|
|||||||
|
|
|
 |
|
|
Strumenti |
25-01-2010, 16:44
|
#1 |
|
Junior Member
Iscritto dal: Aug 2006
Messaggi: 20
|
Problemi Win32/Warduncrypt!packed e csrcs.exe
Salve a tutti. da stamattina ho il PC che mostra seri problemi. Innanzi tutto il mio antivirus CA Etrust ogni tanto mi da questo avviso "alert di infezione real time Win32/Warduncrypt!packed è stato rilevato in C:\WINDOWS\SYSTEM32\XV.EXE. Nessuna riparazione per questo file.
Poi ha cominciato ad aprirsi da solo IE con una pagina strana di Google. Ad un'analisi con hjackthis (vi posto il log) ho notato delle voci che nell'anilisi automatica mi porta come sospette reltive ad un file csrcs.exe. Dall'apposito thread "aiuto sono infetto ho seguito le prime istruzioni disabilitando il ripristino... e inserendo i DNS indicati, dopo ho utilizzato ATF-Cleaner ed infine ho fatto la scansione con Prevx 3.0 (di cui vi allego il log) che mi ha trovato 11 minacce di tipo L e quindi non riparabili con la versione free. Vi chiedevo se qualcuno poteva dirmi cosa fare, anche perché devo fare un esame all'univ. e non ho tanto tempo da e dedicare a questi virus. ecco i link dei log http://www.filedropper.com/hijackthis http://www.filedropper.com/logprevx302501 Grazie |
|
|
|
25-01-2010, 17:00
|
#2 |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.
Modalità di pubblicazione dei log: Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.
__________________
Try again and you will be luckier.
|
|
|
|
|
25-01-2010, 17:01
|
#3 |
|
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
segui il resto della guida e rifai le scansioni di hjt e prevx quando sarà il loro turno
edit: battuto sul tempo
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
|
|
|
|
25-01-2010, 17:03
|
#4 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
hai seguito la procedura veloce che ti ha appunto confermato l'infezione in corso:
Codice:
[BP] (ACTIVE) c:\windows\system32\soihna.exe [PX5: 47A2777634627C6DF1A60A8AF6DBED008FF3AFC2] Malware Group: Medium Risk Malware [b] c:\recycler\s-1-5-21-0538884572-1819189231-888652211-0427\nissan.exe [PX5: BB8E393200B92CAA763D028870907D0097AF05C1] Malware Group: High Risk Cloaked Malware [b] c:\programmi\zucchetti\gestione presenze\rilevdb\gpres2_ib.exe [PX5: F6A1D7CF007A9C68A037014564D4F7004D5FB5C0] Malware Group: Medium Risk Malware Downloader [b] c:\documents and settings\ragosta.a\impostazioni locali\temp\qjl.exe [PX5: B458E5EB005F79F7F6CA01E3A7B1D300A4540C4D] Malware Group: Medium Risk Malware Dropper [b] c:\windows\system32\sshnas21.dll [PX5: 287A5F6400151377A8DC026B506F79006DC938E2] Malware Group: High Risk Fraudulent Security Program [b] c:\documents and settings\ragosta.a\impostazioni locali\temp\qjj.exe [PX5: A4C6A13F0085BD83F63A03F93596DE0043B4A195] Malware Group: Medium Risk Malware ora le cose sono o segui la procedura completamente free che richiede 8 scansioni 4 delle quali abbastanza lente e a fine di esse la nostra analisi sarà di rifinitura e certificazione di disinfezione oppure se ritieni che sia troppo tempo sprecato e che non vuoi sbattimenti compri la licenza di prex e con un clik lui fa tutto. a te ogni scelta 
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
01-02-2010, 13:44
|
#5 |
|
Junior Member
Iscritto dal: Aug 2006
Messaggi: 20
|
Ecco i log delle scansioni
Salve vi allego i log. Premetto però che quello di A-squared non sono riuscito a salvarlo, e neanche quello di karpesky utilizzato in alternativa a fsecure che non è partito.
log di prevx al 25.01.2010 http://www.filedropper.com/logprevx302501 http://www.filedropper.com/1mbam-log-2010-01-2707-58-17 http://www.filedropper.com/2cureit http://www.filedropper.com/3esi-eula http://www.filedropper.com/4hijackthis http://www.filedropper.com/5gmer log di prevx al 01.02.2010 http://www.filedropper.com/6prevx0102 |
|
|
|
|
02-02-2010, 15:12
|
#6 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
come mai non sei riuscito a salvare il log di a-squared?
non riesco a visionare nessun log tranne cureIT.. PS: eula.txt non è il LOG di SysInspector!! leggere la guida e fare esattamente cio che si è letto!
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
03-02-2010, 11:22
|
#7 |
|
Junior Member
Iscritto dal: Aug 2006
Messaggi: 20
|
ma scusa eula allora qual è.
A-squared mi ha dato problemi. ecco i log: http://www.filedropper.com/1mbam-log-2010-01-2707-58-17 http://www.filedropper.com/2cureit_1 http://www.filedropper.com/3esi-eula http://www.filedropper.com/4hijackthis http://www.filedropper.com/5gmer http://www.filedropper.com/sysinspec...-a-100129-1027 ciao grazie |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 02:47.
