Olimpo Informatico

radfansa · Mortale devoto Registrato: 31/08/06 11:10 Messaggi: 15

Ciao ragazzi, vi comunico che finalmente sono riuscito a debellare (spero definitivamente) questo noioso trojan.

ho seguito alla lettera la procedura illustrata da holifax a questo topic
http://forum.zeusnews.com/viewtopic.php?t=16712

e poi ho utilizzato questo tool trovato a quest'altro thread

http://forum.zeusnews.com/viewtopic.php?t=17270
DDL link

xò vorrei aggiungere un piccolo accorgimento per poter utilizzare con efficacia questo tool della NOD32. Il problema è innanzitutto che per poter usare questo programmino dovete a priori conoscere il/i file/es incriminati, quindi per un'inesperto è praticamente inutilizzabile. Comunque, se avete utilizzato la procedura di clean di holyfax, il file sorgente .exe che a creato questo problema non l'avrete +, per cui il tool di NOD32 non potrà eliminare tutte le chiavi infette. Quindi seguite questi 4 semplici passi.

1) andate in "Strumenti di amministrazione" > "Servizi" e trovate il servizio farlocco (che praticamente è l'unica cosa che rimane del virus) con il nome utente indecifrabile (es ./uoihln), tasto destro e aprite i tabs proprietà. Nel Tab Generali, in corrispondenza della voce percorso file eseguibile troverete il link al programma che ha generato dall'inizio tutto sto casino, per cui nel percorso relativo (nel mio caso era "C:\Programmi\file comuni\Microsoft shared\BmB.exe") create un qualsiasi documento vuoto e rinominatelo con il nome di cui sopra (es. BmB.exe)

2) Lanciate il tool di pulizia AVGFIX.exe e fatelo puntare su questo file.
Il programma riconoscera quindi il sorgente ed eliminerà i riferimeti di registri account e servizio associati ad esso ed il file stesso.

3) Andate ancora a controllare in "Strumenti di amministrazione" > "Servizi" e vedrete la chiave del servizio con la riga tutta a blank

4) nella finestra CMD DOS lanciate il programma instsrv (se non l'avete installato lo trovate ovunque in internet, e serve per eliminare fisicamente un servizio) in questo formato instsrv <nome servizio da eliminare> remove. Reboottate e .... finalmente tutto è sparito e il servizio non apparirà più !!!

auguri & regards 8)

chemicalbit · Dio maturo Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano

Non ho capito bene una cosa:
tu NOD32 dici di non usarlo proprio e di usare invece la procedura da te descritta?

radfansa · Mortale devoto Registrato: 31/08/06 11:10 Messaggi: 15

chemicalbit · Dio maturo Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano

ah capito
(scusami ma (per mia fortuna Wink

) non sono pratico non avendo dovuto lottare con quella bestiaccia ... e non so da che componenti siano formati i vari programmi)

Vediamo se rieusciamo a trovare un modo faciel pr spiegare come fare nella giuda, e aggiornarla.

E metodi più facili?
Tipo segnarsi prima il nome del file quando viene individuato ed eleiminato?
Oppure camabiare l'ordine con cui vengono utilizzatii vari tool
(potrei aver detto una cosa insensata, ocme dicevo priam non me ne intenedo.)

radfansa · Mortale devoto Registrato: 31/08/06 11:10 Messaggi: 15

holifay · Dio maturo Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano

Ciao, mi fa piacere che la guida ti sia stata di aiuto. Non ho capito però perchè non riuscivi ad eliminare quel servizio senza il tool della NOD32.

PS: halifax è una banca Wink

Gateo · Dio maturo Registrato: 17/11/03 18:16 Messaggi: 12379

radfansa · Mortale devoto Registrato: 31/08/06 11:10 Messaggi: 15