| Precedente :: Successivo |
| Autore |
Messaggio |
Orange
Dio maturo
Registrato: 18/02/07 12:20
Messaggi: 2224
Residenza: Roma
|
 Inviato: 11 Apr 2007 13:24 Oggetto: Dialer Instant Access |
 |
|
I sintomi di quest'infezione sono in particolare la disconnessione, e la successiva richiesta di connessioni a numeri con tariffa elevata..
Inoltre il trojan si manifesta anche aggiungendo sul desktop un icona rappresentata da un'immagine erotica denominata per l'appunto "Istant Access".
Noto anche sotto i nomi:
Win32.TrojanYJL
Trojan.Downloader.Small.BV
Win32/Agent.NGU
Spysheriff
Trojan.Win32.Obfuscated.dr
Una volta eseguito , questo malware va a sostituirsi ai file leggittimi di applicazioni altrettanto leggittime..
Per eliminarlo bisogna ri-sostituire gli eseguibili infetti con quelli originali presenti nelle cartelle bak
per sapere tutti gli eseguibili infetti bisogna usare il tool FindAWF
- Dopo averlo scaricato. eseguire il file e si aprirà una finestra dos
- premere invio e attendere l'apertura di una pagina del blocco notes (log)
un'esempio di log di FindAWF:
| Citazione: | Find AWF report by noahdfear ©2006
bak folders found
~~~~~~~~~~~
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: DC16-42C0
Directory di C:\WINDOWS\BAK
30/07/04 19.50 286.720 vsnpstd3.exe
1 File 286.720 byte
2 Directory 12.665.774.080 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: DC16-42C0
Directory di C:\PROGRA~1\D-TOOLS\BAK
22/08/04 18.05 81.920 daemon.exe
1 File 81.920 byte
2 Directory 12.665.774.080 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: DC16-42C0
Directory di C:\PROGRA~1\WINDOW~2\BAK
02/11/06 23.56 204.288 WMPNSCFG.exe
1 File 204.288 byte
2 Directory 12.665.708.544 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: DC16-42C0
Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~
24076 25 Mar 2007 "C:\WINDOWS\vsnpstd3.exe"
286720 30 Jul 2004 "C:\WINDOWS\bak\vsnpstd3.exe"
24076 25 Mar 2007 "C:\Programmi\D-Tools\daemon.exe"
81920 22 Aug 2004 "C:\Programmi\D-Tools\bak\daemon.exe"
24076 25 Mar 2007 "C:\Programmi\Windows Media Player\WMPNSCFG.exe"
204288 2 Nov 2006 "C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe"
end of report |
Sono questi i file che dobbiamo prima cancellare, e poi sostituire con la copia pulita all'interno della cartella BAK. Per farlo, ci possiamo servire di Avenger che si occuperà sia di eliminare la copia infetta, che di ripristinare la copia del file leggittimo (quello all'interno della cartella BAK)
- scaricare e decomprimere Avenger sul desktop
- con un doppio click avviare il file avenger.exe
- Selezionate "Input Script Manually" e cliccate sulla lente di ingrandimento.
- Nella finestra che si aprirà "View/edit script" bisognerà digitare i comandi dello script..
esempio dello script:
| Citazione: | Files to delete:
C:\WINDOWS\vsnpstd3.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE
Files to move:
C:\WINDOWS\bak\vsnpstd3.exe | C:\WINDOWS\vsnpstd3.exe
C:\Programmi\D-Tools\bak\daemon.exe | C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe | C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE | C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE |
in breve: dovete prima eliminare gli .exe infetti e poi ripristinare i file .exe nelle loro posizioni, associati alle applicazioni corrette
Una volta finito di compilare lo script procedete cosi:
- Cliccate sul tasto Done
- Poi sull'icona del semaforo
- Rispondete Yes
Il PC dovrebbe riavviarsi ( se così non fosse, fatelo voi)
controllate il log per assicurarvi, che l'operazione è andata a buon fine
se avete delle domande o perplessità a riguardo,non esitate a chiedere aiuto nella nostra sezione Pronto Soccorso Zeus |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 11:05
Messaggi: 14300
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 11 Apr 2007 14:49 Oggetto: |
|
|
E' da un paio di giorni che ci sto litigando.
Al momento in cui l'ho "scovato", solo 2 antivirus l'hanno riconosciuto:
drWEB CureIt
ClamWin
NOD32 aggiornato ad oggi non fa una piega
Si può provare ad utilizzare il servizio online per l'invio dei file sospetti:
VirusTotal
Mi è anche capitato che insieme a questo ci fossero altre infezioni.
I file che vengono "sostituiti" dal virus/dialer sono quelli presenti in avvio del PC (così è sicuro di partire).
Aveva addirittura sostituito il NOD32KUI. |
|
| Top |
|
|
chemicalbit
Dio maturo
Registrato: 01/04/05 17:59
Messaggi: 18597
Residenza: Milano
|
| Inviato: 11 Apr 2007 16:22 Oggetto: |
|
|
| bdoriano ha scritto: | | Aveva addirittura sostituito il NOD32KUI. |
Ehm, per gl'ignoranti? |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 11:05
Messaggi: 14300
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 11 Apr 2007 18:54 Oggetto: |
|
|
NOD 32 Kernel User Interface
Sarebbe il Control Center di NOD32, quello attraverso il quale si possono controllare/modificare le impostazioni di NOD32. |
|
| Top |
|
|
valen-tina
Mortale devoto
Registrato: 31/05/07 19:31
Messaggi: 8
|
| Inviato: 31 Mag 2007 19:38 Oggetto: |
 |
|
| scusate se ripesco qst vecchio 3ad....ma ho scoperto da poco di essere infetta da qst virus.....xò sn 1 completa ignorante in materia...potete provare a descivermi in maniera molto semplice cm togliermi dalle scatole qst virus?...ho postato nella sezione aiuto zeus....cm richiesto...quindi a qst 3ad nn fateci caso |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
