Loop75
30-01-2012, 22:31
Sono alle prese con un sistema windows XP sp3 infettatto tramite un trojan da una pagina web.
Ho fatto la scansione con il rescue CD bootabile di Avira quindi riavviando sono tornati a funzionare GMER, Avira e compagnia che prima di usare il CD di avira erano bloccati dall'infezione (che faceva anche aprire delle finestre fasulle di Windows Defender e similari). C'è ancora qualcosa che non va però perchè vedo dell'attività di rete anomala (l'infezione genera del traffico verso Internet).
1. Avira rescue CD ha trovato:
TR/Graftor.13023.1
TR/Dropper.Gen8
Riavviato il PC ho eliminato i tre file trojan che Avira aveva rinominato e mi sono accorto che l'account di Windows XP usato al momento dell'infezione non funzionava bene, ad esempio non permetteva l'esecuzione dell'eseguibile di GMER (diceva che non trovava explorer.exe) ma almeno non dava più le pagine fasulle di Windows Defender.
2. Ho allora usato un altro account amministratore da cui ho lanciato GMER, che funzionava grazie all'azione del cd rescue di avira, e contemporaneamente ho disabilitato il servizio di ripristino della configurazione di sistema. Con la scansione automatica che GMER fa quando si avvia non mi ha trovato niente ma facendo una scansione manuale ha trovato l'elemento indicato in rosso (quindi nascosto, hidden) che ora cito:
sezione Rootkit/Malware di GMER. Trovato un elemento nascosto (indicato in rosso). Descrizione dell'elemento:
TYPE "module"
nome "(noname) (***hidden***)"
come value ha una stringa esadecimale (106496 bytes).
Trova poi molti altri elementi indicati in nero.
Come devo agire? Se premo col pulsante destro su quell'unico elemento indicato come hidden mi permette di selezionare:
"dump module" e "Options".
E non so cosa fare.
Siccome prima di eseguire GMER ho notato dell'attività di rete nonostante non stessi usando Internet, ho allora scollegato il cavo di rete del computer. Con netstat vedevo un certo numero di connessioni attive che non avevo aperto io e il modem adsl segnalava dell'attività verso l'esterno.
3. Poco fa ho riavviato il PC e all'accensione ho visto un processo svchost.exe al 100% (con cavo di rete staccato per non farlo collegare a Internet). Ho killato svchost.exe quindi ho fatto una scansione con Avira desktop senza aggiornarlo (per evitare che venissero scaricati altri software malevoli). Le basi erano aggiornate circa 85 giorni fa.
Risultato:
-E' stata avviata la scansione per trovare oggetti nascosti:
c:\windows\sysyem32\ping.exe
[INFO] Il processo non è visibile
[NOTA] creato backup con nome ".... .qua" (QUARANTENA)
HKEY_LOCAL_MACHINE\Software\Microsoft\ft\DbgagD\1\Value
[INFO] L'inserimento della registrazione non è visibile.
4. Successivamente ho fatto scansione con Malware Bytes anti malware sempre con basi vecchie di 85 giorni e non mi ha trovato niente.
Come mi consigliate di procedere?
NOTA: non so se riavviando si ripresenta il problema delle connessioni ad Internet fatte dal software malevolo. Non ho provato a vedere se la connessione ad Internet funziona e ad aggiornare le basi di Avira e Malware Bytes.
Ho su di una chiavetta Dr. Web cure it! appena scaricato: ho visto con Google che un altro utente ha rimosso un'infezione da trojan Graftor con quel software.
Prima di intraprendere altre azioni però vorrei sentire i pareri di qualcuno di voi ferrato in materia. Grazie per il supporto. ;)
Ho fatto la scansione con il rescue CD bootabile di Avira quindi riavviando sono tornati a funzionare GMER, Avira e compagnia che prima di usare il CD di avira erano bloccati dall'infezione (che faceva anche aprire delle finestre fasulle di Windows Defender e similari). C'è ancora qualcosa che non va però perchè vedo dell'attività di rete anomala (l'infezione genera del traffico verso Internet).
1. Avira rescue CD ha trovato:
TR/Graftor.13023.1
TR/Dropper.Gen8
Riavviato il PC ho eliminato i tre file trojan che Avira aveva rinominato e mi sono accorto che l'account di Windows XP usato al momento dell'infezione non funzionava bene, ad esempio non permetteva l'esecuzione dell'eseguibile di GMER (diceva che non trovava explorer.exe) ma almeno non dava più le pagine fasulle di Windows Defender.
2. Ho allora usato un altro account amministratore da cui ho lanciato GMER, che funzionava grazie all'azione del cd rescue di avira, e contemporaneamente ho disabilitato il servizio di ripristino della configurazione di sistema. Con la scansione automatica che GMER fa quando si avvia non mi ha trovato niente ma facendo una scansione manuale ha trovato l'elemento indicato in rosso (quindi nascosto, hidden) che ora cito:
sezione Rootkit/Malware di GMER. Trovato un elemento nascosto (indicato in rosso). Descrizione dell'elemento:
TYPE "module"
nome "(noname) (***hidden***)"
come value ha una stringa esadecimale (106496 bytes).
Trova poi molti altri elementi indicati in nero.
Come devo agire? Se premo col pulsante destro su quell'unico elemento indicato come hidden mi permette di selezionare:
"dump module" e "Options".
E non so cosa fare.
Siccome prima di eseguire GMER ho notato dell'attività di rete nonostante non stessi usando Internet, ho allora scollegato il cavo di rete del computer. Con netstat vedevo un certo numero di connessioni attive che non avevo aperto io e il modem adsl segnalava dell'attività verso l'esterno.
3. Poco fa ho riavviato il PC e all'accensione ho visto un processo svchost.exe al 100% (con cavo di rete staccato per non farlo collegare a Internet). Ho killato svchost.exe quindi ho fatto una scansione con Avira desktop senza aggiornarlo (per evitare che venissero scaricati altri software malevoli). Le basi erano aggiornate circa 85 giorni fa.
Risultato:
-E' stata avviata la scansione per trovare oggetti nascosti:
c:\windows\sysyem32\ping.exe
[INFO] Il processo non è visibile
[NOTA] creato backup con nome ".... .qua" (QUARANTENA)
HKEY_LOCAL_MACHINE\Software\Microsoft\ft\DbgagD\1\Value
[INFO] L'inserimento della registrazione non è visibile.
4. Successivamente ho fatto scansione con Malware Bytes anti malware sempre con basi vecchie di 85 giorni e non mi ha trovato niente.
Come mi consigliate di procedere?
NOTA: non so se riavviando si ripresenta il problema delle connessioni ad Internet fatte dal software malevolo. Non ho provato a vedere se la connessione ad Internet funziona e ad aggiornare le basi di Avira e Malware Bytes.
Ho su di una chiavetta Dr. Web cure it! appena scaricato: ho visto con Google che un altro utente ha rimosso un'infezione da trojan Graftor con quel software.
Prima di intraprendere altre azioni però vorrei sentire i pareri di qualcuno di voi ferrato in materia. Grazie per il supporto. ;)