|
|||||||
|
|
|
 |
|
|
Strumenti |
26-03-2005, 12:40
|
#1 |
|
Member
Iscritto dal: Jun 2003
Città: Roma
Messaggi: 214
|
Trojan-Bionet.404 e ntdll.exe
Buongiorno a tutti, scrivo per esporre il mio problema.............. e per cercare aiuto
 .Ho trovato questo Trojan su 2 Pc e come da istruzioni trovate in giro ho rimosso la voce ntdll.exe dal registro, il problema è che non riesco a cancellare il file nella system32 neanche dalla modalità provvisoria il file sembra in esecuzione (ripeto ho cancellato la voce dal registro), tutto sembra funzionare correttamente , l'unica cosa e mi ritrovo a non poter fare accesso nessun sito di antivirus (ho provato Symantec e McAfee) e oltretutto ho il motore di aggiornamento del mio antivirus bloccato (uso AVG), qualcuno ha qualche idea o suggerimento per risolvere sto problemino? Grazie a tutti. |
|
|
|
26-03-2005, 12:58
|
#2 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
Sicuramente è protetto dalla cancellazione.
Controlla le proprietà del file. Ultima modifica di bluepix : 26-03-2005 alle 13:04. |
|
|
|
|
26-03-2005, 13:08
|
#3 |
|
Member
Iscritto dal: Jun 2003
Città: Roma
Messaggi: 214
|
già fatto...non risulta!!!
 grazie comunque |
|
|
|
|
26-03-2005, 13:10
|
#4 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
è anche hidden
|
|
|
|
|
26-03-2005, 13:14
|
#5 |
|
Member
Iscritto dal: Jun 2003
Città: Roma
Messaggi: 214
|
si lo sò che è hidden infatti l'ho trovato e cerco di rimuoverlo, il fatto è che mi dice che potrebbe essere in uso seppur cancellato dal registro e in mod. provv.
|
|
|
|
|
26-03-2005, 13:25
|
#6 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
|
|
|
|
|
26-03-2005, 13:34
|
#7 |
|
Member
Iscritto dal: Sep 2002
Città: Sanremo/Brescia
Messaggi: 203
|
Ti allego le istruzioni x la rimozione da sito Symantec:
Discovered on: November 04, 2003 Last Updated on: November 05, 2003 10:03:15 AM Disable System Restore (Windows Me/XP). Update the virus definitions. Run a full system scan and delete all the files detected as Backdoor.Bionet.404. Delete the value that was added to the registry. Click Start, and then click Run. (The Run dialog box appears.) Type regedit Then click OK. (The Registry Editor opens.) Navigate to the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run In the right pane, delete the value: "ntdll"="ntdll.exe" Exit the Registry Editor. Consigliano di updatare l'AV, tu non puoi farlo ma si pensa che, dato che si tratta di un vecchio trojan, il tuo AV lo abbia già in database. In bocca al lupo.
__________________
Dani |
|
|
|
|
26-03-2005, 13:41
|
#8 | |
|
Member
Iscritto dal: Jun 2003
Città: Roma
Messaggi: 214
|
Quote:
neanche con la procedura che lo cancella dopo un riavvio....mi stà facendo venire i nervi.Comunque è un tool molto interessante 
|
|
|
|
|
|
26-03-2005, 13:42
|
#9 | |
|
Member
Iscritto dal: Jun 2003
Città: Roma
Messaggi: 214
|
Quote:
|
|
|
|
|
|
26-03-2005, 13:49
|
#10 |
|
Senior Member
Iscritto dal: Sep 2004
Città: Prov. Novara/Palmdale
Messaggi: 5228
|
...Adesso non so se sia possibile...E tentare di farsi scaricare lo Stinger di McAfee da qualcuno d'altro e lanciarlo sul tuo PC????....è solo un'idea.....ciao...la tua è una bella bega....
|
|
|
|
|
26-03-2005, 13:50
|
#11 |
|
Member
Iscritto dal: Sep 2002
Città: Sanremo/Brescia
Messaggi: 203
|
lo avrai fatto sicuramente ma chiedo lo stesso:
ti sei ricordato di disabilitare system restore?
__________________
Dani |
|
|
|
|
26-03-2005, 13:53
|
#12 | |
|
Senior Member
Iscritto dal: Sep 2004
Città: Prov. Novara/Palmdale
Messaggi: 5228
|
Quote:
|
|
|
|
|
|
26-03-2005, 14:10
|
#13 |
|
Member
Iscritto dal: Sep 2002
Città: Sanremo/Brescia
Messaggi: 203
|
http://regfreeze.net/
elencano anche il Bionet.404 tra i malaware etc che sono in grado di eliminare (compresi gli effetti sul registro di sistema), dato che puoi downlodare il software demo, se vuoi provare......
__________________
Dani |
|
|
|
|
26-03-2005, 14:34
|
#14 | ||
|
Member
Iscritto dal: Jun 2003
Città: Roma
Messaggi: 214
|
Quote:
ariquote Quote:
|
||
|
|
|
|
26-03-2005, 15:18
|
#15 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
una domandina:
Chi sono gli utenti che possono accedere al file? |
|
|
|
|
26-03-2005, 15:24
|
#16 |
|
Member
Iscritto dal: Jun 2003
Città: Roma
Messaggi: 214
|
administrator con pieno controllo e user con con pieno controllo.
regfreeze inefficace.....tra l'altro mi ha segnalato google in home page come possibile trojan.... 
|
|
|
|
|
26-03-2005, 15:28
|
#17 |
|
Senior Member
Iscritto dal: Dec 2004
Città: Magenta(MI)
Messaggi: 1513
|
Prova ad aggiungere l'utente System e rifar girare killbox
|
|
|
|
|
26-03-2005, 16:20
|
#18 |
|
Member
Iscritto dal: Jun 2003
Città: Roma
Messaggi: 214
|
ok ho delle novità
mi sono reso conto che l'infame và a modificare il file hosts, adesso al riavvio se lo modifico a manina riesco a connettermi a tutti i siti antivirus (erano tutti elencati gran bast**do  ).Ora però ad ogni riavvio si rimodifica il file hosts e viene creata una cartella in c:\ chiamata "!submit", all'interno c'è una copia del ntdll.exe e lo cancello ma quello in system32 ancora non ne vuole sapere di essere cancellato, ho dato accesso sia a system che a everyone con controllo completo ad entrambi ma niente invece sull'altro pc tutto ok, nessuna modifica ai riavii solo la presenza del ntdll, il che mi storce ma a sto punto non è un problema. Credo che l'unica possibilità sia diventata quella di staccare gli hard disk e montarli slave su di un'aòtra macchina
|
|
|
|
|
26-03-2005, 16:49
|
#19 |
|
Member
Iscritto dal: Sep 2002
Città: Sanremo/Brescia
Messaggi: 203
|
Se sono "C" l'altra macchina rischia di non avviarsi, i 2 C si danno fastidio (a me è capitato), ho risolto usando un pc datato.
__________________
Dani |
|
|
|
|
26-03-2005, 16:54
|
#20 | |
|
Member
Iscritto dal: Jun 2003
Città: Roma
Messaggi: 214
|
Quote:
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:55.
