Virus TR/ATRAPS.Gen2

[Albe9]

Ciao a tutti,

è da qualche giorno che il mio antivirus AVIRA mi segnala la presenzza di virus (TR/ATRAPS.Gen2 - TR/Sirefef.AG.35 - TR/Sirefef.P.466) che vengono spostati in quarantena e cancellati, per poi ricrearsi nella stessa cartella dieci minuti dopo
cartella:
C:\Windows\Installer\{e68f4ec1-243f-8561-6e9e-f3a22a9074b7}\U
file:
00000001.@
80000000.@
800000cb.@

il software avira è aggiornato alla versione 12.0
il pc è Windows 7 Home Premium 32bit.

mi potete aiutare per cortesia a ripulire il pc?
scusate se ho tralasicato qualche informazione ma sono nuovo del forum.

grazie, ciao
Alberto

[vnt54]

Intanto prova a disattivare il ripristino,poi,entra in modalità provvisoria ed avvia la scansione,una volta fatto il tutto riavvia in modo normale e guarda se si ricreano le stesse condizioni,eventualmente procediamo in altro modo.

[Albe9]

Ho fatto quanto mi hai suggerito ed al riavvio avira ha rilevato le stesse condizioni, quì sotto il log di fine scansione.
spero di uscirne sano e salvo, non vorrei formattare il tutto! :-(
grazie mille per il supporto.
ciao


--------------------------------------------------
--------------------------------------------------


Avira Free Antivirus
Data del file di report: sabato 9 giugno 2012 19:16

Ricerca di 3808873 virus e programmi indesiderati.

Il programma funziona come versione completa e illimitata.
I servizi online sono disponibili.

Concesso in licenza a : Avira AntiVir Personal - Free Antivirus
Numero di serie : 0000149996-ADJIE-0000001
Piattaforma : Windows 7
Versione di Windows : (Service Pack 1) [6.1.7601]
Modalità di avvio : Modalità provvisoria
Nome utente : A
Nome computer : PC-A

Informazioni sulla versione:
BUILD.DAT : 12.0.0.157 41963 Bytes 03/02/2012 18:36:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 18/02/2012 08:19:08
AVSCAN.DLL : 12.1.0.18 63440 Bytes 18/02/2012 08:19:07
LUKE.DLL : 12.1.0.19 68304 Bytes 18/02/2012 08:19:09
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 10/05/2012 17:22:19
AVREG.DLL : 12.3.0.17 232200 Bytes 10/05/2012 17:22:18
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 23:37:03
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 18:52:45
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 18:56:11
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 09:05:11
VBASE005.VDF : 7.11.29.136 2166272 Bytes 10/05/2012 17:22:14
VBASE006.VDF : 7.11.29.137 2048 Bytes 10/05/2012 17:22:14
VBASE007.VDF : 7.11.29.138 2048 Bytes 10/05/2012 17:22:14
VBASE008.VDF : 7.11.29.139 2048 Bytes 10/05/2012 17:22:15
VBASE009.VDF : 7.11.29.140 2048 Bytes 10/05/2012 17:22:15
VBASE010.VDF : 7.11.29.141 2048 Bytes 10/05/2012 17:22:15
VBASE011.VDF : 7.11.29.142 2048 Bytes 10/05/2012 17:22:15
VBASE012.VDF : 7.11.29.143 2048 Bytes 10/05/2012 17:22:15
VBASE013.VDF : 7.11.29.144 2048 Bytes 10/05/2012 17:22:15
VBASE014.VDF : 7.11.30.3 198144 Bytes 14/05/2012 18:16:52
VBASE015.VDF : 7.11.30.69 186368 Bytes 17/05/2012 18:16:55
VBASE016.VDF : 7.11.30.143 223744 Bytes 21/05/2012 18:06:48
VBASE017.VDF : 7.11.30.207 287744 Bytes 23/05/2012 18:07:15
VBASE018.VDF : 7.11.31.57 188416 Bytes 28/05/2012 18:28:06
VBASE019.VDF : 7.11.31.111 214528 Bytes 30/05/2012 18:28:11
VBASE020.VDF : 7.11.31.151 116736 Bytes 31/05/2012 16:50:04
VBASE021.VDF : 7.11.31.205 134144 Bytes 03/06/2012 09:30:49
VBASE022.VDF : 7.11.32.9 169472 Bytes 05/06/2012 15:34:38
VBASE023.VDF : 7.11.32.10 2048 Bytes 05/06/2012 15:34:38
VBASE024.VDF : 7.11.32.11 2048 Bytes 05/06/2012 15:34:38
VBASE025.VDF : 7.11.32.12 2048 Bytes 05/06/2012 15:34:38
VBASE026.VDF : 7.11.32.13 2048 Bytes 05/06/2012 15:34:39
VBASE027.VDF : 7.11.32.14 2048 Bytes 05/06/2012 15:34:39
VBASE028.VDF : 7.11.32.15 2048 Bytes 05/06/2012 15:34:39
VBASE029.VDF : 7.11.32.16 2048 Bytes 05/06/2012 15:34:39
VBASE030.VDF : 7.11.32.17 2048 Bytes 05/06/2012 15:34:40
VBASE031.VDF : 7.11.32.78 152064 Bytes 08/06/2012 18:06:53
Motore : 8.2.10.80
AEVDF.DLL : 8.1.2.8 106867 Bytes 01/06/2012 16:50:13
AESCRIPT.DLL : 8.1.4.24 450939 Bytes 01/06/2012 16:50:13
AESCN.DLL : 8.1.8.2 131444 Bytes 12/02/2012 18:59:50
AESBX.DLL : 8.2.5.10 606580 Bytes 30/05/2012 18:29:46
AERDL.DLL : 8.1.9.15 639348 Bytes 14/12/2011 23:36:18
AEPACK.DLL : 8.2.16.16 807288 Bytes 30/05/2012 18:29:34
AEOFFICE.DLL : 8.1.2.28 201082 Bytes 29/04/2012 16:24:59
AEHEUR.DLL : 8.1.4.36 4874615 Bytes 01/06/2012 16:50:12
AEHELP.DLL : 8.1.21.0 254326 Bytes 11/05/2012 17:21:26
AEGEN.DLL : 8.1.5.28 422260 Bytes 29/04/2012 16:24:49
AEEXP.DLL : 8.1.0.44 82293 Bytes 30/05/2012 18:29:47
AEEMU.DLL : 8.1.3.0 393589 Bytes 14/12/2011 23:36:14
AECORE.DLL : 8.1.25.10 201080 Bytes 01/06/2012 16:50:08
AEBB.DLL : 8.1.1.0 53618 Bytes 14/12/2011 23:36:14
AVWINLL.DLL : 12.1.0.17 27344 Bytes 16/12/2011 08:51:16
AVPREF.DLL : 12.1.0.17 51920 Bytes 16/12/2011 08:51:13
AVREP.DLL : 12.3.0.15 179208 Bytes 10/05/2012 17:22:19
AVARKT.DLL : 12.1.0.23 209360 Bytes 18/02/2012 08:19:06
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 16/12/2011 08:51:12
SQLITE3.DLL : 3.7.0.0 398288 Bytes 16/12/2011 08:51:24
AVSMTP.DLL : 12.1.0.17 62928 Bytes 16/12/2011 08:51:14
NETNT.DLL : 12.1.0.17 17104 Bytes 16/12/2011 08:51:22
RCIMAGE.DLL : 12.1.0.13 4449488 Bytes 14/12/2011 23:37:27
RCTEXT.DLL : 12.1.1.16 98768 Bytes 16/12/2011 08:51:31

Impostazioni di configurazione per la scansione attuale:
Nome del job................................: Scansione completa del sistema
File di configurazione......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Report......................................: standard
Azione primaria.............................: ripara
Azione secondaria...........................: elimina
Scansione dei record master di avvio........: Attivo
Scansiona record di avvio...................: Attivo
Record di avvio.............................: C:, E:,
Scansione dei programmi attivi..............: Attivo
Processo esteso di scansione................: Attivo
Scansiona la registrazione..................: Attivo
Cerca Rootkits..............................: Attivo
Controllo di integrità dei file di sistema..: Non attivo
Modalità di scansione file..................: Tutti i file
Scansione degli archivi.....................: Attivo
Limita la profondità di ricorsione..........: 20
Archivio estensioni Smart...................: Attivo
Macro euristico.............................: Attivo
File euristico..............................: avanzato
Categorie irregolari delle minacce..........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Avvio della scansione: sabato 9 giugno 2012 19:16

Avvio della scansione dei record master di avvio:
Record master di avvio dell'Hard Disk 0
[INFO] Nessun virus è stato trovato!

Avvio della scansione dei record di avvio:
Record di avvio 'C:\'
[INFO] Nessun virus è stato trovato!
Record di avvio 'E:\'
[INFO] Nessun virus è stato trovato!

È stata avviata la scansione per accertare la presenza di oggetti nascosti.
Non è stato possibile inizializzare il driver.

La scansione dei processi in esecuzione verrà avviata:
Scansione processo 'avscan.exe' - '70' modulo(i) scansionato(i)
Scansione processo 'avcenter.exe' - '114' modulo(i) scansionato(i)
Scansione processo 'ctfmon.exe' - '21' modulo(i) scansionato(i)
Scansione processo 'Explorer.EXE' - '151' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '22' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '28' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '49' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '26' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '30' modulo(i) scansionato(i)
Scansione processo 'svchost.exe' - '51' modulo(i) scansionato(i)
Scansione processo 'winlogon.exe' - '23' modulo(i) scansionato(i)
Scansione processo 'lsm.exe' - '16' modulo(i) scansionato(i)
Scansione processo 'lsass.exe' - '57' modulo(i) scansionato(i)
Scansione processo 'services.exe' - '35' modulo(i) scansionato(i)
Scansione processo 'wininit.exe' - '21' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '16' modulo(i) scansionato(i)
Scansione processo 'csrss.exe' - '16' modulo(i) scansionato(i)
Scansione processo 'smss.exe' - '2' modulo(i) scansionato(i)

Avvio della scansione dei file eseguibili (registro):
Il registro è stato scansionato ( 3821 file ).


Avvio della scansione del file selezionati:

Inizia con la scansione di 'C:\' <Windows7>
C:\Users\Alberto\AppData\LocalLow\Sun\Java\Deploym ent\cache\6.0\52\1ed57af4-3421e018
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Dldr.Karagany.I.44
[NOTA] È stato creato un backup con nome '555c03c2.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\Users\Alberto\Desktop\Adobe.Photoshop.CS5.Exten ded.v12.0.Keymaker-EMBRACE.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Keygen.1324
[NOTA] È stato creato un backup con nome '4dbe21ad.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\Windows\Installer\{e68f4ec1-243f-8561-6e9e-f3a22a9074b7}\U\00000001.@
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Small.FI
[NOTA] È stato creato un backup con nome '1fa07c0c.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\Windows\Installer\{e68f4ec1-243f-8561-6e9e-f3a22a9074b7}\U\80000000.@
[RILEVAMENTO] Si tratta del cavallo di Troia TR/Sirefef.AG.35
[NOTA] È stato creato un backup con nome '799733ce.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\Windows\Installer\{e68f4ec1-243f-8561-6e9e-f3a22a9074b7}\U\800000cb.@
[RILEVAMENTO] Si tratta del cavallo di Troia TR/ATRAPS.Gen2
[NOTA] È stato creato un backup con nome '3c131ef0.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
C:\Windows\SoftwareDistribution\Download\b1b8fc3f0 4cd4bb426ec86cb7356eaaea8ebd802
[0] Tipo di archivio: Portable Executable Resource
--> object
[1] Tipo di archivio: CAB (Microsoft)
--> WriterProdLang.7z
[2] Tipo di archivio: 7-Zip
--> WriterProdLang.cab
[3] Tipo di archivio: CAB (Microsoft)
--> writerprodlang.msi
[AVVISO] Impossibile leggere il file!
--> object
[1] Tipo di archivio: CAB (Microsoft)
--> LanguageSelector64.7z
[2] Tipo di archivio: 7-Zip
--> LanguageSelector64.cab
[3] Tipo di archivio: CAB (Microsoft)
--> LanguageSelector64.msi
[AVVISO] Impossibile leggere il file!
Inizia con la scansione di 'E:\' <Data>
E:\Barbara\Adobe CS5\Adobe.Photoshop.CS5.Extended.v12.0.Keymaker-EMBRACE.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Keygen.1324
[NOTA] È stato creato un backup con nome '43492e60.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
E:\Programmi Vari\Adobe CS5\Adobe.Photoshop.CS5.Extended.v12.0.Keymaker-EMBRACE.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Keygen.1324
[NOTA] È stato creato un backup con nome '0ff1007f.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
E:\_Appo Chiavette\16\A\Rossana\CS5\Adobe CS5\Adobe.Photoshop.CS5.Extended.v12.0.Keymaker-EMBRACE.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/Tool.Keygen.1324
[NOTA] È stato creato un backup con nome '73e951ee.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.
E:\_Appo Chiavette\16\Posta\PST_mail\VARIE\piano rilascio.msg
[0] Tipo di archivio: OLE
--> Object
[1] Tipo di archivio: ZIP
--> Demone per OTXPDC002/Disptcher/nc.exe
[RILEVAMENTO] Contiene il modello di rilevamento del programma SPR/RemoteAdmin.Net
[NOTA] È stato creato un backup con nome '5ec55c77.qua' ( QUARANTENA )
[NOTA] Il file è stato eliminato.


Fine della scansione: sabato 9 giugno 2012 21:15
Tempo impiegato: 1:59:02 Ora(e)

La scansione è stata completamente eseguita.

30890 Directory scansionate
1096333 I file sono stati scansionati
9 Rilevati virus e/o programmi indesiderati
0 I file sono stati classificati come sospetti
9 I file sono stati eliminati
0 I virus o i programmi indesiderati sono stati riparati
9 File spostati in quarantena
0 File rinominati
0 Impossibile scansionare i file
1096324 File non infetti
11246 Archivi scansionati
2 Avvisi
9 Note

[vnt54]

Elimina quel keymaker,ho l'impressione che sia proprio quello.scarica malwarebytes
funzionante per 15 giorni,installa,aggiorna esegui la scansione in modalità provvissoria
(è importante)e disattiva per il momento ripristino del sistema.
Ci aggiorniamo.

[Albe9]

OK faccio come dici, per completezza, il file Keymaker è sul pc da anni e non ho mai riscontrato problemi.
L'ultimo software installato pochi giorni fa è il Portable Executable Resource.
Il ripristino del sistema è ancora disattivato dalla prima scansione che mi hai fatto fare.
ciao e grazie
A

[Albe9]

Ciao, nonostante aver eseguito i passi richiesti ed eliminato alcuni file (vedi log sotto), al riavvio in modalità "normale" i file continuano a rigenerarsi come da prima segnalazione.

"è da qualche giorno che il mio antivirus AVIRA mi segnala la presenzza di virus (TR/ATRAPS.Gen2 - TR/Sirefef.AG.35 - TR/Sirefef.P.466) che vengono spostati in quarantena e cancellati, per poi ricrearsi nella stessa cartella dieci minuti dopo
cartella:
C:\Windows\Installer\{e68f4ec1-243f-8561-6e9e-f3a22a9074b7}\U
file:
00000001.@
80000000.@
800000cb.@
"

-----------------------------------
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Versione database: v2012.06.10.01

Windows 7 Service Pack 1 x86 NTFS (Modalità provvisoria)
Internet Explorer 9.0.8112.16421
Alberto :: PC-ALBERTO [amministratore]

10/06/2012 9.30.58
mbam-log-2012-06-10 (09-30-58).txt

Tipo di scansione: Scansione completa
Opzioni di scansione attive: Memoria | Esecuzione automatica | Registro | File system | Euristica/Extra | Euristica/Shuriken | PUP | PUM
Opzioni di scansione disattivate: P2P
Elementi esaminati: 445166
Tempo impiegato: 43 minuti, 36 secondi

Processi rilevati in memoria: 0
(non sono stati rilevati elementi nocivi)

Moduli di memoria rilevati: 0
(non sono stati rilevati elementi nocivi)

Chiavi di registro rilevate: 0
(non sono stati rilevati elementi nocivi)

Valori di registro rilevati: 0
(non sono stati rilevati elementi nocivi)

Voci rilevate nei dati di registro: 1
HKCR\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Cattivo: (C:\Users\Alberto\AppData\Local\{e68f4ec1-243f-8561-6e9e-f3a22a9074b7}\n.) Buono: (%SystemRoot%\system32\shdocvw.dll) -> Spostato in quarantena e riparato con successo.

Cartelle rilevate: 0
(non sono stati rilevati elementi nocivi)

File rilevati: 8
C:\Users\Alberto\AppData\Local\Microsoft\Windows\T emporary Internet Files\Content.IE5\ENMI8CMU\8[1].exe (Heuristics.Shuriken) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Alberto\AppData\Local\{e68f4ec1-243f-8561-6e9e-f3a22a9074b7}\n (Rootkit.0Access) -> Verrà eliminato al riavvio.
C:\Users\Alberto\Downloads\SoftonicDownloader_per_ atube-catcher.exe (PUP.OfferBundler.ST) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Alberto\Downloads\SoftonicDownloader_per_ format-factory.exe (PUP.ToolbarDownloader) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Alberto\Downloads\SoftonicDownloader_per_ freemake-video-downloader.exe (PUP.OfferBundler.ST) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Alberto\Downloads\SoftonicDownloader_per_ vdownloader.exe (PUP.OfferBundler.ST) -> Spostato in quarantena ed eliminato con successo.
C:\Windows\Installer\{e68f4ec1-243f-8561-6e9e-f3a22a9074b7}\n (Rootkit.0Access) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Public\Desktop\MP3 Downloader.lnk (Rogue.Link) -> Spostato in quarantena ed eliminato con successo.

(fine)


-----------------------------------

[vnt54]

Hai installato malwarebytes?

[Albe9]

si, nell arisposta precedente ho incluso pure il log di fine scansione.

[R16]

Ciao a tutti.
Scusate l'intrusione, ma vorrei solo precisare che l'utente Albe9 ha imbarcato, l'infezione più "rognosa" della rete.
(Rootkit.0Access)

Il metodo più rapido e sicuro, è la formattazione.

Si può anche eseguire la bonifica manuale, ma questo richiede: pazienza (molta) e tempo (di più), in quanto si devono eseguire svariate scansioni.
Inoltre, questa infezione durante la bonifica, può distruggere (nel vero senso della parola) la connessione, l'MBR, e altri file di sistema.

Sarà decisisione dell'utente (Albe9) quale strada scegliere.
Ciao a tutti.

[Albe9]

Grazie R16 per il supporto, anche se solo a pensare di formattare e reinstallare tutto tutto mi viene male, anche perchè quando avevo preso il pc era installato Vista, dopodichè sono passato a 7 con dei dvd che hanno permesso ilpassaggio direttamente da Vista.

nel fare il backup dei dati, per poi ricopiarmeli post nuova installazione, non rischio di riportarmi in casa il virus?

altra domanda, come ho fatto ad imbarcarmi questo virus che ho avire sempre aggiornato?


scusate le mille domande ma sono nella "palta" fino al collo..

grazie a tutti
ciao
A