PDA

Visualizza la versione completa : Rimozione TR/Crypt.XPACK.Gen2 da scheda di memoria


Adlin_84
14-08-2010, 16:34
Ciao, ho un problema con la scheda di memoria della macchina fotografica.
Ho collegato la macchina al pc per scaricare le foto, ma Avira mi ha segnalato la presenza di TR/Crypt.XPACK.Gen2. Ho provato a riparare seguendo le indicazioni dell'antivirus ma non c'è stato niente da fare, ogni volta che collego la macchina il virus risulta presente.
Su pc l'ho rimosso, a quanto pare (ho fatto la scansione con Avira, e alla seconda volta non ha trovato niente), ma con la scheda di memoria non so che fare: ho provato anche a fare la scansione con Malwarebytes, ma in questo caso non risulta esserci niente.
Avete consigli? Grazie mille!

amvinfe
14-08-2010, 20:15
ciao,

tenendo premuto il tatso SHIFT (maiuscolo) della tastiera inserisci il tuo supporto removibile, nel caso l'antivirus riconosca nuovamente il malware segui le indicazioni che Avira ti suggerirà.

Sempre con il cavo della macchina collegato scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file. Portati su www.wikisend.com carica il file con estensione .zip e scrivi l'URL nella tua prossima risposta.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disattivato.


SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

Adlin_84
14-08-2010, 23:26
Anche tenendo premuto shift ha continuato a venire fuori la segnalazione di Antivir.

Ecco il file: 14_08_2010_23_23_report.zip (http://wikisend.com/download/458640/14_08_2010_23_23_report.zip)

amvinfe
15-08-2010, 11:24
con Avira disattivato e senza connessione internet

==
Apri il blocco note, scrivi lo script riportato qui sotto:



Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load\mswinvks]
;


clicca in alto a sx su File e successivamente su "Salva con nome" > Al fianco di "Nome file" scrivi fix.reg > Al fianco di "Salva come" seleziona (dal menu a tendina) "Tutti i file (*.*)" Il file va salvato sul desktop

esegui il file fix.reg, accetta l'unione al registro ma non riavviare il computer

==
Apri SystemScan clicca poi su Removal Script. All'interno della finestra copia/incolla i valori riportati qui sotto:



Files to delete:
C:\WINDOWS\system32\mswinvks.exe


Clicca su "Proceed with removal", dopo il riavvio portati in C:\ copia/incolla il contenuto del file avenger.txt allega un nuovo report di SystemScan

Adlin_84
15-08-2010, 14:51
(Avevo collegato la macchina fotografica)

Testo del file avenger.txt:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\mwdguvda

*******************

Script file located at: \??\C:\WINDOWS\wajvdjiv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\mswinvks.exe not found!
Deletion of file C:\WINDOWS\system32\mswinvks.exe failed!

Could not process line:
C:\WINDOWS\system32\mswinvks.exe
Status: 0xc0000034

Program C:\Documents and Settings\Linda\Desktop\sys12922.exe successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

Report di System scan --> 15_08_2010_14_46_report.zip (http://wikisend.com/download/510538/15_08_2010_14_46_report.zip)

amvinfe
15-08-2010, 23:33
aggiorna Malwarebytes, disconnettiti da internet.

Inserisci la macchina fotografica, disattiva Avira e lancia una scansione completa con Malwarebytes, elimina i valori infetti.
Riavvia ed esegui una nuova scansione con SystemScan, scrivimi l'URL per scaricare il report.

Grazie.

Adlin_84
16-08-2010, 01:39
Malwarebytes, anche se l'ho aggiornato, non ha trovato niente. Questo il report:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4434

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16/08/2010 1.08.57
mbam-log-2010-08-16 (01-08-57).txt

Scan type: Full scan (C:\|E:\|)
Objects scanned: 238392
Time elapsed: 50 minute(s), 21 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


Per quanto riguarda il file di Systemscan, ecco l'url --> 16_08_2010_01_36_report.zip (http://wikisend.com/download/491572/16_08_2010_01_36_report.zip)

amvinfe
16-08-2010, 20:04
collegati su http://www.pandasecurity.com/activescan/index/ effettua una scansione on-line, copia/incolla il risultato.

Grazie

Adlin_84
17-08-2010, 01:22
Esporta in:
Minacce con disinfezione gratuita (0)
Minacce (6)
Livello di pericolo basso (6)
Cookie/Atwola Cookie di tracking
Latente
Nascondi + Info
1. c:\documents and settings\linda\cookies\linda@atwola[1].txt
Cookie/Serving... Cookie di tracking
Latente
Nascondi + Info
1. c:\documents and settings\linda\cookies\linda@bs.serving-sys[2].txt
Cookie/Serving... Cookie di tracking
Latente
Nascondi + Info
1. c:\documents and settings\linda\cookies\linda@serving-sys[2].txt
Cookie/RealMed... Cookie di tracking
Latente
Nascondi + Info
1. c:\documents and settings\linda\cookies\linda@247realmedia[2].txt
Cookie/Atlas D... Cookie di tracking
Latente
Nascondi + Info
1. c:\documents and settings\linda\cookies\linda@atdmt[2].txt
Cookie/PointRo... Cookie di tracking
Latente
Nascondi + Info
1. c:\documents and settings\linda\cookies\linda@ads.pointroll[2].txt
File sospetti (5)
e:\dupler\kromirani.exe
c:\documents and settings\linda\desktop\sys12922.exe[runme.exe]
c:\documents and settings\linda\desktop\sys12922.exe
c:\documents and settings\administrator\desktop\removal tool\rkill.com
c:\documents and settings\administrator\desktop\removal tool\combofix.exe

amvinfe
17-08-2010, 02:04
se l'unità E:\ fa riferimento alla memoria della macchina fotografica allora il file e:\dupler\kromirani.exe potrebbe essere la causa dell'infezione, la cosa che mi sorprende è che nei vari report di SystemSca nessuna unità E:\ è presente.

Fai controllare il file su www.virustotal.com e posta il risultato, grazie

e:\dupler\kromirani.exe

Loading