virus vari, trojan & cambio home page..

[blekm]

premessa: vi salto tutto il discorso è il pc di un amica al lavoro, che dopo essere andata sul sito ryanair le è spuntato di tutto..preliminari a parte, un pc della famiglia con 98 prima edizione.
io penso che aveva diversi virus, antecedenti a questo fatto..vi dico cosa ho fatto:
1) scansione con ad-aware aggiornato:
win32.trojan.desktophijack
win32.downloader
iehijacker.hotoffers

rimossi

2) scansione con spybot search and destroy
back.orifice.b
download.trojan

rimossi

3) scansione con antivir pe
worm/netsky.p

rimossi

4) scansione con cwshredder
non ha trovato niente.

la home page impostata che non si cambia è la seguente:
_www.specialgoods.info/ad/ad0411/

(naturalmente, il sito è senza UNDERSCORE, l'ho messo io per evitare che qualcuno ci clicchi qua.. )

in più, in basso a destra, ce un icona a forma di cerchio rosso con una X bianca. (vedi allegato)
in più, ogni tanto appare questa finestra di aggiornamento del 98 con le patch di sicurezza (vedi immagine grande nell'allegato) che non ho mai visto, non so manco che roba è..

ora, io sono andato via perche non avevo più tempo ieri, però mi dicono che la home page è rimasta sempre quella e che l'icona in basso a destra ce sempre...

spero qualcuno riesca a darmi una mano!

[blekm]

ups.. scusate, ho dimenticato l'allegato.

[amvinfe]

quella finestra che le si apre è collegata sicuramente al trojan, così come l'icona con la X bianca su sfondo rosso.

win32.trojan.desktophijack è certamente collegato al problema che ti ho appena descritto e credo che AdAware l'infezione non l'abbia eliminata del tutto.

Al link comunque trovi diverse info
http://www.sophos.com/virusinfo/anal...ojwarspyh.html

[blekm]

Originariamente inviato da amvinfe
quella finestra che le si apre è collegata sicuramente al trojan, così come l'icona con la X bianca su sfondo rosso.

win32.trojan.desktophijack è certamente collegato al problema che ti ho appena descritto e credo che AdAware l'infezione non l'abbia eliminata del tutto.

Al link comunque trovi diverse info
http://www.sophos.com/virusinfo/anal...ojwarspyh.html

infatti, ad aware non ha tolto il problema.

io le scansoni le ho fatte in modalità normale, non in modalità provvisoria. Se le faccio in modalità provvisoria ci sta che Ad-Aware riesca a togliere completamente l'infezione? :master:

[blekm]

perdonami una cosa: stavo leggendo quel link che mi hai dato, ma mi sembra di capire che dia istruzioni su come togliere quel trojan se hai il sophos installato.. giusto?
io però non ce l'ho installato..

non esiste una specie di removal tool per quel trojan?

[amvinfe]

al link che ti ho postato, nella parte Advanced, viene descritto cosa va a modificare.

Le scansioni devi farle tutte dalla provvisoria.

Avendo la macchina un s.o. datato, presumo anche che non sia una delle più recenti, Kaspersky sicuramente ha nel suo db le impronte del trojan in questione, tutto sta a vedere se riesce a girare su quel pc.

Nel caso volessi comunque provarlo ricordati quando eseguirai l'aggiornamento del db di scaricare (scheda Impostazioni) le definizioni per un "database esteso".

Nel caso Kaspersky non girasse, prova anche con AVG e AntivirPE uno alla volta ovviamente. Difficilmente ne' Avast!, ne' AVG ne' tantomeno AntivirPE hanno nel loro db tutte le impronte di questo tipo di trojan

[blekm]

Originariamente inviato da amvinfe
al link che ti ho postato, nella parte Advanced, viene descritto cosa va a modificare.

Le scansioni devi farle tutte dalla provvisoria.

Avendo la macchina un s.o. datato, presumo anche che non sia una delle più recenti, Kaspersky sicuramente ha nel suo db le impronte del trojan in questione, tutto sta a vedere se riesce a girare su quel pc.

Nel caso volessi comunque provarlo ricordati quando eseguirai l'aggiornamento del db di scaricare (scheda Impostazioni) le definizioni per un "database esteso".

Nel caso Kaspersky non girasse, prova anche con AVG e AntivirPE uno alla volta ovviamente. Difficilmente ne' Avast!, ne' AVG ne' tantomeno AntivirPE hanno nel loro db tutte le impronte di questo tipo di trojan

ok, mi pare d'aver capito che un removal tool apposito per questo non esiste.. 'azz!

proverò a risolvere installando kaspersky, o magari una versione di prova di sophos?

nella parte advanced dice cosa va a modificare, mi basta andare a cancellare quelle voci?

[amvinfe]

Premessa: le varianti sono tante e quasi tutte utilizzano lo stesso metodo d'infezione:
allora, questo valore
HKCR\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}
lo trovi anche collegato a questo trojan
http://www.alground.com/virus/scheda...?cod_virus=179

leggiti la scheda e verifica che non vi siano altri valori presenti nel pc della tua amica.

Poi fai un'altra verifica leggendo altre schede, un attimo e te le posto.

[blekm]

Originariamente inviato da amvinfe
Premessa: le varianti sono tante e quasi tutte utilizzano lo stesso metodo d'infezione:
allora, questo valore
HKCR\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}
lo trovi anche collegato a questo trojan
http://www.alground.com/virus/scheda...?cod_virus=179

leggiti la scheda e verifica che non vi siano altri valori presenti nel pc della tua amica.

Poi fai un'altra verifica leggendo altre schede, un attimo e te le posto.

ok, appena potrò cercherò le voci che mi dice sul sito della sophos, nella parte ADVANCED del link che mi hai dato.. le cerco, e le cancello..

[amvinfe]

http://www.alground.com/virus/scheda...?cod_virus=183
http://www.alground.com/virus/scheda...?cod_virus=180
http://www.alground.com/virus/scheda...?cod_virus=181
http://www.alground.com/virus/scheda...?cod_virus=182