Ciao, Avira mi segnala periodicamente e molto spesso presunti malware su questa directory:

Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5

Premetto che uso FF (con estensione Ie Tab), vedo che in questa directory ci sono cartelle (che io ho provato a cancellare precisamente 3 ma che poi ora si è riformata almeno una) da cui appunto vengono segnalati file .jpg da Avira.

All'interno di queste cartelle io manualmente non trovo nulla, pero' Avira continu segnalare.
Pero' poi se faccio uno scan di c: non mi segnala assolutamente nessuna detection.
Cosa posso fare quindi?

I file segnalati in tempo reale(mentre sto navigando ) sono tipo questi :

Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\IN9RD30X\kasjimbk[1].jpg.
Action performed: Deny access


Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\1ZD70XB8\ygithvfb[1].jpg.
Action performed: Deny access


Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\170NTB60\liao[1].jpg.
Action performed: Deny access


Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\GRPZQDGK\bkes[1].jpg.
Action performed: Deny access

Nel task non risult anulla di anomalo

Ma ripeto questi file .jpg nelle cartelle indicati non li trovo, in queste cartelle non c'e' nulla, l'ho provate anche a cancellare pero' come detto man mano se ne riforma almeno una.

Facciamo un teantativo fai girare ATF Cleaner in modalità provvisoria F8

Pulizia dei file temporanei:

ATF Cleaner Download (http://www.atribune.org/ccount/click.php?id=1) - Guida all'utilizzo (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2)
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Nell'eventualità il problema si dovesse ripresentare è opportuno seguire Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube (http://fileqube.com/), pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! *** (http://www.hwupgrade.it/forum/showthread.php?t=1751598)

fileqube non va.
Cmq la procedura è assai fastidiosa:(

fileqube non va.
Cmq la procedura è assai fastidiosa:(

Hai fatto pulizia con ATF Cleaner da modalità provvisoria F8?

da modalità provvisoria no ora la faccio
Cmq io navigo con Firefox(con stensione ie tab che uso saltuariamente) mentre si tratta di roba di IE da quel che ho capito, bah

da modalità provvisoria no ora la faccio
Cmq io navigo con Firefox(con stensione ie tab che uso saltuariamente) mentre si tratta di roba di IE da quel che ho capito, bah

Non ha importanza fai pulizia con ATF poi come indicato qui http://www.hwupgrade.it/forum/showpost.php?p=25657545&postcount=2 se il problema si dovesse riprensentare è opportuno seguire la Guida alla disinfezione in modo e maniera da avere uno screen del tuo Pc, se Fileqube no funziona nelle Regole di sezione sono indicati i server remoti alternativi.

Certo che definire la Guida fastidiosa mi sempre eccessivo, comunque è sempre un questione di punti di vista

A-Squared mi segnala questo:

a2scan_090102-001852 1 Gennaio 2009.txt (http://wikisend.com/download/522268/a2scan_090102-001852 1 Gennaio 2009.txt)

Mi son fermato li, devo cancellare soprattutto la prima value di registro?

Ecco il log di Hijack

hijackthis con msnmsgr1.txt (http://wikisend.com/download/473076/hijackthis con msnmsgr1.txt)

A-Squared mi segnala questo:

a2scan_090102-001852 1 Gennaio 2009.txt (http://wikisend.com/download/522268/a2scan_090102-001852 1 Gennaio 2009.txt)

Mi son fermato li, devo cancellare soprattutto la prima value di registro?

Per quanto concerne A2 puoi eliminare tutto tranne

Value: HKEY_LOCAL_MACHINE\SOFTWARE\Freeze.com\Installer --> id rilevati: Trace.Registry.EZ Game Cheats!A2

continuo non capire se hai fatto pulizia con ATF e se il problema dopo la pulizia si è ripresentato

con ATF ho fatto la pulizia ,ma di Firefox non ho toccato nussuna voce

con ATF ho fatto la pulizia ,ma di Firefox non ho toccato nussuna voce

Perchè seleziona anche FF in tranquillità

ehm...mi cancella cookies, e passwords, bookmarks, ecc...e non vorrei....
se devo farlo per forza posso salvarmeli per poi reinserirli?

ehm...mi cancella cookies, e passwords, bookmarks, ecc...e non vorrei....
se devo farlo per forza posso salvarmeli per poi reinserirli?

Se desideri salvare la password devi deselezionare il campo, per i cookie o te li salvi o pazienza, non mi sembra un grosso problema imho

ho fatto la pulizia inmod. provvisoria, anche le voci di ff(tranne passowords) ma il problema si è ripresentato
Scusa ma perchè non devo cancellare la value indicata che è chiaramente anomala?

ho messo in a-squared in quarantena la value, ma avira mi notifica ancora questi file, che a questo punto non so se siano effettivi malware...:cry: :cry:
helpppp!

Questo è GMER

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-02 19:25:48
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT F7CA62BC ZwCreateThread
SSDT F7CA62A8 ZwOpenProcess
SSDT F7CA62AD ZwOpenThread
SSDT F7CA62B7 ZwTerminateProcess
SSDT F7CA62B2 ZwWriteVirtualMemory

---- User code sections - GMER 1.0.14 ----

.text C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe[248] kernel32.dll!SetUnhandledExceptionFilter 7C810386 5 Bytes JMP 0056DBBD C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Files - GMER 1.0.14 ----

File C:\Documents and Settings\****\Dati applicazioni\Mozilla\Firefox\Profiles\tgqofp1h.default\parent.lock 0 bytes
File C:\Documents and Settings\****\Dati applicazioni\Mozilla\Firefox\Profiles\tgqofp1h.default\places.sqlite-journal 0 bytes
File C:\Documents and Settings\****\Dati applicazioni\Mozilla\Firefox\Profiles\tgqofp1h.default\sessionstore.js 26376 bytes

---- EOF - GMER 1.0.14 ----

mi sembra di capire che se chiudo il processo di windows messenger non ho piu' "segnalazioni" :O

mi sembra di capire che se chiudo il processo di windows messenger non ho piu' "segnalazioni" :O

Sinceramente non saprei, l'esigenza è quella di scavare più a fondo ed i tool della Guida lo consentono.

li ho fatti tutti i tool della guida e non mi danno infezioni, se non dei tracking cookies cacellati comunque e quella value key che mi segnala A-Squared!

Confermo che se chiudo il processo di messenger non mi segnala piu' nulla

li ho fatti tutti i tool della guida e non mi danno infezioni, se non dei tracking cookies cacellati comunque e quella value key che mi segnala A-Squared!

Confermo che se chiudo il processo di messenger non mi segnala piu' nulla

Se non vedo i log purtroppo non posso ipotizzare nulla

ho messo i log di GMER e di MALWAREBYTES , gli unici programmi che mi sembra segnalano qualcosa, gli altri non trovano nulla di anomalo , che te li metto a fare?
Il processo di messenger è msnmsg.exe, chiudendolo non ho piu' segnalazione dell'heuristica di Avira

ho messo i log di GMER e di MALWAREBYTES , gli unici programmi che mi sembra segnalano qualcosa, gli altri non trovano nulla di anomalo , che te li metto a fare?
Il processo di messenger è msnmsg.exe, chiudendolo non ho piu' segnalazione dell'heuristica di Avira

Mancano proprio i log dei tool diagnostici, comunque non insisto fa tè :)

ma quali tool dignostici, ho messo tutto.
Uffa :(

Dimenticavo siamo sicuri che questo file sia riferito al Messenger msnmsg.exe

Questo è GMER

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-02 19:25:48
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT F7CA62BC ZwCreateThread
SSDT F7CA62A8 ZwOpenProcess
SSDT F7CA62AD ZwOpenThread
SSDT F7CA62B7 ZwTerminateProcess
SSDT F7CA62B2 ZwWriteVirtualMemory

---- User code sections - GMER 1.0.14 ----

.text C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe[248] kernel32.dll!SetUnhandledExceptionFilter 7C810386 5 Bytes JMP 0056DBBD C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Files - GMER 1.0.14 ----

File C:\Documents and Settings\****\Dati applicazioni\Mozilla\Firefox\Profiles\tgqofp1h.default\parent.lock 0 bytes
File C:\Documents and Settings\****\Dati applicazioni\Mozilla\Firefox\Profiles\tgqofp1h.default\places.sqlite-journal 0 bytes
File C:\Documents and Settings\****\Dati applicazioni\Mozilla\Firefox\Profiles\tgqofp1h.default\sessionstore.js 26376 bytes

---- EOF - GMER 1.0.14 ----

se non chiudo msnmsgr.exe, durante la sessione di lavoro del pc, mi escono messaggi come questi

http://img224.imageshack.us/img224/2597/malwaredf3.th.jpg (http://img224.imageshack.us/my.php?image=malwaredf3.jpg)

Ecco il log di Hijack

hijackthis con msnmsgr1.txt (http://wikisend.com/download/473076/hijackthis con msnmsgr1.txt)

Ragazzi lo fa ancora anche togliendo msnmsgr :muro:
A questo punto non so cosa fare, quelle due voci nel log HiJack che riguardano internet exlorer sono INNOCUE?

Cmq ho questo tipo di avvertimento in tempo reale da Avira

http://img98.imageshack.us/img98/9241/malwarenetworkservicekz9.th.jpg (http://img98.imageshack.us/my.php?image=malwarenetworkservicekz9.jpg)

Come vedete li ci sono 3 cartelle, all'interno pero' non c'e' nulla.
Eppure gli avvertimenti di Avira sono molto frequenti e riguardano file .jpg all'interno di queste 3 cartelle.
Atf Cleaner non ha fatto nulla.
Evidenzio che facendo uno scan con Avira o con qualche altro programma anche online non risultano infezione.
Come cavolo posso risolvere?:cry: :doh:

Ciao,
non so se posso esserti utile...avevo il tuo stesso problema....ho attivato il firewall di windows e sembra si sia risolto...sono quasi 3 ore di tregua ormai...speriamo che continui cosi'....:D
Ciao
Salvatore

aspettiamo ancora i log restanti

poi configura antivir come indicato qui (http://www.hwupgrade.it/forum/showthread.php?t=1514684), fai una scansione completa e carichi il log/report

caro wjmat antivir è già impostato come li e lo scan non mi da alcuna defection

Non so se hai già attivato il firewall di windows come ti avevo suggerito...cmq dopo aver fatto questo io ho trovato pace...l'ho fatto attivare anche ad un mio collega con lo stesso problema ed ha risolto....ciao

scusate ragazzi riprendo questa discussione perchè mi è capitata una segnalazione di un file sempre nelle dir.
C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5
mi chiedo se non uso ovviamente IE5 perchè ci sono dei file qui? Da dove provengono e come si insediano?

ragazzi un aiuto gli avvisi sulla direcotiry me li fa prevx non avira stavolta, non si può cancellare sta cartella che a sua volta contiene 3 sottocartella una delle quale periodicamente presenta dei "rischi"?