PDA

Visualizza versione completa : Virua Backdoor.del.sl


skynyrd
22-01-2006, 23.25.35
Ciao

mi sono preso la porcheria in oggetto,so chi devo ringraziare ma non lo dico:) la cosa strana è che qualsiasi scansione faccia con antivirus diversi non lo rileva ( Bitdefender o Kav) appena parte la scansione con Ad Aware tutti e 2 mi segnalano il virus. Non è disinfettabile e nemmeno si può mettere in quarantena, ho fatto una riverca in rete ma non ho trovato granchè. Qualche esperto che mi sa dare un consiglio? Fatte scansioni anche in modalità provvisoria, niente da fare.

Grazie in anticipo per chi mi risparmierà un format:)

Ciao

skynyrd
22-01-2006, 23.26.02
mi correggo, DELF.SL

mister pink
22-01-2006, 23.40.22
Sembrerebbe uno di quei virus con una marea di pseudonimi (ma quando si decideranno i produttori di AV ad adottare una nomenclatura comune?).

Puoi trovare una scheda a quest'indirizzo:

http://www.enciclopedia-virus.com/virus/vervirus.php?id=1535&alerta=1

la scheda è per il virus win32/subseven, ma tra gli "alias" c'è anche la sigla che hai indicato.

Sembra un virus vecchiotto, strano che sia entrato indisturbato e che gli AV non riescano a rimuoverlo...

skynyrd
22-01-2006, 23.59.53
Originariamente inviato da mister pink
Sembrerebbe uno di quei virus con una marea di pseudonimi (ma quando si decideranno i produttori di AV ad adottare una nomenclatura comune?).

Puoi trovare una scheda a quest'indirizzo:

http://www.enciclopedia-virus.com/virus/vervirus.php?id=1535&alerta=1

la scheda è per il virus win32/subseven, ma tra gli "alias" c'è anche la sigla che hai indicato.

Sembra un virus vecchiotto, strano che sia entrato indisturbato e che gli AV non riescano a rimuoverlo...


che il diavolo si porti NOD32:)

grazie:)

skynyrd
23-01-2006, 00.19.04
per mister pink

se usi NOD32 succede di prendere roba del genere, trovo anch'io strano che ne KAV ne Bitdefender siano riusciti a rimuoverlo. Ho letto le istruzioni di quel sito, bel casino, ipristinerò l'immagine.

Ciao

mister pink
23-01-2006, 00.30.15
De nada ;)

P.s.: Porc... c'ho il NOD32 sul computer di casa: chissà quali schifezze mi avrà fatto entrare :p

mister pink
23-01-2006, 00.33.15
MITICOOOOOO!!!! :cool:

Ho imparato ad usare le faccine....

E vai.... :D

Gigi75
23-01-2006, 01.46.51
Originariamente inviato da skynyrd



che il diavolo si porti NOD32:)


:o


CVD.. lo dico sempre .. :p

skynyrd
23-01-2006, 07.47.07
Originariamente inviato da Gigi75


:o


CVD.. lo dico sempre .. :p

ne parlavamo proprio nell'altro 3D:)

certo che ne devono spendere di soldi in pubblicità al punto di aver convinto mezzo mondo che hanno il miglior antivirus.


:)

skynyrd
23-01-2006, 07.47.32
Originariamente inviato da mister pink
De nada ;)

P.s.: Porc... c'ho il NOD32 sul computer di casa: chissà quali schifezze mi avrà fatto entrare :p

buttalo:)

skynyrd
24-01-2006, 09.21.35
tanto per mettervi al corrente, incredibile ma vero:

formatto il PC
reinstallo il SO
installo antivirus (Bitdefender)
installo Outpost
installo Driver scheda con relativo aggiornamento.
Tutto pronto, scansione antivirus OK
installo AD-AWARE, faccio scansione in Full riappare il bastardo:)
N.B da un percorso diverso, ma è sempre lui.
Bitdefender dice che il virus non ha infettato il PC, ma riappare semrpe ogni volta che scansiono con AD-AWARE.

Una cosa del genere non mi era mai capita, non c'è angolo o file del mio PC che non sia stato scansionato dall'antivirus, appare solo in quel modo.

Pazzesco

mister pink
24-01-2006, 14.19.49
La cosa lascia abbastanza perplessi :mm:

Il fatto poi che sia solo ad-aware a rilevarlo mentre gli antivirus lo ignorano è veramente strano, anche perché il virus in questione non sembra recentissimo. Sarà mica un abbaglio di ad-aware? Un falso positivo?

Inoltre, dalla scheda descrittiva che ti ho segnalato nell'altro post sembrerebbe trattarsi di un virus tipico delle chat: non è che per caso ti ritrovi qualche programma di chat con l'installer virato?

Altra cosa: il SO, i drivers ed i programmi che hai installato ex novo dopo il formattone erano su CD oppure, come si fa spesso per comodità, erano copiati su di un'altra partizione o HD? Perché in quest'ultimo caso il virus potrebbe annidarsi lì...

skynyrd
24-01-2006, 15.59.32
Originariamente inviato da mister pink
La cosa lascia abbastanza perplessi :mm:

Il fatto poi che sia solo ad-aware a rilevarlo mentre gli antivirus lo ignorano è veramente strano, anche perché il virus in questione non sembra recentissimo. Sarà mica un abbaglio di ad-aware? Un falso positivo?

Inoltre, dalla scheda descrittiva che ti ho segnalato nell'altro post sembrerebbe trattarsi di un virus tipico delle chat: non è che per caso ti ritrovi qualche programma di chat con l'installer virato?

Altra cosa: il SO, i drivers ed i programmi che hai installato ex novo dopo il formattone erano su CD oppure, come si fa spesso per comodità, erano copiati su di un'altra partizione o HD? Perché in quest'ultimo caso il virus potrebbe annidarsi lì...

Quello che mi lascia perplesso è che non è AD-AWARE a rilevarlo, ma l'antivirus, e solo quando AD-AWARE fa la scansione profonda del sistema.
Rispetto al discorso di virus tipico da chat, cosa che ho letto anche da altre parti,non frequento chat ma uso messenger anche come mezzo di scambio file. Installer virato? Non so cosa sia:)

SO a parte, tutti gli altri file erano sull'altra partizione, scansionata dall'antivirus e non risultava nulla. Tieni presente al momento ho installato solo l'antivirus, Bitdefender,il firewall, Outpost e AD-AWARE, oltre i driver aggiornati della scheda madre già precedentemente scaricati senza nessun problema . In pratica mi sono connesso al server. ho fatto gli aggiornamenti dell'antivirus,quelli quelli di XP e AD-AWARE . Nessuna navigazione o altri tipi di connessione.

E' davvero un bel rompicapo, credo che quel trojan non riesca nel suo intento di danneggiarmi, ma il fatti di averlo dentro e non solo poterlo rimuovere, ma non sapere nemmeno da dove arriva non è davvero simpatico.

ciao:)

Lionsquid
24-01-2006, 18.41.23
ma se operi in mod. provvisoria o con un bartpe non riesci a cancellarlo definitivamente?

skynyrd
24-01-2006, 20.23.24
Originariamente inviato da Lionsquid
ma se operi in mod. provvisoria o con un bartpe non riesci a cancellarlo definitivamente?


già fatto, senza nessun risultato, non viene rilevato. Cos'è un bartpe?

ciao e grazie

Lionsquid
24-01-2006, 21.26.37
il bartpe è un winxp avviabile da cd

http://www.nu2.nu/pebuilder/

utilissimo per intervenire in queste situazioni


conoscendo la posizione del file si elimina con facilità, mentre è un pochino + difficile intervenire sul registro... è necessario caricare le "hive" per poter poi rimuovere le chiavi infette

inoltre è possibile usare molti sw standalone per la manutenzione

skynyrd
25-01-2006, 00.50.02
Originariamente inviato da Lionsquid
il bartpe è un winxp avviabile da cd

http://www.nu2.nu/pebuilder/

utilissimo per intervenire in queste situazioni


conoscendo la posizione del file si elimina con facilità, mentre è un pochino + difficile intervenire sul registro... è necessario caricare le "hive" per poter poi rimuovere le chiavi infette

inoltre è possibile usare molti sw standalone per la manutenzione

ti ringrazio dell'aiuto ma, perdona l'ignoranza, cosa dovrei fare con il bartpe? La posizione del file non è molto identificabile, ha cambiato dopo la formatazione, mi appare c:\~Temp e poi un codice numerico. Ho usato Sysclean, anche qui tutto regolare.

Grazie:)

Lionsquid
26-01-2006, 08.50.31
in pratica hai usato 3-4 antivirus, di cui almeno 2 molto buoni e ti dicono che è tutto ok??

non solo,... ma che è dentro già a pc appena formattato?? :eek:


mi sa che ha ragione mister pink, ci sono tutte le premesse per un falso positivo di ad-aware

un topo del genere si toglie tranquillamente in modalità provvisoria...

allora... controprova del 99 :)

scaricati scangui e l'ultima versione del SDATxxx della mcafee da qui > http://www.wintricks.it/faq/sicurezza_web.html

segui le indicazioni per estrarre i file dal SDATxxx nella stessa cartella dove metti lo scangui

riavvii in mod. provvisoria e procedi alla scansione approfondita (istruzioni sempre al link sopra)

se non becca nulla allora è AD-AWARE a prendere fischi per fiaschi (ne sono quasi certo a questo punto)



quanto a bartpe, è un'ambiente win che si avvia da cd... serve per intervenire dall'esterno sul SO danneggiato o infetto.. la sua preparazione o "costruzione" è descritta al link che ho postato

WT ha da tempo preparato un'articolo su come procedere ma il recente cambio di versione del "builder" impone la revisione dell'articolo e dei plugins che il nostro Sergio Neddi ha preparato per WT. Bisogna pazientare un pò, gli impegni di lavoro e familiari hanno la precedenza... ;)

skynyrd
26-01-2006, 10.01.03
Originariamente inviato da Lionsquid
in pratica hai usato 3-4 antivirus, di cui almeno 2 molto buoni e ti dicono che è tutto ok??

non solo,... ma che è dentro già a pc appena formattato?? :eek:


mi sa che ha ragione mister pink, ci sono tutte le premesse per un falso positivo di ad-aware

un topo del genere si toglie tranquillamente in modalità provvisoria...

allora... controprova del 99 :)

scaricati scangui e l'ultima versione del SDATxxx della mcafee da qui > http://www.wintricks.it/faq/sicurezza_web.html

segui le indicazioni per estrarre i file dal SDATxxx nella stessa cartella dove metti lo scangui

riavvii in mod. provvisoria e procedi alla scansione approfondita (istruzioni sempre al link sopra)

se non becca nulla allora è AD-AWARE a prendere fischi per fiaschi (ne sono quasi certo a questo punto)



quanto a bartpe, è un'ambiente win che si avvia da cd... serve per intervenire dall'esterno sul SO danneggiato o infetto.. la sua preparazione o "costruzione" è descritta al link che ho postato

WT ha da tempo preparato un'articolo su come procedere ma il recente cambio di versione del "builder" impone la revisione dell'articolo e dei plugins che il nostro Sergio Neddi ha preparato per WT. Bisogna pazientare un pò, gli impegni di lavoro e familiari hanno la precedenza... ;)

ciao, per prima cosa colgo l'occasione per ringraziare te e tutti quelli che stanno cercando di aiutarmi:) è davvero un gran forum.
Tornando a bomba del discorso, probabilmente non riesco a spiegarmi bene vedo se riesco ora.

1)se scansione con l'antivirus(KAV,Bitdefender,Avast,Antivir) non succede nulla, è tutto regolare.

2) solo nel momento che scansiono con ADWARE in modalità full tutti gli antivirus provati bloccano questo virus senza cancellarlo. Non è ADWARE che lo rileva.
3) ho provato altri antispyware, quasi tutti, ma la cosa succede solo con ADWARE. In pratica, per scovarlo devo fare la scansione full con adware.

4) In modalità provvisoria non succede assolutamente nulla.
Se può essere utile ti aggiungo questo, dopo aver pasticciato ho ripristinato l'immagine di 3 giorni fa, con Bitdefender e auotpost installato. Come ho tentato di installare AD-AWARE mi è comparso un un msg che diceva che non era possibile farlo a causa errore memoria internal. Riavviato e riprovato sono riuscito ad installarlo. Il virus è riapparso sempre con il solito metodo e non solo, ma si è presentato anche il famoso EICAR virus test fatto in precedenza, che avevo provato prima di ripristinare l'immagine, in pratica con l'immagine precedente, e questo è ancora più incredibile.
Proverò ad usare quanto mi indichi, spero di risolvere qualcosa, in caso contrario cancellerò le partizioni e rifarò tutto da capo, non vedo altre possibilità. Rispetto a bartpe gli ho dato una sbirciatina veloce, aspetterò le revisione dell'articolo, potrà sempre servirmi, concordo che gli impegni di lavoro e soprattutto della famiglia hanno la precedenza su tutto, DELF.SL può aspettare
:)

ancora un grazie a te e a tutti voi

ciao

Lionsquid
26-01-2006, 10.23.55
ahh.. chiedo scusa.. avevo inteso che adaware fosse il solo a rilevarlo..

invece è la scansione di adaware a suscitare l'intervento degli AV ..

beh.. non volendo imputare la cosa a adaware... però è davvero curioso che si generi un tale risultato..

ipotizzo 2 possibili cose..

adaware è buggato (che versione??)

oppure la scansione genera una condizione da falso positivo (magari per una somiglianza d'impronta)

ciao :)

skynyrd
26-01-2006, 10.57.40
Originariamente inviato da Lionsquid
ahh.. chiedo scusa.. avevo inteso che adaware fosse il solo a rilevarlo..

invece è la scansione di adaware a suscitare l'intervento degli AV ..

beh.. non volendo imputare la cosa a adaware... però è davvero curioso che si generi un tale risultato..

ipotizzo 2 possibili cose..

adaware è buggato (che versione??)

oppure la scansione genera una condizione da falso positivo (magari per una somiglianza d'impronta)

ciao :)

esatto è la scansione di adaware che genera tutto, pensa che ho fatto scansioni con MSAntispyware, Ewido,Spyboot,Asquared e altri ancora, non succede nulla. La versioen di adaware è l'ultima messa a disposizione da Lavasoft, quella free, ho pensato anch'io al falso positivo ma sono 4 antivirus che lo generano. Comunque, spiano tutto, cancello partizioni e li ricreo, con questo dovrei risolvere il problema.

ciao

Lionsquid
26-01-2006, 11.44.44
imho, appena rimetti adaware ti ritrovi nella stessa condizione.. è adaware a generare la condizione.. se è un bug ... probabile che scomparirà nelle prossime release

Ludwig
26-01-2006, 11.54.09
prova ad uploadare il file sospetto a questi siti, lo analizzano con 125 antivirus :)
http://virusscan.jotti.org/
http://www.virustotal.com/flash/index_en.html

skynyrd
26-01-2006, 17.47.29
Originariamente inviato da Lionsquid
imho, appena rimetti adaware ti ritrovi nella stessa condizione.. è adaware a generare la condizione.. se è un bug ... probabile che scomparirà nelle prossime release

tu pensi che sia un bug di adware? Mio nipote con lo stesso antivirus e stesso adaware non ha problemi, il dubbio rimane.

ciao e grazie:)

skynyrd
26-01-2006, 18.11.06
Originariamente inviato da Ludwig
prova ad uploadare il file sospetto a questi siti, lo analizzano con 125 antivirus :)
http://virusscan.jotti.org/
http://www.virustotal.com/flash/index_en.html


il fatto è che il file non si trova, è questo

c:\docume~1\massimo\impost~1\temp\aawtemp\c428875


ciao
:)

Lionsquid
26-01-2006, 18.20.58
domanda banale, magari inutile... ma devo farla

hai disattivato "nascondi file di sistema" e attivato "visualizza file nascosti" dalle "opzioni cartella"??

skynyrd
26-01-2006, 18.32.00
Originariamente inviato da Lionsquid
domanda banale, magari inutile... ma devo farla

hai disattivato "nascondi file di sistema" e attivato "visualizza file nascosti" dalle "opzioni cartella"??

no, la domanda non è banale:) non l'ho fatto.
Devo farlo e procedere con una scansione antivirus?

ciao e grazie

Lionsquid
26-01-2006, 18.38.49
az...

devi poter vedere anche i file nascosti se vuoi trovare il file... se il presunto virus imposta l'attributo di suìistema o nascosto sul file, hai voglia che cercare :(


si.. devi disattivare il nascondi file di sistema, disattivare anche "nascondi estensioni x file conosciuti" e infine (poco sopra) attivare la visualizzazione di tutti i file..

poi ricominci la ricerca

skynyrd
26-01-2006, 19.37.04
Originariamente inviato da Lionsquid
az...

devi poter vedere anche i file nascosti se vuoi trovare il file... se il presunto virus imposta l'attributo di suìistema o nascosto sul file, hai voglia che cercare :(


si.. devi disattivare il nascondi file di sistema, disattivare anche "nascondi estensioni x file conosciuti" e infine (poco sopra) attivare la visualizzazione di tutti i file..

poi ricominci la ricerca

fatto, trovato nulla, inizio a pensare che sia davvero presunto


ciao grazie:)

skynyrd
02-02-2006, 22.32.30
@ tutti

un grazie a tutti voi per l'aiuto datomi nel capire da cos'era generato quel maledetto DEL.SL. L'ipotesi di Lionsquid si è avverata, al primo aggiornamento di AD AWARE, la condizione che generava l'avviso dell'antivirus della presenza del maledetto, è scomparso. DELF non c'è più nel mio pc, anzi credo non ci sia mai stato.

Un grazie a tutti voi

:)

Lionsquid
02-02-2006, 23.49.29
:) (Y)

il falsi positivi aumentano in maniera impressionante.... fino a qualche anno fa erano rari.. adesso quasi sistematici


OT

proprio ieri il McAfee Viruscan 9 (trial scaricata dal sito) installato su una buona macchina piena di tonnellate di sw, utilità e tools vari.. mi ha segnalato una decina di tools che uso da anni, (uno addirittura è targato 1999), come programmi potenzialmente virale e, ciliegina sulla torta, mi ha definito virus un .reg per smagrire i "Time Zone" :eek:

ha installato un "security control" che non ho fatto in tempo a usare perchè l'ho segato 10 minuti dopo la fine della scansione che è durata ben 4 ore (quando con lo stesso mcafee da dos impiego meno di 2 ore senza falsi positivi, singolare per un av che usa lo stesso DB firme)

conclusioni... il motore euristico è troppo spinto e prende fischi per fiaschi!

ah.. dimenticavo.. dopo la disinstallazione ho dovuto rimuovere tonnellate di roba "dimenticate" nel registro ....fino a 3 legacy device che non c'è stato verso di rimuovere... è un lavoro da fare col bartpe

fine OT

skynyrd
03-02-2006, 00.28.01
Originariamente inviato da Lionsquid
:) (Y)

il falsi positivi aumentano in maniera impressionante.... fino a qualche anno fa erano rari.. adesso quasi sistematici


OT

proprio ieri il McAfee Viruscan 9 (trial scaricata dal sito) installato su una buona macchina piena di tonnellate di sw, utilità e tools vari.. mi ha segnalato una decina di tools che uso da anni, (uno addirittura è targato 1999), come programmi potenzialmente virale e, ciliegina sulla torta, mi ha definito virus un .reg per smagrire i "Time Zone" :eek:

ha installato un "security control" che non ho fatto in tempo a usare perchè l'ho segato 10 minuti dopo la fine della scansione che è durata ben 4 ore (quando con lo stesso mcafee da dos impiego meno di 2 ore senza falsi positivi, singolare per un av che usa lo stesso DB firme)

conclusioni... il motore euristico è troppo spinto e prende fischi per fiaschi!

ah.. dimenticavo.. dopo la disinstallazione ho dovuto rimuovere tonnellate di roba "dimenticate" nel registro ....fino a 3 legacy device che non c'è stato verso di rimuovere... è un lavoro da fare col bartpe

fine OT

rispetto ai falsi positivi è davvero pazzesco, ad esempio per gli antispyware tempo fa c'era solo Giant che di macelli ne combinava parecchi, ora che è di propietà Micrsoft non trova mai nulla...bah!
Per i vari esperimenti di programmi particolari, antivirus ec ecc, ho l'abitudine, prima di testarli di crearmi al volo un'imagine con Acronis, se combino macelli sono salvo. Programma che consiglio a tutti

fine OT

ciao e grazie:)