Olimpo Informatico

Mr Simpatia · Mortale adepto Registrato: 08/01/10 20:39 Messaggi: 31

Avira AntiVir mi segnala in continuazione il bloccaggio di file .tmp (con nomi sempre diversi) nella cartella C:\WINDOWS\Temp.. riconosciuti come cavallo di troia TR/Crypt.ZPACK.Gen

Il SO del mio pc è Windows XP ed ho installato Avira come antivirus

seguendo le indicazioni del forum ho:

- Pulito i file temporanei con CCleaner
- rimosso gli ADS con HiJackThis
- fatto una scansione con MBAM (nessuna infezione rilevata)
- installato la versione Free di SuperAntispyware (nessuna infezione rilevata)
- fatto una scansione con SystemScan

log MBAM:

mbam-log-2010-01-08 (17-12-32).rar

log SystemScan:

08_01_2010_18_36_report.zip

bdoriano

Ciao Mr Simpatia, Ciao

Avvia nuovamente SystemScan
metti il segno di spunta a I have read and agree. Please let me free to proceed e clicca su Proceed
clicca su Removal Script

Nel riquadro inserisci il seguente script:

Codice:

Registry values to delete:
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run | RegistryMonitor1

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EA44E81B-C717-4FB6-B1F6-43820D2F17A9}
HKEY_LOCAL_MACHINE\system\controlset001\services\Mrykaurts
HKLM\system\currentcontrolset\services\Mrykaurts

Drivers to unload:
Mrykaurts

e clicca Proceed with removal

******
Se dovessi ricevere l'errore Please copy and paste a valid script file, una volta incollato lo script in SystemScan (o Avenger), selezioni la prima riga, la cancelli e la ri-digiti. Fatto questo, dovrebbe tornare a funzionare.
******

Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.
Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di SystemScan.

Mr Simpatia · Mortale adepto Registrato: 08/01/10 20:39 Messaggi: 31

Ciao bdoriano
ho seguito la procedura che mi hai indicato ma dopo aver cliccato "Proceed with Removal" mi si sono aperte due finestre:

- FATAL ERROR (could not create script file)
- ERROR (error code:0 Error logged to errorlog.txt Aborting now!)

ho riavviato il pc ed ora con l'antivirus attivato non posso lanciare SystemScan (credo sia normale) mentre se disattivo l'antivirus mi si aprono nuovamente le due finestre di errore

PS: la cartella C:/avenger non contiene nesun file

cosa posso fare?

bdoriano

Proviamo con il tool "originale"...

Scarica The Avenger e scompattalo in una sua cartella.

Avvia il tool e segui queste istruzioni:

Compare la videata dell'avvertenza, clicca OK

Nella videata successiva:

togli il segno di spunta a Scan for rootkits

Inserisci il seguente script nel riquadro segnalato in rosso

Citazione:

Registry values to delete:
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run | RegistryMonitor1

Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EA44E81B-C717-4FB6-B1F6-43820D2F17A9}
HKEY_LOCAL_MACHINE\system\controlset001\services\Mrykaurts
HKLM\system\currentcontrolset\services\Mrykaurts

Drivers to delete:
Mrykaurts

Clicca Execute

Conferma l'avvio dell'operazione cliccando Si

Il pc dovrebbe riavviarsi, se così non fosse, riavvialo tu.

Al termine dell'operazione, posta qui il contenuto del file C:\Avenger.txt con un log aggiornato di SystemScan.

Mr Simpatia · Mortale adepto Registrato: 08/01/10 20:39 Messaggi: 31

anche qui dopo che clicco su "execute" compare finestra ERROR

Error: Invalid registry syntax in command:
"HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\RegistryMonitor1"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry value deletion mode)

dopo aver cliccato OK mi si apre una finestra:

CONTINUE?
Press OK to continue script execution or Cancel to abort.

.....che faccio???? Shocked

R16 · Dio maturo Registrato: 07/03/08 22:58 Messaggi: 10129

@bdoriano:
Questo tipo di chiave :"HKEY_USERS" non rientra nelle corde di Avenger. Razz

(te ne sei dimenticato Razz

) oppure, bisogna levare quella chiave dallo script.
Prova una scansione con Combofix:
Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224

Mr Simpatia · Mortale adepto Registrato: 08/01/10 20:39 Messaggi: 31

@ R1

...credo che il mio PC sia un disastro...

ho provato con Combofix ma nonostante:

- PC non collegato ad internet
- Avira disattivato (icona ombrello chiusa)
- Nessuna applicazione aperta

ottengo la seguente finestra:

ATTENZIONE!!
Combofix ha rilevato che il seguente scanner(s) in real time è attivo:
antivirus: Antivir Desktop
antivirus: Antivir Desktop
antivirus: Antivir Desktop
E' risaputo che gli antivirus e i software Hips interferiscono con.... ecc ecc.

Ho controllato con Task Manager ma anche qui l'applicazione Avira non è attiva....
che succede????

bdoriano

@R1:
hai parzialmente ragione... mi sono dimenticato di togliere le righe riferite a HKU... Razz

infatti, ho modificato il comando per la cancellazione dei drivers... ma non il resto. Laughing

@Mr Simpatia:
lo script giusto da utilizzare è il seguente:

Mr Simpatia · Mortale adepto Registrato: 08/01/10 20:39 Messaggi: 31

bene o male credo di esser riuscito a fare tutto...

Avenger:
avenger.txt

Log SystemScan:
report.txt

ComboFix:
log ComboFix.txt

Aspetto news Smile

bdoriano

Bene, ora fai una scansione completa con Avira e posta il log che verrà generato. Smile

Mr Simpatia · Mortale adepto Registrato: 08/01/10 20:39 Messaggi: 31

fatta scansione con Avira Smile

posto il log:

AVSCAN-20100110-234253-539A6360.LOG

bdoriano

Direi che siamo in dirittura d'arrivo... Razz

Disinstalla Combofix:
Clicca Start
Clicca Esegui...
Digita:

JeanGrey · Eroe in grazia degli dei Registrato: 21/12/08 22:00 Messaggi: 142

bdoriano

Grazie per la segnalazione, Jean! ok!

Mr Simpatia · Mortale adepto Registrato: 08/01/10 20:39 Messaggi: 31

OK ...ComboFix rimosso Very Happy

posto il log aggiornato di HijackThis appena wikisend smette di fare i capricci Sad

Mr Simpatia · Mortale adepto Registrato: 08/01/10 20:39 Messaggi: 31

finalmente ecco il log:

hijackthis.log

Mr Simpatia · Mortale adepto Registrato: 08/01/10 20:39 Messaggi: 31

domanda ulteriore:

- Continuo a ricevere alcune (molto meno frequenti) segnalazioni da avira riguardo TR/Crypt.ZPACK.Gen ...così ho fatto una scansione con mbam che ha effettivamente trovato tre elementi... dopo la scansione non ho più avuto segnalazioni.... allego il log:

mbam-log-2010-01-12 (23-49-48).txt

...il pc è ancora infetto o è stato infettato nuovamente???

- da un paio di settimane a questa parte Outlook express mi da errore in uscita dei messaggi di posta ma mi permette di riceverne.. dipende dall'infezione???

bdoriano

Scusa, sono stato impegnato per qualche giorno.
Stasera mi leggo i nuovi logs e vediamo come continuare.

Mr Simpatia · Mortale adepto Registrato: 08/01/10 20:39 Messaggi: 31

No problem ...e cmq grazie per le dritte.

Tra l'altro in questi giorni ho realizzato che il virus è entrato nel mio pc con una chiavetta USB infetta.

La stessa chiavetta ha infettato il pc di un mio amico (ben 12 virus), tra l'altro anche lui ha riscontrato lo stesso problema con Outlook express (errore in uscita)
...mi ha detto che ha risolto il problema con un antivirus che parte da CD così al riavvio riesce ad evitare che il virus si nasconda nei processi di Windows... dici dovrò ricorrere anche io a questa soluzione?

bdoriano

Purtroppo non riesco a scaricare i logs, causa problemi con wikisend.
Ci riprovo domani.

Per quanto riguarda il virus, lo possiamo eliminare tranquillamente con i soliti tools (dovrò farti riutilizzare combofix) senza la necessità di ricorrere ai cd autoavvianti.
Dovrai solo avere l'accortezza di disabilitare definitivamente l'autorun per evitare di cascari nuovamente. Wink