Jump to content
Sign in to follow this  
Clod2007

Trojan.Qhost.ii come rimuoverlo?

Recommended Posts

Salve...

 

Ierisera stavo lavorando normalmente, navigavo in internet nei soliti siti e ad un certo punto sto maledetto trojan mi è entrato e non so esattamente ne da dove ne come abbia fatto.

L'unica cosa che so è che tramite scansioni di prodotti concorrenti, tools antirootkit e altro ho trovato 16 chiavi nascoste, un valore nascosto e una chiave nascosta in Windows\CurrentVersion sotto il nome "load".

Ovviamente non sono riuscito ne da modalità provvisoria ne da quella normale a rimuovere nulla se non i continui spyware o malware che mi butta dentro.

L'unica cosa è che tra le chiavi nascosto sbucano dei siti tipo agava.com e altri nel file degli hosts.

Ora vi scrivo da un portatile in ufficio, il sistema in questione su cui è successo tutto è un fisso con installato XP SP3, kav 2009 ultima versione recensita.

 

Ora tutti i file eseguibili sono visti come virus e infatti kaspersky mi ha eliminato tutto o quasi..,per ora ho conservato l'accesso al sistema quindi se riaccendo il computer entro ancora in Windows XP ma qualsiasi eseguibile è riconosciuto come infetto.

Il primo file eseguibile a scomparire è stato quello del notepad.exe, poi logonui.exe e a seguire tutti gli altri, fino a firefox.exe.

 

Ho cercato di identificare il/i file del virus ma non ci sono riuscito. L'unica novità che ho riscontrato alla fine è stato un 8.tmp nel taskmanager ma poi, una volta terminato, non è più ricomparso.

 

Dato che è scontata una reinstallazione di Windows XP, so che i dati non sono infetti quindi posso salvarli (10 scansioni con diversi tool mi hanno dato la conferma).

Le ho provate tutte: da MalwareBytes a SuperAntispyware passando per vari tools antirootkit di prodotti concorrenti. Sicuramente se riesco a disattivar la chiave di kis non è una cosa malvagia ma non so fino a che punto mi lascia operare.

 

L'unica cosa che credo di aver capito è che KIS 2009 mi dice che un virus Type_Win32 è nel computer e da lì sono riuscito da google cercando i sintomi che mi dava a capire che potrebbe essere il Trojan.Qhost.ii .

 

Che posso fare? Sti virus stanno iniziando ad eludere ogni cosa...

Share this post


Link to post
Salve...

 

Ierisera stavo lavorando normalmente, navigavo in internet nei soliti siti e ad un certo punto sto maledetto trojan mi è entrato e non so esattamente ne da dove ne come abbia fatto.

L'unica cosa che so è che tramite scansioni di prodotti concorrenti, tools antirootkit e altro ho trovato 16 chiavi nascoste, un valore nascosto e una chiave nascosta in Windows\CurrentVersion sotto il nome "load".

Ovviamente non sono riuscito ne da modalità provvisoria ne da quella normale a rimuovere nulla se non i continui spyware o malware che mi butta dentro.

L'unica cosa è che tra le chiavi nascosto sbucano dei siti tipo agava.com e altri nel file degli hosts.

Ora vi scrivo da un portatile in ufficio, il sistema in questione su cui è successo tutto è un fisso con installato XP SP3, kav 2009 ultima versione recensita.

 

Ora tutti i file eseguibili sono visti come virus e infatti kaspersky mi ha eliminato tutto o quasi..,per ora ho conservato l'accesso al sistema quindi se riaccendo il computer entro ancora in Windows XP ma qualsiasi eseguibile è riconosciuto come infetto.

Il primo file eseguibile a scomparire è stato quello del notepad.exe, poi logonui.exe e a seguire tutti gli altri, fino a firefox.exe.

 

Ho cercato di identificare il/i file del virus ma non ci sono riuscito. L'unica novità che ho riscontrato alla fine è stato un 8.tmp nel taskmanager ma poi, una volta terminato, non è più ricomparso.

 

Dato che è scontata una reinstallazione di Windows XP, so che i dati non sono infetti quindi posso salvarli (10 scansioni con diversi tool mi hanno dato la conferma).

Le ho provate tutte: da MalwareBytes a SuperAntispyware passando per vari tools antirootkit di prodotti concorrenti. Sicuramente se riesco a disattivar la chiave di kis non è una cosa malvagia ma non so fino a che punto mi lascia operare.

 

L'unica cosa che credo di aver capito è che KIS 2009 mi dice che un virus Type_Win32 è nel computer e da lì sono riuscito da google cercando i sintomi che mi dava a capire che potrebbe essere il Trojan.Qhost.ii .

 

Che posso fare? Sti virus stanno iniziando ad eludere ogni cosa...

 

Sei sicuro che il nome del Trojan sia proprio questo?

Share this post


Link to post

Cercando su google con le parole chiave "Type_Win32" perchè è così che KIS me lo riconosce, ho trovato gli stessi sintomi che si riferiscono al Trojan.Qhost ma esattamente non ho trovato riferimenti specifici al Trojan.Qhost.ii ma che è comunque Trojan.Qhost, per cui presumo sia una nuova variante.

Solo che non trovando il file originale e non potendo inviarlo al laboratorio, non posso fare altro che cercare e l'unico risultato che rispecchia i miei sintomi sono riferimenti a questo troiano.

Gli effetti sono che qualunque eseguibile il KIS mi dice che è infetto da "Type_Win32" e infatti mi ha eliminato per primo notepad, poi logonui.exe e in successione molti altri fino a firefox perchè KIS lì considera infetti e uno dopo l'altro finiscono in quarantena o eliminati ad ogni riavvio.

Usando un tool specifico di una casa concorrente (Sophos Antirootkit per farvi capire) ha rilevato delle voci nascoste i cui riferimenti sono ai siti agava.com ed altri, poi c'è una chiave o valore nascosto in HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Load.

Oggi lo porto qui dove lavoro e faccio una nuova scansione con un diverso tool per rootkit per tentare di eliminare quelle voci nascoste.

Share this post


Link to post
Guest
This topic is now closed to further replies.
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.