virus in un file "lol.scr" che si trasforma in "lol.gif"

Jacker · 13-03-2004, 21:27

come da titolo, mi hanno mandato via icq un file lol.scr.

Credendo si tratasse di uno screensaver lho aperto.

Questo file ha cancellato se stesso e creato un file lol.gif.

Dopodiche sono iniziati i problemi.

Mi si aprivano i lettori a casaccio.

Addirittura mi rubavano gli screenshot del desktop.

Quindi si tratta di un trojan.

Siamo molti in questa situazione.

Ho notato che la cpu lavora a tra 25% e 0% ogni mezzosecondo.

Non sapendo che fare e leggendo qua e la, ho provato a chiudere winlogon, che era stato modificato, proprio alla stessa ora che avevo aperto il file. Dopo averlo chiuso e sparito il problema della cpu.

Qualcuno puo darmi il link del remover di questo trojan o quali file eliminare?

Ho provato a togliere qualsiasi file lol.g/scrif o a che vedere con il presunto virus. Ho tolto anche un file con lol da prefect ma , rimane il prefect di winlogon ma toglierlo credo centri poco.

Help.

eraser · 13-03-2004, 22:07

prova a fare una scansione con un antivirus online tipo

http://housecall.trendmicro.com

Jacker · 14-03-2004, 03:12

ho fatto la scansione con norton e norton web, eppure non riesco a rintracciare niente.

ma almeno rintracciare che tipo di worm sia per rimuoverlo manualmente, e invece, continua a partire winlogon.

Dite che se cancello winlogon e lo sostituisco con quello del cd, risolvo?

sul registro ho fatto ricerche su winlogon, su .scr su gif ecc ecc m anon ho trovato niente che abia a che vedere con sto virus.

Un buon antitrojan?

help

Jacker · 14-03-2004, 11:10

eraser, scusa, o chiunque voglia provare a capire, posto il link del virus che mi hanno mandato.

Credevo fosse uno screensaver, e invece e proprio un virus.

---- link rimosso per evitare che qualcuno lo scaricasse ----

almeno per capire di quale virus si tratta e trovare un modo per eliminarlo.

MrOZ · 14-03-2004, 11:40

Quel file scr è questo trojan RAT (remote administration tool) : backdoor.prorat.13 --> http://www.pestpatrol.com/pestinfo/p/prorat.asp

Nella mia sign in link utili trovi i link a diversi antitrojan, prova con a2 ke è gratuito e poi con le ver trial di trojanHunter o TDS-3.

Jacker · 14-03-2004, 12:31

Ho fatto una ricerca piu approfondita con google, non sui processi, ma sui moduli di ogni processo.

e stata na rottura ma l ho trovato.

Ho trovato un modulo, insomma una libreria dll (winkey.dll) sicuramente trojan.

Si era inserita tra i moduli caricati con winlogon appunto.

Dopodiche per sicurezza ho provato troja hunter, e l ha identificato. Tnx dell help mroz.

Ora per scongiurare che torni, e per ultimare la pulizia, servirebbe trovare le chiavi di registro che ha inserito, che tuttora non ho trovato.

MrOZ · 14-03-2004, 13:16

Nn so se hai già guardato qua, prova a vedere se questo ti è utile, è la routine di infezione di solito usata da quella backdoor.

Servers:
c:\WINDOWS\SYSTEM\sservice.exe
c:\WINDOWS\SYSTEM32\fservice.exe

port: 5110, 5112, 51100 TCP

startup:
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y} "StubPath"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "DirectX For Microsoft® Windows"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"
c:\windows\system.ini, [boot] "shell"
c:\windows\win.ini, [windows] "run"

files added:
c:\WINDOWS\SYSTEM\winkey.dll
c:\WINDOWS\winlogon.exe
c:\WINDOWS\SYSTEM\sservice.exe
c:\WINDOWS\SYSTEM32\fservice.exe

Jacker · 14-03-2004, 14:58

Ti ringrazio mroz.

Mi mancavano proprio le key da registro, visto che su altri siti erano leggermente diverse, sicuramente causa diverse versioni del trojan.

Cmq segnalo che c è anche un altro file, che non viene segnalato, da deletare, che si crea su C:\windows o cmq nella cartella di installazione di windows, che è windowslogon.exe da 309k. l originale infatti contiene informazioni inserite da windows, che lui non ha, e dimensioni di 507k.

Va cancellato anche quello, altrimenti non si è totalmente liberi, visto che da prefect puo richiamare l avvio di questo files, e ricreare tutto quanto. (Infine controllate proprio che il prefect sia libero da files sospetti, conteneti nel nome richiami al file scaricato o ai files detti qui sopra.)

Ennesima minaccia debellata.

karplus · 25-03-2004, 20:27

mi sono beccato lo stesso virus, ma non c'é verso di cancellare sto winkey.dll! Ho cancellato i 2 exe e quelle voci del registro, ma non riesco a cancellare winlogon.exe e winkey.dll! Su win.ini e system.ini non ho nessuna di quelle voci che avete citato.

Come posso fare???

Notare che i vari trojan hunter, nav, f-prot ecc.. si chiudono appena li lancio; so che é colpa del winkey.dll perché me lo dice keypatrol e lo scan online della pc cillin

karplus · 26-03-2004, 18:13

risolto grazie allla cara vecchia console

sempro · 17-04-2004, 13:00

ovvero? spiegati meglio please!
mi son beccato 'sto trojan e non so come debellarlo...
devo lavoare con la modalità provvisoria (win xp) per toglierlo o modalità normale...?

come devo fare ?

MrOZ · 17-04-2004, 13:06

se i file sono in esecuzione e non puoi eliminarli devi andare in mod normale od agire da dos.

trova ed elimina le chiavi di registro e poi i file che sono stati indicati nei post precedenti.

Ciao.

sempro · 17-04-2004, 13:34

ok elimino le chiavi ma non mi fa eliminare i file!
in mod normale non posso assoultamente eliminarli, dice che sono usati dal sistema
in mod provissoria riesco a SPOSTARLI ma quando riavvio si ricreano. e si ricreano anche le chiavi del registro.

proverò anche con un antitrojan (trojan hunter e/o atshield)
ma sono sufficienti ad eliminare tutto?

PS: non ho nessun file windowslogon.exe sotto \windows\....

Jacker · 25-04-2004, 17:00

Una volta individuato il virus, devi chiudere i processi che utilizzano i vari files e relative dll utilizzate dal thread se ce ne sono. Sono in genere due, poichè uno rigenera l altro. Non puoi farlo con taskmanager, ma da dos lo puoi killare senza noie. Oppure cercati applicazioni che ti permettano di farlo. Non killare solo winlogon, perche mandersti in crash windows. I processi sono "appesi" a winlogon per andare in esecuzione, ma "non sono winlogon.exe". Non quello creato da qindows almeno.
Dopodiche, da impostazioni cartelle, devi far in modo di visualizzare files di systema, file protetti e nascosti.
Adesso segui ciò che ho scritto sopra, e cancella tutti i files che ho cancellato io, e digitando regedit su esegui, cerca le chiavi del quale abbiamo parlato, e cancellale.

Fallo solo se sei in grado. Rischi di cancellare files di systema o chiavi di registro utili al funzionamento del sistema stesso. Altrimenti affidati ad un antitrojan, che secondo me non è cosi efficace come "le proprie mani". Non è nè difficile nè semplice.

Se rileggi bene quello che abbiamo scritto, e cosa ho fatto,
puoi farlo. Più aiuto di così.

sempro · 27-04-2004, 10:11

grazie a tutti, ma nel frattempo avevo già risolto...
cmq piuttosto stronzetto come trojan!

Jacker · 09-06-2004, 09:00

Vero.

Specie queste rev, delle rev, delle rev, che, sui vecchi virus, escono in continuazione, ma non vengono inserite in libreria da tutte le compagnie antivirus. Fortuna subiscono poche modifiche. Alla fine sono sempre la stessa roba.

13-03-2004, 21:27	#1
Jacker Senior Member Iscritto dal: Feb 2002 Città: Sassari Messaggi: 1708	virus in un file "lol.scr" che si trasforma in "lol.gif" come da titolo, mi hanno mandato via icq un file lol.scr. Credendo si tratasse di uno screensaver lho aperto. Questo file ha cancellato se stesso e creato un file lol.gif. Dopodiche sono iniziati i problemi. Mi si aprivano i lettori a casaccio. Addirittura mi rubavano gli screenshot del desktop. Quindi si tratta di un trojan. Siamo molti in questa situazione. Ho notato che la cpu lavora a tra 25% e 0% ogni mezzosecondo. Non sapendo che fare e leggendo qua e la, ho provato a chiudere winlogon, che era stato modificato, proprio alla stessa ora che avevo aperto il file. Dopo averlo chiuso e sparito il problema della cpu. Qualcuno puo darmi il link del remover di questo trojan o quali file eliminare? Ho provato a togliere qualsiasi file lol.g/scrif o a che vedere con il presunto virus. Ho tolto anche un file con lol da prefect ma , rimane il prefect di winlogon ma toglierlo credo centri poco. Help. __________________ DEF-R6 - 8700K@5ghz - KRAKEN X62 - Z370 AORUS G7 - CMK16G/4266 - 970PRO1TB - 860EVO1TB - RTX2080 XCU - EPM600EWT - GPRO - AW2518HF Affari: Rampo83 voto(8) StIwY(8) robertodel(8) xclaude(7) raph45(8) vortex99(9) k\|o(x2)(9)(8) MATTEW1(9) Joepesce(8) ilaria1986(9) Ectoplasm(8) pr649(9) kisspachyousee(8) luiss85(8) BlackBart(x2)(9)(9) marcromo(9) Benjy88(6) teosc(9) brown(9) Kamzata(9) as2k3(9) 77claudio77(9) rob-roy(9) Tonisca(9) Cuto82(9) kolzig12(9) Remok(10)

13-03-2004, 22:07	#2
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	prova a fare una scansione con un antivirus online tipo http://housecall.trendmicro.com __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

14-03-2004, 03:12	#3
Jacker Senior Member Iscritto dal: Feb 2002 Città: Sassari Messaggi: 1708	ho fatto la scansione con norton e norton web, eppure non riesco a rintracciare niente. ma almeno rintracciare che tipo di worm sia per rimuoverlo manualmente, e invece, continua a partire winlogon. Dite che se cancello winlogon e lo sostituisco con quello del cd, risolvo? sul registro ho fatto ricerche su winlogon, su .scr su gif ecc ecc m anon ho trovato niente che abia a che vedere con sto virus. Un buon antitrojan? help __________________ DEF-R6 - 8700K@5ghz - KRAKEN X62 - Z370 AORUS G7 - CMK16G/4266 - 970PRO1TB - 860EVO1TB - RTX2080 XCU - EPM600EWT - GPRO - AW2518HF Affari: Rampo83 voto(8) StIwY(8) robertodel(8) xclaude(7) raph45(8) vortex99(9) k\|o(x2)(9)(8) MATTEW1(9) Joepesce(8) ilaria1986(9) Ectoplasm(8) pr649(9) kisspachyousee(8) luiss85(8) BlackBart(x2)(9)(9) marcromo(9) Benjy88(6) teosc(9) brown(9) Kamzata(9) as2k3(9) 77claudio77(9) rob-roy(9) Tonisca(9) Cuto82(9) kolzig12(9) Remok(10)

14-03-2004, 11:10	#4
Jacker Senior Member Iscritto dal: Feb 2002 Città: Sassari Messaggi: 1708	eraser, scusa, o chiunque voglia provare a capire, posto il link del virus che mi hanno mandato. Credevo fosse uno screensaver, e invece e proprio un virus. ---- link rimosso per evitare che qualcuno lo scaricasse ---- almeno per capire di quale virus si tratta e trovare un modo per eliminarlo. __________________ DEF-R6 - 8700K@5ghz - KRAKEN X62 - Z370 AORUS G7 - CMK16G/4266 - 970PRO1TB - 860EVO1TB - RTX2080 XCU - EPM600EWT - GPRO - AW2518HF Affari: Rampo83 voto(8) StIwY(8) robertodel(8) xclaude(7) raph45(8) vortex99(9) k\|o(x2)(9)(8) MATTEW1(9) Joepesce(8) ilaria1986(9) Ectoplasm(8) pr649(9) kisspachyousee(8) luiss85(8) BlackBart(x2)(9)(9) marcromo(9) Benjy88(6) teosc(9) brown(9) Kamzata(9) as2k3(9) 77claudio77(9) rob-roy(9) Tonisca(9) Cuto82(9) kolzig12(9) Remok(10) Ultima modifica di cionci : 14-03-2004 alle 11:58.

14-03-2004, 12:31	#6
Jacker Senior Member Iscritto dal: Feb 2002 Città: Sassari Messaggi: 1708	Ho fatto una ricerca piu approfondita con google, non sui processi, ma sui moduli di ogni processo. e stata na rottura ma l ho trovato. Ho trovato un modulo, insomma una libreria dll (winkey.dll) sicuramente trojan. Si era inserita tra i moduli caricati con winlogon appunto. Dopodiche per sicurezza ho provato troja hunter, e l ha identificato. Tnx dell help mroz. Ora per scongiurare che torni, e per ultimare la pulizia, servirebbe trovare le chiavi di registro che ha inserito, che tuttora non ho trovato. __________________ DEF-R6 - 8700K@5ghz - KRAKEN X62 - Z370 AORUS G7 - CMK16G/4266 - 970PRO1TB - 860EVO1TB - RTX2080 XCU - EPM600EWT - GPRO - AW2518HF Affari: Rampo83 voto(8) StIwY(8) robertodel(8) xclaude(7) raph45(8) vortex99(9) k\|o(x2)(9)(8) MATTEW1(9) Joepesce(8) ilaria1986(9) Ectoplasm(8) pr649(9) kisspachyousee(8) luiss85(8) BlackBart(x2)(9)(9) marcromo(9) Benjy88(6) teosc(9) brown(9) Kamzata(9) as2k3(9) 77claudio77(9) rob-roy(9) Tonisca(9) Cuto82(9) kolzig12(9) Remok(10)

14-03-2004, 11:40	#5
MrOZ Senior Member Iscritto dal: Jun 2003 Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002 Messaggi: 4426	Quel file scr è questo trojan RAT (remote administration tool) : backdoor.prorat.13 --> http://www.pestpatrol.com/pestinfo/p/prorat.asp Nella mia sign in link utili trovi i link a diversi antitrojan, prova con a2 ke è gratuito e poi con le ver trial di trojanHunter o TDS-3.

14-03-2004, 13:16	#7
MrOZ Senior Member Iscritto dal: Jun 2003 Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002 Messaggi: 4426	Nn so se hai già guardato qua, prova a vedere se questo ti è utile, è la routine di infezione di solito usata da quella backdoor. Servers: c:\WINDOWS\SYSTEM\sservice.exe c:\WINDOWS\SYSTEM32\fservice.exe port: 5110, 5112, 51100 TCP startup: HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y} "StubPath" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "DirectX For Microsoft® Windows" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" c:\windows\system.ini, [boot] "shell" c:\windows\win.ini, [windows] "run" files added: c:\WINDOWS\SYSTEM\winkey.dll c:\WINDOWS\winlogon.exe c:\WINDOWS\SYSTEM\sservice.exe c:\WINDOWS\SYSTEM32\fservice.exe

14-03-2004, 14:58	#8
Jacker Senior Member Iscritto dal: Feb 2002 Città: Sassari Messaggi: 1708	Ti ringrazio mroz. Mi mancavano proprio le key da registro, visto che su altri siti erano leggermente diverse, sicuramente causa diverse versioni del trojan. Cmq segnalo che c è anche un altro file, che non viene segnalato, da deletare, che si crea su C:\windows o cmq nella cartella di installazione di windows, che è windowslogon.exe da 309k. l originale infatti contiene informazioni inserite da windows, che lui non ha, e dimensioni di 507k. Va cancellato anche quello, altrimenti non si è totalmente liberi, visto che da prefect puo richiamare l avvio di questo files, e ricreare tutto quanto. (Infine controllate proprio che il prefect sia libero da files sospetti, conteneti nel nome richiami al file scaricato o ai files detti qui sopra.) Ennesima minaccia debellata. __________________ DEF-R6 - 8700K@5ghz - KRAKEN X62 - Z370 AORUS G7 - CMK16G/4266 - 970PRO1TB - 860EVO1TB - RTX2080 XCU - EPM600EWT - GPRO - AW2518HF Affari: Rampo83 voto(8) StIwY(8) robertodel(8) xclaude(7) raph45(8) vortex99(9) k\|o(x2)(9)(8) MATTEW1(9) Joepesce(8) ilaria1986(9) Ectoplasm(8) pr649(9) kisspachyousee(8) luiss85(8) BlackBart(x2)(9)(9) marcromo(9) Benjy88(6) teosc(9) brown(9) Kamzata(9) as2k3(9) 77claudio77(9) rob-roy(9) Tonisca(9) Cuto82(9) kolzig12(9) Remok(10)

25-03-2004, 20:27	#9
karplus Senior Member Iscritto dal: Sep 2001 Messaggi: 2279	mi sono beccato lo stesso virus, ma non c'é verso di cancellare sto winkey.dll! Ho cancellato i 2 exe e quelle voci del registro, ma non riesco a cancellare winlogon.exe e winkey.dll! Su win.ini e system.ini non ho nessuna di quelle voci che avete citato. Come posso fare??? Notare che i vari trojan hunter, nav, f-prot ecc.. si chiudono appena li lancio; so che é colpa del winkey.dll perché me lo dice keypatrol e lo scan online della pc cillin __________________ ASUS P8P67 LE 3.0 - Intel® i5 2500 - Corsair XMS3 DDR3 4GBx2 - EVGA GTX760 SC 2Gb - SSD 2.5" 120Gb Ocz Vertex 2E + Seagate 500gb - Corsair 650W V2 - Lcd 23" wide Lg W2361V Ultima modifica di karplus : 25-03-2004 alle 20:34.

26-03-2004, 18:13	#10
karplus Senior Member Iscritto dal: Sep 2001 Messaggi: 2279	risolto grazie allla cara vecchia console __________________ ASUS P8P67 LE 3.0 - Intel® i5 2500 - Corsair XMS3 DDR3 4GBx2 - EVGA GTX760 SC 2Gb - SSD 2.5" 120Gb Ocz Vertex 2E + Seagate 500gb - Corsair 650W V2 - Lcd 23" wide Lg W2361V

17-04-2004, 13:00	#11
sempro Member Iscritto dal: Sep 2002 Città: Rimini Messaggi: 74	ovvero? spiegati meglio please! mi son beccato 'sto trojan e non so come debellarlo... devo lavoare con la modalità provvisoria (win xp) per toglierlo o modalità normale...? come devo fare ?

17-04-2004, 13:06	#12
MrOZ Senior Member Iscritto dal: Jun 2003 Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002 Messaggi: 4426	se i file sono in esecuzione e non puoi eliminarli devi andare in mod normale od agire da dos. trova ed elimina le chiavi di registro e poi i file che sono stati indicati nei post precedenti. Ciao.

17-04-2004, 13:34	#13
sempro Member Iscritto dal: Sep 2002 Città: Rimini Messaggi: 74	ok elimino le chiavi ma non mi fa eliminare i file! in mod normale non posso assoultamente eliminarli, dice che sono usati dal sistema in mod provissoria riesco a SPOSTARLI ma quando riavvio si ricreano. e si ricreano anche le chiavi del registro. proverò anche con un antitrojan (trojan hunter e/o atshield) ma sono sufficienti ad eliminare tutto? PS: non ho nessun file windowslogon.exe sotto \windows\....

25-04-2004, 17:00	#14
Jacker Senior Member Iscritto dal: Feb 2002 Città: Sassari Messaggi: 1708	Una volta individuato il virus, devi chiudere i processi che utilizzano i vari files e relative dll utilizzate dal thread se ce ne sono. Sono in genere due, poichè uno rigenera l altro. Non puoi farlo con taskmanager, ma da dos lo puoi killare senza noie. Oppure cercati applicazioni che ti permettano di farlo. Non killare solo winlogon, perche mandersti in crash windows. I processi sono "appesi" a winlogon per andare in esecuzione, ma "non sono winlogon.exe". Non quello creato da qindows almeno. Dopodiche, da impostazioni cartelle, devi far in modo di visualizzare files di systema, file protetti e nascosti. Adesso segui ciò che ho scritto sopra, e cancella tutti i files che ho cancellato io, e digitando regedit su esegui, cerca le chiavi del quale abbiamo parlato, e cancellale. Fallo solo se sei in grado. Rischi di cancellare files di systema o chiavi di registro utili al funzionamento del sistema stesso. Altrimenti affidati ad un antitrojan, che secondo me non è cosi efficace come "le proprie mani". Non è nè difficile nè semplice. Se rileggi bene quello che abbiamo scritto, e cosa ho fatto, puoi farlo. Più aiuto di così. __________________ DEF-R6 - 8700K@5ghz - KRAKEN X62 - Z370 AORUS G7 - CMK16G/4266 - 970PRO1TB - 860EVO1TB - RTX2080 XCU - EPM600EWT - GPRO - AW2518HF Affari: Rampo83 voto(8) StIwY(8) robertodel(8) xclaude(7) raph45(8) vortex99(9) k\|o(x2)(9)(8) MATTEW1(9) Joepesce(8) ilaria1986(9) Ectoplasm(8) pr649(9) kisspachyousee(8) luiss85(8) BlackBart(x2)(9)(9) marcromo(9) Benjy88(6) teosc(9) brown(9) Kamzata(9) as2k3(9) 77claudio77(9) rob-roy(9) Tonisca(9) Cuto82(9) kolzig12(9) Remok(10) Ultima modifica di Jacker : 25-04-2004 alle 17:03.

27-04-2004, 10:11	#15
sempro Member Iscritto dal: Sep 2002 Città: Rimini Messaggi: 74	grazie a tutti, ma nel frattempo avevo già risolto... cmq piuttosto stronzetto come trojan!

09-06-2004, 09:00	#16
Jacker Senior Member Iscritto dal: Feb 2002 Città: Sassari Messaggi: 1708	Vero. Specie queste rev, delle rev, delle rev, che, sui vecchi virus, escono in continuazione, ma non vengono inserite in libreria da tutte le compagnie antivirus. Fortuna subiscono poche modifiche. Alla fine sono sempre la stessa roba. __________________ DEF-R6 - 8700K@5ghz - KRAKEN X62 - Z370 AORUS G7 - CMK16G/4266 - 970PRO1TB - 860EVO1TB - RTX2080 XCU - EPM600EWT - GPRO - AW2518HF Affari: Rampo83 voto(8) StIwY(8) robertodel(8) xclaude(7) raph45(8) vortex99(9) k\|o(x2)(9)(8) MATTEW1(9) Joepesce(8) ilaria1986(9) Ectoplasm(8) pr649(9) kisspachyousee(8) luiss85(8) BlackBart(x2)(9)(9) marcromo(9) Benjy88(6) teosc(9) brown(9) Kamzata(9) as2k3(9) 77claudio77(9) rob-roy(9) Tonisca(9) Cuto82(9) kolzig12(9) Remok(10)

Strumenti
Mostra una versione stampabile Invia questa pagina per email