trojan - Sicurezza Informatica - NoTrace Security Forum

NoTrace Security Forum

Nome Utente:	Password:
Salva Password
Password Dimenticata?

Tutti i Forum

Security

FireWall e Protezioni

trojan

Forum Bloccato

Versione Stampabile

Aggiungi Segnalibro

Pagina Successiva

Autore

Discussione

Pagina: di 2

ale112002
Junior Member

63 Messaggi

Inserito il - 31/03/2007 : 15:13:32

Ciao a tutti ragazzi..sono alle prese con un trojan che ha infettato il pc di un mio amico..sono i soliti trojan che cercano di creare connessioni a numeri 899...questo mi crea ogni volta nella cartella temp di windows file di questo tipo win51.tmp..ho seguito i vostri consigli facendo delle scansioni in modalità provvisoria e disabilitando la configurazione di sistema usando il NOD 32 poi VIRIT AD AWARE SPYBOT ma niente lo eliminano ma al riavvio si ripresenta..questo perchè deve avere creato qualche chiave di registro..cosa posso fare??grazie a tutti..

Leleago
Advanced Member

Tanto impegno, buona volonta ma capacità di analisi malware da migliorare.

1918 Messaggi

Inserito il - 31/03/2007 : 15:23:00

posta un log di Hijackthis htt*://[www].trendsecure[.com]/portal/en-US/threat_analytics/hijackthis.php
metti il programma in un cartella dedicata in c:\programmi\Hijackthis
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare
secondo le regole htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255

ale112002
Junior Member

63 Messaggi

Inserito il - 31/03/2007 : 15:58:22

ecco il file log..

htt*://freefilehosting.net/download/MTYxODc0

Leleago
Advanced Member

1918 Messaggi

Inserito il - 31/03/2007 : 16:06:54

apri hijack e fixa questa voce:
O20 - Winlogon Notify: winnbl32 - C:\WINDOWS\SYSTEM32\winnbl32.dll

scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli

files to delete:
C:\WINDOWS\SYSTEM32\winnbl32.dll

clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

ale112002
Junior Member

63 Messaggi

Inserito il - 31/03/2007 : 16:22:43

e dopo il riavvio cosa devo controllare?

Leleago
Advanced Member

1918 Messaggi

Inserito il - 31/03/2007 : 16:48:42

dopo che hai riavviato riposta un log di hijack così vedo se è tutto ok

ale112002
Junior Member

63 Messaggi

Inserito il - 31/03/2007 : 16:54:15

Allora ho fatto cm dici tu ma qnd vado a usare evanger e tentare di eliminare quel file mi escono degli errori e manualmente nn si elimina..

Leleago
Advanced Member

1918 Messaggi

Inserito il - 31/03/2007 : 16:56:00

prova a scaricare avenger ed eliminare il file da modalità provvisoria

Modificato da - Leleago in data 31/03/2007 16:56:25

ale112002
Junior Member

63 Messaggi

Inserito il - 31/03/2007 : 17:03:05

Si ci provo..ma può spiegarmi un pò ke file è questo?

Floatman
Advanced Member

Città: Atlantide

1242 Messaggi

Inserito il - 31/03/2007 : 17:25:37

Citazione:
msg. di ale112002
... un trojan che ha infettato il pc di un mio amico..sono i soliti trojan che cercano di creare connessioni a numeri 899...

I virus che creano nouve connessioni non sono trojan ma dialer, volendo essere fiscali si tratta di malware e neanche di virus (i virus sono contraddistinti dal fatto di replicarsi tramite l'infezione di un file "ospite").
Un dialer è un malware che prende il controllo delle funzioni di connessione creandone appunto di nuove, ovviamente verso numeri a pagamento visto che chi li crea lo farà pure per guadagnarci

Nel tuo caso specifico, Sunbelt Software lo analizza e lo chiama IMPotato (nome molto carino...)
htt*://research.sunbelt-software[.com]/threatdisplay.aspx?name=IMPotato&threatid=43852

ale112002
Junior Member

63 Messaggi

Inserito il - 01/04/2007 : 10:15:11

Ciao..purtroppo non riesco ad eliminare questo file nemmeno in modalità provvisoria mi dice sempre che il file è in uso..forse ha modificato qualche chiave di registro e si avvia sempre all' avviao di windows..cosa altro posso fare??

Leleago
Advanced Member

1918 Messaggi

Inserito il - 01/04/2007 : 10:32:46

vai su questo link htt*://[www].emsisoft.it/it/software/download/ scaricati a-squared, lo aggiorni e scansioni eliminando ciò che trova

ale112002
Junior Member

63 Messaggi

Inserito il - 01/04/2007 : 10:51:30

Ci provo grazie..ma se neanche con questo programma si elimina cosa alro posso fare??

ale112002
Junior Member

63 Messaggi

Inserito il - 01/04/2007 : 10:52:17

Ci provo grazie..ma se neanche con questo programma si elimina cosa alro posso fare??