PDA

Visualizza versione completa : trojan che sembra invincibile


proxim
05-09-2007, 15.12.36
mi sono ritrovato il pc infetto da trojan-clicker.win32.del.ib ma non riesco ad eliminarlo. ho installato kaspersky che mi rivela la sua presenza ma non riesce ad eliminarlo in quanto "l'accesso in scrittura è negato". Ho provato con trojan remover e trojan hunter, spybot, spyware doctor, adware, virit, avg, combofix, avereng, hijackthis ma nessuno riesce ad eliminarlo. Alcuni non lo vedono neanche. Il problema è che forse è caricato in memoria nelle primissime istruzioni e vi rimane fino allo spegnimento rendendo vano ogni tentativo. Chi può darmi una mano?
grazie

Alexsandra
05-09-2007, 16.34.09
posta un log di hijackthis

proxim
05-09-2007, 18.10.27
ciao, allego il log.
ho già provato a spuntare le righe
O2 - BHO: (no name) - {C0906BEE-E20A-448A-AFB8-E9503E78902A} - c:\windows\system32\kedpked.dll
O20 - Winlogon Notify: htefcacp - C:\WINDOWS\SYSTEM32\kedpked.dll
che fanno riferimento al file infetto ma senza risultato

crazy.cat
05-09-2007, 19.24.56
Ci sono almeno un altro paio di dll sospette.
Cancella queste righe, riavvia in modalità provvisoria e prova con unlocker a cancellare i 3 file dll, poi riavvia normalmente.
Potrebbe anche esserci qualche exe sospetto, prova a fare una ricerca con panda antirootkit
http://research.pandasoftware.com/blogs/images/AntiRootkit.zip o il mcafee http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip


O2 - BHO: (no name) - Disabled:{00C6482D-C502-44C8-8409-FCE54AD9C208} - (no file)
O2 - BHO: (no name) - Disabled:{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - Disabled:{9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O2 - BHO: (no name) - Disabled:{AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - Disabled:{AE7CD045-E861-484f-8273-0445EE161910} - (no file)
O2 - BHO: (no name) - Disabled:{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - Disabled:{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - Disabled:{C0906BEE-E20A-448A-AFB8-E9503E78902A} - (no file)
O2 - BHO: (no name) - Disabled:{E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O2 - BHO: (no name) - {C0906BEE-E20A-448A-AFB8-E9503E78902A} - c:\windows\system32\kedpked.dll
O2 - BHO: (no name) - {D6DAAB32-4BDF-4002-914B-4E4510109B33} - c:\windows\system32\qacyvvgf.dll
O2 - BHO: (no name) - {E2258B0F-4EF4-4ED2-838C-D3C9DBE949AE} - c:\windows\system32\mqjtgpis.dll
O20 - Winlogon Notify: htefcacp - C:\WINDOWS\SYSTEM32\kedpked.dll

LoryOne
05-09-2007, 19.47.15
Già ... Antivirus ed antispyware che non riescono a ripulire il PC da file infetti.
Tranquillo, è normale. Oggigiorno l'azione di tali rimedi è più volta a prevenire piuttosto che a curare, poichè se ben progettati, i malware più ostici non possono essere rimossi poichè è il S.o. stesso che non ne consente la rimozione.
A volte basta tentare di effettuare la pulizia in modalità provvisoria, come ti è stato suggerito, ma potrebbe anche non bastare.
La soluzione è comunque a portata di mano: Se riesci ad indentificare i file infetti sei già a buon punto, a te resta solo non avviare il S.O. ed agire manualmente sui file incriminati.
Il buon vecchio DOS deve sempre essere a portata di mano, a meno che tu non abbia installato una versione alernativa di S.O., come ad esempio Linux.
Se hai FAT32, ti basta scaricare il disco di avvio qui da Wintricks.
Se hai NTFS, il disco di avvio non ti basta poichè se non ricordo male e se nessuno nel frattempo è corso ai ripari, è possibile solo leggere ma non modificare file memorizzati con tale sistema di archiviazione.
Il sito di antivir propone un driver sys gratis per DOS atto allo scopo, ma magari in rete è anche possibile scaricarne altri se questo non lo trovi facile da usare.
Ricordo che in DOS è possibile accedere a nomi di file e cartelle anche se privi dei privilegi di accesso amministrativi assegnati da windows: In paratica avete l'intero hard disk a portata di mano, occhio.
In DOS è possibile accedere ad una cartella o ad un nome di file che contenga spazi o di lunghezza superiore a 8 caratteri immettendo il nome tra doppi apici.
Se notate il nome troncato con il simbolo "~" ad esempio C:\Docume~1\, tale simbolo è stampabile con la combinazione di tasti Alt+126 del tastierino numerico.

Sergio Neddi
05-09-2007, 23.48.18
Oppure si usa il WT MultiPE oppure un BartPE classico.

proxim
06-09-2007, 00.26.51
cos'è il WT MultiPE? qualcosa simile al BartPE?

Sergio Neddi
06-09-2007, 00.32.44
Yes!
http://www.wintricks.it/software/multipe.html

Alexsandra
06-09-2007, 08.48.58
disabilita il tuo FW e fai una scansione con Prevx, è un trial.
http://info.prevx.com/downloadprevx2.asp, clicker e le sue varianti sono riconosciute.