Condividi:        

TR/Crypt.XPACK.Gen come eliminarlo?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 05/02/10 20:24

Non riesco più ad aprire il contenuto della chiave USB che mi appare su risorse del computer e mi è sparita anche l'icona del computer per la connessione ad internet ed infatti non mi va neanche internet, come mai ?? :(
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

Sponsor
 

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 08/02/10 10:27

Ciao gahan.
Nel computer che non avevo più la connessione, mi è tornata misteriosamente dopo 2 giorni di assenza...
La chiave USB non mi si apre, cosa devo fare devo formattarla ??
Intanto un computer che avevamo sistemato è tornato ad andare lentissimo..
ho provato a disinstallare alcuni programmi dal pannello di controllo e non riesco ad annullarli perchè come
vado a disinstallare mi compare l'antivirus che mi dice che c'è il virus e mi si apre una finestra di avviso
di protezione che mi dice di installare un software sconosciuto prima di eliminare il programma...
comunque il computer è lento
ti mando i log di Hijackthis e malwarebytes....
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.17.20, on 08/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe
C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\Brother\Brmfcmon\BrMfcmon.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Brother\ControlCenter3\brccMCtl.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\OpenOffice.org 3\program\soffice.exe
C:\Programmi\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] "C:\Programmi\ScanSoft\PaperPort\pptd40nt.exe"
O4 - HKLM\..\Run: [IndexSearch] "C:\Programmi\ScanSoft\PaperPort\IndexSearch.exe"
O4 - HKLM\..\Run: [PPort11reminder] "C:\Programmi\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programmi\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... oader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 4883071343
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7740 bytes
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi gahan » 08/02/10 10:59

Ciao mauri,

per formattare la Pen drive
risorse del computer --> click destro sulla chiavetta --> formatta

Il log di hijackthis è pulito, mentre per quanto riguarda la lentezza, non credi possa dipendere dal fatto che sul PC hai installato 2 antivirus?

Disinstalla Avira o Avast
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 08/02/10 11:25

Già disinstallato avast subito dopo averti mandato il log.
Ora sto effettuando la scansione malwarebytes..
Comunque dal pannello di controllo sto disinstallando un altro programma che uso poco Pokersnai..
Non riesco ad annullarlo come ti dicevo.
Mi si apre una finestra con avviso di protezione dove mi dice che devo eseguire l'installazione
di un software sconosciuto e avira mi apre la finestra che ha individuato TR/Crypt.XPACK.Gen..
io ho provato a metterlo in quarantena, ad eliminarlo, ma niente....
Cosa dovrei fare ??
Se vuoi ti scrivo cosa mi dice la finestra che mi appare dell' avviso di protezione per eseguire
l'installazione del software sconosciuto, perchè altrimenti non mi fa eliminare il programma
Pokersnai che voglio togliere... che dici ??
Grazie
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 08/02/10 11:30

Ho inserito nella scansione un' altra chiavetta infetta, ma è strano che non mi ha rilevato il virus... :(

Malwarebytes' Anti-Malware 1.44
Versione del database: 3560
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/02/2010 11.26.27
mbam-log-2010-02-08 (11-26-27).txt

Tipo di scansione: Scansione completa (C:\|D:\|E:\|F:\|G:\|H:\|)
Elementi scansionati: 147365
Tempo trascorso: 45 minute(s), 6 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi gahan » 08/02/10 11:58

Scarica SystemScan
http://www.suspectfile.com/systemscan

Disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus, carica il rapporto che trovi sul desktop su freefilehosting
http://www.freefilehosting.net/index.cfm

e posta il link ottenuto.
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi gahan » 08/02/10 12:01

Il link di freefilehosting non funziona.

Uploada il rapporto di Systemscan su WikiFortio (alla sezione Upload File)

http://www.wikifortio.com/
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 08/02/10 16:14

Ti volevo chiedere due cose:
la prima è sapere cosa mi comporta se non funziona freefilehosting ??
la seconda è sapere come si fa a caricare il rapporto su freefilehosting ??
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi gahan » 08/02/10 19:01

mauri1974 ha scritto:Ti volevo chiedere due cose:
la prima è sapere cosa mi comporta se non funziona freefilehosting ??
la seconda è sapere come si fa a caricare il rapporto su freefilehosting ??


Guarda su...
words like violence, break the silence
Avatar utente
gahan
Moderatore
 
Post: 1397
Iscritto il: 23/01/08 16:09

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 19/02/10 10:25

Ciao gahan! Scusa se non ti ho più scritto, ma il computer ora mi va benissimo ed essendo un pò complicate per me
fare le operazioni dell' ultima volta, ho optato per ora non fare niente anche perchè come detto il computer ora va velocissimo ed è perfetto !
Ora ho un altro problemino con un computer che avevamo iniziato a sistemare perchè avevo il virus sia nel computer che nella chiavetta...
in pratica quando mi connetto ad internet mi dice modalità non il linea, ho il simbolo del computer della connessione
rete senza fili che mi risulta connesso e tutto ok.
Se ti può essere utile io in casa utilizzo un modem alice e in questo compter una penna wireless per il collegamento e il problema mi è iniziato quando abbiamo provato insieme a togliere il virus al computer e alla chiavetta (se vedi qualche riga prima in questo post forse lo trovi...), credi di potermi aiutare ??
Se non sono stato preciso o vuoi qualche informazione aspetto una tua risposta...
Grazie e ciao !
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 12/03/10 20:48

Chi mi controlla questi log per favore ??? Grazie
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.47.37, on 12/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2C1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Eye-Fi\Eye-Fi Manager.exe
C:\Programmi\HPQ\Shared\hpqwmi.exe
C:\Programmi\OpenOffice.org 3\program\soffice.exe
C:\Programmi\OpenOffice.org 3\program\soffice.bin
C:\Programmi\Java\jre6\bin\jucheck.exe
C:\Programmi\DesktopEarth\DesktopEarth.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gw.aliceadsl.it/minisearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://java.com/it/download/help/index.xml
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F3 - REG:win.ini: load=C:\WINDOWS\system32\mswinvks.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O1 - Hosts: 209.85.129.99 msnfix.changelog.fr
O1 - Hosts: 209.85.129.99 www.incodesolutions.com
O1 - Hosts: 209.85.129.99 virusinfo.prevx.com
O1 - Hosts: 209.85.129.99 download.bleepingcomputer.com
O1 - Hosts: 209.85.129.99 www.dazhizhu.cn
O1 - Hosts: 209.85.129.99 foro.noticias3d.com
O1 - Hosts: 209.85.129.99 www.spybotupdates.com
O1 - Hosts: 209.85.129.99 club.myce.com
O1 - Hosts: 209.85.129.99 www.nabble.com
O1 - Hosts: 209.85.129.99 lurker.clamav.net
O1 - Hosts: 209.85.129.99 lexikon.ikarus.at
O1 - Hosts: 209.85.129.99 research.sunbelt-software.com
O1 - Hosts: 209.85.129.99 www.virusdoctor.jp
O1 - Hosts: 209.85.129.99 www.elitepvpers.de
O1 - Hosts: 209.85.129.99 guru.avg.com
O1 - Hosts: 209.85.129.99 downloads.sophos.com
O1 - Hosts: 209.85.129.99 share.skype.com
O1 - Hosts: 209.85.129.99 www.superuser.co.kr
O1 - Hosts: 209.85.129.99 ntfaq.co.kr
O1 - Hosts: 209.85.129.99 v.dreamwiz.com
O1 - Hosts: 209.85.129.99 cit.kookmin.ac.kr
O1 - Hosts: 209.85.129.99 forums.whatthetech.com
O1 - Hosts: 209.85.129.99 forum.hijackthis.de
O1 - Hosts: 209.85.129.99 avg.vo.llnwd.net
O1 - Hosts: 209.85.129.99 ftp.drweb.com
O1 - Hosts: 209.85.129.99 www.zonealarm.com
O1 - Hosts: 209.85.129.99 smadaver.com
O1 - Hosts: 209.85.129.99 www.huaifai.go.th
O1 - Hosts: 209.85.129.99 www.mostz.com
O1 - Hosts: 209.85.129.99 www.krupunmai.com
O1 - Hosts: 209.85.129.99 www.cddchiangmai.net
O1 - Hosts: 209.85.129.99 forum.malekal.com
O1 - Hosts: 209.85.129.99 tech.pantip.com
O1 - Hosts: 209.85.129.99 sapcupgrades.com
O1 - Hosts: 209.85.129.99 www.elguruinformatico.com
O1 - Hosts: 209.85.129.99 forums.avg.com
O1 - Hosts: 209.85.129.99 zastita.com
O1 - Hosts: 209.85.129.99 www.247fixes.com
O1 - Hosts: 209.85.129.99 forum.sysinternals.com
O1 - Hosts: 209.85.129.99 forum.telecharger.01net.com
O1 - Hosts: 209.85.129.99 sophos.com
O1 - Hosts: 209.85.129.99 foros.softonic.com
O1 - Hosts: 209.85.129.99 avast-home.uptodown.com
O1 - Hosts: 209.85.129.99 dr-web-cureit.softonic.com
O1 - Hosts: 209.85.129.99 heavenward.ru
O1 - Hosts: 209.85.129.99 forum.smadav.net
O1 - Hosts: 209.85.129.99 www.f-secure.com
O1 - Hosts: 209.85.129.99 www.chkrootkit.org
O1 - Hosts: 209.85.129.99 diamondcs.com.au
O1 - Hosts: 209.85.129.99 www.rootkit.nl
O1 - Hosts: 209.85.129.99 www.sysinternals.com
O1 - Hosts: 209.85.129.99 z-oleg.com
O1 - Hosts: 209.85.129.99 espanol.dir.groups.yahoo.com
O1 - Hosts: 209.85.129.99 ftp01net.telechargement.fr
O1 - Hosts: 209.85.129.99 modelayu.com
O1 - Hosts: 209.85.129.99 www.castlecrops.com
O1 - Hosts: 209.85.129.99 www.misec.net
O1 - Hosts: 209.85.129.99 safecomputing.umn.edu
O1 - Hosts: 209.85.129.99 www.antirootkit.com
O1 - Hosts: 209.85.129.99 www.greatis.com
O1 - Hosts: 209.85.129.99 ar.answers.yahoo.com
O1 - Hosts: 209.85.129.99 www.elhacker.org
O1 - Hosts: 209.85.129.99 research.pandasecurity.com
O1 - Hosts: 209.85.129.99 www.tpu.ro
O1 - Hosts: 209.85.129.99 www.rootkit.com
O1 - Hosts: 209.85.129.99 www.pctools.com
O1 - Hosts: 209.85.129.99 www.pcsupportadvisor.com
O1 - Hosts: 209.85.129.99 www.resplendence.com
O1 - Hosts: 209.85.129.99 www.personal.psu.edu
O1 - Hosts: 209.85.129.99 foro.ethek.com
O1 - Hosts: 209.85.129.99 foro.elhacker.net
O1 - Hosts: 209.85.129.99 download.zonealarm.com
O1 - Hosts: 209.85.129.99 spywarehammer.com
O1 - Hosts: 209.85.129.99 vil.nail.com
O1 - Hosts: 209.85.129.99 search.mcafee.com
O1 - Hosts: 209.85.129.99 wwww.mcafee.com
O1 - Hosts: 209.85.129.99 download.nai.com
O1 - Hosts: 209.85.129.99 wwww.experts-exchange.com
O1 - Hosts: 209.85.129.99 www.bakunos.com
O1 - Hosts: 209.85.129.99 www.darkclockers.com
O1 - Hosts: 209.85.129.99 www2.gmer.net
O1 - Hosts: 209.85.129.99 ariefew.com
O1 - Hosts: 209.85.129.99 www.emsisoft.com
O1 - Hosts: 209.85.129.99 www.Merijn.org
O1 - Hosts: 209.85.129.99 www.spywareinfo.com
O1 - Hosts: 209.85.129.99 www.spybot.info
O1 - Hosts: 209.85.129.99 www.viruslist.com
O1 - Hosts: 209.85.129.99 www.hijackthis.de
O1 - Hosts: 209.85.129.99 ftp.f-secure.com
O1 - Hosts: 209.85.129.99 forum.kaspersky.com
O1 - Hosts: 209.85.129.99 es.trendmicro-europe.com
O1 - Hosts: 209.85.129.99 www.hvaonline.net
O1 - Hosts: 209.85.129.99 majorgeeks.com
O1 - Hosts: 209.85.129.99 www.avp.com
O1 - Hosts: 209.85.129.99 www.virustotal.com
O1 - Hosts: 209.85.129.99 www.sophos.com
O1 - Hosts: 209.85.129.99 linhadefensiva.uol.com.br
O1 - Hosts: 209.85.129.99 cmmings.cn
O1 - Hosts: 209.85.129.99 www.sergiwa.com
O1 - Hosts: 209.85.129.99 www.el-hacker.com
O1 - Hosts: 209.85.129.99 dl2.agnitum.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programmi\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2C1.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programmi\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Eye-Fi] "C:\Programmi\Eye-Fi\Eye-Fi Manager.exe"
O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\plusoptix\kqodhq.exe \u
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DesktopEarth AutoStart.lnk = ?
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programmi\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: DVD Check.lnk = C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre6\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {E0841E96-BC13-454F-910C-498C510B03DD} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 1432300468
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11711B0E-5FEE-4FA6-9E9E-9C02BEA12C38}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{28F15375-1559-4121-A088-16814A30C81E}: NameServer = 85.37.17.57 85.38.28.80
O20 - Winlogon Notify: OneCard - C:\Programmi\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\Shared\hpqwmi.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programmi\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe

--
End of file - 12851 bytes
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi shel » 12/03/10 21:29

ciao

scarica questo file

scompatta sul desktop solo il file hosts - clic con il tasto destro del mouse - "copia" - e "incolla" il file nella cartella C:\Windows\system32\drivers\etc
"ect" è una cartella... => li' troverai già un altro file hosts, quindi accetta la sostituzione

riavvia il pc

scarica e installa malwarebytes

Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 12/03/10 22:13

malwarebytes:
Malwarebytes' Anti-Malware 1.44
Versione del database: 3510
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

12/03/2010 22.12.45
mbam-log-2010-03-12 (22-12-45).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 169102
Tempo trascorso: 33 minute(s), 0 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 2
Elementi dato del registro infetti: 4
Cartelle infette: 0
File infetti: 10

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rxwfodvl (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valori di registro infetti:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> Delete on reboot.

Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\Poker\Poker Snai\_SetupPoker_592e[1].exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\doztys.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\rxwfodvl.sys (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\Drivers\ndisvvan.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> Delete on reboot.
C:\Documents and Settings\All Users\secupdat.dat (Worm.Autorun) -> Delete on reboot.
C:\Documents and Settings\Default User\secupdat.dat (Worm.Autorun) -> Delete on reboot.
C:\Documents and Settings\LocalService\secupdat.dat (Worm.Autorun) -> Delete on reboot.
C:\Documents and Settings\NetworkService\secupdat.dat (Worm.Autorun) -> Delete on reboot.
C:\Documents and Settings\plusoptix\secupdat.dat (Worm.Autorun) -> Delete on reboot.
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 12/03/10 22:15

Ora scarico il file che mi dicevi prima....
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 12/03/10 22:35

A proposito di:
... scompatta sul desktop solo il file hosts - clic con il tasto destro del mouse - "copia" - e "incolla" il file nella cartella C:\Windows\system32\drivers\etc
"ect" è una cartella... => li' troverai già un altro file hosts, quindi accetta la sostituzione

scusa l'ignoranza
Ho scaricato il file che mi dicevi, ma mi sono bloccato perchè:
1 cosa vuol dire scompatta sul desktop
2 dove trovo la cartella C:\Windows\system32\drivers\etc ??

grazie !
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi shel » 12/03/10 22:41

scompatta vuol dire estrai dalla cartella zippata solo il file hosts e col tasto destro scegli ''copia''

segui questo percorso

C:\Windows\system32\drivers\etc >>> quando sei nella cartella etc apri la cartella >>> tasto destro e scegli ''incolla''

se ti dice che e' gia' esistente accetta - chiudi la cartella e riavvia il pc
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 12/03/10 23:04

Ok. Sostituito file host dalla cartella etc come mi hai detto...
Ora che devo fare ????
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi shel » 12/03/10 23:10

Apri il registro -> Start / Esegui ,digita regedit e dai l'ok
Portati in questa chiave :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

quando sei su Winlogon tasto destro e scegli ''esporta''

salvalo sul desktop e caricalo qui
shel
Utente Senior
 
Post: 1326
Iscritto il: 29/08/08 21:56

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 13/03/10 00:47

Intanto log malwarebytes fatto una seconda volta :
Malwarebytes' Anti-Malware 1.44
Versione del database: 3861
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

13/03/2010 0.44.06
mbam-log-2010-03-13 (00-44-06).txt

Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 176154
Tempo trascorso: 30 minute(s), 28 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 1
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 0

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> Delete on reboot.

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
(Nessun elemento malevolo rilevato)
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

Re: TR/Crypt.XPACK.Gen come eliminarlo?

Postdi mauri1974 » 13/03/10 01:01

Apri il registro -> Start / Esegui ,digita regedit e dai l'ok
Portati in questa chiave :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

quando sei su Winlogon tasto destro e scegli ''esporta''

salvalo sul desktop e caricalo qui

Credo di averlo fatto e mi ha detto che il tutto è stato inserito nel registro del sistema...
su wikisend ho fatto il download e mi ha dato:
1.REG
file ID 442844
file size 23.2 KB
time to live: 7 days
download link: http://wikisend.com/download/442844/1.reg
forum link: 1.reg

il numero 1 l'ho dato io il nome al file prima di salvarlo nel desktop, altrimenti non lo salvava...
non so se ho fatto bene, che dici ??
Comunque ho ancora il file salvato sul desktop se potesse servire....
mauri1974
Utente Senior
 
Post: 268
Iscritto il: 14/01/10 23:32

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "TR/Crypt.XPACK.Gen come eliminarlo?":


Chi c’è in linea

Visitano il forum: Nessuno e 25 ospiti

cron