| Precedente :: Successivo |
| Autore |
Messaggio |
MaXXX eternal tiare
Dio maturo
Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland
|
 Inviato: 15 Gen 2012 14:32 Oggetto: Pc nuovo con sorpresa TR/Crypt.XPACK.Gen |
 |
|
Mi scuso ma ho di nuovo bisogno del vostro prezioso aiuto.
Recentemente ho ritirato il pc formattato a causa di un programma che mi aveva incasinato tutto, s.o win7 poi ci ho fatto un dual boot con ubuntu.. per ora ho sempre usato solo ubuntu di default, in questi giorni dovendo usare win e aggiornando prima tutto (plugin, antivirus e agg. di windows) avira mi fa la bella sorpresa di trovare un figlio di trojan...il TR/Crypt.XPACK.Gen.
Stranissimo essendo la parte win usata pochissimo e su siti stra sicuri  è praticamente un installazione nuova.
Lo ho fatto presente al negoziante di pc che mi ha detto che sono solo sfortunato che avira ha cmq disinfettato il pc e che controllerà per scrupolo i suoi pc. (non ha visionato il pc gli ho solo spiegato che avira lo ha messo in quarantena)
Ora non so se fidarmi o meno, avira, spybot ed mbam non trovano niente aggiornati ad oggi, ho disattivato ripristino di sistema di fatto non avevo punti di ripristino validi e come unica cosa degna di nota ho disattivato l'assistenza remota che avevo trovato di default attiva.
Cosa mi consigliate di fare? Otl e posto il log? o altro.
Grazie mille. |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 15 Gen 2012 14:42 Oggetto: |
|
|
Ciao.
| Citazione: | | ho disattivato ripristino di sistema di fatto |
Questo, è stato un piccolo errore.
I punti di ripristino, si eliminano solo a fine bonifica.
Se durante una bonifica, qualcosa và storto, è preferibile avere un punto di ripristino infetto, piuttosto un pc che non si avvia più.
Facciamo un controllo con OTL:
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i 2 log. |
|
| Top |
|
|
MaXXX eternal tiare
Dio maturo
Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland
|
| Inviato: 16 Gen 2012 22:46 Oggetto: |
|
|
Grazie della risposta e della gentilezza R16.
Io non me ne intendo molto, non so se ti ricordi dell'altra volta ma dai log mi pare di rivedere sempre il file host con dei siti bloccati non so se si può lasciare così o meno ma credo sia perchè mi hanno messo spywareblaster e spybot di default sul pc, per il resto mi rimetto a te.
OTL.Txt
Extras.Txt |
|
| Top |
|
|
Amuk
Eroe
Registrato: 05/01/12 00:20
Messaggi: 56
|
| Inviato: 16 Gen 2012 23:31 Oggetto: |
|
|
Lascio la decisione a R16 che ne sa sicuramente più di me 
Volevo solo aggiungere che Crypt.XPACK.Gen rilevato da Avira potrebbe essere un falso positivo dovuto alla compressione di un eseguibile fatta con UPX (noto tool free usato per comprimere malware) e rilevato dall'euristica di Avira.
Il messaggio non dovrebbe più apparire se nelle opzioni (di avira) viene deselezionata la voce "strumento di compressione insolito"
Per conferma farei analizzare il file su Virus Total
link
e per maggior certezza lo spedirei direttamente ad AviraLab
http://analysis.avira.com/samples/ |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 17 Gen 2012 18:48 Oggetto: |
|
|
| Citazione: | | mi pare di rivedere sempre il file host con dei siti bloccati non so se si può lasciare così o meno ma credo sia perchè mi hanno messo spywareblaster e spybot di default |
Sì, quello è "l'immunizzatore" di SpyBot che impedisce l'accesso ai siti pericolosi, memorizzandoli nel file host.
Tenendo SpyBot, conviene lasciare così la situazione.
L'importante, è che il Tea Timer incluso nel software, sia disattivato, inquanto agisce i "tempo reale" e andrebbe in conflitto con altri programmi di difesa. (Comodo, e Avira)
Il log di OTL è pulito.
Per scrupolo, darei una controllata se ci sono rootkit in memoria, e al MBR: (attualmente sono di moda )
Scarica TDSSKiller.zip sul desktop:
link
Estrai i dati in una cartella e fai doppio clik su TDSSKiller.exe
clicca su "Start Scan"
Se trova qualche infezione di default avrai l'opzione "Cure" per cui, clicca su "Continue".
Se un file sospetto viene trovato,l'azione di default sarà skip,clicca su "Continue".
Se è richiesto il riavvio,(Reboot) acconsenti. (per eliminare l'infezione è necessario riavviare il pc)
Se nessun riavvio è richiesto clicca su report e salva il contenuto in un file di testo.
Il log lo trovi in C:\
Postalo qui.
Poi:
Scarica MBRCheck, e e salvalo sul desktop.
link
Chiudi tutti i programmi.
Doppio click su MBRCheck, che hai scaricato sul desktop, ed eseguilo.
Attendi la fine della scansione.
Finita la scansione (dura pochissimo) posta il log che trovi sul desktop. |
|
| Top |
|
|
MaXXX eternal tiare
Dio maturo
Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland
|
| Inviato: 17 Gen 2012 20:23 Oggetto: |
|
|
Grazie mille R16 per quanto riguarda tdsskiller ecco il log link
Per l'mbr mi da che ho un mbr non stadard penso che sia forse perchè ho un dual boot con ubuntu ti metto l'iimagine della scansione
mbr.jpg |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 17 Gen 2012 20:36 Oggetto: |
|
|
Guarda.......io sono come S.Tommaso.
Vorrei vedere con un'altro software, se MBRCheck me la racconta giusta, oppure no.
Scarica aswMBR.exe sul desktop.
link
Fai doppio clic aswMBR.exe per eseguirlo
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui. |
|
| Top |
|
|
MaXXX eternal tiare
Dio maturo
Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland
|
| Inviato: 18 Gen 2012 16:01 Oggetto: |
|
|
| Grazie R16 ecco il log aswMBR.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 18 Gen 2012 18:54 Oggetto: |
|
|
Ciao.
Però....anche aswMBR non riconosce l'MBR.
E questo mi suona strano.
Perchè, pur avendo installato Ubuntu, (Grub) i software dovrebbero riconoscere l'MBR di Windows.
Non voglio stressarti, ma devo fare un ultimo controllo:
Scarica ListParts :
link
Esegui lo strumento, fai clic su Scan e allega il log. (Result.txt lo trovi dove hai scaricato ListParts). |
|
| Top |
|
|
MaXXX eternal tiare
Dio maturo
Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland
|
| Inviato: 18 Gen 2012 23:30 Oggetto: |
|
|
Eccomi  che ne pensi?
Result.txt |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 19 Gen 2012 18:37 Oggetto: |
|
|
Ciao.
Volevo vedere se c'era qualche partizione nascosta.
Le ultime varianti di Zero Access, (noto rootkit) oltre a infettare l'MBR, costruiscono piccole (pochi mb) partizioni nel disco rigido.
Sembra tutto a posto. (anche se non sono convinto al 100% )
Sarà come dici tu, i software leggono il grub invece del MBR.
E poi il tuo S.O è a 64 bit, e forse i software non sono proprio compatibili.
Se non riscontri anomalie, possiamo fermarci qui. |
|
| Top |
|
|
MaXXX eternal tiare
Dio maturo
Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland
|
| Inviato: 19 Gen 2012 21:07 Oggetto: |
|
|
Ho avuto un problema con la connessione internet su win (credo a causa della pennina vodafone impazzita) ho cambiato i dns e riabilitato la scheda di rete (se no non mi va nemmeno la pennina) a parte questo incidente il pc va bene se dici che posso stare tranquillo mi fido se ti vengono in mente altri test li faccio.
Grazie mille per tutto R16. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 19 Gen 2012 22:20 Oggetto: |
|
|
| Citazione: | | Ho avuto un problema con la connessione internet su win |
Ecco, il rootkit accennato, (Zero Access) oltre a infettare l'MBR, e creare una partizione nell'HD, ha il brutto vizio di distruggere la connessione.
Prova ad andare in "Gestione disco" :
| Citazione: | Start, scegliere Pannello di controllo, Sistema e manutenzione, Strumenti di amministrazione e quindi fare doppio clic su Gestione computer. Autorizzazioni di amministratore necessarie Se viene chiesto di specificare una password di amministratore o di confermare, digitare la password o confermare.
Nel riquadro di spostamento fare clic su Gestione disco |
E vedi se trovi una partizione di pochi mb. (di solito sono 2-3 mb ma può arrivare anche a 10)
Non confonderti con i kb (kilobyte)
Al limite, postami la schermata delle partizioni. |
|
| Top |
|
|
MaXXX eternal tiare
Dio maturo
Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland
|
| Inviato: 21 Gen 2012 17:23 Oggetto: |
|
|
| Ti posto lo screenshot di gestione disco Immagine5.png |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 21 Gen 2012 17:38 Oggetto: |
|
|
Non vedo niente di strano.
Per cui, se il pc funziona egregiamente......lasciamolo così.
Ovviamente, se risconti problemi, torna qui. |
|
| Top |
|
|
MaXXX eternal tiare
Dio maturo
Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland
|
| Inviato: 21 Gen 2012 17:46 Oggetto: |
|
|
| Ok, grazie mille R16 almeno ora ho un pc che funziona ed è sano. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10129
|
| Inviato: 21 Gen 2012 17:49 Oggetto: |
 |
|
 |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
