sabato 23 giugno 2007

Trojan.Win32.Agent.amf

In questi giorni almeno quattro dei miei clienti si sono trovati a combattere con questo simpatico e delizioso ospite indesiderato che - fra l'altro - disattiva il firewall di windows e rende impossibile visionare lo stato delle connessioni di rete dato che manda a $donnine_di_facili_costumi il rasapi.
Come procedere: procedura standard.
Avviare in provvisoria e disattivare il ripristino di windows (in una variante del virus, cio' avviene automaticamente perche' disattiva ANCHE il ripristino configurazione del sistema).
Andare nel registro e togliere tutti gli ospiti indesiderati dalle varie chiavi RUN, RUNONCE etc.
Successivamente consiglio l'uso di utility per il ripristino dello stack TCP e del WinSock, l'uso di hijackthis per dare una bella ripulita al resto del registro e dell'avviamento automatico e, successivamente, anche una bella verifica con il Process Explorer.
Infine urge un'aggiornamento forzato dell'antivirus ed una scansione radicale di tutto il sistema (soprattutto della C:\Windows\System32).
Zompera' un file, il "rasapi32.dll" infettato proprio da questo simpatico gingillo, solo che l'antivirus vorra comunque tritarlo (e dovrete farglielo fare).
A questo punto vi serve procurare il file rasapi32.dll dalla stessa versione di Windows XP che avete a portata di mano, e un bel riavvio.
Salvo complicazioni, dovreste aver concluso. (-:

2 commenti:

Francesco ha detto...

mmm, parli del file rasapi32.ddl, mi ricorda qualcosa. Certo! Un articolo di Pallotron, esattamente questo.
Magari e' lo stesso problema che hai riscontrato tu.

Grizzly ha detto...

Si, solo che io ho anche detto qual'e' il fenomeno contro cui si va a combattere (impossibile visualizzare le connessioni di rete e firewall disattivato). (-:
E nella nuova variante contro cui ho combattuto non c'erano altri rasapi*.* in giro per windows...