Backdoor.Trojan

[Kamui]

Ciao, per l'ennesima volta il Norton mi ha individuato un virus in un file e non ha potuto cancellarmelo; allego la schermata dell'Antivirus.

Chi ha notizie in più su questo simpaticone?

Ora ricercando il file infetto nella cartella C:\WINNT il Norton mi dice che è stato rilevato il virus e quindi l'accesso al file è stato negato: significa che il virus non può più agire?

[amvinfe]

Il trojan in questione è BackDoor-AMH alias Backdoor.IRC.Mapsy, apre la porta n° 6754 in TCP si viene infettati attraverso i newsgroups, IRC, peer-to-peer networks. Start>Esegui digita regedit vai in
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
nel pannello di dx trova e cancella le stringhe "Microsoft® System Mapper" e SysMap.exe. Vai in C:\WINDOWS\SYSTEM e cancella i files SYSMAP.EXE e SYSMAP.DLL.
Fai una scansione con l'AV aggiornato, essendo un trojan che è stato appena rilevato dai maggiori AV.

Marco(amvinfe)

[Kamui]

La scansione l'ho fatta stamattina subito dopo aver aggiornato l'antivirus

Nel regedit non ho trovato la cartella "run" e i file da te elencati, e anche nella directory di sistema non ho combinato nulla: appena ci entro mi rileva il virus, mi nega l'accesso al file (l'AV), e se faccio per cancellarlo mi dice che è impossibile perchè potrebbe essere in uso; il file .DLL non l'ho trovato.

Uso Windows 2000

[Dwarf]

Se l'antivirus ti nega l'accesso disattivalo....

[Kamui]

Ma se lo disattivo non si esegue il virus?
e cmq non so per cosa stia l'accesso negato, io riesco a dirgli di cancellare il file, ma questo non si cancella perchè "potrebbe essere in uso"..:adhone:

[amvinfe]

Ho avuto problemi di connessione,
prova ad avviarlo in modalità provvisoria, e cancella da HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
le srtnghe che avevo postato, ovviamente avendo tu win2000 si riferivano a C:\WINNT\SYSTEM (scusa il lapsus), e cancella SYSMAP.EXE e SYSMAP.DLL
altre notizie al link:
http://www.trendmicro.com/vinfo/viru...KDR_IRCMAPSY.A

Marco(amvinfe)

[Kamui]

Ok eliminata la stringa dal registro, ora mi toccherà riavviare in mod prov per eliminare il file da Winnt; qui sono presenti SysMap.exe, SysMap.VI0 e SysMap.VIR, gli ultimi due li lasco così come sono?
il SysMap.DLL non c'è

[amvinfe]

Se cancelli la stringa, ma non cancelli i files quando riavvii ti si ripresenta nuovamente quindi devi toglire tutto dalla modalità provvisoria visto che diversamente Norton ti dice che i files sono in uso.

Non ricordo se gli altri sono o meno files di win2000, la trendmicro parla solo dei files SYSMAP.EXE e SYSMAP.DLL, e se il secondo non c'è ovviamente non lo devi eliminare vai comunque al link che ho postato prima e leggiti con calma tutto.

Marco(amvinfe)

[Kamui]

Sì sì l'avevo letto ma sono le stesse cose che mi hai detto tu

Ma non è che a forza di cancellare files infetti mi va a pu**ane il sistema operativo?

[Dwarf]

Originariamente inviato da Kamui
Sì sì l'avevo letto ma sono le stesse cose che mi hai detto tu

Ma non è che a forza di cancellare files infetti mi va a pu**ane il sistema operativo?

I virus e sopratutto i trojan cercano di mascherarsi come files di windows per rendere difficile la rimozione.

PS: Ovviamente dopo aver rimosso il trojan è buona regola modificare tutte le tue password.