win32.resurrector

[walter04]

Ciao a tutti...
è da Pasqua che mi rompo l'anima per debellare questo accidente di trojan...
su google, trovo poco tranne che:
installare il trial VIRIT explorer lite. il quale mi dice:

[SCANSIONE DEL REGISTRO]
{3B177BCE-B599-4ABD-BECE-B57EE18187FA} Infetto da Trojan.Win32.Resurrector.A


Sto fetentone di trojan ho provato a rimuoverlo disabilitando il ripristino di sistema ( ho XP) e faccio la scansione in modalità provvisoria, ma ogni volta che riavvio il sistema...... eccolo riapparire.
Ora tra 20 gg il VIRIT mi scade e io ... sono in mutande con questo cavolo di Troian nel mio PC.
Sono davvero a pezzi, attendo un aiuto come l'ossigeno..
grazie raga
Walter

[amvinfe]

Ciao,
inviami, zippato, il file infetto collegato al trojan all'indirizzo presente nella mia firma.

[walter04]

Ciao Amvinfe, grazie della tua cortesia!!
Purtroppo non capisco e non so davvero come inviarti il "file" infetto, in-quanto-che, all'avvio del pc mi parte "VIRIT explorer lite" in esecuzione automatica che mi dice:
[SCANSIONE DEL REGISTRO]
{3B177BCE-B599-4ABD-BECE-B57EE18187FA} Infetto da Trojan.Win32.Resurrector.A


Tra parentesi panda antivirus on-line non me lo trova ( perche a quanto pare sto troian si "ricrea" all'avvio del sistema e neppure MC afee me lo trova...
Come faccio a mandarti e come???
grazie ancora per il tuo prezioso aiuto
walter

[amvinfe]

puoi procedere in questo modo

- scaricati Registry Search Tool da
http://www.billsway.com/vbspage/

- estrai il contenuto del file .zip sul desktop (RegSrch.vbs)

- disabilita il caricamento all'avvio di VirIT

- riavvia

- esegui il file RegSrch.vbs ed inserisci questa stringa
{3B177BCE-B599-4ABD-BECE-B57EE18187FA}

- attendi il responso (file .txt) per alcuni secondi

- copia qui in questa discussione tutto il testo

[amvinfe]

altra cosa utile per capire dove può risiedere il problema è scaricare quest'altro script (rammenta che alcuni antivirus, Norton ad esempio, lo confonde come dannoso quindi se ciò dovesse accadere anche con il tuo antivirus ricordati di disabilitarlo temporaneamente, salvo riabilitarlo ad avvenuto responso)
http://www.silentrunners.org/Silent%20Runners.vbs
crea una nuova cartella sul desktop, chiamala ad esempio SR, inserisci al suo interno il file SilentRunners.vbs ed eseguilo. Copia il risultato della scansione in questo 3d. Il responso è consultabile all'interno di un file di testo che verrà aggiunto nella cartella appena creata.

[walter04]

Ecco, ho seguito step by step le tue indicazioni....
Ti metto in forma testuale il responso di Registry search tool e ti invio per posta il file silent runner zippato.
attendo appena puoi istruzioni.
Grazie 1000
W.



REGISTRY SEARCH TOOL


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "{3B177BCE-B599-4ABD-BECE-B57EE18187FA}" 26/04/2006 11.34.54

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\Cont extMenuHandlers\Resurrector]
@="{3B177BCE-B599-4ABD-BECE-B57EE18187FA}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3B177BC E-B599-4ABD-BECE-B57EE18187FA}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3B177BC E-B599-4ABD-BECE-B57EE18187FA}\InprocServer32]

[HKEY_USERS\S-1-5-21-448539723-1202660629-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Cached]
"{3B177BCE-B599-4ABD-BECE-B57EE18187FA} {000214E8-0000-0000-C000-000000000046} 0x401"=hex:01,\

[amvinfe]

come prima cosa fai una copia del registro, all'URL tutte le istruzioni
http://service1.symantec.com/SUPPORT...ment#_Section2

clicca sul + facendo riferimento all'immagine


naturalmente nell'articolo vengono spiegati anche i passaggi per, eventualmente, riprostinarlo qualora sbagliassi qualcosa.


Una volta eseguito il backup

- dalla modalità provvisoria clicca su
START>Esegui scrivi "regedit" (senza apici)

- dai l'OK

- aiutandoti cliccando sui + portati in
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\Cont extMenuHandlers\
cerca la cartellina gialla
Resurrector
cliccaci su di dx seleziona "Elimina"

- portati in
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
apri la cartellina
CLSID
cerca ed elimina (fai attenzione ai valori che siano uguali) il valore
{3B177BCE-B599-4ABD-BECE-B57EE18187FA}

- portati in
[HKEY_USERS\S-1-5-21-448539723-1202660629-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Cached]
"{3B177BCE-B599-4ABD-BECE-B57EE18187FA} {000214E8-0000-0000-C000-000000000046} 0x401"=hex:01,\
apri
Cached
ed elimina
"{3B177BCE-B599-4ABD-BECE-B57EE18187FA} {000214E8-0000-0000-C000-000000000046} 0x401"=hex:01,\


chiudi il registro.
Riavvia in modalità normale. esegui una scansione con VirIT ricordati che VirIT dev'essere l'unico av caricato all'avvio diversamente potresti avere conflitti.


Prova ad usare il pc, se riscontri problemi puoi sempre ripristinare il registro di configurazione



PS
volevo rigraziare Lucass per avermi fornito utili indicazioni riguardo questa discussione.

[walter04]

Amvinfe, sei davvero un Angelo!!!
Grazie ancora...
Ancora non ho fatto tutta la procedura perchè è tardino... guarda l'ora !!! Preferisco dedicarmici domani con calma e lucidità...
Ho solo fatto i passaggi "virtualmente" sul registro di sistema per rintracciare e fare il percorso che mi hai detto..
L'unica mia domanda è la seguente... quando mi dici....


portati in
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
apri la cartellina
CLSID
cerca ed elimina (fai attenzione ai valori che siano uguali) il valore
{3B177BCE-B599-4ABD-BECE-B57EE18187FA}

ho aperto CLSID ma non ho trovato il valore con questa stringa bensì una cartellina... è uguale???? Vale a dire tolgo la cartellina?????


altra cosa ho stampato la procedura per il backup del intero registro di sistema.
una volta salvato per esempio sul desktop a che mi serve IMAGESHACK ????? Non mi è chiaro...
Inoltre se dovessi fare il ripristino del file (di backup)salvato sul desktop per attivarlo, ripristinarlo devo cliccarci sopra???? o devo procedere attraverso star programmi accessori utilita di sitema backup???
Grazie ancora.
buona notte e buona giornata a te e a l'altro angioletto che mi ha sopportato e supportato
di SUSPECT FILE!!!!!
Daniela

[amvinfe]

Originariamente inviato da walter04
Amvinfe, sei davvero un Angelo!!!
Grazie ancora...
Ancora non ho fatto tutta la procedura perchè è tardino... guarda l'ora !!! Preferisco dedicarmici domani con calma e lucidità...
Ho solo fatto i passaggi "virtualmente" sul registro di sistema per rintracciare e fare il percorso che mi hai detto..
L'unica mia domanda è la seguente... quando mi dici....


portati in
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
apri la cartellina
CLSID
cerca ed elimina (fai attenzione ai valori che siano uguali) il valore
{3B177BCE-B599-4ABD-BECE-B57EE18187FA}

ho aperto CLSID ma non ho trovato il valore con questa stringa bensì una cartellina... è uguale???? Vale a dire tolgo la cartellina?????

sì, la cartellina gialla.
Quella ovviamente con il dato
{3B177BCE-B599-4ABD-BECE-B57EE18187FA}

altra cosa ho stampato la procedura per il backup del intero registro di sistema.
una volta salvato per esempio sul desktop a che mi serve IMAGESHACK ????? Non mi è chiaro...
Inoltre se dovessi fare il ripristino del file (di backup)salvato sul desktop per attivarlo, ripristinarlo devo cliccarci sopra???? o devo procedere attraverso star programmi accessori utilita di sitema backup???
Grazie ancora.
buona notte e buona giornata a te e a l'altro angioletto che mi ha sopportato e supportato
di SUSPECT FILE!!!!!
Daniela

proprio a nulla
IMAGESHACK.us è un sito che serve per caricare in maniera gratuita immagini residenti sul proprio computer. E' un'immagine che ho inserito io nella discussione servendomi del sito. Tutto qua.
Per ripristinare il registro nel caso qualcosa dovesse andare storto non devi fare altro che seguire i passaggi descritti al link della Symantec, quello che ti ho postato precedentemente

Come ripristinare il registro da una copia di stato del sistema
Fare doppio clic sul file di backup da cui eseguire il ripristino.
Fare clic sul pulsante Ripristino guidato (Modalità avanzata).
Fare clic su Avanti.
Fare clic sul segno + accanto a File nel riquadro sinistro.
Fare clic sul segno + accanto al file di backup creato situato nel riquadro sinistro.
Selezionare la voce Stato del sistema.
Fare clic su Avanti.
Fare clic su Fine.
Fare clic su OK nel messaggio di avviso visualizzato.
Al termine del processo di ripristino, fare clic su Chiudi.
Il registro a questo punto è ripristinato. Fare clic su Sì per riavviare il computer.

[walter04]

Devo dire a tutti che grazie il preziosissimo aiuto di Amvinfe e Suspetcfile, ho risolto il problema di questo cacchio di Virus FETENTE ( Ops....!!!)
Ragazzi siamo davvero in buone mani. Se avete bigogno sono i meglio chirurghi del PC che abbia incontrato.
Grazie ancora Amvinfe e suspectfile !!!!!!
Un abbraccio
Daniela