Trojan

[Ugo Lupo]

Chiedo aiuto agli IDM.
Sul PC di mia moglie Spybot mi segnala un Trojan che chiama Premium Search, ma non riesce ad eliminarlo.
Ho provato anche a lanciare XP in modalità   provvisoria, ma il problema permane.

Me lo segnala con la seguente entry rel registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\ Image File Execution Operation\explorer.exe\Debugger

ed esaminando il registro vedo che chiama il file

C:\WINDOWS\SYSTEM32\ofktcbql.log

la voce di registro, con REGEDIT non posso cancellarla, mi dice che è caricato in memoria, anche in mod. provvisoria.

Ho provato a far "sparire" il file chiamato, ma succede che windows parte ma non carica le icone del desktop e la barra delle applicazioni.

Io sui forum non ho trovato niente.
Riuscite ad aiutarmi?

Grazie

[Rombo di Tuono]

Intanto spybot non è un antivirus...

quindi scarica subito AVG dal sito free.grisoft.com

Nemmeno io trovo qualcosa con quelle voci che tu dici.

La prima cosa che suggerisco, quindi è far lavorare l'antivirus AVG.

Facce sapè...

[Moch]

avvia il pc in modalità   provvisoria "prompt dei comandi"
in pratica non parte explorer

quindi esegui dal prompr il regedit ed elimina la voce presente in "debugger" da li

mi capitò tempo fa ma non era un .log ma una dll

diemnticavo fai girare poi una scansione completa
se non riesci a far avviare l'antivirus perchè non lo "torvi" usa il ctrl-alt-canc
esegui il task manager
e da File esegui cerchi con lo sfoglia il ilink all'av
se per caso ti scappa un avvio di Explorer rifai tutto da capo

[Ugo Lupo]

Intanto spybot non è un antivirus...

quindi scarica subito AVG dal sito free.grisoft.com

Nemmeno io trovo qualcosa con quelle voci che tu dici.

La prima cosa che suggerisco, quindi è far lavorare l'antivirus AVG.

Facce sapè...

AVG è installato, ha girato e non segnala niente.

Spybot me lo segnala perchè è un trojan.

[Ugo Lupo]

avvia il pc in modalità   provvisoria "prompt dei comandi"
in pratica non parte explorer

quindi esegui dal prompr il regedit ed elimina la voce presente in "debugger" da li

mi capitò tempo fa ma non era un .log ma una dll

diemnticavo fai girare poi una scansione completa
se non riesci a far avviare l'antivirus perchè non lo "torvi" usa il ctrl-alt-canc
esegui il task manager
e da File esegui cerchi con lo sfoglia il ilink all'av
se per caso ti scappa un avvio di Explorer rifai tutto da capo

Ci proverò.
Grazie.
L'unica cosa che non capisco è che avevo provato, dal prompt dei comandi, a rinominare il file log (così il registro non lo trovava) e windows è partito, ma senza barre e senza icone del desktop.
Ho paura, eliminando la voce del registro, di inchiodare del tutto il sistema.

Tu dici che dal prompt dei comandi riesco a far girare spybot?

[Kharim]

potrebbe essere un falso positivo perchè:
il file explorer.exe è un file essenziale di qualsiasi versione di windows
nella chiava da te citata è solo presente l'istruzione debugger che anche lei è la cosa più normale del mondo, la quale genera un file log come dovrebbe fare.

ti suggerisco di provare ad-aware per vedere cosa trova di diverso, poi fai una scansione con 2 o 3 antivirus (avg, antivir, avast, clamwin) per controllare i risultati.

[Ugo Lupo]

potrebbe essere un falso positivo perchè:
il file explorer.exe è un file essenziale di qualsiasi versione di windows
nella chiava da te citata è solo presente l'istruzione debugger che anche lei è la cosa più normale del mondo, la quale genera un file log come dovrebbe fare.

ti suggerisco di provare ad-aware per vedere cosa trova di diverso, poi fai una scansione con 2 o 3 antivirus (avg, antivir, avast, clamwin) per controllare i risultati.

Poverò.
Ho seguito il consiglio di Moch, ma comunque non mi fà   eliminare la voce di registro.....

[Ugo Lupo]

Ad Aware ha trovato un dialer e un'altra cosa, ma niente Premium Search.
Per sicurezza, ho disinstallato e reinstallato Spybot......

Vediamo se trova qualcosa.
Per ora, buonanotte e grazie

[Kharim]

cmq per eliminare la chiave l'unica credo sia richiamare il taskmanager con ctrl+alt+canc terminare explorer.exe quando spariscono le icone e la barra delle applicazioni, sempre dal taskmanager(se si è chiuso richiamalo nuovamente) dal menu
file->nuovaoperazione(esegui...)
digita regedit e vai alla voce del registro in questione e prova ad eliminarla.

oppure rifai quello che hai scritto sopra e quando rimani senza icone e barra delle applicazioni richiama il taskmanager e da file ecc... ecc...

[Kharim]

ovviamente appena rimuovi la voce del registro, elimina il file .log che hai trovato in system32

[Moch]

Poverò.
Ho seguito il consiglio di Moch, ma comunque non mi fà   eliminare la voce di registro.....

potrebbe essere stata creata da un utente generato apposta con come administratore di sistema, in questo caso trovi il "tuo" utente di lavoro "declassato" (a debugger o simile)
a questo punto devi riportare il "tuo"utente ad amministratore di sistema e verificare nella proprietà   della chiave che non riesci a cancellare le credenziali, entrare nelle avanzate divenire il proprietario della voce di registro aggiungerti i permessi completi ed allora cancellarla
rimuovere l'utente sconosciuto (di solito una fila di lettere a casaccio) e proteggere gli utenti amministratori di sistema con password ( quella minchiafritta di XP in fase di installazione ti costringe a creare un nuovo utente di lavoro ma lascia "administrator" senza password ... bel "consiglio" di protezione....)

ultimamente i virus più aggressivi cambiano la protezione ai file ed alle voci di registro lasciando solo un utente apposito per l'esecuzione e rimuovendo tutti i permessi per gli altri esculdendo pure di fatto gli antivirus che non riescono ad aprire e verificare file e voci di regisrto e che alla fine della scansione dichiarano la macchina "non infetta"

[Moch]

potrebbe essere un falso positivo perchè:
il file explorer.exe è un file essenziale di qualsiasi versione di windows
nella chiava da te citata è solo presente l'istruzione debugger che anche lei è la cosa più normale del mondo, la quale genera un file log come dovrebbe fare.

ti suggerisco di provare ad-aware per vedere cosa trova di diverso, poi fai una scansione con 2 o 3 antivirus (avg, antivir, avast, clamwin) per controllare i risultati.

in realtà   la voce indicata parla di "Immagine in esecuzione", non ho mai approfondito ma siccome nel mio pc non esiste quella voce, credo sia stata generata per ricaricare in memoria i il programma "con l'immagine dalla RAM lasciata in precedenza" e che il .log sia un'estensione a caso, la voce debugger invece aggiunge una dll che era pensata all'origine per il debug e in questi casi è il virus vero e proprio

[Ugo Lupo]

cmq per eliminare la chiave l'unica credo sia richiamare il taskmanager con ctrl+alt+canc terminare explorer.exe quando spariscono le icone e la barra delle applicazioni, sempre dal taskmanager(se si è chiuso richiamalo nuovamente) dal menu
file->nuovaoperazione(esegui...)
digita regedit e vai alla voce del registro in questione e prova ad eliminarla.

oppure rifai quello che hai scritto sopra e quando rimani senza icone e barra delle applicazioni richiama il taskmanager e da file ecc... ecc...

Dopo avere riavviato in modalità   provisoria con prompt, explore non risultava in esecuzione, ma la chiave non si è tolta...
Però è strano: Adaware ha trovato due problemi (un dialer e qualcosaltro) e non il trojan......
Che fosse realmente un falso positivo?

[Moch]

Dopo avere riavviato in modalità   provisoria con prompt, explore non risultava in esecuzione, ma la chiave non si è tolta...
Però è strano: Adaware ha trovato due problemi (un dialer e qualcosaltro) e non il trojan......
Che fosse realmente un falso positivo?

se sei l'amministratore del pc la chiave si cancella; in alternativa ti è stato levato l'accesso proteggendo la chiave con un altro utente ed assegnando a questo l'accesso esclusivo per la modifica.
Questa situazione mi è capitata rimuovendo alcuni virus, per uno di questi avevo trovato in rete una procedura che preparava delle chiavi di avvio che precedevano quelle del virus per eliminarlo prima che si avviasse (un unico caso del qual non ricordo neppure il nome) o in alternativa ero inchiodato qualsiasi tentativo facessi
dubito però che una chiave che non riesco ad eliminare sia un falso positivo, considerato che svaccare un pc MS è molto, molto, molto, molto più semplice di cosi....

[Kharim]

il fatto che ad-aware abbia trovato qualcosa anche di diverso è indice di un qualcosa che nel pc non va, quindi quella chiave potrebbe essere stata messa da un malware vero e proprio.


edit:
per verificare fai una scansione di ad-aware ogni volta che avvii il sistema, se ogni volta ti segnala un qualcosa, quella chiave che hai scritto non è più sospetta, ma è sicuramente un malware.

[Kharim]

in realtà   la voce indicata parla di "Immagine in esecuzione", non ho mai approfondito ma siccome nel mio pc non esiste quella voce, credo sia stata generata per ricaricare in memoria i il programma "con l'immagine dalla RAM lasciata in precedenza" e che il .log sia un'estensione a caso, la voce debugger invece aggiunge una dll che era pensata all'origine per il debug e in questi casi è il virus vero e proprio

credo proprio che sia così.

[Kharim]

ho visto un problema simile su un altro pc, e il problema dipenderà   da quella chiavica di IE nella visualizzazione di banner pubblicitari malevoli, perchè ho ripulito il pc in questione ben 3 volte in 2 gg. per lo stesso motivo, poi quando gli ho messo su firefox ha smesso di infettarsi...