Se sei già registrato           oppure    

Orario: 28/03/2024 12:34:07  

 

Energia Alternativa ed Energia Fai Da Te > Sistemi operativi, hardware e programmazione.


come liberarsi da "crypt.ERA" e simili, liberarsi da trojan
FinePagina

qqcreafis

Avatar
PetaWatt


Gruppo:Utente
Messaggi:10028

Stato:



Inviato il: 24/10/2013,13:53

il computer del vicino è impestato, agv ogni volta che si apre CROME da un segnale "cryp.ERA" trojan


in WINDOWS\TEMP\"RANDOM NUMBER"\plugin.dll


l'antivirus cancella il virus ....ma l'infezione rimane!!!agv ogni volta che si apre CROME....


scaricati AV malawerebites, scanner microsoft, spybot s.d. ecc ecc ma il virus si nasconde


non compare e basta ma rimane (ce se ne accorge perchè a "vuoto" un i5 fa 12% del carico massimo!!!!!!!!)


invisibile a tutti gli antivirus ma visibilissimo a tutti bellamente e mollemente in

PROGRAMDATA\255\

è "lmbd.dll"(i file sono semplicemente ed efficaciemente legittimati da una icona acer rubata dal virus o posseduta dal codice)

identificato da una voce di avvio atomatico una schellex nel registro, (segnalato dalla ricerca di crypt nel web)

una rapida ricerca lmbd.dll lo smaschera come una variante w32 ben nota .

rinominato lmbd.dll e poi tolto le tracce di avvio nel registro ( a mano e con ccleaner) l'uso a vuoto della cpu cala drasticamente tra 0 e 3%


comunque si nota che gli antivirus danno una mano ma non riescono ad individuare per costruzione il virus, anzi oserei dire che coabitano, anzi sono in simbiosi. Il virus legittima l'antivirus che si limita a far fuori i vari trojan (obsoleti) che carica (o crea?) in WINDOWS\TEMP, ma non tocca la testa del processo il vero virus! che rimane a fare da backdoor e simili

insomma l'antivirus non controlla neppure i nomi sospetti, basta cambare la cartella da 551 a 255 e l'ntivirus perde l'orizzonte (ma forse il virus è criptato...)




Modificato da qqcreafis - 24/10/2013, 22:57


---------------
ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere che è stato molto bravo, bisogna dirlo !
In un mondo dove tutto SEMBRA uguale a tutto.
In un mondo dove chi abbruttisce la dignità dell’intelligenza umana si arroga meriti.
In un mondo in cui si dice che i giovani non hanno speranza perché “tanto non troveranno lavoro” perché tanto non “non avranno la pensione”.
Xyz è stato bravo! ha capito tutto, ha fatto un compito perfetto.
Xyz ci da una SPERANZA.
Xyz non ha seguito le falsità che ci circondano.
Xyz si è impegnato ed è riuscito nel suo intento.

 

qqcreafis

Avatar
PetaWatt


Gruppo:Utente
Messaggi:10028

Stato:



Inviato il: 25/10/2013,16:42

questi tipi di virus si sono diffusi dall'olanda e in rete si trovano cose come questa che danno suggerimenti a chi ha pratica della questione

CITAZIONE
Voordat ik de files heb verwijderd heb ik even in de files gekeken, naast de dll stonden er nog 3. 1 van deze files kon zichzelf decrypten en waarschijnlijk ook de andere 3. De reden dat de trojan niet gevonden wordt door een Virus scanner is omdat de versie in c:\programdata\windows geencrypt is. Als crome wordt gestart werd het process van decrypten naar de random folder in c:\windows\temp gestart. Beide folders kan men gewoon in windows verwijderen als je admin bent. Dit is voldoende om het process te stoppen.

In de registry zit echter nog het mechanisme om de trojan te starten (lukt natuurlijk niet meer als hij weg is) maar als je hem toch wilt verwijderen kan dit als volgt:
Zoek met regedit.exe naar C:\programdata\windows je vindt als het goed is het volgende:
[HKEY_CLASSES_ROOT\CLSID\{312BFDCE-A901-4203-B4F2-ADCB957D1887}\InprocServer32]
@="C:\\ProgramData\\Windows\\msseedir.dll"

De class id zou kunnen verschillen zoals ook de dll naam al ben ik hier niet zeker van (files weggegooid voordat ik hiernaar heb gekeken.)
De class beschrijft wat er kan worden gestart let op deze class staat op elk niveau herhaald dus:
HKEY_CLASSES_ROOT\CLSID
HKEY_CLASSES_ROOT\Wow6432Node\CLSID
HKEY_CURRENT_USER\Software\Classes\CLSID
HKEY_CURRENT_USER\Software\Classes\Wow6432Node\CLSID

Indien er meerdere user op je systeem zijn kan het ook zijn dat je in hkey users meerdere keren deze class tegen komt.

De trigger om de trojan te starten is het volgende:
[HKEY_CLASSES_ROOT\Directory\Shellex\CopyHookHandlers\MSCopy]
@="{312BFDCE-A901-4203-B4F2-ADCB957D1887}"

deze wordt herhaalt op de volgende lokatie:
HKEY_CURRENT_USER\Software\Classes\Directory\Shellex\CopyHookHandlers\MSCopy

Verwijderen gaat dus als volgt:
begin weer vanaf het begin te zoeken in de registry naar de class id {312BFDCE-A901-4203-B4F2-ADCB957D1887} en verwijder alles waar deze classid in staat.

importantissimi sono i punti di avvio , al posto di MSCopy c'era altro e le chiavi del registro avevano numeri random ed il contenuto puntava alla clsid 118bcead..... andando a controllare in clsid, guarda caso improcserver puntava proprio a appdata/255/lmbd.dll

A questo punto è stato chiaro, rinominato lmbd.dll e riavviato il computer ha ripreso vita




0
0



---------------
ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere che è stato molto bravo, bisogna dirlo !
In un mondo dove tutto SEMBRA uguale a tutto.
In un mondo dove chi abbruttisce la dignità dell’intelligenza umana si arroga meriti.
In un mondo in cui si dice che i giovani non hanno speranza perché “tanto non troveranno lavoro” perché tanto non “non avranno la pensione”.
Xyz è stato bravo! ha capito tutto, ha fatto un compito perfetto.
Xyz ci da una SPERANZA.
Xyz non ha seguito le falsità che ci circondano.
Xyz si è impegnato ed è riuscito nel suo intento.

 
 InizioPagina
 

Versione Mobile!

Home page       TOP100-SOLAR      Home page forum