|
|||||||
|
|
|
 |
|
|
Strumenti |
18-07-2003, 14:54
|
#1 |
|
Senior Member
Iscritto dal: Apr 2002
Città: Prato
Messaggi: 1133
|
L’AV ha messo in quarantena files che non riesce ad disinfettare. Come procedere?
Salve, :P
l’antivirus (mcafee) di un mio amico ha individuato nel suo PC dei file infetti che però non è riuscito ad disinfettare e gli ha messi in quarantena. I file interessati sono i seguenti: winhelp.exe task688.dll reg678.dll kernel66.dll ily668.dll IEXPLORE.EXE E si trovano tutti nella cartella c:\WINNT\System32. Cosa dobbiamo fare per disinfettarli? Non è il caso di eliminare i files vero? Potrebbe non funzionare qualcosa. Sostituirli con file non infetti? Se sì, dove trovarli? Ora che sono in quarantena possono comunque creare danni?  Ci aiutate? Grazie raga’!!! |
|
|
|
18-07-2003, 15:30
|
#2 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 359
|
http://www.trendmicro.com/search/goo...n-us&q=lovgate
Fix_tool da far girare in mod. provvisoria http://securityresponse.symantec.com...oval.tool.html Leggetevi prima tutto per benino.  Marco(amvinfe) |
|
|
|
|
19-07-2003, 10:27
|
#3 | |
|
Senior Member
Iscritto dal: Apr 2002
Città: Prato
Messaggi: 1133
|
Quote:
Accidenti!!!  Non è che ci capiamo molto. |
|
|
|
|
|
19-07-2003, 11:41
|
#4 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 359
|
Come vedi vi sono diverse varianti di Lovgate, dai files che hai in quarantena (che sono tutti da eliminare) dovresti riuscire a capire di quale si tratta, solo dopo si potrà capire cosa andare a cercare.
I files che hai sopra descritto riconducono a svariate varianti, ma ripeto dai files che hai in quarantena ti dovrebbe essere anche segnalata la variante; diversamente vai in Start>Esegui scrivi regedit e portati cliccando sui segni + in questa posizione HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e guarda tutti i processi che hai, sarebbe cosa utile se ce li riportassi, non è detto che vi siano, anche perchè (teoricamente) l'AV avendo messo i files in quarantena non dovrebbero esserci stati valori aggiunti nei regisrti, comunque vedi cos'hai di strano e riportalo. Marco(amvinfe) |
|
|
|
|
19-07-2003, 13:31
|
#5 | |
|
Senior Member
Iscritto dal: Apr 2002
Città: Prato
Messaggi: 1133
|
Quote:
Siamo andati a vedere nella posizione che mi hai detto e ti riporto cosa abbiamo trovato. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL (predefinito) REG_SZ valore non impostato installed REG_SZ 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI (predefinito) REG_SZ valore non impostato installed REG_SZ 1 NoChange REG_SZ 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS (predefinito) REG_SZ valore non impostato installed REG_SZ 1 ---------------------- Abbiamo guardato anche altre informazioni riguardo ai file infettati. Quello che abbiamo trovato è: WinHelp.exe W32/lovgate.f@M Task688.dll Backdoor-AQJ reg678.dll Backdoor-AQJ kernel66.dll W32/lovgate.f@M ily668.dll Backdoor-AQJ IEXPLORE.EXE W32/lovgate.f@M Che famo'? :P |
|
|
|
|
|
19-07-2003, 14:37
|
#6 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 359
|
Stabilito che la variante è la .f procedi in questo modo.
Apri la task premendo Ctrl+Shift+Esc e se presente termina il processo IEXPLORE.EXE, chiudi la task. Stabilito che in HKEY_LOCAL_MACHINE>Software>Microsoft>Windows> CurrentVersion>Run non hai voci quali WinHelp.exe WinGate.exe -remoteshell vai in HKEY_CURRENT_USER>Software>Microsoft>WindowsNT> CurentVersion>Windows e controlla se hai il valore RAVMOND.EXE nel caso lo elimini, tasto dx>elimina vai in HKEY_CLASSES_ROOT>txtfile>shell>open>command e vedi se hai il valore winrpc.exe %1 nel caso clicca di dx e clicca su modifica, metti il valore NOTEPAD.EXE %1 clicca su OK>chiudi il registro. Start>esegui>WIN.INI clicca sul + di [windows] e cancella se presente il valore RAVMOND.exe Il valore che deve rimanere è run= clicca yes per salvare fai ripartire la macchina. Lo stesso file se presente qui è presente anche in System32, quindi va cancellato anche lì. Vai in HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>Windows Management Instrumentation Driver Extension click dx su Windows Management Instrumentation Driver Extension ed elimina. Vai in HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>NetMeeting Remote Desktop (RPC) Sharing click dx su NetMeeting Remote Desktop (RPC) Sharing ed elimina. Vai in HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>Microsoft NetWork FireWall Services click dx su Microsoft NetWork FireWall Services ed elimina. Vai in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg clikc dx su ll_reg ed elimina. Chiudi il registro. Fai la ricerca ed elimina questi files da C:\WINNT\System32 %System%\RAVMOND.exe %System%\WinDriver.exe %System%\WinGate.exe %System%\WinHelp.exe %System%\winrpc.exe system32\NetServices.exe system32\IEXPLORE.EXE system32\reg678.dll system32\Task688.dll ily668.dll kernel66.dll 111.dll Se usi programmi P2P (Kazaa...) fai una ricerca in una delle sue cartelle dei files Are you looking for Love.doc.exe autoexec.bat The world of lovers.txt.exe How To Hack Websites.exe Panda Titanium Crack.zip.exe Mafia Trainer!!!.exe 100 free essays school.pif AN-YOU-SUCK-IT.txt.pif Sex_For_You_Life.JPG.pif CloneCD + crack.exe Age of empires 2 crack.exe MoviezChannelsInstaler.exe Star Wars II Movie Full Downloader.exe Winrar + crack.exe SIMS FullDownloader.zip.exe MSN Password Hacker and Stealer.exe ed eliminali. Fai una scansione con un tool di rimozione per Lovgate variante .f Tutte queste operazioni DEVONO essere fatte non connessa. Facci sapere. Marco(amvinfe) |
|
|
|
|
19-07-2003, 15:19
|
#7 |
|
Senior Member
Iscritto dal: Apr 2002
Città: Prato
Messaggi: 1133
|
Grazie Marco.
Accidenti, però, come sembra complicata la rimozione manuale.  Ci provo. Spero di non fare casotto.   Vi farò sapere anche se non so quando. 
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 22:07.
