TR/Crypt.XPACK.Gen [trojan]

[ayeye82]

Ciao, scusate ma ho un problema con questo maledetto virus.

Dunque, vi dico cosa ho fatto/è successo tra ieri e oggi.

- Scansione con Avira Antivir: ieri tramite lo SCANNER dell'intero sistema mi ha trovato diverse minacce che ho messo in quarantena ed eliminato; ho effettuato anche una scansione in modalità provvisoria, anche qui trovato un file infetto e cancellato dopo una breve quarantena; nelle ultime scansioni fatte non mi ha trovato più nulla tramite lo SCANNER;

- scansionato l'intero sistema con MALWAREBYTES, trovato nulla;

- ieri ho fatto una scansione con COMBOFIX (seguendo alcuni consigli trovati nel web): al termine del procedimento mi ha trovato (e cancellato) solo un autorun.inf;

Ora, i sintomi odierni: se non sono online non accade nulla. Quando navigo in internet, invece, il GUARD di Avira Antivir mi rileva queste minacce:
* C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\ENNVBPGK\vtcsgtvs[1].gif
* C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\RAW84UG6\aalpkiel[1].gif
* C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\KMI6EFA0\hiehmlr[1].bmp
* C:\WINDOWS\system32\x
Tutte naturalmente bloccate da avira (deny access).
Vi posto il log di HijackThis (se volete e se serve poi vi posto anche quello di Scansystem...)

codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05, on 2009-03-31
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1196941788208
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1196942003408
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B630899-1290-4DC7-8A85-0C679AC89E18}: NameServer = 151.99.125.3,151.99.125.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{457712E0-A615-4E3F-9858-F122CDB79794}: NameServer = 151.99.125.3,151.99.125.2
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Programmi\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe

--
End of file - 4995 bytes

Non so più che fare...
Spero di esser stato esauriente, aspetto consigli, grazie in anticipo

ps ho già disattivato da windows il ripristino di sistema...
ps2 ho pravato anche la scansione online di kasperky, ma mi si è malamente bloccato tutto...

[amvinfe]

Ciao,

scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su "Scan Now" al termine della scansione verranno rilasciati (sempre sul desktop all'interno della cartella suspectfile) due file.
Vai su http://www.freefilehosting.net carica il file con estensione .zip e scrivi, nella tua prossima replica l'URL per poterlo scaricare.

Ricordati d'effettuare la scansione senza connessione attiva e con l'antivirus disabilitato salvo poi riattivarlo a scansione terminata.




SystemScan viene riconosciuto, erroneamente, da alcuni antivirus come infetto.

[ayeye82]

Ciao, grazie dell'aiuto^^

ecco lo zip con il report di SystemScan...

31_03_2009_18_29_report.zip

[amvinfe]

Avvia CCleaner portati in:
Opzioni>Avanzate ==> togli la spunta dalla prima voce "Cancella file in Windows Temp....."
clicca in alto a dx su "Pulizia" e successivamente su "Avvia pulizia" (in basso a dx).

Credo che il problema dipenda più dai contenuti presenti all'interno dei siti che visiti che altro.
Postami per favore, se lo ritieni opportuno fallo tranquillamente in privato, gli URLs dei siti dove Avira va in alert.

Grazie

[ayeye82]

Fatto con CCleaner.

Originariamente inviato da amvinfe
Credo che il problema dipenda più dai contenuti presenti all'interno dei siti che visiti che altro.
Postami per favore, se lo ritieni opportuno fallo tranquillamente in privato, gli URLs dei siti dove Avira va in alert.

Grazie

Mi era venuto il dubbio che dipendesse più che altro dai browser o che fosse qualcosa collegato ad essi.

Mi son dimenticato di dire che il problema si è presentato solo l'altro ieri, dopo che ho rimontato l'immagine di backup con Acronis True Image (già fatto altre volte in passato, mai successa questa cosa, quindi deduco che quella sia pulita, anche se in partenza come antivirus avevo AVG).

In un certo senso, quindi, non dovrebbero esserci problemi sui siti che ho visitato, soprattutto perchè son pochi...

Cmq, mai dire mai: mi dovresti dire però come faccio ad individuare i siti in cui avira va in alert... Ti metto tutti quelli che ho in cronologia? Perchè non mi sembra che l'antivirus mantenga questa informazione... O sbaglio?

Grazie a te per lo sbattimento

[amvinfe]

mi interessa capire in quale sito o pagina in particolare Avira va in alert visto che in tutti i casi tranne quello nella Sys32 il riferimento è nella Temporary Internet Files.

Quindi usa tranquillamente il browser, quando ricevi l'avviso copia l'URL presente nella barra degli indirizzi e scrivimela usando un messaggio privato, mi raccomando non postarla nel forum.

Grazie

[ayeye82]

Ok, allora appena mi ricompare l'avviso del Guard ti mando l'MP...

[ayeye82]

Ciao,

son stato collegato ad internet tuto di ieri sera e questa mattina, navigando normalmente, ma non è mi è comparso più niente...

Ieri prima di scrivere il post, come ultima prova, ho avviato il pc in modalità provvisoria e avviato il tutto prima con CCleaner e poi eseguendo una scansione con Avira Antivir (che mi aveva ritrovato ed eliminato i files in Temp che avevo segnalato).
Possibile che abbia risolto in definitiva tutto così?


Grazie ancora

ps Un'altra cosa: ora che il sistema "sembra" totalmente pulito, se io ricaricassi la vecchia immagine di Acronis True Image rischio di reinfettare il sistema? Questo procedimento l'ho fatto diverse volte, ma solo nell'ultima occasione si è presentato il virus...

[amvinfe]

è probabile si sia trattato semplicemente di un falso positivo di Avira.

Per quello che ho potuto vedere dal report non ci sono altre infezioni.

Ciao