L’AV ha messo in quarantena files che non riesce ad disinfettare. Come procedere?

[blaue.angel]

Salve, :P

l’antivirus (mcafee) di un mio amico ha individuato nel suo PC dei file infetti che però non è riuscito ad disinfettare e gli ha messi in quarantena. I file interessati sono i seguenti:
winhelp.exe
task688.dll
reg678.dll
kernel66.dll
ily668.dll
IEXPLORE.EXE

E si trovano tutti nella cartella c:\WINNT\System32.
Cosa dobbiamo fare per disinfettarli? Non è il caso di eliminare i files vero? Potrebbe non funzionare qualcosa. Sostituirli con file non infetti? Se sì, dove trovarli? Ora che sono in quarantena possono comunque creare danni?

Ci aiutate?
Grazie raga’!!!

[amvinfe]

http://www.trendmicro.com/search/goo...n-us&q=lovgate


Fix_tool da far girare in mod. provvisoria
http://securityresponse.symantec.com...oval.tool.html


Leggetevi prima tutto per benino.


Marco(amvinfe)

[blaue.angel]

Quote:

Originariamente inviato da amvinfe
http://www.trendmicro.com/search/goo...n-us&q=lovgate


Fix_tool da far girare in mod. provvisoria
http://securityresponse.symantec.com...oval.tool.html


Leggetevi prima tutto per benino.


Marco(amvinfe)

Accidenti!!!

Non è che ci capiamo molto.

[amvinfe]

Come vedi vi sono diverse varianti di Lovgate, dai files che hai in quarantena (che sono tutti da eliminare) dovresti riuscire a capire di quale si tratta, solo dopo si potrà capire cosa andare a cercare.
I files che hai sopra descritto riconducono a svariate varianti, ma ripeto dai files che hai in quarantena ti dovrebbe essere anche segnalata la variante; diversamente vai in Start>Esegui scrivi regedit e portati cliccando sui segni + in questa posizione
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e guarda tutti i processi che hai, sarebbe cosa utile se ce li riportassi, non è detto che vi siano, anche perchè (teoricamente) l'AV avendo messo i files in quarantena non dovrebbero esserci stati valori aggiunti nei regisrti, comunque vedi cos'hai di strano e riportalo.



Marco(amvinfe)

[blaue.angel]

Quote:

Originariamente inviato da amvinfe
Come vedi vi sono diverse varianti di Lovgate...................... vai in Start>Esegui scrivi regedit e portati cliccando sui segni + in questa posizione
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
e guarda tutti i processi che hai.............................


Marco(amvinfe)

Siamo andati a vedere nella posizione che mi hai detto e ti riporto cosa abbiamo trovato.


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL

(predefinito) REG_SZ valore non impostato
installed REG_SZ 1


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI

(predefinito) REG_SZ valore non impostato
installed REG_SZ 1
NoChange REG_SZ 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS


(predefinito) REG_SZ valore non impostato
installed REG_SZ 1

----------------------

Abbiamo guardato anche altre informazioni riguardo ai file infettati. Quello che abbiamo trovato è:
WinHelp.exe
W32/lovgate.f@M

Task688.dll
Backdoor-AQJ

reg678.dll
Backdoor-AQJ


kernel66.dll
W32/lovgate.f@M

ily668.dll
Backdoor-AQJ


IEXPLORE.EXE
W32/lovgate.f@M


Che famo'?
:P

[amvinfe]

Stabilito che la variante è la .f procedi in questo modo.
Apri la task premendo
Ctrl+Shift+Esc
e se presente termina il processo IEXPLORE.EXE, chiudi la task.
Stabilito che in HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Run
non hai voci quali
WinHelp.exe
WinGate.exe -remoteshell
vai in
HKEY_CURRENT_USER>Software>Microsoft>WindowsNT>
CurentVersion>Windows
e controlla se hai il valore
RAVMOND.EXE
nel caso lo elimini, tasto dx>elimina
vai in HKEY_CLASSES_ROOT>txtfile>shell>open>command
e vedi se hai il valore
winrpc.exe %1
nel caso clicca di dx e clicca su modifica, metti il valore
NOTEPAD.EXE %1 clicca su OK>chiudi il registro.
Start>esegui>WIN.INI
clicca sul + di [windows]
e cancella se presente il valore
RAVMOND.exe
Il valore che deve rimanere è run= clicca yes per salvare fai ripartire la macchina.
Lo stesso file se presente qui è presente anche in System32, quindi va cancellato anche lì.

Vai in
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>Windows Management Instrumentation Driver Extension
click dx su Windows Management Instrumentation Driver Extension
ed elimina.
Vai in
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>NetMeeting Remote Desktop (RPC) Sharing
click dx su NetMeeting Remote Desktop (RPC) Sharing
ed elimina.
Vai in
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>Microsoft NetWork FireWall Services
click dx su
Microsoft NetWork FireWall Services
ed elimina.
Vai in
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg
clikc dx su
ll_reg
ed elimina.
Chiudi il registro.
Fai la ricerca ed elimina questi files da C:\WINNT\System32
%System%\RAVMOND.exe
%System%\WinDriver.exe
%System%\WinGate.exe
%System%\WinHelp.exe
%System%\winrpc.exe
system32\NetServices.exe
system32\IEXPLORE.EXE
system32\reg678.dll
system32\Task688.dll
ily668.dll
kernel66.dll
111.dll


Se usi programmi P2P (Kazaa...)
fai una ricerca in una delle sue cartelle dei files
Are you looking for Love.doc.exe
autoexec.bat
The world of lovers.txt.exe
How To Hack Websites.exe
Panda Titanium Crack.zip.exe
Mafia Trainer!!!.exe
100 free essays school.pif
AN-YOU-SUCK-IT.txt.pif
Sex_For_You_Life.JPG.pif
CloneCD + crack.exe
Age of empires 2 crack.exe
MoviezChannelsInstaler.exe
Star Wars II Movie Full Downloader.exe
Winrar + crack.exe
SIMS FullDownloader.zip.exe
MSN Password Hacker and Stealer.exe
ed eliminali.

Fai una scansione con un tool di rimozione per Lovgate variante .f
Tutte queste operazioni DEVONO essere fatte non connessa.
Facci sapere.

Marco(amvinfe)

[blaue.angel]

Grazie Marco.

Accidenti, però, come sembra complicata la rimozione manuale.

Ci provo. Spero di non fare casotto.
Vi farò sapere anche se non so quando.