Catalogato | Free Software

sshnas21.dll un virus da eliminare, ma come?

Ieri mi sono trovato di fronte ad uno strano e apparente messaggio di sistema, il mio windows vista nel momento dell’accensione mi comunicava di non poter apire il modulo windows\system32\sshnas21.dll, sinceramente prima di pensare che poteva essere un troyan-virus ci ho messo un pò, anche perchè il mio Avast non lo riconosceva come virus.  Una ricerca approfondita su Google, ha risolto il problema, vediamo come fare.

Prima di addentrarci nelle procedure per debellare il troyan, volevo spiegare cosa abbiamo di fronte, sshnas.dll o sshnas21.dll sono componenti di un trojan FakeAlert (falso allarme). Il trojan proviene da siti Web dannosi che chiedono agli utenti di scaricare un aggiornamento di Adobe Flash Player o un lettore necessario per visualizzare online il filmato. Il nome del troyan è flash-HQ-plugin.  Una volta avviato, il trojan scarica e installa i componenti principali: c.exe, msa.exe e sshnas.dll (sshnas21.dll). Una volta scaricato, sarà configurato per avviarsi automaticamente all’avvio di Windows. I trojan FakeAlert possono visualizzare molti popup e falsi avvisi di sicurezza, dirottare Internet Explorer, disattivare Task Manager di Windows e editor.

Se il computer è infetto, utilizzate le seguenti istruzioni:

Fase 1.

Scaricate OTM e salvatelo sul desktop, eseguitelo e copiate-incollate il seguente contenuto nella parte gialla di sinistra del programma, successivamente cliccate sul pulsante rosso Move.

:services
SSHNAS

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Videohost”=-
“SSHNAS”=-
“LosAlamos”=-
“Halo2″=-

:files
%windir%\msa.exe
%windir%\system32\sshnas.dll
%windir%\system32\sshnas21.dll
%windir%\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job

:Commands
[emptytemp]
[Reboot]

Il programma eseguirà una serie di operazioni, abbiate pazienza, alla fine riavvierà il sistema.

Fase 2.

Scaricate Malwarebytes Anti-Malware (Mbam). Fate doppio clic sull’icona sul desktop mbam-setup.exe. Ciò avvierà l’installazione di Malwarebytes Anti-Malware sul vostro computer. Quando l’installazione inizia, seguite le istruzioni per proseguire con il processo di installazione. Non apportare modifiche alle impostazioni di default e quando il programma è stato installato, assicuraratevi che sia un segno di spunta posto accanto alla “Aggiorna Malwarebytes ‘Anti-Malware” e lanciate  il programma “Malwarebytes’ Anti-Malware”. Un volta avviato Malwarebytes Anti-Malware visualizzerà un messaggio che indica che è necessario aggiornare il programma prima di eseguire una scansione. Qualora un aggiornamento venga trovato, verrà scaricato e installata l’ultima versione. Eseguite una scansione veloce ed attendete i risultati, un segnale acustico vi avviserà della fine del processo di verifica, eliminando ogni traccia di malware, vi troverete di fronte ad una immagine simile a quella in basso.

FakeAlert Trojan crea i seguenti file e cartelle

C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job C: \ WINDOWS \ Tasks \ (66BA574B-1E11-49b8-909C-8CC9E0E8E015). Posti di lavoro
C:\WINDOWS\msa.exe C: \ WINDOWS msa.exe \
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job C: \ WINDOWS \ Tasks \ (35DC3473-A719-4d14-B7C1-FD326CA84A0C). Posti di lavoro
%UserProfile%\Local Settings\temp\a.exe % UserProfile% \ Local Settings \ Temp \ a.exe
%UserProfile%\Local Settings\temp\b.exe % UserProfile% \ Local Settings \ Temp \ b.exe
%UserProfile%\Local Settings\temp\c.exe % UserProfile% \ Local Settings \ Temp \ c.exe
C:\WINDOWS\system32\sshnas.dll C: \ WINDOWS \ system32 \ sshnas.dll

Trojan FakeAlert crea le seguenti chiavi di registro e valori

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services SSHNAS \
HKEY_CURRENT_USER\SOFTWARE\XML HKEY_CURRENT_USER \ SOFTWARE XML \
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sshnas HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ sshnas
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sshnas HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet002 \ Services \ sshnas
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Maniglia
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\videohost HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ videohost
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sshnas HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ sshn




Share

Articoli che potrebbero interessarti:

13 Commenti a “sshnas21.dll un virus da eliminare, ma come?”

  1. kerim scrive:

    grz

  2. Giorgio scrive:

    Scusate, ma sono l’unico fesso che non ci riesce? Ho seguito le istruzioni per 3 volte e adesso Malwarebytes Antimalware mi dice che non ci sono minacce (quelle che indicate voi le ho cancellate alla prima scansione). Anche l’antivirus dice che non ci sono problemi, però purtroppo il messaggio all’avvio compare ancora.
    Oltre a questo, anche se non credo che abbia a che fare con il trojan, questa mattina a computer scollagato dalla rete mi è sparita una cartella di un disco esterno…
    Devo formattare per forza?
    Grazie mille

  3. Lucky scrive:

    @Giorgio, se hai eseguito le istruzioni, in particolare la fase 1 quella che elimina il troyan alla radice, in più hai utilizzato Malwarebytes Antimalware e non hai risultati, allora il problema è che non hai lo stesso virus-troyan di cui parlo io. In realtà tu che problemi hai oltre alla sparizione della cartella del disco esterno?

  4. Giorgio scrive:

    Grazie della pronta risposta. Praticamente, oltra alla sparizione della cartella, ho solamente il messaggio di warnig all’avvio di Vista.Può dipendere da dove ho salvato il file OTM? Consigliate di salvarlo sul desktop ma io ho utilizzato una cartella in D.
    Grazie ancora e spero di risolvere presto

  5. Lucky scrive:

    @Giorgio, prova a salvare su dektop. Ma il computer si è riavviato?
    Inoltre hai provato combofix? http://news.myweb2.it/2009/03/13/aggiornamenti-software-jbak-e-combofix-nuova-versione/

  6. Giorgio scrive:

    Ci proverò questa sera prima di cena. Comunque il computer si riavvia (con il messaggio di warning) e lavoro correttamente: navigo, scarico e gioco senza problemi, l’unico inconveniente è quel messaggio all’avvio e la paura che la cartella sparita sia causa del trojan che non è stato realmente debellato. Praticamente mi ha cancellato qualche giga di file scaricati (file immagine iso o rar). Non ho la certezza che sia successo per questo visto che questa mattina ho spostato un file da una cartella a quella che poi è sparita. Proprio per controllare lo stato del file copiato mi sono accorto che in E era sparita la cartella. Per quanto riguarda Cobofix, ci proverò sempre questa sera. Grazie e se hai qualche consiglio fammi sapere.
    Meno male che ci siete

  7. Giorgio scrive:

    Ciao Lucky, ho provato a salvare omt sul desktop e seguire la prima fase (considerando che la seconda è da tempo che mi dice di non trovare minacce). Ti allego il log di OMT
    All processes killed
    ========== SERVICES/DRIVERS ==========
    Error: No service named SSHNAS was found to stop!
    Service\Driver key SSHNAS not found.
    ========== REGISTRY ==========
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\“Videohost” not found.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\“SSHNAS” not found.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\“LosAlamos” not found.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\“Halo2″ not found.
    ========== FILES ==========
    File/Folder C:\Windows\msa.exe not found.
    File/Folder C:\Windows\system32\sshnas.dll not found.
    File/Folder C:\Windows\system32\sshnas21.dll not found.
    File/Folder C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job not found.
    File/Folder C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes

    Penso che sia a posto? Ovviamente al riavvio ho ancora il maledetto warning. Grazie

  8. Lucky scrive:

    E’ chiaro che non sei stato infettato dallo stesso worm, precisamente l’allert all’apertura di windows cosa ti dice?

  9. Giorgio scrive:

    Risolto, almeno spero.
    Ho editato io con Regedit cercando e cancellando la stringa che richiamava sshnas21.dll. Cancellata la stringa, scansione con Malware bytes e con antivirus AVG ed entrambi non hanno trovato minacce. Spero di aver salvato il computer. Grazie infinite per il supporto, a presto (non per problemi, spero)
    Giorgio

  10. Lucky scrive:

    @Giorgio, ottima soluzione, sono contento che tu abbia risolto, e spero di rileggerti, magari non per problemi con il pc, alla prossima 🙂

  11. iily78 scrive:

    ciao Lucky
    dopo aver eseguito tutte le tue istruzioni.. il problema gia al primo riavvio è stato risolto..ma i file infetti li lascio in quarantena o li elimino??
    ciao
    illy

  12. Lucky scrive:

    @iili78, lasciali tranquillamente in quarantena, potrai sempre ripristinare in caso di problemi.

Trackbacks/Pingbacks



 Powered by Max Banner Ads 

Categorie

Utenti in linea

- 1 utente - - - - 1 ospite - -

PR

Archivi

Links


SiteBooK visite gratis

Hai trovato un tesoro di SiteBooK

SiteBook