PDA

Visualizza versione completa : Malware nuovo: dnsapia.dll - vruvvekd - service xgythqop


Davide71
26-01-2008, 09.51.46
Ciao,

un mio amico si e' beccato questa nuona forma virale, che non so bene cosa faccia, fatto sta che non si riesce piu' a collegarci con la rete wi-fi di casa.

Il malware e' presente in memoria attraverso quella dll "dnsapia.dll" che si associa all'avvio ai file svchost.exe di sistema. C'e' pure un servizio associato a tale applicazione l' "xgythqop" che prende una descrizione sempre diversa quando lo si cancella (descrizione del servizio N.B. in italiano non inglese, quindi non il solito malware come il link optimizer per si inventava una descrizione in inglese).
Dalla modalita' provvisoria con regseeker individuo i vari file nel registro e li elimino, sego pure il servizio inerente al malware con l'Icesword e/o il gmer ed i file associati, ma tutte le volte al riavvio il malware si ripresenta sia nei servizi sempre col solito nome ("xgythqop") che in memoria come "dnsapia.dll", associato al file di sistema svchost.exe.

L'Avast non lo riconosce e neppure il Nod32 entrambi aggiornati, devo provare a spippolare meglio con i vari antispyware, finora ho usato solo lo spywareterminator che mi trova il file sospetto (nei file non riconosciuti) ma non riesce ad eliminarlo perche' attivo in memoria, prima di formattare cmq, provero' i vari anti-spyware in "provvisoria" per vedere se qualcuno di essi fa il miracolo. :grrr:

byezzz

ps= il pc monta un XP Home SP2 (SP2 installato poi, era un XP senza Service Pack o forse con l'SP1 e basta).

leofelix
26-01-2008, 17.43.16
grazie dell'avviso,
inutile dire che sicuramente hai disabilitato il ripristino di sistema prima di tentare le varie disinfezioni.
Hai provato a vedere se AntiVir P.E Classic riesce a far fuori la rookit?

in bocca al lupo e buon week end

Davide71
26-01-2008, 23.04.26
No, non ho ancora provato ne l'Antivir ne a disabilitare l'Rstrui.exe ;) , ma quest'ultimo va disabled solo se in futuro tornassi indietro in un precedente punto di ripristino, giusto!? Quindi per bloccare questa forma virale, come posso fare? Quali passi mi consigliate di fare manualmente, senza lasciar fare tutto ad un antivirus?

byezzz

leofelix
27-01-2008, 22.28.24
ciao il processo Rstrui.exe Ŕ appunto quello relativo al punto di ripristino come sai bene,
onestamente ti dico che dovrei avere la macchina infetta davanti agli occhi per tentare di fare qualcosa visto le condizioni.
Senza antivirus?
Uno strumento molto valido a mio avviso potrebbe essere il MalwareBytes' Antimalware 1.0.1 (appena rilasciato - anche se nella web page trovi scritto shareware in realtÓ funziona perfettamente come scanner anche se senza la protezione in tempo reale) che promette di rimuovere rookit, keyloggers, trojans, spyware e 'compagnia brutta', non va in conflitto con Avast, con AntiVir, col NOD32 e con AVG Antivirus...

direi che tentar non nuoce
http://www.malwarebytes.org/mbam.php

;)

Davide71
27-01-2008, 23.10.51
Grazie per le info, ma ormai ho gia' formattato ;) , giusto oggi pomeriggio. ;)

byezzz

Davide71
09-02-2008, 12.23.52
Mi sa che era un rootkit, che poi ho notato su un altro pc, cui sono riuscito ed eliminare le sue parti virali.

byezzz

ps= provero' questo nuovo "Antimalware 1.0.1" speriamo faccio miracoli ;) .