TR/Crypt.XPACK.Gen3 [era: probabile virus]

[orata71]

non so se ho fatto la ricerca in modo corretto è la prima volta che uso questo sito, l'ho inserito in Search è il risultato è questo...


User:
RyanMM
Reputation:
3 credits
Comment date:
2010-09-21 19:07:48 (UTC)
#Redbook.sys located in the #system32 / #drivers directory. Detected by TDSSKiller as a #rootkit. From the #TDSSKiller log:

2010/09/21 14:30:43.0484 redbook (43f64dbb7296ce330d300b0ff1dc0cd1) C:\WINDOWS\system32\DRIVERS\redbook.sys
2010/09/21 14:30:43.0484 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\redbook.sys. Real md5: 43f64dbb7296ce330d300b0ff1dc0cd1, Fake md5: b31b4588e4086d8d84adbf9845c2402b
2010/09/21 14:30:50.0125 Backup copy found, using it..
2010/09/21 14:30:50.0125 C:\WINDOWS\system32\DRIVERS\redbook.sys - will be cured after reboot
2010/09/21 14:30:50.0125 Rootkit.Win32.TDSS.tdl3(redbook) - User select action: Cure
2010/09/21 14:30:58.0046 Deinitialize success

Removing this file and this file alone restored the system to proper functionality, so I'm calling this malware.
Tags: Malware, Redbook, system32, drivers, rootkit, TDSSKiller, patched, lookslike
0b45979623b0ac774a9426c428954e7fb604fae0db187c402a f6052906f4099a

[orata71]

in ComboFix-quarantined-files

2010-10-22 15:21:14 . 2010-10-22 15:21:14 157 ----a-w- C:\Qoobox\Quarantine\Registry_backups\BHO-{ecdc465a-cf20-4b82-9a26-47c9dc52fa32}.reg.dat
2010-10-22 15:17:10 . 2010-10-22 15:17:10 8,710 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-10-22 15:10:20 . 2010-10-22 15:10:20 51 ----a-w- C:\Qoobox\Quarantine\catchme.log

[menatwork]

forse vedo male io

devi controllarmi il file in grassetto

c:\windows\system32\DRIVERS\55331401.sys

prova ad analizzarlo qui

[orata71]

scusami non riiesco a trovarlo...sono andato in C ho aperto la cartella window, la cartella system32 ho attivato la funzione cerca per tovare il file 55331401.sys ma la ricerca da sempre esito negativo (ho anche attivato visualizza cartelle e file nascsti)
c:\windows\system32\DRIVERS\55331401.sys

[menatwork]

quindi non lo trovi....va bene

scarica antivir_rootkit

scompattalo

clicca su ''start scan''

quando finisce vai in basso su ''view report'' e copia il rapporto che rilascia


poi....

Scarica e installa malwarebytes.
http://www.malwarebytes.org/
Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completa, fai clic su OK => Mostra i Risultati.
Assicurarti che tutto sia selezionato e clicca clic su Rimuovi selezionati.
Se ti chiede di riavviare, riavvia per completare il processo di pulizia.
Posta il rapporto .

[orata71]

ciao scusami ma hoavuto problemi con il collegamento ad internet che spero di aver risolto. Malwarebytes' Anti-Malware non ha ancora completato la scansione inoltre in D ho trovato una cartella RECYCLER....

[menatwork]

non preoccuparti la cartella ''Recycler" è la cartella del cestino

hai fatto anche l'altra scansione?

[orata71]

ciao scusami ancora ma Malwarebytes' Anti-Malware si era bloccato è dovuto riavviarlo, l'altro programma l'ho aperto ma non funzionava. appena finisce posto tutto

[orata71]

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versione database: 4914

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

22/10/2010 22.42.26
mbam-log-2010-10-22 (22-42-26).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi esaminati: 201660
Tempo trascorso: 1 ore, 8 minuti, 43 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)

[orata71]

antivir rootkit l'ho scaricato da internet dal tuo collegamento ma non funziona, comunque come antivirus ho Avast 5 che mi sembra che sia anche un anti rootkit