- Home
- Categorie
- Gaming, Hardware e Software
- Sicurezza Informatica & Privacy
- Grossi Problemi TR/Crypt.XDR.Gen
-
Grossi Problemi TR/Crypt.XDR.Gen
Salve, sono nuovo e mi sono iscritto questa mattina perchè da ieri sera sto diventando matto con il Trojan TR/Crypt.XDR.Gen. Ho come antivirus AntiVir che continua a rilevarmi file nella cartella C:\WINDOWS\system32\drivers. Hanno un'estensione .sys, la loro creazione è ciclica e non sono frutto dell'infezioni di file pre-esistenti perchè data di creazione e data di ultima modifica coincidono con la data e l'ora del rilevamento. Hanno a rotazione sempre i soliti nomi, od al massimo di nuovi ma raramente. I file sono rilevati come il Trojan di cui ho detto sopra ma, nonostante, continui ad eliminarli ogni volta, questi riappaiono. Il che mi ha fatto pensare che ci sia un processo o una applicazione che mi continui a creare questi file; ho provato a fare una ricerca sui file creati poco dopo l'infezione ma non ho avuto risultati soddisfacenti. Sapete cosa posso fare? AntiVir mi rileva continuamente quei file .sys e nient'altro. All'inizio, cioè all'avvio di Windows, dopo aver effettuato l'accesso all'utente, mi da un cascata infinita di errori dell'applicazione Matteo.exe; ho pensato che sia proprio questa l'applicazione che genera tonnellate di file, dato che non esistono applicazioni simili in Windows, ma effettuando la ricerca non ho avuto risultati; come se il file venisse eliminato al momento della sua terminazione.
Purtroppo non so perchè ma non posso allegare file. Altrementi avrei postato il Log di Hijackthis e anche un file di quelli infetti. Ora non è che voglio diffondere l'infezione, ma è che, forse, avendo un file infetto sotto mano riuscite a trovare il processo che lo ha creato e magari così, riesco ad eliminarlo manualmente.
Se volete posso postare il log nella discussione, ma è parecchio lungo...
Aspetto vostre notizie, Grazie ^^
P.S. Ho un forte bisogno del pieno funzionamente del PC dato che giovedì ho la prima prova della maturità XD... sto ripassando tutti i vari programmi e mi serve utilizzare internet per ricercare informazioni, ma con questo coso di AntiVir che appare in continuo sto diventando matto XD
-
Ciao Superpigo e benvenuto nel forum GT!
@Superpigo said:
Se volete posso postare il log nella discussione, ma è parecchio lungo...
Carica il log su, filefactory.com e riporta qui sul forum l'url.
-
Sono riuscito a trovare poi l'eseguibile Matteo.exe ed ad eliminarlo. Dopo questo la creazione continua di file si è interrotta. Nel caso possa servire ad altri l'ho trovato in C:\Documents and Settings[Nome Utente]. Casomai causasse problemi anche ad altri è un file nascosto, chiamato con il nome del vostro account.
Vorrei postarvi comunque il log perchè magari il virus sta continuando ad agire a mia insaputa ma mi è impossibile postare link attivi dato che non sono utente premium.... che faccio? :?:?
-
Ciao Superpigo.
Puoi inserire il link inattivo in una delle forme seguenti:
h**p://[indirizzo]
h t t p :// [indirizzo]
hxxp://[indirizzo]
O qualsiasi altra che tu riesca a inventarti, anche soltanto togliendo la parte iniziale fino a "www" compreso.
-
Avevo già provato prima ma lo rilevava lo stesso XD avrò sbagliato qualcosa XDXD ora riprovo grazie ^^
-
h t t p : / / filefactory.com/file/ag799fe/n/hijackthis_21-06-09_log
Bah...ora è venuto fuori chissà cosa rilevava prima XD
Ora tocca a voi XD mi sapete dire se c'è rimasto qualcosa di malfunzionante nel pc?
Grazie :):)
-
Ciao Superpigo,
fixa con hijackthis:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,Scarica avenger:
copia/incolla questo script, nel riquadro bianco "input script here" di the avenger:
Files to delete:
C:\WINDOWS\system32\twext.exe- elimina la spunta su: scan for rootkit "in basso a sinistra"
- premi su execute
- rispondi SI alle richieste
- il pc, dovrebbe riavviarsi
- al riavvio, carica il log su filefactory.com e riporta il link "inattivo" come suggerito da Leonov.
Dai una ripulita con ccleaner, scansiona con malwarebytes "aggiornato", allega il log di scansione sempre su filefactory.com e riporta l'url sul forum.
p.s. Effettua l'aggiornarmento del service pack.
-
Prima di procedere con la scansione con malwarebytes fai così:
Clicca su start-->esegui e digita regedit.
Usando le caselline col segno + naviga fino a:
HKEY_LOCAL_MACHINE-->Software-->Microsoft-->Windows NT-->CurrentVersion
Ora clicca su Winlogon, a destra ti appariranno varie voci, seleziona col tasto destro del mouse la voce Userinit e clicca su modifica, elimina quindi nella stringa di testo il valore:** C:\WINDOWS\system32\twext.exe, **
Deve quindi rimanere solo:
c:\windows\system32\userinit.exe,
Ricorda, deve rimanere la virgola!
Poi clicca su OK e riavvia il PC.A questo punto scarica cambofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Salvalo sul desktop,_disconnettiti, disattiva l'AV e chiudi tutti i programmi.
Quindi avvia combofix ed inizia una scansione. AL termine,dopo il riavvio,posta il log che comparirà a video sempre su quel sito.
**NB: potrebbe essere rilevato come infetto dall'AV, ignora l'avviso e disattiva l'AV.
Potrebbe metterci del tempo, lascialo lavorare e non toccare il pcmentre scansiona
Facci sapere
**
-
Mi è arrivata un email di notifica che è stato risposto al mio problema ma non ci sono piu' le mie scritte e le risposte.. come mai ?
-
Ciao pigGio.
La discussione è stata splittata quì in una dedicata al tuo problema.
-
haAHAhaa.. Grazie :°°°°°°) ma sul serio sui forum ci navigo proprio 0 ..
Ora vado a vedere.. Buonagiornata!!
