• User Newbie

    Grossi Problemi TR/Crypt.XDR.Gen

    Salve, sono nuovo e mi sono iscritto questa mattina perchè da ieri sera sto diventando matto con il Trojan TR/Crypt.XDR.Gen. Ho come antivirus AntiVir che continua a rilevarmi file nella cartella C:\WINDOWS\system32\drivers. Hanno un'estensione .sys, la loro creazione è ciclica e non sono frutto dell'infezioni di file pre-esistenti perchè data di creazione e data di ultima modifica coincidono con la data e l'ora del rilevamento. Hanno a rotazione sempre i soliti nomi, od al massimo di nuovi ma raramente. I file sono rilevati come il Trojan di cui ho detto sopra ma, nonostante, continui ad eliminarli ogni volta, questi riappaiono. Il che mi ha fatto pensare che ci sia un processo o una applicazione che mi continui a creare questi file; ho provato a fare una ricerca sui file creati poco dopo l'infezione ma non ho avuto risultati soddisfacenti. Sapete cosa posso fare? AntiVir mi rileva continuamente quei file .sys e nient'altro. All'inizio, cioè all'avvio di Windows, dopo aver effettuato l'accesso all'utente, mi da un cascata infinita di errori dell'applicazione Matteo.exe; ho pensato che sia proprio questa l'applicazione che genera tonnellate di file, dato che non esistono applicazioni simili in Windows, ma effettuando la ricerca non ho avuto risultati; come se il file venisse eliminato al momento della sua terminazione.

    Purtroppo non so perchè ma non posso allegare file. Altrementi avrei postato il Log di Hijackthis e anche un file di quelli infetti. Ora non è che voglio diffondere l'infezione, ma è che, forse, avendo un file infetto sotto mano riuscite a trovare il processo che lo ha creato e magari così, riesco ad eliminarlo manualmente.

    Se volete posso postare il log nella discussione, ma è parecchio lungo...

    Aspetto vostre notizie, Grazie ^^

    P.S. Ho un forte bisogno del pieno funzionamente del PC dato che giovedì ho la prima prova della maturità XD... sto ripassando tutti i vari programmi e mi serve utilizzare internet per ricercare informazioni, ma con questo coso di AntiVir che appare in continuo sto diventando matto XD


  • Consiglio Direttivo

    Ciao Superpigo e benvenuto nel forum GT! 🙂

    @Superpigo said:

    Se volete posso postare il log nella discussione, ma è parecchio lungo...

    Carica il log su, filefactory.com e riporta qui sul forum l'url.

    😉


  • User Newbie

    Sono riuscito a trovare poi l'eseguibile Matteo.exe ed ad eliminarlo. Dopo questo la creazione continua di file si è interrotta. Nel caso possa servire ad altri l'ho trovato in C:\Documents and Settings[Nome Utente]. Casomai causasse problemi anche ad altri è un file nascosto, chiamato con il nome del vostro account.

    Vorrei postarvi comunque il log perchè magari il virus sta continuando ad agire a mia insaputa ma mi è impossibile postare link attivi dato che non sono utente premium.... che faccio? :?:?


  • Consiglio Direttivo

    Ciao Superpigo.

    Puoi inserire il link inattivo in una delle forme seguenti:

    h**p://[indirizzo]

    h t t p :// [indirizzo]

    hxxp://[indirizzo]

    O qualsiasi altra che tu riesca a inventarti, anche soltanto togliendo la parte iniziale fino a "www" compreso.

    😉


  • User Newbie

    Avevo già provato prima ma lo rilevava lo stesso XD avrò sbagliato qualcosa XDXD ora riprovo grazie ^^


  • User Newbie

    h t t p : / / filefactory.com/file/ag799fe/n/hijackthis_21-06-09_log

    Bah...ora è venuto fuori chissà cosa rilevava prima XD

    Ora tocca a voi XD mi sapete dire se c'è rimasto qualcosa di malfunzionante nel pc?

    Grazie :):)


  • Consiglio Direttivo

    Ciao Superpigo,

    fixa con hijackthis:

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,Scarica avenger:

    copia/incolla questo script, nel riquadro bianco "input script here" di the avenger:

    Files to delete:

    C:\WINDOWS\system32\twext.exe- elimina la spunta su: scan for rootkit "in basso a sinistra"

    • premi su execute
    • rispondi SI alle richieste
    • il pc, dovrebbe riavviarsi
    • al riavvio, carica il log su filefactory.com e riporta il link "inattivo" come suggerito da Leonov. 🙂

    Dai una ripulita con ccleaner, scansiona con malwarebytes "aggiornato", allega il log di scansione sempre su filefactory.com e riporta l'url sul forum.

    p.s. Effettua l'aggiornarmento del service pack. 😉


  • User Attivo

    Prima di procedere con la scansione con malwarebytes fai così:
    Clicca su start-->esegui e digita regedit.
    Usando le caselline col segno + naviga fino a:
    HKEY_LOCAL_MACHINE-->Software-->Microsoft-->Windows NT-->CurrentVersion
    Ora clicca su Winlogon, a destra ti appariranno varie voci, seleziona col tasto destro del mouse la voce Userinit e clicca su modifica, elimina quindi nella stringa di testo il valore:** C:\WINDOWS\system32\twext.exe, **
    Deve quindi rimanere solo:
    c:\windows\system32\userinit.exe,
    Ricorda, deve rimanere la virgola!

    Poi clicca su OK e riavvia il PC.

    A questo punto scarica cambofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Salvalo sul desktop,_disconnettiti, disattiva l'AV e chiudi tutti i programmi.
    Quindi avvia combofix ed inizia una scansione. AL termine,dopo il riavvio,posta il log che comparirà a video sempre su quel sito.
    **NB: potrebbe essere rilevato come infetto dall'AV, ignora l'avviso e disattiva l'AV.
    Potrebbe metterci del tempo, lascialo lavorare e non toccare il pcmentre scansionaimage

    Facci sapere😉
    **


  • User Newbie

    Mi è arrivata un email di notifica che è stato risposto al mio problema ma non ci sono piu' le mie scritte e le risposte.. come mai ?


  • Consiglio Direttivo

    Ciao pigGio. 🙂

    La discussione è stata splittata quì in una dedicata al tuo problema. 😉


  • User Newbie

    haAHAhaa.. Grazie :°°°°°°) ma sul serio sui forum ci navigo proprio 0 .. 😛 Ora vado a vedere.. Buonagiornata!!