PDA

Visualizza versione completa : Troj/Prorat-D (in campana)


davlak
22-03-2004, 15.06.33
Novità di questa mattina.
Scaricato un exe da Emule...lo vado a lanciare e come per incanto il mio F-Prot aggiornato pochi minuti prima...muore.

Dopo 4 tentativi di reinstallazione, si di F-Prot sia di NOD32 che addirittura del NAV2004 ( :eek: ) [per chi non lo sapesse, per me installare un prodotto symantec è peggio che darmi una martellata sulle @@ :p ], mi arrendo all'evidenza: ho qualche ospite indesiderato.

Lancio HijackThis e scopro due strani processi entrambi con riferimento a un misconosciuto fservice.exe.
Inutile dire che qualsiasi tentativo di fix con qualsiasi tool a mia disposizione si rivelava inefficace, da Win.

Cmq: faccio appena in tempo a ricorrere al buon Google che mi trova come unico significativo risultato questo della Sophos (http://www.sophos.com/virusinfo/analyses/trojproratd.html)...e a scaricare la tool sav32sfx.exe che la connessione crasha e fine dei giochi...

La tool suddetta non ha sortito effetto alcuno, se non quello di segnalarmi infetto il imscan.dll, e nemmeno McAfee da riga di comando in ambiente BART (anche questo aggiornato alla versione ultima, la sdat4339); idem per F-Prot lanciato da CD con le firme aggiornatissime.

Morale della favola:

l'unico sistema che ha funzionato per eliminare il maledetto è stato quello manuale:

1) da console ho segato il winkey.dll e il fservice.exe
2) in mod provv. ho eliminato tutte le chiavi di registro dopo una ricerca mirata a entrambi i suddetti files
3) ho dovuto rinominare la imscan.dll in C:\windows\system32\ActiveScan (non ho ancora capito a che serva questo file, ma la tool della Sophos me lo dava infetto, e non sapendo a che servisse mi sono limitato a rinominarlo anzichè eliminarlo del tutto).


In campana a tutto ciò che scaricate dal P2P.

wolf76
22-03-2004, 15.23.52
Noto che in questo periodo con i worm sei fortunatissimo....:eek: :p :D

Cmq la situazione è preoccupante... chissà se anche il NOD sarebbe crashato come ha fatto F-Prot...

wolf76
22-03-2004, 15.24.24
Noto che in questo periodo con i worms sei fortunatissimo....:eek: :p :D

Cmq la situazione è preoccupante... chissà se anche il NOD sarebbe crashato come ha fatto F-Prot...

wolf76
22-03-2004, 15.28.24
:eek: :timid: scusatemi....

davlak
22-03-2004, 16.13.35
p.s.: ho scoperto adesso che imscan.dll è un file creato dalla scansione online del Panda Antivirus...in pratica il worm infetta tutto quello che ha a che fare con qualsiasi AV...

:grrr:

RNicoletto
23-03-2004, 12.34.03
A proposito dav... hai risolto questo (http://62.101.68.209/forum/showthread.php?s=&threadid=65318) enigma ??


SALUDOS Y BESOS !!!

davlak
23-03-2004, 13.05.28
Originariamente inviato da RNicoletto
A proposito dav... hai risolto questo (http://62.101.68.209/forum/showthread.php?s=&threadid=65318) enigma ??


SALUDOS Y BESOS !!!
no, però le disconnessioni sono diventate molto meno frequenti, anche se il rasautou.exe compare sempre in occasione delle medesime.
Ora sono passato alla versione 3.14e di F-Prot e al Mcafee sdat4341...continuano a non segnalarmi niente...boh.

Giorgius
24-03-2004, 00.44.20
Davlak, di rigore, i ".EXE" ".BAT" ".COM" non li devi scaricare sul P2P. ;)

Sono tutti Trojan Virus o Worm informatici. ;) Ocio!

exion
24-03-2004, 01.46.36
Originariamente inviato da Giorgius
Davlak, di rigore, i ".EXE" ".BAT" ".COM" non li devi scaricare sul P2P. ;)

Sono tutti Trojan Virus o Worm informatici. ;) Ocio!

tutti? Come sei drastico! :p

Kandran Kane
25-03-2004, 14.26.23
Originariamente inviato da exion


tutti? Come sei drastico! :p

Fino ad oggi, quando la sorgente di download di un file mi pare dubbia faccio la scansione con NAV 2003 prima di lanciarlo,
e con il P2P non ho avuto problemi.

Quelli che invece mi stanno massacrando le ambre, sono i malware e le "barre" nonché questi forzati relink che arrivano a modificare persino outlook. Spybot me le becca tutte ma ad ogni riavvio ne trovo qualcuno.
Adesso provo ad installare BlackIce 3.6, sperando non vada in conflitto con NAV

RNicoletto
26-03-2004, 13.29.03
Originariamente inviato da Kandran Kane
Quelli che invece mi stanno massacrando le ambre, sono i malware e le "barre" nonché questi forzati relink che arrivano a modificare persino outlook. Spybot me le becca tutte ma ad ogni riavvio ne trovo qualcuno.
Adesso provo ad installare BlackIce 3.6, sperando non vada in conflitto con NAV
Hai provato a non utilizzare IE come browser ?? Io con Firefox di barre e schifezze varie non ne ho mai viste :cool:


SALUDOS Y BESOS !!!

davlak
26-03-2004, 13.35.13
Originariamente inviato da RNicoletto

Hai provato a non utilizzare IE come browser ?? Io con Firefox di barre e schifezze varie non ne ho mai viste :cool:


SALUDOS Y BESOS !!!
barre no, ma ieri questo (http://www.wintricks.it/forum/showthread.php?s=&postid=609039#post609039) problemino mi ha fatto diventare matto con Opera, IE, Firefox...non c'era la minima traccia nè nel registro, nè negli Activex, nè nei log di HijackThis.

:S

RNicoletto
26-03-2004, 17.34.05
Originariamente inviato da davlak

barre no, ma ieri questo (http://www.wintricks.it/forum/showthread.php?s=&postid=609039#post609039) problemino mi ha fatto diventare matto con Opera, IE, Firefox...non c'era la minima traccia nè nel registro, nè negli Activex, nè nei log di HijackThis.

:S
Purtroppo non riesco a replciare il tuo problema; al momento il sito esaf.net risulta irraggiungibile.


SALUDOS Y BESOS !!!