Cavallo di troia Generic.XDJ

trafalguar · 18-08-2006, 22:08

Allora.. appena avvio il pc, l'avg mi segnala:

C:\Programmi\File comuni\System\SdjMtb.exe
Cavallo di troia Generic.XDJ

soltanto che non me lo fa ne correggere ne spostare in quarantena, quindi l'unica cosa da fare è ignora. Faccio ignora e sembra funzioni tutto.. dopo un pò però viene fuori un'errore di windows:

Generic Host Process for Win32 Services

dopodichè internet non funziona più fino a che non riavvio il pc. Ho fatto la scansione con avg ed ewido ma non mi trova niente. Ho provato a riavviare in modalità provvisoria per cancellare quel file (di sola lettura e nascosto) ma mi dice accesso negato.

Come devo fare? Ho cercato parecchio anche su google senza venirne a capo.. datemi una mano, please.. non ce l'ho proprio il tempo per mettermi a formattare e reinstallare tutto..

manganese · 19-08-2006, 00:58

dai un'occhiata a questo 3d
http://www.hwupgrade.it/forum/showthread.php?t=1260412

Per eliminare il file prova killbox
http://www.killbox.net/

P.S.
Cogli l'occasione per defenestrare avg

eraser · 19-08-2006, 02:49

linkOptimizer anche qui

maremma maiala per la prossima settimana dovrebbe essere pronto un fix automatico di Prevx per st'infezione

trafalguar · 19-08-2006, 08:42

Utilizzando la patch non mi dà più l'errore di generic host e ne ho approfittato per aggiornare il sistema operativo.. ma l'avg non è buono? Uso la versione premium da quasi un anno e, fino ad oggi, non avevo mai avuto problemi.. e cmq ho provato anche la scansione con VirIT, BitDefendere e Prevx ma senza alcun risultato..
Effettivamente andando a vedere nella lista delle applicazioni c'è una voce "Link optimizer" che ovviamente non va via se clicco su rimuovi.. nessuna soluzione, anche manuale, per farlo?

p.s. il sito di killbox al momento non funziona

trafalguar · 19-08-2006, 09:23

Sono riuscito a scaricare killbox ma non me lo cancella, mi dà accesso al file negato. Ho provato a selezionare delete on reboot ma il file in questione è sempre lì

manganese · 19-08-2006, 11:25

Quote:

Originariamente inviato da trafalguar

Effettivamente andando a vedere nella lista delle applicazioni c'è una voce "Link optimizer" che ovviamente non va via se clicco su rimuovi.. nessuna soluzione, anche manuale, per farlo?

p.s. il sito di killbox al momento non funziona

Allora ha ragione ereser (lapaliss) il malware in questione è alquanto rognoso
quì una guida (tnx andorra) per "tentare" la rimozione
http://www.suspectfile.com/forum/viewtopic.php?t=156
e qui una descrizione accurata del problema
http://www.alground.com/virus/scheda...?cod_virus=231

Per quello che riguarda la scelta dell'antivirus, in questo caso sarebbe servito a poco anche averne uno migliore, cmq ci sono le discussioni nei 3d in rilievo

http://www.hwupgrade.it/forum/forumdisplay.php?f=122

trafalguar · 19-08-2006, 15:59

Ho seguito la procedura manuale per la rimozione di link optimizer ma nulla.. questo è il log del rootkitrevealer

Codice:

HKLM\S-1-5-21-682003330-1563985344-1957994488-1003\RemoteAccess\InternetProfile	28/07/2006 21.33	25 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Control\Motorola\PST\USBDriverVersionNumber	24/08/2005 14.59	3 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\Description	19/08/2006 14.35	17 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40	17/08/2006 23.07	0 bytes	Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Control\Motorola\PST\USBDriverVersionNumber	24/08/2005 14.59	3 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet002\Services\Description	19/08/2006 1.43	17 bytes	Data mismatch between Windows API and raw hive data.

Il log di hijackthis sembra pulito ora.. nelle cartelle di windows non c'è più alcun file sospetto, l'unico rimasto è C:\Programmi\File Comuni\System\SdjMtb.exe (che avg segnala come cavallo di troia Generic.XDJ)

riguardo a questo file ho trovato nel registro una voce in
HKLM\System\ControlSet001\Services\UpdCkx

in Description dice: Gestisce la protezione IP e avvia ISAKMP/Oakley (IKE) e il driver di protezione IP
e in ImagePath: "C:\Programmi\File comuni\System\SdjMtb.exe"

Inoltre non mi fa accedere a HKLM\System\ControlSet001\Services\UpdCkx\Security dicendo che è Impossibile aprire Security. Errore durante l'apertura della chiave

e la voce LinkOptimizer resta nella lista delle applicazioni installate.. al momento l'unica cosa che non và è che internet si collega da solo appena lancio windows, per il resto poi pare funziona tutto bene.. ma lo voglio togliere, sono 2 giorni che ci sto sbattendo la testa

lucas84 · 19-08-2006, 16:07

Quote:

Originariamente inviato da manganese

Allora ha ragione ereser (lapaliss) il malware in questione è alquanto rognoso
quì una guida (tnx andorra) per "tentare" la rimozione
http://www.suspectfile.com/forum/viewtopic.php?t=156
e qui una descrizione accurata del problema
http://www.alground.com/virus/scheda...?cod_virus=231

Mi sa che il secondo url è una fotocopia del primo

trafalguar · 19-08-2006, 20:36

Ho provato a caricare il file SdjMtb.exe su virustotal.com e tutti gli antivirus dicono che non è infetto

18-08-2006, 22:08	#1
trafalguar Senior Member Iscritto dal: Mar 2002 Messaggi: 347	Cavallo di troia Generic.XDJ Allora.. appena avvio il pc, l'avg mi segnala: C:\Programmi\File comuni\System\SdjMtb.exe Cavallo di troia Generic.XDJ soltanto che non me lo fa ne correggere ne spostare in quarantena, quindi l'unica cosa da fare è ignora. Faccio ignora e sembra funzioni tutto.. dopo un pò però viene fuori un'errore di windows: Generic Host Process for Win32 Services dopodichè internet non funziona più fino a che non riavvio il pc. Ho fatto la scansione con avg ed ewido ma non mi trova niente. Ho provato a riavviare in modalità provvisoria per cancellare quel file (di sola lettura e nascosto) ma mi dice accesso negato. Come devo fare? Ho cercato parecchio anche su google senza venirne a capo.. datemi una mano, please.. non ce l'ho proprio il tempo per mettermi a formattare e reinstallare tutto..

19-08-2006, 02:49	#3
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	linkOptimizer anche qui maremma maiala per la prossima settimana dovrebbe essere pronto un fix automatico di Prevx per st'infezione __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

19-08-2006, 15:59	#7
trafalguar Senior Member Iscritto dal: Mar 2002 Messaggi: 347	Ho seguito la procedura manuale per la rimozione di link optimizer ma nulla.. questo è il log del rootkitrevealer Codice: HKLM\S-1-5-21-682003330-1563985344-1957994488-1003\RemoteAccess\InternetProfile 28/07/2006 21.33 25 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet001\Control\Motorola\PST\USBDriverVersionNumber 24/08/2005 14.59 3 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet001\Services\Description 19/08/2006 14.35 17 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 17/08/2006 23.07 0 bytes Hidden from Windows API. HKLM\SYSTEM\ControlSet002\Control\Motorola\PST\USBDriverVersionNumber 24/08/2005 14.59 3 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet002\Services\Description 19/08/2006 1.43 17 bytes Data mismatch between Windows API and raw hive data. Il log di hijackthis sembra pulito ora.. nelle cartelle di windows non c'è più alcun file sospetto, l'unico rimasto è C:\Programmi\File Comuni\System\SdjMtb.exe (che avg segnala come cavallo di troia Generic.XDJ) riguardo a questo file ho trovato nel registro una voce in HKLM\System\ControlSet001\Services\UpdCkx in Description dice: Gestisce la protezione IP e avvia ISAKMP/Oakley (IKE) e il driver di protezione IP e in ImagePath: "C:\Programmi\File comuni\System\SdjMtb.exe" Inoltre non mi fa accedere a HKLM\System\ControlSet001\Services\UpdCkx\Security dicendo che è Impossibile aprire Security. Errore durante l'apertura della chiave e la voce LinkOptimizer resta nella lista delle applicazioni installate.. al momento l'unica cosa che non và è che internet si collega da solo appena lancio windows, per il resto poi pare funziona tutto bene.. ma lo voglio togliere, sono 2 giorni che ci sto sbattendo la testa

19-08-2006, 00:58	#2
manganese Senior Member Iscritto dal: Feb 2006 Messaggi: 642	dai un'occhiata a questo 3d http://www.hwupgrade.it/forum/showthread.php?t=1260412 Per eliminare il file prova killbox http://www.killbox.net/ P.S. Cogli l'occasione per defenestrare avg

19-08-2006, 08:42	#4
trafalguar Senior Member Iscritto dal: Mar 2002 Messaggi: 347	Utilizzando la patch non mi dà più l'errore di generic host e ne ho approfittato per aggiornare il sistema operativo.. ma l'avg non è buono? Uso la versione premium da quasi un anno e, fino ad oggi, non avevo mai avuto problemi.. e cmq ho provato anche la scansione con VirIT, BitDefendere e Prevx ma senza alcun risultato.. Effettivamente andando a vedere nella lista delle applicazioni c'è una voce "Link optimizer" che ovviamente non va via se clicco su rimuovi.. nessuna soluzione, anche manuale, per farlo? p.s. il sito di killbox al momento non funziona

19-08-2006, 09:23	#5
trafalguar Senior Member Iscritto dal: Mar 2002 Messaggi: 347	Sono riuscito a scaricare killbox ma non me lo cancella, mi dà accesso al file negato. Ho provato a selezionare delete on reboot ma il file in questione è sempre lì

19-08-2006, 20:36	#9
trafalguar Senior Member Iscritto dal: Mar 2002 Messaggi: 347	Ho provato a caricare il file SdjMtb.exe su virustotal.com e tutti gli antivirus dicono che non è infetto

Strumenti
Mostra una versione stampabile Invia questa pagina per email