Trojan Downloader.Delf.12.AE

[vermiciattola]

Ciao a tutti,
avrei bisogno di aiuto per un virus che proprio non riesco ad eliminare e del quale ho già letto sul vostro forum, ma senza che tali informazioni mi fossero d'aiuto.
Premetto che sono proprio imbranata e per questo chiedo scusa in anticipo per l'ignoranza e per eventuali termini inappropriati.
Il virus è un trojan horse Downloader.Delf.12.AE ed ha colpito due macchine che lavorano in rete con sistema operativo windows 98 SE.
Il nostro antivirus è AVG che lo segnala, lo ripara, ma che non riesce definitivamente ad eliminarlo.
Il file infetto si trovava in windows/temporary internet files col nome di 2026.exe.
Dico "si trovava" perchè dopo aver smanettato un pò si è spostato in windows/impostazioni locali/temporary internet files.
Ecco quali sono stati i miei tentativi di debellarlo.
Ho fatto una scansione con AVG in normale e in provvisoria.
Ho ripulito i files temporanei: manualmente, tramite la maschera di internet explorer strumenti/opzioni internet e tramite il pannello di controllo, sia in normale che in provvisoria.
Ho scaricato e lanciato spybot s&d, sia in normale che in provvisoria che mi ha trovato un altro problema, ma niente di inerente.
C'è anche da dire che con i programmi di scansione on-line del singolo file, non mi carica proprio i file che a me sembrano sospetti (questo 2026.exe per l'appunto).
Mi sono accorta che, comunque, quando avg mi segnala il virus e me lo ripara, nella cronologia di internet explorer compaiono alcuni siti che non ho visitato (safe-download-secure. com, mulopol.com, wsepro.com, wpse.mobi.com). Sottolineo che non mi apre materialmente le pagine, mi compaiono solo quei siti nella cronologia del giorno.
Ho fatto una ricerca in internet, ma veramente c'ho un pò paura ad aprire 'sti siti per vedere di che si tratta.
Dopo questa constatazione, nella scheda privacy delle opzioni di internet explorer sono andata a bloccare questi siti (onestamente senza una piena coscienza di ciò che stavo facendo).
A quel punto il maledetto s'è spostato da windows/temporary a windows/impostazioni locali/temporary.
Ah, ho anche attivato la visualizzazione dell'anteprima nella cartella dei files temporanei, così me li ha fatti vedere tutti e ho eliminato altra roba manualmente.
Ah, ancora un'altra cosa, che non so se abbia una relazione col mio trojan ma io la scrivo lo stesso. Qualche tempo fa all'accensione delle macchine compariva una maschera che non trovava (o una cosa del genere) i files licensemse e licensemsemsd (nel windows ne ho una coppia per ciascun nome, come gli animali dell'arca di noè, uno .htm e uno .vbs). Da quando s'è svegliato il maledetto (il virus), non compaiono più.
Spero di non essere stata prolissa e di non aver combinato casotti nella spiegazione.
Grazie in anticipo a coloro che vorranno darmi una mano.
Ciao, a presto.

[amvinfe]

ciao,
non esistono moltissimi strumenti di analisi per macchine che operano con win98.
Puoi comunque provare ad eseguire scansioni dalla provvisoria utilizzando un diverso antivirus, al caso ti consiglio AntivirPe (www.free-av.com).

Una volta installato ed aggiornato (ricordati di disattivare la protezione in real-time di AVG o nelle "peggiori delle ipotesi di disinstallarlo, diversamente si creerebbero conflitti) esegui una scansione su ogni macchina che hai in rete, ricordati che prima dell'installazione e successiva scansione i cavi di rete devono essere scollegati.

[vermiciattola]

Ciao amvinfe,
grazie per l'interessamento.
Ovviamente seguirò il tuo consiglio, ma ancora una domanda... visto che non posso disinstallare AVG, come si fa a disattivare la protezione in real-time?
Grazie ancora.
Ciao ciao.

[amvinfe]

punto 199
http://www.grisoft.com/it.59

[vermiciattola]

Ciao amvinfe, grazie ancora.
Faccio tutto quello che mi hai scritto e ti tengo aggiornato sull'operazione. Tieni le dita incrociate.
Ti faccio sapere a quale indirizzo mandare la parcella.
Ciao a presto.

[amvinfe]

mancherò un paio di gg sicuramente verrai seguita da altri utenti altrettanto capaci

per la parcella, quando passo dalle tue parti mi offri un buon bicchiere di birra

ciao

[vermiciattola]

Ciao,
ho provato ad installare AntivirPe però... questo è l'errore che mi segnala:

RUNTIME ERROR!
Program: C\WINDOWS\TEMP\RARSFXO\BASIC\SETUP.EXE
This application has requested the Runtime to terminate it in an unusual way.


Esattamente, cos'è che vuole?

[vermiciattola]

Ciao a tutti,
nella speranza di essere d'aiuto a qualcuno con lo stesso problema, concludo la vicenda.
Non sono riuscita ad installare AntivirPe, ma ho installato VirIt.
Ho fatto una scansione in modalità provvisoria, disattivando la protezione permanente di AVG, e mi ha rilevato un paio di virus.
Il primo era quello dei files licensemse e licensemsemsd. L'altro era sempre nel windows.
Comunque la faccio breve. Al momento non mi segnala più nessun virus e quindi credo di aver risolto il problema. Non si aprono nemmeno quegli indirizzi nella cronologia di internet explorer. Nel frattempo AVG e Virit convivono allegramente... almeno fin quando Virit avrà vita.
Grazie di nuovo per l'aiuto e complimenti per il sito.
Alla prossima (ma nel contempo tocco ferro).
Bye.

N.B.: amvinfe, te la tengo da parte rossa?

[amvinfe]

scusami, erroe mio.
Win 98, Win 98SE, Win ME, Win NT non sono più supportati.

Inoltre Win Server e Win 2000 non saranno più supportati a partire dalla data del 13.07.2010
Mentre per Win XP il supporto cesserà a far data del 31.12.2011
Per Win XP Pro sarà a partire dal 30.01.2014


[OT]
... se parli della birra preferisco bionda... se ti riferivi ad altro il colore non ha importanza

[Gas75]

Visto che se ne è già parlato, continuo qua il discorso...
AVG 8 Free Edition mi rileva continuamente questo virus entrando, con Firefox 3, nel sito ufficiale di un disegnatore

codice:

http://www.nicolagenzianella.com/

Il virus si insedia sotto forma di eseguibile con nome "strano" in C:\Documents and Settings\Gas, quindi, ovviamente, faccio Heal e lo rimuovo.
La cosa strana è che il titolare del sito ed il suo webmaster sono all'oscuro di questa faccenda né hanno ricevuto altre segnalazioni a riguardo...
Quindi? Ci sono problemi nel mio pc? E' un trucco di AVG per farmi acquistare un pacchetto di sicurezza aggiuntivo? Oppure quel virus può trovarsi davvero in quel sito all'insaputa di chi lo gestisce?