Olimpo Informatico

[vincycefa91]

se devo essere sincero già avevo provato vundofix e aveva trovato qlkosa del genere geebc.dll e altri simili... xrò nn riusciva a eliminarli... quando mi avete detto di usarlo ero un po' scettico ma adesso sn stato liberato da questo "trojan.vundo" ke nn avevo mai sentito...
cmq adsr ha trovato dei "file":
C:\WINDOWS\system32 (:cmdialxf.vbx:$DATA)
C:\WINDOWS\system32 (:puaa.dll:$DATA)
xrò non riesce ad eliminarli mi dice:
ERROR DELETING THE FILE STREAM. ACCESSO NEGATO con accanto una bella X di errore...
la stessa cosa sia in modalità provvisoria sia in modalità normale...
ke faccio? grazie per l'aiuto.

p.s quel wfxsvc.exe fa parte di un programma della symantec winfax... come può essere ke era un virus?

[holifay]

Ciao, scarica SystemScan.
Se il tuo AV ti avverte che contiene un virus, disattiva temporaneamente l'antivirus.

Avia il file, premi SCAN NOW e aspetta il log. Poi caricalo su www.easy-share.com e posta qui il link al file, per poterlo analizzare

[vincycefa91]

ecco il log di suspectfile... analizzatelo e speriamo di trovare qlkosa x qst file col nome di cifre... grazie x qll ke state facendo...
http://w13.easy-share.com/1041195.html

[holifay]

Dal log ho visto solo quelli che sembrano residui di gromozon e Vundo rimossi in maniera incompleta. I due file negli ADS non mi sembrano nemmeno caricati in memoria da nessuna parte... comunque proviamo a catturarli per analizzarli un po...

Scarica cat.zip e dall´archivio estrai il file cat.exe e mettilo sul desktop (poi lo cancellerai). Ora copia quanto ti riporto qui sotto in un file di testo a cui darai estensione bat chiamandolo forum.bat e che salverai anche lui sul desktop. Non avviarlo ancora

cat C:\WINDOWS\system32:cmdialxf.vbx > cmdialxf.vbx
cat C:\WINDOWS\system32:puaa.dll > puaa.dll



Scarica The Avenger, da qui: http://swandog46.geekstogo.com/avenger.zip


Estrai avenger.exe sul desktop, poi clicca su "Input script manually" e premi l'icona con la lente di ingrandimento. Nella finestra che si apre, incolla il contenuto in grassetto qui sotto:

Files to delete:
C:\Programmi\iK.exe
C:\WINDOWS\system32\tvgyjvkb.dll.bak
C:\WINDOWS\system32\tvgyjvkb.dll
C:\WINDOWS\system32\ksxkdtrq.ini
C:\Programmi\Nuova cartella\DXc.exe
C:\Programmi\Nuova cartella\Dye.exe
C:\Programmi\Nuova cartella\kzpKUcnYF.exe
C:\Programmi\Nuova cartella\mE.exe

Registry keys to delete:
HKLM\System\CurrentControlSet\Services\XIa

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Programs to launch on reboot:
C:\Documents and Settings\vincy\Desktop\forum.bat

Poi Clicca DONE e dopo la chiusura della finestra, clicca l'icona con il semaforo per avviare lo script.

Al riavvio, se tutto ha funzionato, dovresti trovare i due file cmdialxf.vbx e puaa.dll sul desktop, per favore zippali e mandameli a www.suspectfile.com Se non li trovi, avvia manualmente il file forum.bat che avevi creato sul tuo desktop.

Poi dato che hai Hijackthis, prova a cancellarli. Aprilo, premi OPEN THE MISC TOOLS SECTION >> OPEN ADS SPY. Fai la scansione, poi selezionali e prova ad eliminarli premendo "Remove selected".

Al termine di tutto, posta qui il contenuto del file avenger.txt

[vincycefa91]

ho fatto tutto quello ke mi hai detto... è andato tutto bene... l'unica cosa ke nn posso fare è inviarti quei files cmdialxf.vbx e puaa.dll xkè avast mi ha classificato il primo Win32:RKDice [trj] e l'altro Win32:trojan-gen. [other] e me li ha subito spostati nel cestino cmq ti posto lo stesso il log di avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fpbyxpcw

*******************

Script file located at: \??\C:\mpvkbcxm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Programmi\iK.exe not found!
Deletion of file C:\Programmi\iK.exe failed!

Could not process line:
C:\Programmi\iK.exe
Status: 0xc0000034

File C:\WINDOWS\system32\tvgyjvkb.dll.bak deleted successfully.
File C:\WINDOWS\system32\tvgyjvkb.dll deleted successfully.
File C:\WINDOWS\system32\ksxkdtrq.ini deleted successfully.
File C:\Programmi\Nuova cartella\DXc.exe deleted successfully.
File C:\Programmi\Nuova cartella\Dye.exe deleted successfully.
File C:\Programmi\Nuova cartella\kzpKUcnYF.exe deleted successfully.
File C:\Programmi\Nuova cartella\mE.exe deleted successfully.
Registry key HKLM\System\CurrentControlSet\Services\XIa deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Program C:\Documents and Settings\vincy\Desktop\forum.bat successfully set up to run once on reboot.

grazie di tutto!

[Orange]

ciao
al mio modesto parere, tutta l'operazione è andata a buon fine.
comunque aspetta anche il parere di Holifay ( è unica qui che è pratica con SystemScan)

non dimenticare di mettere un firewall migliore di quello di XP.
QUI ne trovi alcuni free

[vincycefa91]

sto provando zone allarm e siccome ho un router molte volte mi compaiono avvisi di connessioni esterne già bloccate dal firewall... spero ke adesso sarò + protetto! adesso aspetto qlk gg x dirvi se quei programmi con nomi di numeri nn si generano +...

[holifay]

si, ma quei file negli ADS li hai poi cancellati? Perchè altrimenti sono ancora lì, quindi me li puoi ancora inviare

Se non li hai cancellati, disabilita temporanemante il tuo AV e poi riavvia il file forum.bat (cliccaci sopra due volte). Li troverai du nuovo sul destop.

Se invece li hai cancellati, pazienza

[vincycefa91]

non ti preoccupare. gli ads diventati file con forum.bat sn dei trojan come ho già detto e avast li ha spostati nel cestino. almeno stavolta AV li ha visti. il pc cmq mi sembra molto + leggero e stabile cm oramai non lo era da anni un pochino sento nostalgia di geebc e cbeeg ke mi davano errore di buffer... mi ero abituato di spostare la finestra sotto la barra delle applicazioni x nn farla vedere! apparte gli skerzi grazie di tutto. mi ero preparato tutti i disketti x riformattare il pc e voi me lo avete fatto resuscitare!

[bdoriano]

Appunto, quegli ADS sono dei trojan e.... dovrebbero ancora essere presenti nel tuo sistema come ADS (Alternate Data Stream).
Perchè ADSR li ha visti ma non è stato in grado di eliminarli.

Holifay ti ha chiesto di:
- disabilitare momentaneamente il tuo antivirus
- riavviare il file forum.bat
- inviargli i 2 files creati
- riabilitare il tuo antivirus

Prova ad eseguire quei comandi e vedi se vengono ricreati i due files menzionati da holifay.
Se non vengono creati (o hanno lunghezza 0) sei a posto... altrimenti...

[holifay]

[bdoriano]

Holifay non fare così.

PS: complimenti per il tool di scansione. Una curiosità: funziona senza la necessità di essere collegati ad internet? Perchè potrei utilizzarlo per pc senza connessione.

[holifay]

[vincycefa91]

scusa holifax nn avevo capito qll ke mi avevi detto... cmq ho mandato quei file zippati a suspectfile... ho capito bene?

[vincycefa91]

ho riprovato a far girare nel pc adsr e finalmente mi ha eliminato quei ads cmdialxf.vbx e puaa.dll cmq sto aspettando la risposta di questi file da suspectfile...

[Orange]

[vincycefa91]

anke se era stato postato da un mese comunque i due ads ke ho inviato a suspectfile (e grazie al vostro aiuto ho eliminato) sn stati catalogati in new malwares nel forum insomma abbiamo (con l'aiuto del mio pc ) fatto conoscere a tutti l'esistenza di qst due nuove minacce x il pc

http://www.suspectfile.com/forum/viewtopic.php?t=1190
http://www.suspectfile.com/forum/viewtopic.php?t=1179