connessione ssavers: virus, troyan,..?

[LUCASS]

Mi ero scordato di dirti di visualizzare tutti i file e le cartelle,ormai la vecchiaia avanza
Start>pannello di controllo>opzioni cartella
-Portati sulla scheda visualizzazione
-Metti la il puntino nella casella "Visualizza file e cartelle nascoste"
-Togli la spunta nella casella "Nascondi file di sistema(consigliato)"
-Rispondi di Si al messaggio
-Applica>OK

Adesso puoi eliminare i files
C:\WINDOWS\system32\kaboom.dll
C:\WINDOWS\system32\gtrack.dll
Ci dovrebbero essere,nel mio pc erano presenti appena ho lanciato il file infetto
Se devi acquistarlo ti consiglio Kaspersky di free Antivir,Avast e Avg
Ciao

PSopo rendi nuovamente nascosto il tutto

[Slash1664]

ahem..nn ci sono!!!
mah!!cmq grazie

[LUCASS]

L'azienda sophos l'ha appena messo nel database quindi puoi usare questo programma
Scaricati http://www.sophos.com/tools/sav32sfx.exe
L'archivo è autoestraente quindi si collocherà qui
C:\SAV32CLI
Poi scaricati questo
http://www.sophos.com/downloads/ide/rbot-bfr.ide
ed inseriscilo nella cartella SAV32CLI

Start>esegui digita cmd
Ok
dove lampeggia il cursorse digita
CD C:\SAV32CLI <-------INVIO
SAV32CLI -f -all <-------INVIO
Partirà la scansione buon fortuna
Qui http://www.sophos.com/virusinfo/anal...ojagentif.html
trovi la scheda tecnica del malware

PS:Me l'ha appena trovato

[Slash1664]

grazie di tutto x l'aiuto!!
Buone feste a tutti!!!

[ilgio]

che cosè Hiajckthis ??
devo scaricarlo?

ho anche io questo problema..
devo scaricare questo ? http://www.sophos.com/virusinfo/anal...ojagentig.html

ed eseguire quei passi , poi è tutto ok ??

[Habanero]

Originariamente inviato da ilgio
che cosè Hiajckthis ??
devo scaricarlo?

Ci sono un paio di discussioni in rilievo è decisamente il caso che tu ci dia un occhio...


Inoltre hai già aperto una discussione a riguardo, per favore continua lì.

[tezuia]

Ciao, anch'io ho dei problemi con connessioni remote che si creano e spariscono.
Più precisamente, l'altro giorno mentre ero connesso con l'umts improvvisamente sono stato sbattuto fuori dalla rete e mi sono accorto che il cellulare stava tentando di comporre dei numeri strani, ma le chiamate fortunatamente non andavano a buon fine!
Ho notato in connessioni di rete che si era creata una nuova connessione denominata "ssavers_90", la quale spariva dopo che la chiamata non andava a buon fine, per fare posto ad un'altra connessione denominata "ssavers_91", e così via...
Preso dal panico ho subito staccato la presa usb del telefonino e ho cercato di capire cosa fosse successo, fino a quando non ho letto il thread in questo forum.
Ho lanciato il symantec antivirus alla ricerca di file infetti, ma niente. Ho proceduto come indicate voi, installando e lanciando tutti e 4 gli anti-spyware scollegato da internet/LAN, sia in modalità normale che provvisoria, ma il problema si è ripresentato.
Ho dunque provato il panda antivirus on-line, il quale mi ha trovato il kaboom.dll e l'ha ripulito.
Ho anche cancellato tutti i files nelle directory %temp% e temp, ma ho continuato ad avere problemi...e kaboom.dll continua a esserci sotto C:\Windows\system32\
A questo punto cosa devo fare?
Non vorrei ricorrere ad una soluzione drastica (formattazione hard disk)....per cui qualsiasi suggerimento è ben accetto!
Grazie

[LUCASS]

Ciao,forse hai letto in fretta,scarica Ewido qui http://www.alground.com/sicurezza/articolo.php?page=43 una guida,aggiornalo,avvia in modalità provvisoria e lancia una scansione completa con Ewido,dovresti risolvere,ciao

[tezuia]

Ho fatto andare in modalità provvisoria ewido, il quale ha trovato e debellato dei backdoor, come illustrato di seguito:

---------------------------------------------------------
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------

+ Creato il: 21.52.35, 10/01/06
+ Report-Checksum: 1258CFC9

+ Risultati scansione:

C:\System Volume Information\_restore{728CF569-CA8D-4D05-86B1-8BE59D439709}\RP153\A0031596.sys -> Backdoor.HacDef.bo : Pulito con Backup
C:\System Volume Information\_restore{728CF569-CA8D-4D05-86B1-8BE59D439709}\RP153\A0031601.sys -> Backdoor.HacDef.bo : Pulito con Backup
C:\System Volume Information\_restore{728CF569-CA8D-4D05-86B1-8BE59D439709}\RP154\A0031631.sys -> Backdoor.HacDef.bo : Pulito con Backup
C:\System Volume Information\_restore{728CF569-CA8D-4D05-86B1-8BE59D439709}\RP154\A0031653.SYS -> Backdoor.HacDef.bo : Pulito con Backup
C:\System Volume Information\_restore{728CF569-CA8D-4D05-86B1-8BE59D439709}\RP154\A0031665.sys -> Backdoor.HacDef.bo : Pulito con Backup
C:\System Volume Information\_restore{728CF569-CA8D-4D05-86B1-8BE59D439709}\RP154\A0031669.sys -> Backdoor.HacDef.bo : Pulito con Backup


::Fine Rapporto

Dopo di ciò, tuttavia, io mi ritrovo ancora il file C:\windows\system32\kaboom.dll (ogni volta resuscita sempre), oltre a dei file eseguibili che nascono dal nulla nella cartella %temp%, con nomi tipo "sjc.2.exe", che probabilmente sono responsabili della creazione di connessioni remote ssavers...
Cosa posso fare ancora prima di darmi per vinto?

P.S. In system32 c'è kaboom.dll ma non trovo gtrack.dll come nel caso di Slash.
Ho provato a cliccare il link per scaricare sav32sfx.exe ma dopo un po' si interrompe prematuramente il download...

[LUCASS]

Eppure Ewido lo riconosce ne sono sicuro l'avevo provato :master: :master:
Imposta la visualizzazione di tutti i files e cartelle
-Start>pannello di controllo>opzioni cartelle
-Portati sulla scheda "Visualizzazione"
-Metti la spunta nella casella "Visualizza file e cartelle nascoste"
-TOGLI la spunta dalla casella "Nascondi file di sistema(consigliato)"
-Rispondi di SI al messaggio
-Applica>OK

Elimina i files in grasetto(se presenti)
C:WINDOWS\system32\gtrack.dll
C:WINDOWS\system32\kaboom.dll
C:WINDOWS\Temp\wmpl.exe
C:WINDOWS\system32\msx.dll
C:WINDOWS\system32\iewatch.exe

Svuota il contenuto della cartelle in grasetto
C:\WINDOWS\TEMP
Da opzioni internet clicca su "Elimina file" metti la spunta nella casella "Elimina contenuto non in linea" e clicca su OK
Riavvia il pc

PS:Se alcuni files non li trovi vuol dire che non ci sono
Effettua una scansione on-line
http://www.pandasoftware.com/actives..._principal.htm