Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

win32/trojanclicker.delf NAZ non rimovibile

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Messaggioda ste_95 » ven feb 15, 2008 1:55 pm

Il log di COmbofix è incompleto.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda figio87 » ven feb 15, 2008 3:30 pm

[rotolo] ero così...
ma son così ora [cry+]
perché nod32 m'ha rilevato il kbdbenev.dll.bak che combofix non m'aveva trovato.

cosa vuol dire è incompleto?
io ho fatto la scansione e mi son trovato quei2 file .txt
adesso provo a rifarla e ti posto i file.
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am

Messaggioda figio87 » ven feb 15, 2008 3:43 pm

questi i file.

ora proverò con antivir PE
e vedremo se fa qualcosa...
sperem
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am


Messaggioda ste_95 » ven feb 15, 2008 3:49 pm

Cancella il file bak. Poi rifai nuovamente i log di GMER.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda figio87 » ven feb 15, 2008 5:52 pm

antivirPE cancella kbdbenev.dll
però rimane il kbdbenev.dll.bak.

mi sa che combofix non era riuscito a eliminarlo kbdbenev.dll...

boh adesso so solo che nod32 mi dice del file .bak
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am

Messaggioda zupermax » ven feb 15, 2008 6:21 pm

@ste_95
Si, lo so, sto PC e' un deposito batteriologico... E meno male che mi ero raccomandato di controllare sempre il funzionamento di Antivirus, firewall, Spybot e di navigare sempre da sandboxie... [boh]

Va be... tornando a noi,
Quel file "C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Update_0801_KB241618.exe" non esiste piu'. Credo sia stato eliminato dall'antivirus. Infatti compare nel log di Antivir, in quello di gmer passato prima di combofix(*before) ma non mi sembra di trovarlo in quello eseguito dopo (*after).

Ho comunque eseguito avenger con lo script che mi hai indicato e passato ancora una volta combofix.
Ho anche rilanciato hijackthis per ottenere un nuovo log.

A questo indirizzo http://www.freefilehosting.net/download/3c4c5 puoi trovare i nuovi report.

Per quel che riguarda il file che mi chiedi di uppare su http://softnews.altervista.org/upload_malware.php, anche in questo caso non lo trovo. Magari anche lui era stato eliminato quando ho passato l'antivirus.


Grazie dell'aiuto.

Saluti.
Avatar utente
zupermax
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: gio feb 14, 2008 3:21 pm

combofix

Messaggioda sole2608 » ven feb 15, 2008 6:46 pm

qui c'è il log di combofix che ho fatto ieri notte..

http://www.freefilehosting.net/download/3c4cg
Avatar utente
sole2608
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: mer feb 13, 2008 1:54 pm

Re: combofix

Messaggioda ste_95 » ven feb 15, 2008 7:22 pm

sole2608 ha scritto:qui c'è il log di combofix che ho fatto ieri notte..

http://www.freefilehosting.net/download/3c4cg


Scarica HijackThis
Salvalo in una cartella (non aprirlo direttamente, sennò non farà i backup!)
Apri l'eseguibile
Clicca quindi su "Do a System Scan and Save a Logfile"
Attendi che finisca la scansione
Quindi copia il contenuto del blocco note qui sul forum.

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ste_95 » ven feb 15, 2008 7:28 pm

zupermax ha scritto:Quel file "C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Update_0801_KB241618.exe" non esiste piu'. Credo sia stato eliminato dall'antivirus. Infatti compare nel log di Antivir, in quello di gmer passato prima di combofix(*before) ma non mi sembra di trovarlo in quello eseguito dopo (*after).

Ho comunque eseguito avenger con lo script che mi hai indicato e passato ancora una volta combofix.
Ho anche rilanciato hijackthis per ottenere un nuovo log.

A questo indirizzo http://www.freefilehosting.net/download/3c4c5 puoi trovare i nuovi report.

Prova a rifare il procedimento con il megalabCD.

zupermax ha scritto:Per quel che riguarda il file che mi chiedi di uppare su http://softnews.altervista.org/upload_malware.php, anche in questo caso non lo trovo. Magari anche lui era stato eliminato quando ho passato l'antivirus.

Non credo, nel caso tu lo avessi messo in quarantena, ripristinalo giusto il tempo di inoltrarlo. Vista la rapida diffusione di questo trojan vorrei analizzarlo e scrivere una procedura di rimozione.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda figio87 » sab feb 16, 2008 12:08 am

ciao ragazzi volevo chiedervi
kbdbenev.dll è stato rimosso forse da combofix o da aviritPE
che ha cambiato il nome e l'ha poi rimosso.
mi rimane ora il kbdbenev.dll.bak che manulamente non si fa rimuovere
nè rinominare.

...
qualche idea?
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am

Messaggioda ste_95 » sab feb 16, 2008 7:37 am

Mi è venuta un'ideuzza, proviamo dal MegaLabCD, o alla peggio da un distribuzione GNU/Linux Live, a rinominare i file invece che a eliminarli. Quando li avrete rinominati, eseguite nuovamente le scansioni con GMER.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda figio87 » sab feb 16, 2008 11:34 am

con il MegaLab cd non riesce a modificarlo e rinominarlo.
ma poi rinominarlo in qualsiasi modo?
esempio kbdbenev.dll.bak.vir?
boh?! [uhm]
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am

Messaggioda ste_95 » sab feb 16, 2008 11:38 am

Si, come vuoi, di modo che non troverà più il file e di conseguenza non potrà metterlo in esecuzione.

Prova a farlo con Ubuntu Live;

http://ubuntu.fastbull.org/ubuntu-relea ... p-i386.iso
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda figio87 » sab feb 16, 2008 11:47 am

ma quant'è grosso?
700MB?
caz...
vabeh dai proviamoci.
puoi spiegarmi come si fa,
perché se è come il MegaLab è un conto
se no non saprei da dove iniziare...
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am

Messaggioda ste_95 » sab feb 16, 2008 12:21 pm

E' simile al MegalabCD, masterizzi correttamente la iso scaricata e poi fai il boot da lì, poi intuitivamente vai a cancellare o a rinominare i file.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda figio87 » sab feb 16, 2008 12:29 pm

ok proverò. ora sono al 40%
ma perché è così grande?
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am

Messaggioda ste_95 » sab feb 16, 2008 12:33 pm

E' un sistema operativo... [;)]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda figio87 » sab feb 16, 2008 1:48 pm

perdonami ma non riesco a intuire dai file scaricati dal file iso
dove trovare lo strumento per cancellare il fiel .bak...

puoi aiutarmi?
grazie

è quello che mi compare...
Avatar utente
figio87
Aficionado
Aficionado
 
Messaggi: 44
Iscritto il: mar feb 12, 2008 10:07 am

Messaggioda ste_95 » sab feb 16, 2008 2:07 pm

Devi masterizzare l'immagine:

http://www.MegaLab.it/2226

Poi fare il boot dal CD appena fatto.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda zupermax » sab feb 16, 2008 10:51 pm

@ste_95

Ste... non te la prendere a male... ma credo che l'antivirus abbia fatto bene il suo lavoro eliminando il virus definitivamente.
Credo, correggimi se sbaglio, che attivando l'antivir dal MegaLab CD, questo non abbia scritto fisicamente i "quarantined" nel disco.
Ho cercato in tutto il disco, ma di quei file che cerchi non ne trovo assolutamente traccia. [boh]

Scusa, ma mi viene un dubbio... tu mi avevi chiesto di uppare sul sito http://softnews.altervista.org/upload_malware.php, il file c:\avenger\avenger.zip. Non e' che per caso intendevi c:\avenger\backup.zip ?

Comunque, ho dato una passata approfondita con Nod 32 e non c'e' piu' alcuna traccia del virus.
L'unica cosa che rimane, e' l'indicazione che danno Hijackthis e combofix rispetto a quel malware, anche se i file referenziati non esistono piu'.
Ho provato a usare ancora una volta avenger specificando la cancellazione delle chiavi riportate da combofix, ma continuo a ricevere l'errore "not found".

Se cortesemente vuoi darci un'occhiata, ho caricato i nuovi log a questo indirizzo: http://www.freefilehosting.net/download/3c5mc
Avatar utente
zupermax
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: gio feb 14, 2008 3:21 pm

PrecedenteProssimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 7 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising