NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 virus TR/VB.aqt o TR/VB.sj		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Autore Discussione Precedente Discussione Discussione Successiva  

kiko
New Member

Città: Carrara


40 Messaggi

Inserito il - 01/06/2007 : 11:26:02  Mostra Profilo
Mi sono trovato questi due trojan nel PC che mi impediscono di aprire i dischi rimovibili (chiavette) cliccandoci sopra.
Mi sono accorto che quando ciò avviene si crea un file eseguibile chiamato ctfmon.exe che, anche se cancellato, mi si ripropone.
Come posso fare per debellarlo?
Grazie
kiko

Leleago
Advanced Member

Tanto impegno, buona volonta ma capacità di analisi malware da migliorare.



1918 Messaggi
Inserito il - 01/06/2007 : 14:02:46  Mostra Profilo
posta un log di Hijackthis htt*://[www].trendsecure[.com]/portal/en-US/threat_analytics/hijackthis.php
salva il programma sul desktop
lancia e clicca il tasto"do a system scan and save a log file.
otterrai un file di testo che dovrai postare
secondo le regole htt*://[www].notrace.it/forum2/topic.asp?TOPIC_ID=5255
Torna all'inizio della Pagina

jaco
Junior Member




67 Messaggi
Inserito il - 01/06/2007 : 16:16:44  Mostra Profilo
ma ctfmon.exe non è usato da office? ho sempre creduto questo...
Torna all'inizio della Pagina

Leleago
Advanced Member

Tanto impegno, buona volonta ma capacità di analisi malware da migliorare.



1918 Messaggi
Inserito il - 02/06/2007 : 09:05:42  Mostra Profilo
si infatti è un file di office (htt*://support.microsoft[.com]/kb/282599/it) ma a volte i malware usanto gli stessi file di applicativi per cammuffarsi e si memorizzano in cartelle diverse da quelle che disolito sn i file di sistema
ad esempio se ctfmon.exe si trova in system32 è un file legittimo di office mentre se si trova nella cartella system quel ctfmon.exe è un virus
Torna all'inizio della Pagina

kiko
New Member

Città: Carrara


40 Messaggi
Inserito il - 02/06/2007 : 12:09:57  Mostra Profilo
hijackthis_pc_kiko.txt
Torna all'inizio della Pagina

Leleago
Advanced Member

Tanto impegno, buona volonta ma capacità di analisi malware da migliorare.



1918 Messaggi
Inserito il - 02/06/2007 : 12:23:38  Mostra Profilo
disattiva il ripristino configurazione sistema:
start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok


apri hijack e spunta:
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programmi\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programmi\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [eScorcher] C:\Programmi\eScorcher\eScorcher.exe
O4 - HKLM\..\Run: [supporter5] C:\WINDOWS\system32\supporter5.exe

alla fine clicca su fix checked


scarica avenger sul desktop
htt*://swandog46.geekstogo[.com]/avenger.zip
Decomprimi l'archivio

Avvia il file avenger.exe
Seleziona l'opzione "Input Script Manually"
Clicca sulla lente di ingrandimento

Ti si apre una finestra "View/edit script"
All'interno del box bianco,
copi e incolli

files to delete:
C:\Programmi\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
C:\Programmi\AskTBar\bar\1.bin\ASKTBAR.DLL
C:\Programmi\eScorcher\eScorcher.exe
C:\WINDOWS\system32\supporter5.exe

folders to delete:
C:\Programmi\AskTBar
C:\Programmi\eScorcher

clicca sul pulsante Done
Clicca sull'icona del semaforo verde
Rispondi Yes
Il pc dovrebbe riavviarsi da solo,se così non fosse riavvialo manualmente

scaricati Ccleaner (htt*://[www].ccleaner[.com]/download/)
Lanciare il programma, clic su “opzioni-->avanzate togliere la spunta a "cancella file in Windows temp solo se più vecchi di 48 ore, eseguire l’operazione “analizza-->avvia” due volte.
Eseguire : problemi-->trova ed elimina (ripara selezionati) tutto ciò che viene rilevato

riattiva ripristino configurazione: start--> pannello di controllo--> sistema--> ripristino config--> togli la spunta dalla casella disattiva--> applica--> ok
Modificato da - Leleago in data 02/06/2007 12:25:58
Torna all'inizio della Pagina

jaco
Junior Member




67 Messaggi
Inserito il - 03/06/2007 : 12:11:43  Mostra Profilo
capito, grazie per l'informazione.
Torna all'inizio della Pagina
  Discussione Precedente Discussione Discussione Successiva  

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,17 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000