come da titolo, mi hanno mandato via icq un file lol.scr.

Credendo si tratasse di uno screensaver lho aperto.

Questo file ha cancellato se stesso e creato un file lol.gif.

Dopodiche sono iniziati i problemi.

Mi si aprivano i lettori a casaccio.

Addirittura mi rubavano gli screenshot del desktop.

Quindi si tratta di un trojan.

Siamo molti in questa situazione.

Ho notato che la cpu lavora a tra 25% e 0% ogni mezzosecondo.

Non sapendo che fare e leggendo qua e la, ho provato a chiudere winlogon, che era stato modificato, proprio alla stessa ora che avevo aperto il file. Dopo averlo chiuso e sparito il problema della cpu.

Qualcuno puo darmi il link del remover di questo trojan o quali file eliminare?

Ho provato a togliere qualsiasi file lol.g/scrif o a che vedere con il presunto virus. Ho tolto anche un file con lol da prefect ma , rimane il prefect di winlogon ma toglierlo credo centri poco.

Help.

prova a fare una scansione con un antivirus online tipo

http://housecall.trendmicro.com

ho fatto la scansione con norton e norton web, eppure non riesco a rintracciare niente.


ma almeno rintracciare che tipo di worm sia per rimuoverlo manualmente, e invece, continua a partire winlogon.

Dite che se cancello winlogon e lo sostituisco con quello del cd, risolvo?

sul registro ho fatto ricerche su winlogon, su .scr su gif ecc ecc m anon ho trovato niente che abia a che vedere con sto virus.


Un buon antitrojan?

help

eraser, scusa, o chiunque voglia provare a capire, posto il link del virus che mi hanno mandato.

Credevo fosse uno screensaver, e invece e proprio un virus.


---- link rimosso per evitare che qualcuno lo scaricasse ----

almeno per capire di quale virus si tratta e trovare un modo per eliminarlo.

Quel file scr è questo trojan RAT (remote administration tool) : backdoor.prorat.13 --> http://www.pestpatrol.com/pestinfo/p/prorat.asp

Nella mia sign in link utili trovi i link a diversi antitrojan, prova con a2 ke è gratuito e poi con le ver trial di trojanHunter o TDS-3.

Ho fatto una ricerca piu approfondita con google, non sui processi, ma sui moduli di ogni processo.

e stata na rottura ma l ho trovato.

Ho trovato un modulo, insomma una libreria dll (winkey.dll) sicuramente trojan.

Si era inserita tra i moduli caricati con winlogon appunto.

Dopodiche per sicurezza ho provato troja hunter, e l ha identificato. Tnx dell help mroz.

Ora per scongiurare che torni, e per ultimare la pulizia, servirebbe trovare le chiavi di registro che ha inserito, che tuttora non ho trovato.

Nn so se hai già guardato qua, prova a vedere se questo ti è utile, è la routine di infezione di solito usata da quella backdoor.



Servers:
c:\WINDOWS\SYSTEM\sservice.exe
c:\WINDOWS\SYSTEM32\fservice.exe


port: 5110, 5112, 51100 TCP

startup:
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y} "StubPath"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "DirectX For Microsoft® Windows"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"
c:\windows\system.ini, [boot] "shell"
c:\windows\win.ini, [windows] "run"

files added:
c:\WINDOWS\SYSTEM\winkey.dll
c:\WINDOWS\winlogon.exe
c:\WINDOWS\SYSTEM\sservice.exe
c:\WINDOWS\SYSTEM32\fservice.exe

Ti ringrazio mroz.

Mi mancavano proprio le key da registro, visto che su altri siti erano leggermente diverse, sicuramente causa diverse versioni del trojan.


Cmq segnalo che c è anche un altro file, che non viene segnalato, da deletare, che si crea su C:\windows o cmq nella cartella di installazione di windows, che è windowslogon.exe da 309k. l originale infatti contiene informazioni inserite da windows, che lui non ha, e dimensioni di 507k.

Va cancellato anche quello, altrimenti non si è totalmente liberi, visto che da prefect puo richiamare l avvio di questo files, e ricreare tutto quanto. (Infine controllate proprio che il prefect sia libero da files sospetti, conteneti nel nome richiami al file scaricato o ai files detti qui sopra.)

Ennesima minaccia debellata. :)

mi sono beccato lo stesso virus, ma non c'é verso di cancellare sto winkey.dll! Ho cancellato i 2 exe e quelle voci del registro, ma non riesco a cancellare winlogon.exe e winkey.dll! Su win.ini e system.ini non ho nessuna di quelle voci che avete citato.

Come posso fare??? :muro: :muro:

Notare che i vari trojan hunter, nav, f-prot ecc.. si chiudono appena li lancio; so che é colpa del winkey.dll perché me lo dice keypatrol e lo scan online della pc cillin

risolto grazie allla cara vecchia console ;)

ovvero? spiegati meglio please!
mi son beccato 'sto trojan e non so come debellarlo...
devo lavoare con la modalità provvisoria (win xp) per toglierlo o modalità normale...?

come devo fare ? :confused:

se i file sono in esecuzione e non puoi eliminarli devi andare in mod normale od agire da dos.

trova ed elimina le chiavi di registro e poi i file che sono stati indicati nei post precedenti.

Ciao.

ok elimino le chiavi ma non mi fa eliminare i file!
in mod normale non posso assoultamente eliminarli, dice che sono usati dal sistema
in mod provissoria riesco a SPOSTARLI ma quando riavvio si ricreano. e si ricreano anche le chiavi del registro.

proverò anche con un antitrojan (trojan hunter e/o atshield)
ma sono sufficienti ad eliminare tutto?

PS: non ho nessun file windowslogon.exe sotto \windows\....

Una volta individuato il virus, devi chiudere i processi che utilizzano i vari files e relative dll utilizzate dal thread se ce ne sono. Sono in genere due, poichè uno rigenera l altro. Non puoi farlo con taskmanager, ma da dos lo puoi killare senza noie. Oppure cercati applicazioni che ti permettano di farlo. Non killare solo winlogon, perche mandersti in crash windows. I processi sono "appesi" a winlogon per andare in esecuzione, ma "non sono winlogon.exe". Non quello creato da qindows almeno.
Dopodiche, da impostazioni cartelle, devi far in modo di visualizzare files di systema, file protetti e nascosti.
Adesso segui ciò che ho scritto sopra, e cancella tutti i files che ho cancellato io, e digitando regedit su esegui, cerca le chiavi del quale abbiamo parlato, e cancellale.

Fallo solo se sei in grado. Rischi di cancellare files di systema o chiavi di registro utili al funzionamento del sistema stesso. Altrimenti affidati ad un antitrojan, che secondo me non è cosi efficace come "le proprie mani". Non è nè difficile nè semplice.

Se rileggi bene quello che abbiamo scritto, e cosa ho fatto,
puoi farlo. Più aiuto di così.

grazie a tutti, ma nel frattempo avevo già risolto...
cmq piuttosto stronzetto come trojan!

Vero.

Specie queste rev, delle rev, delle rev, che, sui vecchi virus, escono in continuazione, ma non vengono inserite in libreria da tutte le compagnie antivirus. Fortuna subiscono poche modifiche. Alla fine sono sempre la stessa roba.