TR/Agent.6656.89
Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 28/Aprile/2024 alle 13:15
Topic: TR/Agent.6656.89 Postato da: Ilsewitch
Soggetto: TR/Agent.6656.89
Postato in data: 10/Ottobre/2007 alle 20:07
Ho un pc di un amico che dopo varie pulizie (ccleaner,ewido,S&D,Adware) e varie passate con Avira,ha rimasto in C/Windows/Services.dll che non permette di cancellare nemmeno in modalità provvisoria,quando trova il malware da questo report TR/Agent.6656.89 e non c'è verso di eliminarlo anzi apre ben 16 finestre con lo stesso trojan nel medesimo file.Nel sito di Avira c'è scritto che con un aggiornamento di giugno il database del suddetto trojan è stato aggiunto http://www.avira.ro/en/threats/section/vdfhistory/vdf_no/6.38.02.19/6.38.02.19.html - http://www.avira.ro/en/threats/section/vdfhistory/vdf_no/6.38.02.19/6.38.02.19.html In più alla fine della scansione nel report c'è un exe che non è riuscito a scansionare DSKGDFKM.EXE.Qualcuno riesce a darmi una dritta?
-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>
-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>
Risposte:
Postato da: prgn
Postato in data: 10/Ottobre/2007 alle 20:24
Ciao...
Per cancellarlo... prova prima da "deregistrarlo":
strat -> esegui... e digita
regsvr32 /u services.dll
se non lo dovesse trovare... (anche se dovrebbe trovarlo...) usa il percorso:
regsvr32 /u "C:\Windows\services.dll"
premi invio... e dovrebbe darti il messaggio che la dll e stata disinstallata...
prova adesso a cancellarla... usando uno dei tanti programmi appositi...
Altrimenti... prova a rinominarla... e poi cancellala... dopo averla rinominata...
Ancora meglio se utilizzi prima regsvr32... poi la rinomini... e poi la elimini...
Sarebbe opportuno però farla prima analizzare da http://www.virustotal.com/it/ - www.virustotal.com/it/
tanto per farci un'idea più precisa... (in poche parole si tratta di un upload
del file in questione...)
Per l'eseguibile non ti so dire...
Per i programmi per eliminare file... se non hai già qualche programma...
adesso ti faccio un elenco...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Per cancellarlo... prova prima da "deregistrarlo":
strat -> esegui... e digita
regsvr32 /u services.dll
se non lo dovesse trovare... (anche se dovrebbe trovarlo...) usa il percorso:
regsvr32 /u "C:\Windows\services.dll"
premi invio... e dovrebbe darti il messaggio che la dll e stata disinstallata...
prova adesso a cancellarla... usando uno dei tanti programmi appositi...
Altrimenti... prova a rinominarla... e poi cancellala... dopo averla rinominata...
Ancora meglio se utilizzi prima regsvr32... poi la rinomini... e poi la elimini...
Sarebbe opportuno però farla prima analizzare da http://www.virustotal.com/it/ - www.virustotal.com/it/
tanto per farci un'idea più precisa... (in poche parole si tratta di un upload
del file in questione...)
Per l'eseguibile non ti so dire...
Per i programmi per eliminare file... se non hai già qualche programma...
adesso ti faccio un elenco...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Ilsewitch
Postato in data: 10/Ottobre/2007 alle 20:46
No per quelli sono sfornito.Tra poco vado in garage a provare
-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>
Postato da: prgn
Postato in data: 10/Ottobre/2007 alle 20:53
Allora...
per cancellare... potresti usare
http://www.ilsoftware.it/querydl.asp?ID=885 - Unlocker (lo installi e ti apparirà la voce relativa nel menù
che appare cliccando con il tasto destro sul file da eliminare)
(se utilizzi unlocker... ti conviene prima rinominare
il file...)
Oppure... prova anche con http://swandog46.geekstogo.com/avenger.zip - avenger ...
lo scarichi... lo metti in una cartella... lo fai
partire... seleziona input script manually... clicca
sulla lente di ingrandimento... e nella finestra che
ti si apre... inserisci il seguente script:
Files to delete:
C:/Windows/Services.dll
oppure... se gli cambi nome... puoi sustituire nello
script a services.dll il nome che gli hai assegnato...
però... poichè ho il sospetto... che ci sia qualcosa
di più... e potrebbe essere rigenerato... inserisci
il seguente script...
Files to replace with dummy:
C:/Windows/Services.dll
che provvede a fare una copia di backup del file... e
a sostituirci una copia fantoccio... che impedirebbe...
(relativamente...) all'eventuale malware di ripristinare
il file in oggetto...
Comunque... dopo aver incollato lo script... clicca Done poi
sul semaforo... ed il pc verrà riavviato per eseguire lo script...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
per cancellare... potresti usare
http://www.ilsoftware.it/querydl.asp?ID=885 - Unlocker (lo installi e ti apparirà la voce relativa nel menù
che appare cliccando con il tasto destro sul file da eliminare)
(se utilizzi unlocker... ti conviene prima rinominare
il file...)
Oppure... prova anche con http://swandog46.geekstogo.com/avenger.zip - avenger ...
lo scarichi... lo metti in una cartella... lo fai
partire... seleziona input script manually... clicca
sulla lente di ingrandimento... e nella finestra che
ti si apre... inserisci il seguente script:
Segue del testo riportato...
Files to delete:
C:/Windows/Services.dll
Fine testo riportato...
oppure... se gli cambi nome... puoi sustituire nello
script a services.dll il nome che gli hai assegnato...
però... poichè ho il sospetto... che ci sia qualcosa
di più... e potrebbe essere rigenerato... inserisci
il seguente script...
Segue del testo riportato...
Files to replace with dummy:
C:/Windows/Services.dll
Fine testo riportato...
che provvede a fare una copia di backup del file... e
a sostituirci una copia fantoccio... che impedirebbe...
(relativamente...) all'eventuale malware di ripristinare
il file in oggetto...
Comunque... dopo aver incollato lo script... clicca Done poi
sul semaforo... ed il pc verrà riavviato per eseguire lo script...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 10/Ottobre/2007 alle 21:10
PS: ...non hai detto dove trovi il file eseguibile...
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Ilsewitch
Postato in data: 10/Ottobre/2007 alle 21:19
Non mi ricordo di preciso se in system32 o direttamente in c/Windows
-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>
-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>
Postato da: prgn
Postato in data: 10/Ottobre/2007 alle 21:34
Senti... fai una cosa... vai in start... esegui... e digita regedit e premi
invio... ti si apre l'editor del file di registro...
Clicca su risorse del computer (nello specchietto sinistro...) poi vai in modifica...
trova... e digita il nome del file .exe in questione... (DSKGDFKM.EXE)
e clicca su trova... e vedi se è associato ad una riga con scritto userinit.exe...
e riporta la riga... per continuare la ricerca nel file di registro... premi F3
e vedi se ci sono ancora istanze del file in questione...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
invio... ti si apre l'editor del file di registro...
Clicca su risorse del computer (nello specchietto sinistro...) poi vai in modifica...
trova... e digita il nome del file .exe in questione... (DSKGDFKM.EXE)
e clicca su trova... e vedi se è associato ad una riga con scritto userinit.exe...
e riporta la riga... per continuare la ricerca nel file di registro... premi F3
e vedi se ci sono ancora istanze del file in questione...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Ilsewitch
Postato in data: 10/Ottobre/2007 alle 22:15
-------------------------------------------------------------
Editato perchè risolto
------------------------------------------------------------------
Questo è ilrisultatodopolascansione.Dimmiquandopossoeditarlo
-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>
Postato da: RAVEN
Postato in data: 10/Ottobre/2007 alle 22:23
ma da dove li prendete sti log tutti spanciati ??? non potreste incollare un testo che si possa leggere senza scorrere le barre ? tipo di incollarlo prima su un editor testi, ridimensionarlo e poi attaccarlo ??
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: Ilsewitch
Postato in data: 10/Ottobre/2007 alle 22:27
Scusa Raven ma io lo vedevo e continuo a vederlo perfettamente in linea.Comunque adesso lo edito pechè sembra che sia riuscito risolvere usando Unlocker
-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>
-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>
Postato da: RAVEN
Postato in data: 10/Ottobre/2007 alle 23:35
non lo vedevi un po "grande" come carattere ?
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
comunque potevi lasciare le parti interessanti....se c'erano è chiaro...mi sembrava di avere letto qualocsa riguardo ad alcuni trojan...in genere si toglie la parte superflua e si lasciano le righe che evidenziano infezioni
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: prgn
Postato in data: 11/Ottobre/2007 alle 21:23
Ciao... ho notato che copiando il percorso del file .dll non c'erano i ":"
quindi lo script con avenger... non avrebbe funzionato...
Adesso lo scritto corretto...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
quindi lo script con avenger... non avrebbe funzionato...
Adesso lo scritto corretto...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 12/Ottobre/2007 alle 17:50
Hai poi controllato l'eseguibile...? Hai controllato il file di registro... come ti
ho indicato...?
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
ho indicato...?
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: Ilsewitch
Postato in data: 12/Ottobre/2007 alle 23:08
Si tutto a posto,l'eseguibile era pulito.
-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>
-------------
<font color=RED><font size="3">A pensare male si fa peccato, ma spesso ci si azzecca.</font></font> <br /> <br /><strong>Perdona e ricorda.</strong>
Postato da: prgn
Postato in data: 13/Ottobre/2007 alle 00:41
Ciao... oltre al fatto che l'eseguibile fosse pulito... fai un controllo
nel file di registro... riguardo la voce Userinit...
Se dovessi trovare qualcosa del tipo...
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
nella parte destra...
Userinit = C:\Windows\System32\userinit.exe,,[path e nome file].exe
la scritta in rosso... rappresenta una voce infetta... ed e da editare...
in poche parole... il valore corretto di Userinit dovrebbe essere:
C:\Windows\System32\userinit.exe,
Virgola finale compresa...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
nel file di registro... riguardo la voce Userinit...
Se dovessi trovare qualcosa del tipo...
Segue del testo riportato...
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
nella parte destra...
Userinit = C:\Windows\System32\userinit.exe,,[path e nome file].exe
Fine testo riportato...
la scritta in rosso... rappresenta una voce infetta... ed e da editare...
in poche parole... il valore corretto di Userinit dovrebbe essere:
C:\Windows\System32\userinit.exe,
Virgola finale compresa...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />