Se sei gi registrato           oppure    

Orario: 16/06/2019 16:47:49  

 

Energia Alternativa ed Energia Fai Da Te > Sistemi operativi, hardware e programmazione.


come liberarsi da "crypt.ERA" e simili, liberarsi da trojan
FinePagina

qqcreafis

Avatar
GigaWatt


Gruppo:Utente
Messaggi:9045

Stato:



Inviato il: 24/10/2013,13:53

il computer del vicino impestato, agv ogni volta che si apre CROME da un segnale "cryp.ERA" trojan


in WINDOWS\TEMP\"RANDOM NUMBER"\plugin.dll


l'antivirus cancella il virus ....ma l'infezione rimane!!!agv ogni volta che si apre CROME....


scaricati AV malawerebites, scanner microsoft, spybot s.d. ecc ecc ma il virus si nasconde


non compare e basta ma rimane (ce se ne accorge perch a "vuoto" un i5 fa 12% del carico massimo!!!!!!!!)


invisibile a tutti gli antivirus ma visibilissimo a tutti bellamente e mollemente in

PROGRAMDATA\255\

"lmbd.dll"(i file sono semplicemente ed efficaciemente legittimati da una icona acer rubata dal virus o posseduta dal codice)

identificato da una voce di avvio atomatico una schellex nel registro, (segnalato dalla ricerca di crypt nel web)

una rapida ricerca lmbd.dll lo smaschera come una variante w32 ben nota .

rinominato lmbd.dll e poi tolto le tracce di avvio nel registro ( a mano e con ccleaner) l'uso a vuoto della cpu cala drasticamente tra 0 e 3%


comunque si nota che gli antivirus danno una mano ma non riescono ad individuare per costruzione il virus, anzi oserei dire che coabitano, anzi sono in simbiosi. Il virus legittima l'antivirus che si limita a far fuori i vari trojan (obsoleti) che carica (o crea?) in WINDOWS\TEMP, ma non tocca la testa del processo il vero virus! che rimane a fare da backdoor e simili

insomma l'antivirus non controlla neppure i nomi sospetti, basta cambare la cartella da 551 a 255 e l'ntivirus perde l'orizzonte (ma forse il virus criptato...)




Modificato da qqcreafis - 24/10/2013, 22:57


---------------
Al peggio non esiste limite

 

qqcreafis

Avatar
GigaWatt


Gruppo:Utente
Messaggi:9045

Stato:



Inviato il: 25/10/2013,16:42

questi tipi di virus si sono diffusi dall'olanda e in rete si trovano cose come questa che danno suggerimenti a chi ha pratica della questione

CITAZIONE
Voordat ik de files heb verwijderd heb ik even in de files gekeken, naast de dll stonden er nog 3. 1 van deze files kon zichzelf decrypten en waarschijnlijk ook de andere 3. De reden dat de trojan niet gevonden wordt door een Virus scanner is omdat de versie in c:\programdata\windows geencrypt is. Als crome wordt gestart werd het process van decrypten naar de random folder in c:\windows\temp gestart. Beide folders kan men gewoon in windows verwijderen als je admin bent. Dit is voldoende om het process te stoppen.

In de registry zit echter nog het mechanisme om de trojan te starten (lukt natuurlijk niet meer als hij weg is) maar als je hem toch wilt verwijderen kan dit als volgt:
Zoek met regedit.exe naar C:\programdata\windows je vindt als het goed is het volgende:
[HKEY_CLASSES_ROOT\CLSID\{312BFDCE-A901-4203-B4F2-ADCB957D1887}\InprocServer32]
@="C:\\ProgramData\\Windows\\msseedir.dll"

De class id zou kunnen verschillen zoals ook de dll naam al ben ik hier niet zeker van (files weggegooid voordat ik hiernaar heb gekeken.)
De class beschrijft wat er kan worden gestart let op deze class staat op elk niveau herhaald dus:
HKEY_CLASSES_ROOT\CLSID
HKEY_CLASSES_ROOT\Wow6432Node\CLSID
HKEY_CURRENT_USER\Software\Classes\CLSID
HKEY_CURRENT_USER\Software\Classes\Wow6432Node\CLSID

Indien er meerdere user op je systeem zijn kan het ook zijn dat je in hkey users meerdere keren deze class tegen komt.

De trigger om de trojan te starten is het volgende:
[HKEY_CLASSES_ROOT\Directory\Shellex\CopyHookHandlers\MSCopy]
@="{312BFDCE-A901-4203-B4F2-ADCB957D1887}"

deze wordt herhaalt op de volgende lokatie:
HKEY_CURRENT_USER\Software\Classes\Directory\Shellex\CopyHookHandlers\MSCopy

Verwijderen gaat dus als volgt:
begin weer vanaf het begin te zoeken in de registry naar de class id {312BFDCE-A901-4203-B4F2-ADCB957D1887} en verwijder alles waar deze classid in staat.

importantissimi sono i punti di avvio , al posto di MSCopy c'era altro e le chiavi del registro avevano numeri random ed il contenuto puntava alla clsid 118bcead..... andando a controllare in clsid, guarda caso improcserver puntava proprio a appdata/255/lmbd.dll

A questo punto stato chiaro, rinominato lmbd.dll e riavviato il computer ha ripreso vita




0
0



---------------
Al peggio non esiste limite

 
 InizioPagina
 

Versione Mobile!

Home page       TOP100-SOLAR      Home page forum