softwarecrazyman
24-07-2006, 19:47
Salve a tutti!
e la prima volta che scrivo qui anche se è da tantissimo che vi leggo (circa un anno o forse di piu?)questo perchè leggendo bene e attentemente sono
sempre fino ad oggi riuscito a risollvere i miei problemi...beh quasi.....
cmq oggi vi presento l'ultimo ritrovato in fatto di trojan che personalmente
non ho mai incontrato cioe con crittografie e protezione lettura ecc...
tutto incomincia oggi alle ore verso le 6.25 circa (non chiedetemi che facevo per favore)quando navigando di qua e di là mi si pianta tutto (ma chi me lo ha fatto fare!)nel senso che l'hard disk comincia a girare e va tutto lentissimo fino a quando mi compaiono
due belle finestre rosse del nod32 che mi dice che ha trovato due bei intrusi:
la prima finestra dice
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
24/07/2006 6.26.05 AMON file C:\WINDOWS\TEMP\rcsj1.exe NewHeur_PE virus probabilmente sconosciuto Evento occorso su un nuovo file creato da un'applicazione: C:\Documents and Settings\######\Documenti\11d1265b.exe.
(##### per privacy)
la seconda dice:
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
24/07/2006 6.31.00 AMON file C:\Programmi\File comuni\System\BwE.exe Win32/Agent.VP cavallo di troia NT AUTHORITY\SYSTEM Evento occorso durante il tentativo di accesso al file da parte di un'applicazione: C:\WINDOWS\system32\services.exe.
dopo queste finestre capisco che sono nei quai e blocco tutti i programmi in esecuzione faccio l'aggiornamento del nod32 e dopo resetto.
Faccio qualche ricerca,il primo exe sembra scomparso (11d1265b.exe) Hurra dico io dato che so(perche e gia successo) che certi file il povero nod non riesce a cancellare quando arrivo a lui il mitico BwE.exe quello c'e ancora ed e per questo file tutto il casino.
beh ho un trojan cancelliamolo.......questo non va questo nemmeno proviamo questo ....niente facciamo qualche ricerca....beh non ho trovato molto a parte un sito spagnolo che descrive il troyan cmq e qui http://www.vsantivirus.com/agent-vp.htm il bello che dice la dimensione:
Tamaño: 9,728 bytes
ma il mio e molto piu grosso dimensioni:64,5 KB (66.048 byte) su disco:68,0 KB (69.632 byte)cavolo dico io ma che roba sara? cmq parto alla ricerca ma non trovo niente di particolare dopo un po mi stufo e cerco di cancellarlo.....
ma per quanto mi sforzi con un bel po di programmi provati
unlocker, copylock,e altri 2 che ho cancellato perche altrettanto inefficaci,non riesco a eliminarlo beh quardiamo che c'e dentro accesso negato,cmq posso spostarlo
incredibile ma non posso cancellarlo!unlocker mi dice che nessun handle e stato trovato ma allora dico io che cosa mai potra essere se sono amministratore che non mi faccia cancellare sto file.
scopro per caso che il file file e crittografato in fatti e tutto verde il nome nell'explorer intendo(dicevo io ma perche a quel colore verde? conoscevo il blu ma il verde no)cmq ogni volta che gli accedo da destro/propietà il nod mi segnala li sospetto l'ultimo ad es
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
24/07/2006 17.56.31 AMON file C:\Programmi\File comuni\System\BwE.exe Win32/Agent.VP cavallo di troia NT AUTHORITY\SYSTEM Evento occorso durante il tentativo di accesso al file da parte di un'applicazione: C:\WINDOWS\system32\services.exe.
ma è identico cambia solo l'ora cmq il problema e il sequente non si riesce a cancellare, perfavore illuminatemi !!! la cosa bella e che il certificato scade fra 100 anni!
http://img129.imageshack.us/img129/9392/snap1qt2.jpg
questo uxw....... naturalmente non esiste nessun utente con quel nome e cmq non posso agiungere o rimuovere niente, spuntare caselle, sia dalle propieta del file che dalle propieta della crittografia. non so piu che fare ho esaurito le idee nel frattempo l'ho spostato in questa cartella C:\cartellavirus\BwE.exe
idee non ne ho per il momento l'unico pallino è formattare ma per un misero file
da 65kb non ne vale la pena(per ora se non riesco a risolvere entro tempi brevi) beh non voglio o posso aspettare 100 anni! ah la chiave publica e RSA (1024 bits) tanti!
Informazioni sul sistema NOD32 installato
Versione: 1.1675 (20060723)
Data: domenica 23 luglio 2006
Build database antivirus: 7714
Informazioni su altri supporti dello scanner
Versione modulo euristica estesa: 1.032 (20060707)
Build modulo euristica estesa: 1116
Versione filtro Internet: 1.002 (20040708)
Build filtro Internet: 1013
Versione modulo supporto archivi: 1.048 (20060714)
Build modulo supporto archivi: 1173
Informazioni sui componenti installati
NOD32 per Windows NT/2000/XP/2003 - base
Versione: 2.50.32
NOD32 per Windows NT/2000/XP/2003 - supporto Internet
Versione: 2.50.32
NOD32 per Windows NT/2000/XP/2003 - componente standard
Versione: 2.50.32
Informazioni sistema operativo
Piattaforma: Windows XP
Versione: 5.1.2600 Service Pack 2
Versione dei controlli comuni: 5.82.2900
RAM: 512 MB
Processore: AMD Athlon(TM) XP 2500+ (1822 MHz)
beh dovete scusarmi se mi sono dilungato troppo ma mi piace scrivere ogni tanto, anche se con errori accenti punteggiatura che mancano...
mi scuso se anticipatemente se ho violato qualche parte del regolamento e provvedero quando segnalato.
spero solo di non aver fatto una segnalazione eccessiva, ah e se cerco di utilizzare online scanner tipo virusscan jotti's mi dice che il file e impossibbile da leggere ma non penso per un problema firewall,fino ad ora non mi a dato nessun fastidio solo che so che ho un trojan e non mi piace per niente l'idea
anche se dovrebbe essere bloccato dal nod32.il traffico rete sembra normale.
mah! speriamo di risolvere!
e la prima volta che scrivo qui anche se è da tantissimo che vi leggo (circa un anno o forse di piu?)questo perchè leggendo bene e attentemente sono
sempre fino ad oggi riuscito a risollvere i miei problemi...beh quasi.....
cmq oggi vi presento l'ultimo ritrovato in fatto di trojan che personalmente
non ho mai incontrato cioe con crittografie e protezione lettura ecc...
tutto incomincia oggi alle ore verso le 6.25 circa (non chiedetemi che facevo per favore)quando navigando di qua e di là mi si pianta tutto (ma chi me lo ha fatto fare!)nel senso che l'hard disk comincia a girare e va tutto lentissimo fino a quando mi compaiono
due belle finestre rosse del nod32 che mi dice che ha trovato due bei intrusi:
la prima finestra dice
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
24/07/2006 6.26.05 AMON file C:\WINDOWS\TEMP\rcsj1.exe NewHeur_PE virus probabilmente sconosciuto Evento occorso su un nuovo file creato da un'applicazione: C:\Documents and Settings\######\Documenti\11d1265b.exe.
(##### per privacy)
la seconda dice:
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
24/07/2006 6.31.00 AMON file C:\Programmi\File comuni\System\BwE.exe Win32/Agent.VP cavallo di troia NT AUTHORITY\SYSTEM Evento occorso durante il tentativo di accesso al file da parte di un'applicazione: C:\WINDOWS\system32\services.exe.
dopo queste finestre capisco che sono nei quai e blocco tutti i programmi in esecuzione faccio l'aggiornamento del nod32 e dopo resetto.
Faccio qualche ricerca,il primo exe sembra scomparso (11d1265b.exe) Hurra dico io dato che so(perche e gia successo) che certi file il povero nod non riesce a cancellare quando arrivo a lui il mitico BwE.exe quello c'e ancora ed e per questo file tutto il casino.
beh ho un trojan cancelliamolo.......questo non va questo nemmeno proviamo questo ....niente facciamo qualche ricerca....beh non ho trovato molto a parte un sito spagnolo che descrive il troyan cmq e qui http://www.vsantivirus.com/agent-vp.htm il bello che dice la dimensione:
Tamaño: 9,728 bytes
ma il mio e molto piu grosso dimensioni:64,5 KB (66.048 byte) su disco:68,0 KB (69.632 byte)cavolo dico io ma che roba sara? cmq parto alla ricerca ma non trovo niente di particolare dopo un po mi stufo e cerco di cancellarlo.....
ma per quanto mi sforzi con un bel po di programmi provati
unlocker, copylock,e altri 2 che ho cancellato perche altrettanto inefficaci,non riesco a eliminarlo beh quardiamo che c'e dentro accesso negato,cmq posso spostarlo
incredibile ma non posso cancellarlo!unlocker mi dice che nessun handle e stato trovato ma allora dico io che cosa mai potra essere se sono amministratore che non mi faccia cancellare sto file.
scopro per caso che il file file e crittografato in fatti e tutto verde il nome nell'explorer intendo(dicevo io ma perche a quel colore verde? conoscevo il blu ma il verde no)cmq ogni volta che gli accedo da destro/propietà il nod mi segnala li sospetto l'ultimo ad es
Tempo Modulo Oggetto Nome Virus Azione Utente Informazioni
24/07/2006 17.56.31 AMON file C:\Programmi\File comuni\System\BwE.exe Win32/Agent.VP cavallo di troia NT AUTHORITY\SYSTEM Evento occorso durante il tentativo di accesso al file da parte di un'applicazione: C:\WINDOWS\system32\services.exe.
ma è identico cambia solo l'ora cmq il problema e il sequente non si riesce a cancellare, perfavore illuminatemi !!! la cosa bella e che il certificato scade fra 100 anni!
http://img129.imageshack.us/img129/9392/snap1qt2.jpg
questo uxw....... naturalmente non esiste nessun utente con quel nome e cmq non posso agiungere o rimuovere niente, spuntare caselle, sia dalle propieta del file che dalle propieta della crittografia. non so piu che fare ho esaurito le idee nel frattempo l'ho spostato in questa cartella C:\cartellavirus\BwE.exe
idee non ne ho per il momento l'unico pallino è formattare ma per un misero file
da 65kb non ne vale la pena(per ora se non riesco a risolvere entro tempi brevi) beh non voglio o posso aspettare 100 anni! ah la chiave publica e RSA (1024 bits) tanti!
Informazioni sul sistema NOD32 installato
Versione: 1.1675 (20060723)
Data: domenica 23 luglio 2006
Build database antivirus: 7714
Informazioni su altri supporti dello scanner
Versione modulo euristica estesa: 1.032 (20060707)
Build modulo euristica estesa: 1116
Versione filtro Internet: 1.002 (20040708)
Build filtro Internet: 1013
Versione modulo supporto archivi: 1.048 (20060714)
Build modulo supporto archivi: 1173
Informazioni sui componenti installati
NOD32 per Windows NT/2000/XP/2003 - base
Versione: 2.50.32
NOD32 per Windows NT/2000/XP/2003 - supporto Internet
Versione: 2.50.32
NOD32 per Windows NT/2000/XP/2003 - componente standard
Versione: 2.50.32
Informazioni sistema operativo
Piattaforma: Windows XP
Versione: 5.1.2600 Service Pack 2
Versione dei controlli comuni: 5.82.2900
RAM: 512 MB
Processore: AMD Athlon(TM) XP 2500+ (1822 MHz)
beh dovete scusarmi se mi sono dilungato troppo ma mi piace scrivere ogni tanto, anche se con errori accenti punteggiatura che mancano...
mi scuso se anticipatemente se ho violato qualche parte del regolamento e provvedero quando segnalato.
spero solo di non aver fatto una segnalazione eccessiva, ah e se cerco di utilizzare online scanner tipo virusscan jotti's mi dice che il file e impossibbile da leggere ma non penso per un problema firewall,fino ad ora non mi a dato nessun fastidio solo che so che ho un trojan e non mi piace per niente l'idea
anche se dovrebbe essere bloccato dal nod32.il traffico rete sembra normale.
mah! speriamo di risolvere!