PDA

Visualizza versione completa : [XP] sospetto trojan su file svkp.sys...


cippico
20-02-2006, 13.25.16
l┤altro giorno stavo provando un po┤ di nuovi prg sul pc di casa...(previo ghost)
tra i prg ho provato anche emco malware destroyer...

senza aggiornarlo...ho fatto fare una scansione...e mi ha trovato un possibile troyan(ha eliminato le voci dal registro e il file SVKP.SYS da cartella system32)

ora non ricordo il nome del trojan...ma cercando il nome del file rimosso ho trovato come riferimento mugly_a,b c ecc...dal sito symantec...

qualcuno sa se eesiste un tool x rimuovere in automatico il suddetto trojan...

sembra strano ma ho testato il file con mcafee,avp kaspersky,the cleaner e pc cillin...ma in nessun caso e┤ stato segnalato nulla...

ora ho rimesso il ghost fatto prima delle prove...poi reinstallero┤ emco...aggiornero┤ online e riprovero┤...

ma e┤ possibile che non sia stato rilevato dagli altri antivirus?

oltretutto ho trovato SVKP.VXD in win 98(dual boot)

nelle proprieta┤ dei 2 files...alla voce produttore appare il nome antihacker...o qualcosa del genere...

grazie a tutti e ciaooo

Lionsquid
20-02-2006, 19.08.32
Ŕ un trojan.. neanche tanto nuovo.. la probabilitÓ del mancato rilevamento pu˛ essere dovuta al fatto che tale file Ŕ un vecchio "rimasuglio"...

ha ovviamente diversi nomi :rolleyes: (quando la smetteranno sarÓ sempre troppo tardi)

norton > http://securityresponse.symantec.com/avcenter/venc/data/backdoor.nemog.c.html

Sophos > http://www.sophos.com/virusinfo/analyses/w32surilab.html

su Fortiguard > http://www.fortinet.com/VirusEncyclopedia/search/encyclopediaSearch.do?method=viewVirusDetailsInfoD irectly&fid=70192

come puoi vedere Ŕ un componente del virus....
bellino il trucco di rendere irraggiungibili i siti AV :D

cippico
21-02-2006, 08.05.26
una volta mettevano a disposizione vari tool x rimozione specifiche...in questo caso pero┤ non ce ne sono...

oltretutto i siti upd av mi funzionano tutti...

riprovero┤ a farlo rimuovere da emco...sperando che sia sufficiente...

grazie e ciaooo

cippico
25-02-2006, 01.09.38
rimosso e riavviato e rifatta scansione...nulla di sospetto...

ho provato anche ewido...e mi ha trovato alcuni falsi positivi in alcuni giochini tipo finta formattazione,spostamento tasto start e altri... su altra partizione...

la cosa strana invece e' che mi ha trovato in partizione dove si trova in dual boot win 98...un file trucc.exe nella cartella C:\WINDOWS\Downloaded Program Files dove c'e' solo shockwave flash object(aggiornato)...il file x poter vedere oggetti flash nei siti che li hanno...ma il file trucc.exe non c'e'...ho anche provato a cercare il file con il trova(da win xp pro)il file viene nisto...ma se faccio clic dx e poi proprieta' non appare nulla...

mentre se guardo nella stessa cartella da win 98...non vedonulla...nemmeno il file shockwave flash object...(cosa che avevo notato da tempo)

mah... :confused:

ciaooo

Lionsquid
25-02-2006, 07.34.42
per vedere dentro la cartella DPF usa winrar o total commander, scoprirai un mondo nuovo che l'explorer di MS ci priva!!

gli scherzetti finto catastrofici sono classificati HOAX, ma vengono segnalati lo stesso.. IMHO tanto per far numero.. potrebbero benissimo essere ignorati ;)

cippico
27-02-2006, 08.26.12
Originariamente inviato da Lionsquid
per vedere dentro la cartella DPF usa winrar o total commander, scoprirai un mondo nuovo che l'explorer di MS ci priva!!

gli scherzetti finto catastrofici sono classificati HOAX, ma vengono segnalati lo stesso.. IMHO tanto per far numero.. potrebbero benissimo essere ignorati ;)

:eek: questa mi Úra sconosciuta...ho guardato qui dal pc del lavoro con 7-zip...

quante belle cosette...speriamo solo non siano dannose...se qualcuno volesse creare qualcosa di malevolo...e non farlo vedere...ha trovato il posto giusto... :mad:

grazie e ciaooo

Lionsquid
27-02-2006, 09.00.12
infatti il 90% dei dialer si nasconde lý, ..ho trovato macchine infette con decine di exe nascosti in quella fetentissima cartella...

la roba che vi si trova viene letta da hijackthis e simili.... quindi non sono totalmente nascosti.. ma per l'utente normale sono + che nascosti

ci sono explorer che si basano sull'explorer di windows che ovviamente cannano alla grande la visualizzazione del contenuto.. ecco perchŔ ho consigliato winrar o total commander ...il loro explorer Ŕ indipendente ed efficace (ci sono tanti altri explorer che vedono il contenuto di DPF, ma essendo winrar e TC molto diffusi mi sono limitato ad essi)