Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 5 su 5
  1. 02-01-2009, 19:54 #1
    rck969
    rck969 non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2009
    Messaggi
    3

    crypt.xpak anche io

    Ciao a tutti

    helpme!!

    ho lo stesso problema e facendo la scansione ho avuto questo log.



    Malwarebytes' Anti-Malware 1.31
    Versione del database: 1456
    Windows 5.1.2600 Service Pack 2

    02/01/2009 18.45.31
    mbam-log-2009-01-02 (18-45-06).txt

    Tipo di scansione: Scansione completa (C:\|D:\|)
    Elementi scansionati: 123824
    Tempo trascorso: 33 minute(s), 8 second(s)

    Processi delle memoria infetti: 0
    Moduli della memoria infetti: 0
    Chiavi di registro infette: 14
    Valori di registro infetti: 3
    Elementi dato del registro infetti: 1
    Cartelle infette: 0
    File infetti: 1

    Processi delle memoria infetti:
    (Nessun elemento malevolo rilevato)

    Moduli della memoria infetti:
    (Nessun elemento malevolo rilevato)

    Chiavi di registro infette:
    HKEY_CLASSES_ROOT\xbtb03021.ietoolbar (Adware.SoftMate) -> No action taken.
    HKEY_CLASSES_ROOT\TypeLib\{77aa25e8-6083-4949-a831-9cb11861dc10} (Adware.SoftMate) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{9ebb289a-2d7b-465b-825f-1530b813e95a} (Adware.SoftMate) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{cd5c92ae-97b0-4bc3-ba65-ba0308d543bf} (Adware.SoftMate) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{0c0e5fd9-b58d-4321-ba3b-6620e7565c22} (Adware.SoftMate) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{0c0e5fd9-b58d-4321-ba3b-6620e7565c22} (Adware.SoftMate) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{0c0e5fd9-b58d-4321-ba3b-6620e7565c22} (Adware.SoftMate) -> No action taken.
    HKEY_CLASSES_ROOT\xbtb03021.ietoolbar.1 (Adware.SoftMate) -> No action taken.
    HKEY_CLASSES_ROOT\xbtb03021.xbtb03021 (Adware.SoftMate) -> No action taken.
    HKEY_CLASSES_ROOT\xbtb03021.xbtb03021.3 (Adware.SoftMate) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
    HKEY_CLASSES_ROOT\URLSearchHook.ToolbarURLSearchHo ok (Adware.DosPopToolbar) -> No action taken.

    Valori di registro infetti:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{b7d3e479-cc68-42b5-a338-938ece35f419} (Adware.SoftMate) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\explorer.exe (Trojan.Agent) -> No action taken.

    Elementi dato del registro infetti:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

    Cartelle infette:
    (Nessun elemento malevolo rilevato)

    File infetti:
    C:\Programmi\Freeze.com Toolbar\freeze_int.dll (Adware.SoftMate) -> No action taken.
    Rispondi quotando Rispondi quotando
  2. 02-01-2009, 21:07 #2
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    ciao, per ora ho diviso il il thread
    la prossima volta aprine uno nuovo..
    la discussione a cui fai riferimento è questa: http://forum.html.it/forum/showthrea...readid=1293246


    elimina quanto trovato da malearebytes


    poi, scarica SystemScan - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

    carica il rapporto che trovi sul desktop su Freefilehosting e posta il link ottenuto.

    nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  3. 03-01-2009, 11:56 #3
    rck969
    rck969 non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2009
    Messaggi
    3

    Rimuovere trojans TR/crypt.XPACK.Gen e Vundo.Gen

    Scusami per non aver aperto un altra discussione

    il link ottenuto è il seguente:
    http://freefilehosting.net/download/43h03

    Grazie
    Rispondi quotando Rispondi quotando
  4. 03-01-2009, 16:06 #4
    Deifobe
    Deifobe non è in linea
    Utente di HTML.it L'avatar di Deifobe
    Registrato dal
    Oct 2007
    Messaggi
    6,072
    se hai una pen usb, collegala al pc tenendo premuto il tasto shift (sopra ctrl)

    Scarica ed esegui Avenger e nella finestra che si apre copia/incolla:

    files to delete:
    C:\sqmnoopt03.sqm
    C:\sqmdata03.sqm
    C:\sqmdata02.sqm
    C:\sqmnoopt02.sqm
    C:\sqmnoopt01.sqm
    C:\sqmdata01.sqm
    C:\sqmnoopt00.sqm
    C:\sqmdata00.sqm
    C:\sqmnoopt19.sqm
    C:\sqmdata19.sqm
    C:\sqmdata18.sqm
    C:\sqmnoopt18.sqm
    C:\WINDOWS\expiorer.exe
    C:\WINDOWS\system32\gasretyw0.dll
    C:\WINDOWS\temp\scs5.tmp
    C:\WINDOWS\temp\scs4.tmp
    C:\WINDOWS\temp\scs3.tmp
    C:\WINDOWS\temp\scs14.tmp
    C:\WINDOWS\temp\scs2.tmp
    C:\WINDOWS\temp\scs1.tmp
    C:\WINDOWS\system32\nyh9ok.exe
    C:\WINDOWS\system32\2u.com
    C:\WINDOWS\nyh9ok.exe
    C:\WINDOWS\2u.com
    C:\nyh9ok.exe
    C:\2u.com
    C:\WINDOWS\autorun.inf
    D:\autorun.inf
    D:\WINDOWS\2u.com
    D:\nyh9ok.exe
    D:\2u.com
    D:\amvo.exe
    C:\autorun.inf
    C:\gasretyw0.dll
    C:\WINDOWS\system32\amvo.exe
    C:\WINDOWS\system32\kamsoft.exe
    C:\WINDOWS\system32\vamsoft.exe
    C:\WINDOWS\svchost.exe
    C:\WINDOWS\system32\haozs2.dll

    registry values to replace with dummy:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | load

    registry values to delete:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks | {C5F43BEF-CE2F-46D8-AFE6-A647BACD1F09}
    Spunta "Automatically disable any rootkits found" e clicca su "execute". Il pc si riavvierà.



    apri un file di testo e copiaci dentro:

    Windows Registry Editor Version 5.00

    [HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
    "amva"=-
    "kamsoft"=-
    "wsctf.exe"=-
    "vamsoft"=-

    [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
    "vamsoft"=-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    "AntiVirusDisableNotify"=dword:00000000
    "FirewallDisableNotify"=dword:00000000

    [-HKEY_CLASSES_ROOT\CLSID\{C5F43BEF-CE2F-46D8-AFE6-A647BACD1F09}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
    "DisableSR"=dword:00000000
    ;
    salvalo come:
    nome: fix.reg
    tipo di file: tutti i file

    chiudi ed eseguilo. accetta le modifiche

    visualizza i file nascosti..
    vai su Virustotal e analizza i due file:
    C:\DOCUME...\ANNAPA...\IMPOST....\Temp\GLB1A2B.EXE
    C:\DOCUME...\ANNAPA...\IMPOST....\Temp\SEVINST.EXE

    posta i link delle analisi

    posta un nuovo systemscan
    ...
    :x:_::_:*:_::_: )(:_:*:_:*:__::_:°FM°:_: )(:_:*:_:x:___
    Rispondi quotando Rispondi quotando
  5. 05-01-2009, 02:38 #5
    rck969
    rck969 non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2009
    Messaggi
    3
    Ecco i link:

    http://www.virustotal.com/it/analisi...dabe0c4995c3e0
    http://www.virustotal.com/it/analisi...31c5dec638a3d8

    http://freefilehosting.net/download/43i7b

    sempre grazie!!
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.