Buongiorno a tutti, scrivo per esporre il mio problema.............. e per cercare aiuto :fagiano: .
Ho trovato questo Trojan su 2 Pc e come da istruzioni trovate in giro ho rimosso la voce ntdll.exe dal registro, il problema è che non riesco a cancellare il file nella system32 neanche dalla modalità provvisoria il file sembra in esecuzione (ripeto ho cancellato la voce dal registro), tutto sembra funzionare correttamente , l'unica cosa e mi ritrovo a non poter fare accesso nessun sito di antivirus (ho provato Symantec e McAfee) e oltretutto ho il motore di aggiornamento del mio antivirus bloccato (uso AVG), qualcuno ha qualche idea o suggerimento per risolvere sto problemino?

Grazie a tutti.

Sicuramente è protetto dalla cancellazione.

Controlla le proprietà del file.

già fatto...non risulta!!! :(
grazie comunque

è anche hidden

si lo sò che è hidden infatti l'ho trovato e cerco di rimuoverlo, il fatto è che mi dice che potrebbe essere in uso seppur cancellato dal registro e in mod. provv.

prova ad usare killbox

http://www.bleepingcomputer.com/files/killbox.php

Ti allego le istruzioni x la rimozione da sito Symantec:








Discovered on: November 04, 2003
Last Updated on: November 05, 2003 10:03:15 AM



Disable System Restore (Windows Me/XP).
Update the virus definitions.
Run a full system scan and delete all the files detected as Backdoor.Bionet.404.
Delete the value that was added to the registry.
Click Start, and then click Run. (The Run dialog box appears.)
Type regedit

Then click OK. (The Registry Editor opens.)


Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


In the right pane, delete the value:

"ntdll"="ntdll.exe"


Exit the Registry Editor.

Consigliano di updatare l'AV, tu non puoi farlo ma si pensa che, dato che si tratta di un vecchio trojan, il tuo AV lo abbia già in database.
In bocca al lupo.

Originariamente inviato da bluepix
prova ad usare killbox

http://www.bleepingcomputer.com/files/killbox.php

This file could not be deleted :( neanche con la procedura che lo cancella dopo un riavvio....mi stà facendo venire i nervi.

Comunque è un tool molto interessante ;)

Originariamente inviato da danidest
cut

Grazie dani ma sono le prime cose che ho provato a fare

...Adesso non so se sia possibile...E tentare di farsi scaricare lo Stinger di McAfee da qualcuno d'altro e lanciarlo sul tuo PC????....è solo un'idea.....ciao...la tua è una bella bega....:(

lo avrai fatto sicuramente ma chiedo lo stesso:
ti sei ricordato di disabilitare system restore?

Originariamente inviato da danidest
lo avrai fatto sicuramente ma chiedo lo stesso:
ti sei ricordato di disabilitare system restore?
...Eh,sì....bella osservazione....:D

http://regfreeze.net/

elencano anche il Bionet.404 tra i malaware etc che sono in grado di eliminare (compresi gli effetti sul registro di sistema), dato che puoi downlodare il software demo, se vuoi provare......

Originariamente inviato da danidest
lo avrai fatto sicuramente ma chiedo lo stesso:
ti sei ricordato di disabilitare system restore?

LOL :D

ariquote
lo avrai fatto sicuramente

una domandina:

Chi sono gli utenti che possono accedere al file?

administrator con pieno controllo e user con con pieno controllo.
regfreeze inefficace.....tra l'altro mi ha segnalato google in home page come possibile trojan.... :confused:

Prova ad aggiungere l'utente System e rifar girare killbox

ok ho delle novità :D mi sono reso conto che l'infame và a modificare il file hosts, adesso al riavvio se lo modifico a manina riesco a connettermi a tutti i siti antivirus (erano tutti elencati gran bast**do :mad: ).
Ora però ad ogni riavvio si rimodifica il file hosts e viene creata una cartella in c:\ chiamata "!submit", all'interno c'è una copia del ntdll.exe e lo cancello ma quello in system32 ancora non ne vuole sapere di essere cancellato, ho dato accesso sia a system che a everyone con controllo completo ad entrambi ma niente invece sull'altro pc tutto ok, nessuna modifica ai riavii solo la presenza del ntdll, il che mi storce ma a sto punto non è un problema.
Credo che l'unica possibilità sia diventata quella di staccare gli hard disk e montarli slave su di un'aòtra macchina :(

Se sono "C" l'altra macchina rischia di non avviarsi, i 2 C si danno fastidio (a me è capitato), ho risolto usando un pc datato.

Originariamente inviato da danidest
Se sono "C" l'altra macchina rischia di non avviarsi, i 2 C si danno fastidio (a me è capitato), ho risolto usando un pc datato.

Bè non sarebbe la prima volta che faccio un'operazione simile

;)

voi direte chissenefrega.....ma io ve lo dico lo stesso :D magari è utile a qualcuno....

mi sono fatto aiutare da hijackthis ho trovato l'odioso ntdll in esecuzione su runservices........... :fagiano: si lo sò non c'ho pensato prima, risultato? ora tutto ok ma il file ntdll non riesco ancora a cancellarlo ormai è diventata solo una questione di principio.
Prima o poi riuscirò a cancellarlo ca**o!!!! :boxe:

P.S. Grazie a tutti per la collaborazione.

vedo che sai tutto, non hai certamente bisogno di aiuto da me.
bye

Originariamente inviato da danidest
vedo che sai tutto, non hai certamente bisogno di aiuto da me.
bye
Questa non l'ho capita :confused: , ma spero di doverla interpretare per come l'hai scritta.
Saluti a tutti e buon sabato sera

http://www.purenetworking.net/Products/NTFSProfessional/NTFSProfessional.htm

da dos se sei capace, io non saprei da dove comiciare.

Questa non l'ho capita , ma spero di doverla interpretare per come l'hai scritta.
Saluti a tutti e buon sabato sera

Solo ora mi sono accorta che il mio post è uscito dopo il tuo in cui dici che hai risolto. Probabilmente abbiamo postato in contemporanea. Non c'è nulla da capire, avevi il pieno controllo della situazione......
Sarei curiosa di sapere, senza la minima malizia e solo a scopo didattico, come risolvi il conflitto tra i 2 "C" senza dover rintracciare computers "datati" non sempre reperibili.
Io, allora, ne avevo uno a disposizione, mi capitasse ora avrei difficoltà.
Ciao e buona domenica.

Da dos ci avevo pensato ma è un problema perche la partizione è NTFS e il dos non la legge.
Per quanto riguarda i dischi appena lo faccio ti dico intanto mi godo la domenica.
Auguri di buona pasqua.

Se vai al link che ti ho mandato troverai un programma che tipermette di entrare in dos in NTfs, sperimentato e perfettamente funzionante, fidati.

Allora, puntata finale.....
Stamattina ho acceso il pc avviandolo con il disco di avvio NTFSPRO (grazie dani), ma ntdll.exe si era ritrasformato in ntdll.dll come vuole la regola :D ok riavvio il sitema tutto ok niente di anomalo, riavvio anche l'altra macchina tutto ok anche li ntdll.exe ridiventato ntdll.dll.........
Vabbè che la notte porta consiglio ma......... :mc:

P.S. dani io lo faccio a volte in ufficio per lavoro ma ti devo dire la verità che mi avevi fatto venire quasi il dubbio, comunque per levarmi questo tarlo dalla testa ho staccato il disco C: di quella macchina e l'ho attaccato qui sopra da dove scrivo, nessun problema di sovrapposizione di C: lo slave ha preso una lettera diversa come al solito e amen.

P.S. dani io lo faccio a volte in ufficio per lavoro ma ti devo dire la verità che mi avevi fatto venire quasi il dubbio, comunque per levarmi questo tarlo dalla testa ho staccato il disco C: di quella macchina e l'ho attaccato qui sopra da dove scrivo, nessun problema di sovrapposizione di C: lo slave ha preso una lettera diversa come al solito e amen.

Ciao,
io lo faccio x sistemare computers di amici e poveretti che hanno problemi, l'ultima volta che mi è capitato i 2 C con relativi files di avvio si scazzottavano e non partiva il mio pc, ne ho usato uno vecchio.
Allora il problema è la scheda madre, sono umorali a dir poco.
Ti lasci ai tuoi cambi di dll ed exe. auguri.