,

    fixa con hijackthis:

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\twext.exe,
    Scarica avenger:

    copia/incolla questo script, nel riquadro bianco "input script here" di the avenger:

    Files to delete:

    C:\WINDOWS\system32\twext.exe
    - elimina la spunta su: scan for rootkit "in basso a sinistra"
    - premi su execute
    - rispondi SI alle richieste
    - il pc, dovrebbe riavviarsi
    - al riavvio, carica il log su filefactory.com e riporta il link "inattivo" come suggerito da Leonov.


    Dai una ripulita con ccleaner, scansiona con malwarebytes "aggiornato", allega il log di scansione sempre su filefactory.com e riporta l'url sul forum.


    p.s. Effettua l'aggiornarmento del service pack.

  8. #8
    Utente Premium
    Data Registrazione
    Feb 2008
    Messaggi
    144
    Prima di procedere con la scansione con malwarebytes fai così:
    Clicca su start-->esegui e digita regedit.
    Usando le caselline col segno + naviga fino a:
    HKEY_LOCAL_MACHINE-->Software-->Microsoft-->Windows NT-->CurrentVersion
    Ora clicca su Winlogon, a destra ti appariranno varie voci, seleziona col tasto destro del mouse la voce Userinit e clicca su modifica, elimina quindi nella stringa di testo il valore: C:\WINDOWS\system32\twext.exe,
    Deve quindi rimanere solo:
    c:\windows\system32\userinit.exe,
    Ricorda, deve rimanere la virgola!

    Poi clicca su OK e riavvia il PC.

    A questo punto scarica cambofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Salvalo sul desktop,_disconnettiti, disattiva l'AV e chiudi tutti i programmi.
    Quindi avvia combofix ed inizia una scansione. AL termine,dopo il riavvio,posta il log che comparirà a video sempre su quel sito.
    NB: potrebbe essere rilevato come infetto dall'AV, ignora l'avviso e disattiva l'AV.
    Potrebbe metterci del tempo, lascialo lavorare e non toccare il pcmentre scansiona

    Facci sapere
    Ultima modifica di Wolf Otakar; 22-06-09 alle 11:42 Motivo: Maiuscole e spazi!
    http://soccerclub.altervista.org il sito dedicato al calcio.

  9. #9
    User
    Data Registrazione
    Jul 2009
    Messaggi
    10
    Mi è arrivata un email di notifica che è stato risposto al mio problema ma non ci sono piu' le mie scritte e le risposte.. come mai ?
    Ultima modifica di Samyorn; 05-07-09 alle 10:47 Motivo: Maiuscole.

  10. #10
    Consiglio Direttivo L'avatar di Samyorn
    Data Registrazione
    Dec 2007
    Località
    Catania
    Messaggi
    6,000
    Segui Samyorn su Twitter Aggiungi Samyorn su Google+ Aggiungi Samyorn su Facebook Aggiungi Samyorn su Linkedin
    Ciao pigGio.

    La discussione è stata splittata quì in una dedicata al tuo problema.
    MODFunzioni di PHP Qui, Quo, Qua
    Si parla poco di SMF? Sentiamo l'opinione di chi lo ha provato. Ti amo...brindiAMO?

  11. #11
    User
    Data Registrazione
    Jul 2009
    Messaggi
    10
    haAHAhaa.. Grazie :°°°°°°) ma sul serio sui forum ci navigo proprio 0 .. :P Ora vado a vedere.. Buonagiornata!!
    Ultima modifica di Samyorn; 05-07-09 alle 15:53 Motivo: Maiuscole.

+ Rispondi alla Discussione

Tag per Questa Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.