Copy Link
Add to Bookmark
Report

Mini tutorial su come eliminare un trojan che non si riesce a levare

eZine's profile picture
Published in 
Legacy of Kings
 · 2 years ago

Tutorial numero 3
Mini tutorial su come eliminare un trojan che non si riesce a levare.

Bene bene, vi siete mai chiesti come fare a rimuovere un trojan senza l'ausilio di antivirus e/o cleaner?? Bè allora faccio bene a scrivere questo tutorial anche perché non si può dire alla gente di tenere sempre aggiornati i loro antivirus o cleaner. Chiunque di noi può farlo con un pò di attenzione e di pratica. Lo scrivo anche perché molte volte, io direi sempre, gli antivirus "vedono" dei trojan dove non ce ne sono !!! Quindi è bene sapere come levare i trojani. Bene, cominciamo.

Bisogna stabilire se si è infetti con qualche trojan !

Già prima di fare quello che vi dirò poi bisogna effettivamente stabilire se si è infetti con un trojan, non bastano i sospetti ci vogliono delle prove. Non basta che la connessione rallenti, che appaiano strani messaggi di errore o simile, bisogna essere assolutamente sicuri, se no si vanno a combinare solo casini.

Quali sono i "sintomi" di un trojan ???

Bè dipende da trojan a trojan. A noi non interessa con quale trojan siamo stati infettati, a noi interessa capire come ragiona un trojan e le fasi in cui lui "lavora". Bene vediamo un pò a che cosa dobbiamo stare attenti.

Quali file possono essere infetti con qualche trojan ???

Tutti i file possono essere infetti con qualche trojan, sia gli eseguibili (quelli con estensione exe per intenderci) che alcuni file grafici (alcuni di voi non mi crederanno ma si possono camuffare trojan anche in questo modo). Sfortunamente se i trojan vengono camuffati così nessun antivirus o cleaner lo può beccare. Perché ? Semplice, un trojan ha un particolare header (testa del file, anche se è grezzo come termine serve a farvi capire) che viene riconosciuto dagli antivirus, bè se qualcuno riesce a camuffare l'header originale del trojan siamo fottuti. Non sto a spiegarvi come si camuffa l'header di un file perché a noi non interessa. Andiamo avanti.

Come facciamo ad accorgerci che siamo infetti ???

Esistono alcune avvisaglie che ci permettono di determinare se siamo infetti da qualche trojan. Innanzitutto molto spesso a chi è infetto appaiono all'improvviso delle schermate dell'accesso remoto in cui viene chiesto se ci si vuole connettersi. Se appaiono siamo di sicuro infetti ,ve lo garantisco. Un altro sintomo molto comune è quello di vedersi cambiata qualche password e/o la perdita di qualche dato dall'hard disk. Ma ancora non siamo sicuri di essere infetti.

Come facciamo ad essere sicuro di essere infetti ???

Bè esiste un metodo molto semplice ma allo stesso tempo complesso e ingegnoso. Ora proverò a spiegarvelo. Ci connettiamo al nostro provider e non apriamo, questo conviene ripeterlo, non apriamo nessun programma che si connetta con qualche cosa. Per intenderci non apriamo Microsoft Explorer, Netscape, Outlook Messenger, Babylon Translator o altri software che una volta connessi in rete avviano delle connessioni verso qualche host. Bene, fatto questo apriamo il caro e buon vecchio prompt di ms-dos e avviamo uno dei pochissimi programmi utili fatti dalla Microsoft. Quale ??? Ma il netstat !!! Lo possiamo richiamare da qualsiasi directory tanto è lo stesso. Se proviamo a digitare al prompt il comando "netstat" esso non si avvierà ma ci fornirà una tabella con dei parametri che ci permottono di farlo eseguire. A noi interessano solo due parametri "-n" e "-a". Bene, passando questi 2 parametri al netstat noi avremo una lista di connessioni aperte dal nostro computer. La tabella che otterremo sarà divisa in 4 colonne. Nella prima colonna ci sarà il tipo di protocollo (TCP o UDP), nella seconda ci sarà il nostro ip seguito dai due punti (:) e da un altro numero (così per intenderci 212.216.145.143:1040). Le prime 12 cifre separate a 3 a 3 punti sono il nostro ip mentre il numero dopo i due punti è il numero della porta che viene utilizzata per quella connessione. Bene, quello che ci sta nelle altre colonne a noi non importa anche se nella terza colonna non ci dovranno essere numeri. Se ci fossero bisogna controllare il numero dopo i due punti per vedere quale porta viene usata da noi e dal computer remoto. Fatto questo bisogna controllare che tutte le applicazioni che avviano una connessione siano chiuse. Andiamo avanti. Prima ho detto che nella seconda colonna comparirà il nostro ip e altri numeri. Ma quali numeri ??? Questi saranno i numeri che vedrete insieme al vostro ip : 0.0.0.0 e 127.0.0.1 . Se uno di questi non compare non preoccupatevi dipende dalla configurazione del vostro computer. A noi interessa vedere se dopo questi due numeri (ci possono stare pi˘ volte) compare un numero dopo i due punti e soprattutto che numero compare dopo i 2 punti. Vi starete domandando a che ci serve sapere il numero dopo queste cifre, bè ve lo spiego subito. Se vi è un numero superiore allo 0 probabilmente siamo infetti con un qualche tipo di trojan. Ma non ne siamo sicuri. Per essere sicuri basta confrontare quel numero con la lista qui sotto. Il numero è la porta che viene sfruttata di default dal trojan, quello a destra è il nome del trojan (la lista l'ho presa da qualche parte ma non ricordo dove!)

  • 2 Death
  • 21 Back Construction Blade Runner Doly Trojan Fore
  • 21 FTP trojan Invisible FTP Larva WebEx
  • 21 WinCrash
  • 23 Tiny Telnet Server(TTS) truVa Atl
  • 25 Ajan Antigen Email Password Sender Haebu Coceda
  • 25 Naebi Happy 99 Kuang2 ProMail trojan
  • 25 Shtrilitz Stealth Tapiras Terminator
  • 25 WinPC WinSpy Moscow Mail
  • 31 Agent 31 Hackers Paradise Masters Paradise
  • 41 DeepThroat
  • 59 DMSetup
  • 79 Firehotcker
  • 80 Executor RingZero
  • 99 Hidden Port
  • 110 ProMail trojan
  • 113 Kazimas
  • 119 Happy 99
  • 121 JammerKillah
  • 146 Infector (UDP) Infector
  • 421 TCP Wrappers
  • 456 Hackers Paradise
  • 531 Rasmin
  • 555 Ini-Killer NeTAdmin Phase Zero Stealth Spy
  • 666 Attack FTP Back Construction Cain & Abel Satanz Backdoor
  • 666 ServeU Shadow Phyre NokNok
  • 777 AIM Spy
  • 911 Dark Shadow
  • 999 DeepThroat WinSatan
  • 1001 Silencer WebEx Le Guardian
  • 1010 Doly Trojan
  • 1011 Doly Trojan
  • 1012 Doly Trojan
  • 1015 Doly Trojan
  • 1016 Doly Trojan
  • 1024 NetSpy
  • 1042 Bla
  • 1045 Rasmin
  • 1090 Xtreme
  • 1095 Rat
  • 1097 Rat
  • 1098 Rat
  • 1099 Rat
  • 1170 Psyber Stream Server Voice Streaming Audio
  • 1207 SoftWar
  • 1212 Kaos
  • 1234 Ultors Trojan
  • 1243 BackDoor-G Seven SubSeven Apocalypse
  • 1245 VooDoo Doll
  • 1257 Frenzy 2000
  • 1269 Mavericks Matrix
  • 1338 Millenium Worm
  • 1349 BO DLL (UDP)
  • 1492 FTP99CMP
  • 1505 FunkProxy
  • 1509 Psyber Streaming Server
  • 1600 Shivka-Burka
  • 1807 SpySender
  • 1981 Shockrave
  • 1999 BackDoor TransScout
  • 2000 TransScout Remote Explorer Insane Network
  • 2001 TransScout Trojan Cow
  • 2002 TransScout
  • 2003 TransScout
  • 2004 TransScout
  • 2005 TransScout
  • 2023 Ripper Pro HackCity
  • 2086 Netscape/Corba Exploit
  • 2115 Bugs
  • 2140 Deep Throat 1.3 Server (UDP) The Invasor Deep Throat 1.3 KeyLogger (UDP) Deep Throat v2
  • 2155 Illusion Mailer
  • 2283 HVL Rat5
  • 2400 PortD
  • 2565 Striker
  • 2583 WinCrash
  • 2600 Digital RootBeer
  • 2716 Prayer 1.2 Prayer 1.3
  • 2773 SubSeven (MUIE) (KeyLogger)
  • 2801 Phineas Phucker
  • 2989 RAT (UDP)
  • 3024 WinCrash
  • 3128 RingZero
  • 3129 Masters Paradise
  • 3150 Deep Throat 1.3 Server (UDP) The Invasor Deep Throat v2
  • 3344 Matrix Client
  • 3345 Matrix Server
  • 3456 Terror Trojan
  • 3459 Eclipse 2000
  • 3700 Portal of Doom
  • 3791 Eclypse
  • 3801 Eclypse (UDP)
  • 4092 WinCrash
  • 4321 BoBo
  • 4567 File Nail
  • 4590 ICQTrojan
  • 5000 Bubbel Back Door Setup Sockets de Troie Socket23
  • 5001 Back Door Setup Sockets de Troie
  • 5011 One of the Last Trojans (OOTLT)
  • 5031 NetMetro
  • 5321 Firehotcker BackDoorz
  • 5400 Blade Runner Back Construction
  • 5401 Blade Runner Back Construction
  • 5402 Blade Runner Back Construction
  • 5512 Illusion Mailer Xtcp
  • 5550 Xtcp
  • 5555 ServeMe
  • 5556 BO Facil
  • 5557 BO Facil
  • 5569 Robo-Hack
  • 5638 PC Crasher
  • 5639 PC Crasher
  • 5714 WinCrash Server
  • 5741 WinCrash
  • 5742 WinCrash
  • 6000 The Thing
  • 6400 The Thing
  • 6667 Pretty Park
  • 6669 Vampyre Host Control
  • 6670 DeepThroat Deep Throat v2
  • 6671 DeepThroat
  • 6674 DeepThroat
  • 6711 Deep Throat v2 SubSeven
  • 6712 SubSeven
  • 6713 SubSeven
  • 6771 DeepThroat
  • 6776 BackDoor-G SubSeven
  • 6883 DeltaSource
  • 6912 Shit Heep
  • 6939 Indoctrination
  • 6969 GateCrasher Priority IRC 3 Net Controller
  • 6970 GateCrasher
  • 7000 Remote Grab Kazimas
  • 7215 SubSeven (MUIE) (Matrix)
  • 7300 NetMonitor
  • 7301 NetMonitor
  • 7306 NetMonitor
  • 7307 NetMonitor
  • 7308 NetMonitor
  • 7789 Back Door Setup ICKiller
  • 8080 RingZero
  • 8989 Recon Recon2 xcon
  • 9090 TS2 Telnet Server
  • 9400 InCommand
  • 9872 Portal of Doom
  • 9873 Portal of Doom
  • 9874 Portal of Doom
  • 9875 Portal of Doom
  • 9876 Cyber Attacker
  • 9878 TransScout
  • 9989 iNi-Killer
  • 9999 Prayer 1.2 Prayer 1.3
  • 10067 Portal of Doom (UDP) Portal of Doom
  • 10101 BrainSpy
  • 10167 Portal of Doom (UDP) Portal of Doom
  • 10520 Acid Shivers
  • 10607 Coma
  • 10666 Ambush (UDP)
  • 11000 Senna Spy
  • 11050 Host Control
  • 11223 Progenic trojan
  • 12076 Gjamer
  • 12223 Hack 99 KeyLogger
  • 12345 GabanBus NetBus Pie Bill Gates X-bill
  • 12346 GabanBus NetBus X-bill
  • 12349 BioNet
  • 12361 Whack-a-mole
  • 12362 Whack-a-mole
  • 12631 WhackJob
  • 13000 Senna Spy
  • 16484 MoSucker
  • 16969 Priority
  • 17166 Mosaic 2.0
  • 17300 Kuang2 The Virus
  • 20000 Millennium
  • 20001 Millennium
  • 20034 NetBus 2 Pro
  • 20203 Logged
  • 20331 Bla
  • 21554 GirlFriend Schwindler
  • 22222 Prosiak
  • 23432 Asylum
  • 23456 Evil FTP Ugly FTP Whack Job
  • 23476 Donald Dick
  • 23477 Donald Dick
  • 26274 Delta Source (UDP) Delta Source
  • 27374 Sub Seven 2.1 (UDP)
  • 27573 Sub Seven 2.1 (UDP) Sub Seven 2.1
  • 27665 Trin00 DoS
  • 29891 The Unexplained (UDP)
  • 30029 AOL Trojan
  • 30100 NetSphere
  • 30101 NetSphere
  • 30102 NetSphere
  • 30103 NetSphere
  • 30303 Sockets de Troie Socket25
  • 30999 Kuang
  • 31335 Trin00 DoS
  • 31336 Bo Whack
  • 31337 Baron Night BackOrifice client BO2K Bo Facil
  • 31337 Back Orifice (UDP) BackFire DeepBO NetPatch
  • 31337 SocDmini
  • 31338 NetSpy DK Back Orifice (UDP) DeepBO (UDP)
  • 31339 NetSpy DK
  • 31666 BOWhack
  • 31785 Hack a Tack
  • 31787 Hack a Tack
  • 31788 Hack a Tack
  • 31789 Hack a Tack (UDP)
  • 31791 Hack a Tack (UDP)
  • 31792 Hack a Tack
  • 33333 Prosiak Blackharaz
  • 33577 PsychWard 2
  • 33777 PsychWard
  • 33911 Spirit 2001a
  • 34324 BigGluck TN Tiny Telnet Server
  • 34555 WinTrinoo
  • 37651 Yet Another Trojan
  • 40412 The Spy
  • 40421 Agent 40421 Masters Paradise
  • 40422 Masters Paradise
  • 40423 Masters Paradise
  • 40426 Masters Paradise
  • 47262 Delta Source (UDP)
  • 50505 Sockets de Troie
  • 50766 Fore Schwindler
  • 53001 Remote Windows Shutdown
  • 54283 SubSeven (ICQ Spy) (MUIE)
  • 54320 Back Orifice 2000
  • 54321 School Bus Back Orifice 2000 (UDP)
  • 57341 NetRaider Trojan NetRaider Trojan
  • 60000 Deep Throat 1.3 Client (UDP) Deep Throat v2
  • 61348 Bunker-Hill Trojan
  • 61466 Telecommando
  • 61603 Bunker-Hill Trojan
  • 63485 Bunker-Hill Trojan
  • 65000 Devil
  • 65535 ICE RC

Bene ora passiamo avanti.

Come faccio a rimuovere il trojan ???

Bè il trojan sicuramente ha qualche task in esecuzione e presumibilmente viene avviato in esecuzione automatica. Non provate a vedere nel menu esecuzione automatica, non ci sta !

Come cavolo faccio allora ???

Bè si procede così. Si apre un'altra utility molto utile di casa Microsoft. Si apre il microsoft system information presente nel sottomenu utilità di sistema. Bene ora si legge qualche info utile e si va avanti. Si apre il menu strumenti e poi il Dr Watson. Ci sarà una nuova icona nel systray (in basso a destra per intenderci) cliccateci sopra. Apparirà la schermata del Dr Watson. Accedete al menu visualizza e poi visualizzazione avanzata. Ora controllate i task in esecuzione e poi quelli che vengono avviati in esecuzione automatica. Uno solo di loro corrisponde al vostro trojan e solo uno di loro va eliminato fisicamente dal vostro hard disk.

Come faccio a capire quale è ???

Bè andiamo a controllare ogni singolo file. Di solito si controlla la data di origine, l'ultimo accesso e cosa molto importante le proprietà. Già di solito ogni file di sistema ha dentro di sè la versione, se ci sta potrebbe anche essere di sistema se non ci sta controllatelo bene fate una copia di backup su un dischetto e cancellatelo, riavviate il pc e fate tutto il procedimento partendo dal netstat, se riappare quel numero allora il file che cercate è un altro, se non appare avete cancellato il trojan !

Esempio di task in esecuzione. Questi qui sotto sono alcuni file che di solito sono in esecuzione, questi dipendono da computer a computer quindi se voi ne avete qualcuno in pi˘ non vuol dire che sia quello il virus !

kernel32.dll 
drwatson.exe
systray.exe
explorer.exe
taskmon.exe

Poi ogni applicazione avviata nel systray aggiunge un'altra voce quindi se avete avviato il getright troverete il file getright.exe nella lista e così via. Controllate prima di cancellare. Declino ogni responsabilità da un uso non appropriato delle info contenute in questo tutorial, si consiglia di farlo solo se si è sicuri di aver localizzato il trojan. Se ancora non si è sicuri vi consiglio di fare un bel format C: e poi vi arrangiate voi.

Byez
Faladi

[TuToRiAl By Faladi]

© Diritti riservati a Legacy of Kings !!!

← previous
next →
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT