Condividi:        

trojan Win32.Zafi.B

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

trojan Win32.Zafi.B

Postdi KID.A » 01/01/09 19:38

ciao e buon anno a tutti!
mi spiace iniziare il 2009 con una seccatura...ma tant'è.

il Firewall di winXp mi segnala (e blocca) l'attività di Win32.Zafi.B.
Ho letto ad es. qui qualche dettaglio (credo di averlo preso mediante p2p)
tuttavia, non riscontro i sintomi indicati, tipo "inutiilitzzabilità di TaskManager, di Regedit..." e neppure riscontro la presenza di "chiavi di registro" riferibili al trojan.

Ho disabilitato il System Restore.
Ho fatto una scansione completa con con l'Antivirus (eTrust 7), ma non trova nessun file infetto,
ma il Firewall, ogni 2-3 min, mi segnala che ha bloccato l'attiità di Zafi.B ...???

Fatto HijackThis e controllato Log su www.hijackthis.de/it e non vedo problemi o voci sospette...



Come procedo per una disinfezione efficace ?
non capisco perché l'antivirus non rilevi nulla....
sono un po' preoccupato perché l'avviso del Firewall dice che Zafi.B ha funzioni di keylogger e backdoor...

fatemi sapere, grazie!
AUGURI :)

PS:
poi, per essere più protetto (oltre WindowsUpdate, Antivirus aggironato), cosa mi consigliate come
- Firewall (disabilito quello di Xp e ne installo un altro ?)
- Antispy
tenendo conto che vorrei uttilizzare p2p tipo emule, utorrent...?
Grazie ancora
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Sponsor
 

Re: trojan Win32.Zafi.B

Postdi KID.A » 02/01/09 04:18

nel frattempo, ho fatto scansione con tool F-Secure segnalato qui:
http://www.symbolic.it/rassegna/zafib.html
ma non rileva nessun Zafi.B (né processo attivo né files infettati)
non lo rileva neppure quando compare l'avviso del Firewall:
Immagine

nell'avviso, come vedete, i tasti "Keep blocking" e "Unblock" sono inattivi...boh?
l'unico disponibile è "Enable protection" che linka a:
http://www.defender-review.com/?a=112


Vi prego, fatemi sapere (anche x le domande del post sopra)
GRAZIE
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Re: trojan Win32.Zafi.B

Postdi KID.A » 02/01/09 16:55

per favore, datemi un suggerimento... :-?
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Re: trojan Win32.Zafi.B

Postdi Opensource » 02/01/09 16:56

ciao, senti,
io non voglio costringere nessuno a cambiare i software di sicurezza installati, ma è anche vero che cerco di consigliare sempre il meglio del meglio agli utenti.

Io ti dò qualche consiglio, dopo resta a te se seguirli o meno:
Cambia subito l'antivirus con antivir personal edition classic o se puoi con antivir premium (a pagamento l'ultimo e miglior antivirus 2008 nonchè installato nel mio pc).
Affianca un buon antimalware generico come malwarebytes' antimalware o superantispyware con protezione in tempo reale, quindi di questi due software parliamo della versione a pagamento.
Infine installa un ottimo firewall come online armor 3 in italiano, o comodo in inglese (ti consiglio il primo).

Tieni sempre i programmi installati (non solo queli di sicurezza) aggiornati, e aggiorna sempre anche il sistema opeartivo (patch e service pack compresi).
Avatar utente
Opensource
Utente Senior
 
Post: 684
Iscritto il: 02/11/06 20:45

Re: trojan Win32.Zafi.B

Postdi KID.A » 02/01/09 18:35

grazie, seguo sempre i buoni consigli...
lo farò quanto prima

nell'immediato, cioè per debellare Zafi.B:
non riesco a individuare il problema (e quindi a eliminarlo):
ho fatto una scansione online qui
e non mi risulta nulla di particolarmente sospetto, a parte 2 voci ossia:
Name: Dropper.Small
Path: C:\WINDOWS\LastGood\System32\Macromed\Download\Install.exe
Risk: High

Name: Dropper.Small
Path: C:\WINDOWS\system32\Macromed\Download\Install.exe
Risk: High

sarà quella la radice del problema ???
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Re: trojan Win32.Zafi.B

Postdi KID.A » 03/01/09 18:58

cercando di risolvere il problema del Trojan, mi si è aggiunto pure un problema di accesso all'Account windows...
vi prego di avere la pazienza di leggere i dettagli che ora vi scrivo, perché ho ASSOLUTO bisogno di un aiuto...non so che fare.

problema ACCOUNT
Dunque,
ho installato Spybot per vedere se riusciva a debellare il trojan che mi affligge: Spybot rileva alcune voci (2 chiavi registry e alcune relative a codec divx, che elimino).
Per installarlo e fare la scansione, ero entrato in windows come Admin.
al termine della scansione e pulizia, windows si inchioda.
Riavvio e accedo come utente normale (account "Gigi", senza privilegi admin)...ma al momento del logon, mi dice che "il profilo Gigi è danneggiato, contatta l'amministartore etc etc"
Spengo forzatamente, riavvio e rifaccio logon "Gigi":
stavolta accede ma ho perso tutte le impostazioni, anzi andando a guardare in c:\Documents and Settings vedo che c'è ancora la cartella dell'account "Gigi" (con tutti i files, e le impostazioni) ma in realtà la cartella di account nella quale sono attualmente loggato si chiama "TEMP" ed ha le impostazioni (desktop e programmi etc) di default

Rientro come Admin e da Spybot ripristino le voci che avevo eliminato...ma quando accedo a account Gigi, entro sempre nell'account TEMP...
che fare?
devo disinstallare Spybot (è lui che mi ha creato problemi???)
entro come admin, e elimino la cartella dell'accont TEMP (da C:\Documents and Settings) ???
cosa è successo ?



problema TROJAN
contestualmente a ciò di cui sopra, il problema trojan Zafi.B non so se è stato risolto, ma ho trovato altri files più che sospetti (connessi al problema Zafi.b ???)...che le scansioni con Spybot o eTrust (antivirus) non rilevano, mentre se ci clicco sopra allora la protezione "real-time" dello stesso eTrust li blocca come virus "Win32/VMalum.EKJO":
questi files sono. nelle cartelle dell'account "Gigi":
- C:\Documents and Settings\P005003\Application Data\Google\MJKOVL.DLL.0.AVB
- C:\Documents and Settings\P005003\Application Data\Google\PZPSP23511834.EXE.0.AVB

- poi, in alcune cartelle di software (sempre in C:\Documents and Settings\P005003\Application Data\...) vedo alcuni strani EXE creati nela stessa ora/data dei 2 sopraccitati, dal nome:
usanaz.exe
manol.exe
xerks.exe
sinashi.exe
rasim.exe
upd.exe (nella directory stessa "Application Data")

uno per quasi tutte le cartelle dei programmi (in "Applicatio Data", ma non in "Program Files")


FATEMI SAPERE, VI PREGO!
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Re: trojan Win32.Zafi.B

Postdi Luke57 » 04/01/09 10:30

Ciao, disattiva l'antivirus e anche il tea timer di spybot
(per disattivare TeaTimer apri Spybot, vai sulla barra di sinistra e imposta la MODALITA' AVANZATA dal menu MODALITA'...Ora sempre dalla barra sinistra, clicca sul bottone UTILITA', quindi clicca su RESIDENT
al centro vedi una opzione relativa al TeaTimer...disattivala)
scarica combofix sul desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Vai in start>esegui>nel box bianco copia e incolla, virgolette comprese:

"%userprofile%\desktop\combofix.exe" /killall

Premi OK, parte il programma che potrebbe impiegare molto (non fare altre manovre durante la scansione, se dovessero scomparire le icone sul desktop e la barra delle applicazioni, non è nulla di cui preoccuparsi),una volta terminata, se tutto è andato bene, in C:\ dovresti trovare il file combofix.txt , posta il contenuto del file.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: trojan Win32.Zafi.B

Postdi KID.A » 04/01/09 18:12

le tue indicazioni sono x i problemi dei Trojans, vero?
dovrei farlo però stando nel mio account "Gigi", che è appunto quello affetto da problemi trojans...

ma il punto è che, come spiegavo sopra, non riesco ad entrare "realmente" nell'account infetto (accedo formalmente al mio account "Gigi", ma in realtà entro in un account chiamato "TEMP" che ha le impostazioni di default e non quelle di "Gigi")

eppure, in C:\Documents and Settings c'è la cartella relativa all'account "Gigi" con tutti i suuoi files, il suo desktop etc
???
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Re: trojan Win32.Zafi.B

Postdi Luke57 » 04/01/09 18:21

Ciao, controlla se hai funzioni di ripristino antecedenti al problema dell'account. Start>programmai>accessori>utilità di sistema>ripristino configurazione di sistema, nella schermata che si apre spunti "ripristina stato antecedente..>avanti, se nel calendario sono indicati in neretto alcuni giorni da 1 a 4 (data odierna) scegline uno, antecedente al problema, e vai avanti con il ripristino.
Al riavvio controlla se hai risolto. A quel punto usa combofix.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: trojan Win32.Zafi.B

Postdi KID.A » 04/01/09 23:37

ci avevo pensato anch'io...ma mi sono subito ricordato che (sfortuna nella sfortuna) avevo appena disabilitato il Ripristino di Sistema, appunto per eliminare in modo più efficace il trojan!

ti allego lo screeshot degli account (se eliminassi quello chiamato TEMP che dovrebbe appunto essere quello di dimensioni più piccole, nel quale vengo reindirizzato accedendo come utente "Gigi"...
se lo eliminassi, riuscirei a riaccedere al mio vecchio account "Gigi" ??
oppure mi creerà di nuovo un altro TEMP ?

Immagine


non riesco a capire cosa si sia danneggiato e perché (come dicevo, quando mi si era inchiodato il sistema mi trovavo nell'account admin...e al riavvio mi disse "Gigi danneggiato", e mi ritrovo in "TEMP"..)

che faccio... :( :eeh:
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Re: trojan Win32.Zafi.B

Postdi Luke57 » 05/01/09 07:57

Ciao, il tuo caso purtroppo è una conferma a quanto sosteng da tempo, cioè che il ripristino, importante risorsa di windows, va disabilitato solamente al termine delle procedure di rimozione delle infezoni perchè, se la disinfestazione fallisce, l'aver disattivato il ripristino a priori spunta anche questa preziosa risorsa.
Prova la tua soluzione (eliminare l'account temp).
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Re: trojan Win32.Zafi.B

Postdi Opensource » 05/01/09 20:37

Luke57 ha scritto:Ciao, il tuo caso purtroppo è una conferma a quanto sosteng da tempo, cioè che il ripristino, importante risorsa di windows, va disabilitato solamente al termine delle procedure di rimozione delle infezoni perchè, se la disinfestazione fallisce, l'aver disattivato il ripristino a priori spunta anche questa preziosa risorsa.
Prova la tua soluzione (eliminare l'account temp).


io mi converto alla tua tesi!!! :)
Avatar utente
Opensource
Utente Senior
 
Post: 684
Iscritto il: 02/11/06 20:45


Torna a Sicurezza e Privacy


Topic correlati a "trojan Win32.Zafi.B":

trojan win32/sirefef
Autore: marzianu
Forum: Sicurezza e Privacy
Risposte: 27

Chi c’è in linea

Visitano il forum: Nessuno e 35 ospiti