Problema Troyan TR\Crypt.XPACK.Gen

[MLeo87]

Ciao a tutti,
sono nuovo del forum...

ho diversi problemi con un trojan "TR\Crypt.XPACK.Gen" che stà assillando insistentemente 4 pc che ho in una rete. L'antivirus Avira me li intercetta e li cancello ma dopo qualce ora si ripresentano puntulmente. Ho fatto scanzioni anche in modalità provvisoria ma successivamente il problem si è sempre ripresentato...

non sò più cosa fare, aiutatemi!! help!! :cry::muro:

Qualora fosse utile, posto anche il file Hijackthis di uno dei pc sulla quale ho il problema.

Grazie a tutti

 

[JeanGrey]

Ciao MLeo87, benvenuto :)
segui questa guida ed allega i rapporti di combofix e Malwarebytes
http://www.tomshw.it/forum/sicurezza/105415-guida-come-ripulire-un-computer-infetto.html

 

[MLeo87]

Ieri sera ho potuto eseguire le operazioni che mi hai suggerito, stamani però il problema mi si è ripresentato... comunque allego i rapporti di combofix e Malwarebytes

 

[JeanGrey]

Salva il documento che ti allego CFScript
Con il mouse trascina il file CFScript.txt sull'icona rossa di Combofix

Lascia lavorare il programma
Verra creato un nuovo log combofix.txt
Allega il rapporto per un controllo.

:::::::::::::::::::::::::

Scarica ed esegui questa utility per rimuove AVG8

:::::::::::::::::::::::::

Scarica ese esegui CCleaner, per ripulire il sistema dai file inutili

:::::::::::::::::::::::::

Scarica sul desktop GMER
Scopatta, sempre sul desktop il file gmer.zip.
Esegui gmer.exe
Clicca sul Tab "Rootkit"
Clicca su "Scan"
Finita la scansione clicca su "Copy"
Apri il Blocco Note salva il file ed allegalo per un controllo.

 

[MLeo87]

Ho esguito le operazioni da te indicate e allego i file per un controllo

 

[MLeo87]

Per informazione, tutte le volte che mi intercetta il virus me li trova all'interno delle cartelle:

*C:\WINDOWS\System32\X
*C:\WINDOWS\System32\smsfzdgd.vir
*C:\WINDOWS\System32\smsfzdgd.gop
*C:\WINDOWS\System32\smsfzdgd.dll
*C:\Document and Setting\NetworkService\Impostazioni Locali\Temporary Internet File\Content.IE5\10Q0JGVT\fccrmch[1].gif
*C:\Document and Setting\NetworkService\Impostazioni Locali\Temporary Internet File\Content.IE5\27ETLE06\fccrmch[1].jpg
*C:\Document and Setting\NetworkService\Impostazioni Locali\Temporary Internet File\Content.IE5\2L0TVS0Q\fccrmch[1].gif
*C:\Document and Setting\NetworkService\Impostazioni Locali\Temporary Internet File\Content.IE5\PLKLJWTD\fccrmch[1].gif
*C:\Document and Setting\NetworkService\Impostazioni Locali\Temporary Internet File\Content.IE5\D4JN9VOV\gteto[1].gif
*C:\Document and Setting\NetworkService\Impostazioni Locali\Temporary Internet File\Content.IE5\D4JN9VOV\gteto[1].jpg
*C:\Document and Setting\NetworkService\Impostazioni Locali\Temporary Internet File\Content.IE5\FFRPCX63\otlng[1].gif
*C:\Document and Setting\NetworkService\Impostazioni Locali\Temporary Internet File\Content.IE5\D4JN9VOV\csnxkg[1].gif
*C:\Document and Setting\NetworkService\Impostazioni Locali\Temporary Internet File\Content.IE5\R5LZJ6TE\fuzlzt[1].png
*C:\Document and Setting\NetworkService\Impostazioni Locali\Temporary Internet File\Content.IE5\ETI82617\wjfobar[1].jpg

Potrebe essere nella rete il problema????

 

[JeanGrey]

Ciao,
sono presenti dei Rootkit, passiamo alle maniere forti.

Scarica the Avenger
Lo salvi in una cartella, scompatti il file .zip

Scollegati dalla rete, tira il cavo, spegni il modem.

Esegui una nuova scansione con Gmer, una volta ottenuto il risultato, clic con il tasto destro del mouse su questo servizio e seleziona "delete service"

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) lzanpsiw <-- ROOTKIT !!!

Individua avenger.exe, lo avvii
Assicurati che le caselle in basso siano spuntate

Inserisci lo script (che ti allego) nel box bianco
(non devi trascinarlo, fai copia/incolla)

Clicca su Execute
Il pc dovrebbe riavviarsi (se così non fosse, fallo tu)
Posta il log che verrà creato in C:\Avenger

Esegui una scansione con Prevx CSI ed allega il rapporto

 

[MLeo87]

ma dopo aver completato le operazioni posso riattaccarla a rete?

 

[JeanGrey]

Beh, certo...
scarica Avenger e Prevx, segui i passaggi indicati, riavvia e collegati.

 

[MLeo87]

Ho eseguito tutte le operazioni... solo che il Prevv CSI non sono riuscito ad usarlo xk il sito sembra bloccato.

 

[MLeo87]

nel frattempo mi si è ripresentato nuovamente in C:\Windows\System32\x

non ne posso più...:mad::help:

 

[JeanGrey]

Cosa c'è in questa cartella?
C:\Windows\System32\x

Possiamo usare questo script di avenger per eliminarla

folders to delete:
C:\Windows\System32\x

Allega un log di Hijackthis
http://www.tomshw.it/forum/sicurezza/106542-guida-hijackthis-come-creare-e-allegare-il-log.html
Esegui una scansione online con Kaspersky ed allega il rapporto.

*Guida*

 

[MLeo87]

Niente, non esistono quei file, sicuramente li crea lui e quando l'antivirus li trova li cancella...

 

[JeanGrey]

Avvia Hijackthis e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Issos
O17 - HKLM\Software\..\Telephony: DomainName = Issos
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Issos
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

Scarica Malwarebytes, installa il programma ed aggiorna le firme.
Nella scheda scansione, seleziona "scansione completa"
Allega il rapporto.

 

[MLeo87]

Nel frattempo si è ripresentato in

C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\R5LZJ6TE\rlofmsj[1].jpg