Win 7 - 64 bit - trojan Zeus

foreights · 07-04-2012, 18:22

Raccolgo l'invito di xcdegasp ad aprire un nuovo thread dove indicare la procedura seguita per rimuovere il trojan Zeus o Zbot.

Sto seguendo la procedura indicata (Guida alla disinfezione per Infetti).

1. Ho disattivato il ripristino del sistema;

2. ho impostato i server dns secondo gli indirizzi ip indicati;

3. ho scaricato e lanciato ATF cleaner (da altro sito), che non ha rilevato anomalie;

4. ho eseguito il download di Malwarebytes Anti-Malware e, al momento, è in corso l'esecuzione dello stesso.

Al termine pubblicherò il relativo log e procederò con il download e la successiva esecuzione di Emsisoft Anti-Malware 5.x.

Una sola domanda, per il momento: non ho letto (a meno che non mi sia sfuggito) se ogni antivirus, al termine delle operazioni di scansione, deve essere disinstallato. Presumo di si, dal momento che - credo - alcuni di questi possano andare in conflitto tra loro.
Comunque, attendo istruzioni.

Grazie.

foreights · 07-04-2012, 22:37

La scansione è stata eseguita in circa 4 ore e trenta minuti. Il sistema ha rilevato:

a. una chiave di registro con, all'interno: Heuristics.Shuriken;

b. e, sempre lo stesso malware (Heuristics.Shuriken), all'interno del file:
C:\ProgramData\Windows\msseedir.dll

Non so se si tratta del trojan Zeus o Zbot che sto cercando.

Allego il file log (un txt con poco meno di trenta righe di testo).

Procedo con la scansione successiva. Prima, però, disinstallo Malwarebytes Anti-Malware

foreights · 07-04-2012, 23:00

Una sola annotazione, per il momento.

Ho eseguito il download ed il successivo aggiornamento di Emsisoft Anti-Malware 5.x. Ho però notato che non è stato necessario riavviare il programma. Il sistema, infatti, dopo aver eseguito l'aggiornamento mi ha semplicemente proposto un'unica possibilità:

pulire il sistema?

Per riavviarlo, presumo, avrei dovuto forzare la chiusura del programma clikkando sulla X in alto a destra della finestra.

foreights · 08-04-2012, 09:03

Completata la scansione di Emsisoft Anti-Malware 5.x. . Nessuna infezione rilevata. Allego file log.

Procedo alla disinstallazione di Emsisoft Anti-Malware 5.x. ed alla successiva scansione di Kaspersky Virus Removal Tool (che non richiede installazione).

xcdegasp · 09-04-2012, 19:51

la disinstallazione si esegue alla fine quando è certificato che il pc sia pulito e non c'è nessuna incompatibilità su questa combinazione di software

procedi con le restanti scansioni

foreights · 09-04-2012, 22:25

Bene, allora non dovrò procedere alla disinstallazione!

Lanciato Kaspersky Virus Removal Tool - versione 2011 - che non ha individuato alcuna infezione.
Non allego, perciò, il relativo file log.

Una sola annotazione: osservo che il file log ha una dimensione anomala: 325 Mbyte. A differenza del file log dello stesso sistema, lanciato qualche giorno fa, che ha invece una dimensione più credibile: 9.35 kbyte.

Peraltro, sto cercando di aprirlo, ma il blocco note non vi riesce e, dopo un po' dichiara: "non risponde".

Qualche idea/suggerimento in merito?

Grazie.

xcdegasp · 10-04-2012, 14:30

per aprire un file txt da 325mb devi aspettare 15min

chissà perchè non hai usato f-secure online

foreights · 10-04-2012, 16:10

Si, poi l'ho aperto con Word Pad, molto più rapido - evidentemente - di BloccoNote.

In riferimento a Secure On Line, debbo dire che ho una certa avversione a far eseguire scansioni on line

. Certamente sarà un mio limite.

foreights · 11-04-2012, 14:41

A seguito della procedura di disinfezione mi ritrovo, all'atto dello start del sistema operativo, l'errore riportato in figura.

E' possibile che si tratti di qualcosa legato alla installazione/disinstallazione di qualcuno degli antivirus della procedura suddetta?

Oppure qualcuno ha qualche altra idea?

Grazie per l'aiuto.

foreights · 11-04-2012, 15:12

Per il momento una soluzione l'ho trovata (forse non ortodossa ma, tant'è).

Allora, spiego. Ho usato uno dei servizi di CCleaner, quello che mi consente di vedere quali sono i processi che il sistema lancia all'avvio. Poi, uno alla volta, ho escluso questi processi e riavviato il sistema; fino a quando non ho trovato il/i processo/i responsabile/i dell'errore segnalato (ho usato il plurale in quanto l'errore si presentava in modo doppio; nel messaggio precedente non l'ho scritto).

Allego uno screen dei due processi individuati.

Ringrazio, comunque, per gli ulteriori contributi.

07-04-2012, 18:22	#1
foreights Member Iscritto dal: Jul 2010 Messaggi: 39	Win 7 - 64 bit - trojan Zeus Raccolgo l'invito di xcdegasp ad aprire un nuovo thread dove indicare la procedura seguita per rimuovere il trojan Zeus o Zbot. Sto seguendo la procedura indicata (Guida alla disinfezione per Infetti). 1. Ho disattivato il ripristino del sistema; 2. ho impostato i server dns secondo gli indirizzi ip indicati; 3. ho scaricato e lanciato ATF cleaner (da altro sito), che non ha rilevato anomalie; 4. ho eseguito il download di Malwarebytes Anti-Malware e, al momento, è in corso l'esecuzione dello stesso. Al termine pubblicherò il relativo log e procederò con il download e la successiva esecuzione di Emsisoft Anti-Malware 5.x. Una sola domanda, per il momento: non ho letto (a meno che non mi sia sfuggito) se ogni antivirus, al termine delle operazioni di scansione, deve essere disinstallato. Presumo di si, dal momento che - credo - alcuni di questi possano andare in conflitto tra loro. Comunque, attendo istruzioni. Grazie.

09-04-2012, 19:51	#5
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	la disinstallazione si esegue alla fine quando è certificato che il pc sia pulito e non c'è nessuna incompatibilità su questa combinazione di software procedi con le restanti scansioni __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV Ultima modifica di xcdegasp : 09-04-2012 alle 19:56.

10-04-2012, 14:30	#7
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	per aprire un file txt da 325mb devi aspettare 15min chissà perchè non hai usato f-secure online __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

07-04-2012, 23:00	#3
foreights Member Iscritto dal: Jul 2010 Messaggi: 39	Una sola annotazione, per il momento. Ho eseguito il download ed il successivo aggiornamento di Emsisoft Anti-Malware 5.x. Ho però notato che non è stato necessario riavviare il programma. Il sistema, infatti, dopo aver eseguito l'aggiornamento mi ha semplicemente proposto un'unica possibilità: pulire il sistema? Per riavviarlo, presumo, avrei dovuto forzare la chiusura del programma clikkando sulla X in alto a destra della finestra.

09-04-2012, 22:25	#6
foreights Member Iscritto dal: Jul 2010 Messaggi: 39	Bene, allora non dovrò procedere alla disinstallazione! Lanciato Kaspersky Virus Removal Tool - versione 2011 - che non ha individuato alcuna infezione. Non allego, perciò, il relativo file log. Una sola annotazione: osservo che il file log ha una dimensione anomala: 325 Mbyte. A differenza del file log dello stesso sistema, lanciato qualche giorno fa, che ha invece una dimensione più credibile: 9.35 kbyte. Peraltro, sto cercando di aprirlo, ma il blocco note non vi riesce e, dopo un po' dichiara: "non risponde". Qualche idea/suggerimento in merito? Grazie.

10-04-2012, 16:10	#8
foreights Member Iscritto dal: Jul 2010 Messaggi: 39	Si, poi l'ho aperto con Word Pad, molto più rapido - evidentemente - di BloccoNote. In riferimento a Secure On Line, debbo dire che ho una certa avversione a far eseguire scansioni on line . Certamente sarà un mio limite.

Strumenti
Mostra una versione stampabile Invia questa pagina per email