Segnalazioni continue e periodiche da Avira su questa directory

[waikiki]

Ciao, Avira mi segnala periodicamente e molto spesso presunti malware su questa directory:

Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5

Premetto che uso FF (con estensione Ie Tab), vedo che in questa directory ci sono cartelle (che io ho provato a cancellare precisamente 3 ma che poi ora si è riformata almeno una) da cui appunto vengono segnalati file .jpg da Avira.

All'interno di queste cartelle io manualmente non trovo nulla, pero' Avira continu segnalare.
Pero' poi se faccio uno scan di c: non mi segnala assolutamente nessuna detection.
Cosa posso fare quindi?

I file segnalati in tempo reale(mentre sto navigando ) sono tipo questi :

Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\IN9RD30X\kasjimbk[1].jpg.
Action performed: Deny access


Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\1ZD70XB8\ygithvfb[1].jpg.
Action performed: Deny access


Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\170NTB60\liao[1].jpg.
Action performed: Deny access


Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Impostazioni locali\Temporary Internet Files\Content.IE5\GRPZQDGK\bkes[1].jpg.
Action performed: Deny access

Nel task non risult anulla di anomalo

Ma ripeto questi file .jpg nelle cartelle indicati non li trovo, in queste cartelle non c'e' nulla, l'ho provate anche a cancellare pero' come detto man mano se ne riforma almeno una.

[Chill-Out]

Facciamo un teantativo fai girare ATF Cleaner in modalità provvisoria F8

Pulizia dei file temporanei:

ATF Cleaner Download - Guida all'utilizzo
Compatibile: Windows XP - Vista
Caratteristiche: non necessita di installazione

Nell'eventualità il problema si dovesse ripresentare è opportuno seguire Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Fileqube, clicca qui per raggiungere Fileqube, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download

*** REGOLE di SEZIONE - obbligatoria la lettura!! ***

[waikiki]

fileqube non va.
Cmq la procedura è assai fastidiosa

[Chill-Out]

Quote:

Originariamente inviato da waikiki

fileqube non va.
Cmq la procedura è assai fastidiosa

Hai fatto pulizia con ATF Cleaner da modalità provvisoria F8?

[waikiki]

da modalità provvisoria no ora la faccio
Cmq io navigo con Firefox(con stensione ie tab che uso saltuariamente) mentre si tratta di roba di IE da quel che ho capito, bah

[Chill-Out]

Quote:

Originariamente inviato da waikiki

da modalità provvisoria no ora la faccio
Cmq io navigo con Firefox(con stensione ie tab che uso saltuariamente) mentre si tratta di roba di IE da quel che ho capito, bah

Non ha importanza fai pulizia con ATF poi come indicato qui http://www.hwupgrade.it/forum/showpo...45&postcount=2 se il problema si dovesse riprensentare è opportuno seguire la Guida alla disinfezione in modo e maniera da avere uno screen del tuo Pc, se Fileqube no funziona nelle Regole di sezione sono indicati i server remoti alternativi.

Certo che definire la Guida fastidiosa mi sempre eccessivo, comunque è sempre un questione di punti di vista

[waikiki]

A-Squared mi segnala questo:

a2scan_090102-001852 1 Gennaio 2009.txt

Mi son fermato li, devo cancellare soprattutto la prima value di registro?

Ecco il log di Hijack

hijackthis con msnmsgr1.txt

[Chill-Out]

Quote:

Originariamente inviato da waikiki

A-Squared mi segnala questo:

a2scan_090102-001852 1 Gennaio 2009.txt

Mi son fermato li, devo cancellare soprattutto la prima value di registro?

Per quanto concerne A2 puoi eliminare tutto tranne

Quote:

Value: HKEY_LOCAL_MACHINE\SOFTWARE\Freeze.com\Installer --> id rilevati: Trace.Registry.EZ Game Cheats!A2

continuo non capire se hai fatto pulizia con ATF e se il problema dopo la pulizia si è ripresentato

[waikiki]

con ATF ho fatto la pulizia ,ma di Firefox non ho toccato nussuna voce

[Chill-Out]

Quote:

Originariamente inviato da waikiki

con ATF ho fatto la pulizia ,ma di Firefox non ho toccato nussuna voce

Perchè seleziona anche FF in tranquillità

[waikiki]

ehm...mi cancella cookies, e passwords, bookmarks, ecc...e non vorrei....
se devo farlo per forza posso salvarmeli per poi reinserirli?

[Chill-Out]

Quote:

Originariamente inviato da waikiki

ehm...mi cancella cookies, e passwords, bookmarks, ecc...e non vorrei....
se devo farlo per forza posso salvarmeli per poi reinserirli?

Se desideri salvare la password devi deselezionare il campo, per i cookie o te li salvi o pazienza, non mi sembra un grosso problema imho

[waikiki]

ho fatto la pulizia inmod. provvisoria, anche le voci di ff(tranne passowords) ma il problema si è ripresentato
Scusa ma perchè non devo cancellare la value indicata che è chiaramente anomala?

[waikiki]

ho messo in a-squared in quarantena la value, ma avira mi notifica ancora questi file, che a questo punto non so se siano effettivi malware...
helpppp!

[waikiki]

Questo è GMER

Quote:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-02 19:25:48
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT F7CA62BC ZwCreateThread
SSDT F7CA62A8 ZwOpenProcess
SSDT F7CA62AD ZwOpenThread
SSDT F7CA62B7 ZwTerminateProcess
SSDT F7CA62B2 ZwWriteVirtualMemory

---- User code sections - GMER 1.0.14 ----

.text C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe[248] kernel32.dll!SetUnhandledExceptionFilter 7C810386 5 Bytes JMP 0056DBBD C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Files - GMER 1.0.14 ----

File C:\Documents and Settings\****\Dati applicazioni\Mozilla\Firefox\Profiles\tgqofp1h.default\parent.lock 0 bytes
File C:\Documents and Settings\****\Dati applicazioni\Mozilla\Firefox\Profiles\tgqofp1h.default\places.sqlite-journal 0 bytes
File C:\Documents and Settings\****\Dati applicazioni\Mozilla\Firefox\Profiles\tgqofp1h.default\sessionstore.js 26376 bytes

---- EOF - GMER 1.0.14 ----

[waikiki]

mi sembra di capire che se chiudo il processo di windows messenger non ho piu' "segnalazioni"

[Chill-Out]

Quote:

Originariamente inviato da waikiki

mi sembra di capire che se chiudo il processo di windows messenger non ho piu' "segnalazioni"

Sinceramente non saprei, l'esigenza è quella di scavare più a fondo ed i tool della Guida lo consentono.

[waikiki]

li ho fatti tutti i tool della guida e non mi danno infezioni, se non dei tracking cookies cacellati comunque e quella value key che mi segnala A-Squared!

Confermo che se chiudo il processo di messenger non mi segnala piu' nulla

[Chill-Out]

Quote:

Originariamente inviato da waikiki

li ho fatti tutti i tool della guida e non mi danno infezioni, se non dei tracking cookies cacellati comunque e quella value key che mi segnala A-Squared!

Confermo che se chiudo il processo di messenger non mi segnala piu' nulla

Se non vedo i log purtroppo non posso ipotizzare nulla

[waikiki]

ho messo i log di GMER e di MALWAREBYTES , gli unici programmi che mi sembra segnalano qualcosa, gli altri non trovano nulla di anomalo , che te li metto a fare?
Il processo di messenger è msnmsg.exe, chiudendolo non ho piu' segnalazione dell'heuristica di Avira