www.MegaLab.it

[figio87]

ciao a tutti mi sono appena iscritto in questo bel sito
e volevo far i complimenti a tutti per l'impegno e la partecipazione,
soprattutto perché grazie a MegaLab son riuscito a eliminare un fastidioso Bagle.

però ora ho un altro problema:ho un virus "asintomatico" diciamo così che non mi blocca alcuna applicazione però insomma non riesco a rimuoverlo con NOD32.
E' win32/trojanclicker.delf.NAZ in c:/windows/kbdbenev.dll.
questa il messaggio:
"C:\WINDOWS\system32\kbdbenev.dll.bak - Win32/TrojanClicker.Delf.NAZ cavallo di troia"

ovviamente nod32 lo trova ma dice che non può rimuoverlo perché bloccato.

Ho provato a fare il controllo con kaspersky online...
e con gmer...


riuscite a darmi qualche consiglio per risolvere questo problema?
grazie
Ste

[ste_95]

C'è più di una cosa...

Con GMER, esegui la scansione anche della sezione autostart.

[figio87]

io non capisco molto.
...
confido in lei...

[ste_95]

Scarica Avenger
Estrailo in una cartella a tua scelta
Esegui il file avenger.exe con la figura di una spada
Metti il flag su input script manually
Quindi scegli la lente e cliccaci
Ora incolla queste righe nella box bianca che si è aperta:

Codice: Seleziona tutto

Files to delete:
C:\WINDOWS\system32\f3PSSavr.scr
C:\Programmi\Common Files\Companion Wizard\compwiz.exe
C:\WINDOWS\system32\kbdbenev.dll
C:\WINDOWS\system32\kbdbenev.dll.bak
C:\WINDOWS\system32\drivers\exhapvxy.dat
C:\WINDOWS\vVX1000.exe

Folders to delete:
C:\WINDOWS\Temp

Adesso devi cliccare su Done in basso nella box
Seleziona il semaforino in alto a destra
Rispondi di Si alle due richieste di Avenger
Adesso il tuo computer dovrebbe riavviarsi, nel caso non succedesse, riavvialo tu manualmente
Al riavvio del computer, copia e incolla qui il contenuto del blocco note che apparirà.

Poi scarica SuperAntiSpyware ed esegui una scansione completa del tuo computer, visto che si vedevano anche degli spyware e degli adware.

Alla fine di tutto, esegui nuovamente le scansioni delle sezioni autostart e rootkit con GMER.

[figio87]

ecco avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pqabcauh

*******************

Script file located at: \??\C:\WINDOWS\kusigepu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\f3PSSavr.scr deleted successfully.


Could not open file C:\Programmi\Common Files\Companion Wizard\compwiz.exe for deletion
Deletion of file C:\Programmi\Common Files\Companion Wizard\compwiz.exe failed!

Could not process line:
C:\Programmi\Common Files\Companion Wizard\compwiz.exe
Status: 0xc000003a



Could not open file C:\WINDOWS\system32\kbdbenev.dll for deletion
Deletion of file C:\WINDOWS\system32\kbdbenev.dll failed!

Could not process line:
C:\WINDOWS\system32\kbdbenev.dll
Status: 0xc0000022



Could not open file C:\WINDOWS\system32\kbdbenev.dll.bak for deletion
Deletion of file C:\WINDOWS\system32\kbdbenev.dll.bak failed!

Could not process line:
C:\WINDOWS\system32\kbdbenev.dll.bak
Status: 0xc0000022



Could not open file C:\WINDOWS\system32\drivers\exhapvxy.dat for deletion
Deletion of file C:\WINDOWS\system32\drivers\exhapvxy.dat failed!

Could not process line:
C:\WINDOWS\system32\drivers\exhapvxy.dat
Status: 0xc0000022

File C:\WINDOWS\vVX1000.exe deleted successfully.
Folder C:\WINDOWS\Temp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[figio87]

purtroppo gmer ha trovato le cose di prima...

[ste_95]

Ripeti il procedimento in modalità provvisoria.

[figio87]

niente...

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ulqvboyk

*******************

Script file located at: \??\C:\Documents and Settings\dartjrop.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\f3PSSavr.scr not found!
Deletion of file C:\WINDOWS\system32\f3PSSavr.scr failed!

Could not process line:
C:\WINDOWS\system32\f3PSSavr.scr
Status: 0xc0000034



Could not open file C:\Programmi\Common Files\Companion Wizard\compwiz.exe for deletion
Deletion of file C:\Programmi\Common Files\Companion Wizard\compwiz.exe failed!

Could not process line:
C:\Programmi\Common Files\Companion Wizard\compwiz.exe
Status: 0xc000003a



Could not open file C:\WINDOWS\system32\kbdbenev.dll for deletion
Deletion of file C:\WINDOWS\system32\kbdbenev.dll failed!

Could not process line:
C:\WINDOWS\system32\kbdbenev.dll
Status: 0xc0000022



Could not open file C:\WINDOWS\system32\kbdbenev.dll.bak for deletion
Deletion of file C:\WINDOWS\system32\kbdbenev.dll.bak failed!

Could not process line:
C:\WINDOWS\system32\kbdbenev.dll.bak
Status: 0xc0000022



Could not open file C:\WINDOWS\system32\drivers\exhapvxy.dat for deletion
Deletion of file C:\WINDOWS\system32\drivers\exhapvxy.dat failed!

Could not process line:
C:\WINDOWS\system32\drivers\exhapvxy.dat
Status: 0xc0000022



File C:\WINDOWS\vVX1000.exe not found!
Deletion of file C:\WINDOWS\vVX1000.exe failed!

Could not process line:
C:\WINDOWS\vVX1000.exe
Status: 0xc0000034



Folder C:\WINDOWS\Temp not found!
Deletion of folder C:\WINDOWS\Temp failed!

Could not process line:
C:\WINDOWS\Temp
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

ma secondo te è normale che dopo le scansioni in modalità provvisoria quando torno nella modalità normale non mi fa accedere più al browser?
poi lo risolvo scrivendo sfc/ scannow su esegui e riavvio.

[ste_95]

Prova a eliminare i file seguenti con KillBox:

C:\WINDOWS\system32\kbdbenev.dll
C:\WINDOWS\system32\kbdbenev.dll.bak
C:\WINDOWS\system32\drivers\exhapvxy.dat
C:\Programmi\Common Files\Companion Wizard\compwiz.exe

[figio87]

purtroppo anche qui mi dice che non posso eliminarlo.
i primi 2 kbdbenev non può eliminarli
gli altri due dice di non trovarli...

[ste_95]

Disabilita il ripristino configurazione di sistema.

Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Gestione Risorse -> A43 Management. Elimina ora i seguenti file e cartelle dal disco C:\ come se fossi nel tuo computer:

C:\WINDOWS\system32\kbdbenev.dll
C:\WINDOWS\system32\kbdbenev.dll.bak
C:\WINDOWS\system32\drivers\exhapvxy.dat
C:\Programmi\Common Files\Companion Wizard\compwiz.exe

Torna in modalità normale e rifai i log di GMER.

[figio87]

niente mi dice accesso negato! il file potrebbe essere protetto da scrittura o essere in uso.

[chtomma]

Ciao a tutti,

sto combattendo ora contro questa variante anche io. Il file infetto è dpvacmo e si comporta allo stesso modo di figio87. Provando a cancellare con avenger o killbox mi dice che è impossibile effettuare l'operazione anche in modalità provvisoria. Ho visto che ci sono molti riferimenti dentro al registro e sopratutto si associa al winlogon. spero di essre d'aiuto con qualche informazioni in piu'|

[ste_95]

niente mi dice accesso negato! il file potrebbe essere protetto da scrittura o essere in uso.

Non ci posso credere, anche dal MegaLabCD?

@chtomma

Prova a seguire le istruzioni che ho dato a figio87 nel mio precedente post.

[sole2608]

ciao a tutti ragazzi.. mi sono appena iscritta..

sto combattendo anche io da 2 giorni contro questo virus.. e pure io ho nod 32.. non mi da nessun problema.. per poter navigare su internet mi basta mettere ad icona l'avviso dell'antivirus..
ho cercato di eliminarlo ma nulla... "file in uso o bloccato"..
se qualcuno ha qualche illuminazione divina su come eliminarlo.. sarò lieta di leggere i post..


ho seguito la procedura che avete detto.. ma idem..

[ste_95]

ciao a tutti ragazzi.. mi sono appena iscritta..

sto combattendo anche io da 2 giorni contro questo virus.. e pure io ho nod 32.. non mi da nessun problema.. per poter navigare su internet mi basta mettere ad icona l'avviso dell'antivirus..
ho cercato di eliminarlo ma nulla... "file in uso o bloccato"..
se qualcuno ha qualche illuminazione divina su come eliminarlo.. sarò lieta di leggere i post..

Prova anche tu con queste istruzioni:

http://www.MegaLab.it/forum/viewtopic.p ... 261#331261

[chtomma]

ho risolto!!!

C'è un processo nascosto che attiva tutte le volte il virus e soprattto lo tiene occupato rendendolo impossibile da cancellare, postate i log di gmer che provo a capire se riesco a riconoscere anche il vostro.

[ste_95]

Il tuo come si chiamava?

[chtomma]

allora figio!

Vedendo il tuo log di gmer devi fare così:

start
esegui
regedit

modifica
trova: xqqeboln

elimini tutte le stringhe che lo contengono...forse ti daranno errore le ultime due chiavi ma non importa, quello importante sono quelle prima.

Riavvi il pc e a questp punto vai ad eliminare

system32\drivers\exhapvxy.dat

e il file dove ti segnalava il virus il nod che ora dovrebbe cancellartelo.

L'ho fatto stamattina da un amico ma poi sono dovuto scappare via quindi spero di essermi ricordato tutti i passaggi.

Fammi sapere.

[chtomma]

scusa ste ma non me lo ricordo esattamente ma a memoria il servizio doveva essere uguale a quello di figio (xqqeboln)...mentre il nome del file infetto invece era differente ma simile.

comunque aspetto il log di sole per vedere se si assomigliano ed eventualmente di sapere come se l'è cavata figio.