[Desktop] Trojan.bat.deltree: il Desktop mi ha fatto "ciao!!!"...

[robilive]

Buonasera a tutti, come al solito, dopo aver "girato" un pò in rete in cerca di una soluzione, invano, mi vedo costretto a rompere le scatole a voi  (non me ne vogliate!).
Vi spiego il mio problema: stavo guardando dei filmati di youtube da "Miro" quando, arrivato ad un filmato, il player mi dice di non riuscire a riprodurlo; inoltre mi da due possibilità: 1) vedi dov'è il file; 2) salta.
Sarà perchè ho visto troppe volte Matrix (pillola rossa o pillola blu) non ho resistito alla tentazione ed ho effettuato la prima scelta (ho pensato che se il player non lo apriva, tanto valeva eliminarlo...). Una volta cliccato su "Guarda dov'è il file" successe il fattaccio: il mio Desktop (sfondo, icone e cartelle varie) se ne sono andati... Si è impostata come sfondo l'immagine rossa che Ubuntu ha appena installato ed inoltre è comparsa l'unica cartella che avevo in /root/Desktop...
Subito ho pensato: "ecco là, l'unico co..ione capace di beccarsi un virus su linux...".
Ho chiesto un parere ad un amico che mi ha consigliato una scansione con ClamAV.
L'ho avviato un paio di volte, non sono mai riuscito a completare una scansione (sarà per colpa del mio processore 800 MHz.) eppure , l'ho avviato alle 8 di mattina ed è rimasto a scansionare fino alle 2 di notte. Un trojan l'ha trovato e dice d'averlo rimosso, tale "Trojan.Bat,DeltreeY-3" ma del mio Desktop con tutto il relativo "caos" non v'è traccia...
Mi sapreste dare una mano? Vi sono infinitamente grato comunque!  robilive.

[Divilinux]

il trojan che ha trovato e' al 100% per windows..scaricato insieme a chissa' cosa
per il problema..puoi spiegare meglio?  ::)

[robilive]

Certamente, cercherò di essere più preciso... Allora: il trojan è per winzozz sicuramente... Il problema però è che qualce cosa l'ha combinata anche a me su Ubuntu: l'immagine di sfondo del Desktop, con le relative cartelle ed icone varie di /home/robilive/Desktop, se n'è andata per essere sostituita dall'immagine che ha Ubuntu la prima volta che viene acceso e dall'unica cartella che è presente sotto /root/Desktop... Quindi, in qualche modo, mi ha sostituito il Desktop (l'intera area) con quello di root... Tra l'altro adesso sul Desktop attuale (vuoto) non mi da la possibilità di usare il tasto destro del mouse... Se non sono stato chiaro neanche ora, dimmi in cosa e cercherò di spiegarmi meglio! Grazie per la rapidità!

[granma]

Se e' per win il codice non e' dannoso per linux,il problema sara' dovuto ad altro magari qualcosa che hai fatto in precedenza

[Divilinux]

Il problema però è che qualce cosa l'ha combinata anche a me su Ubuntu:

no e' impossibile..poi si rischia di confondere un problema per un altro.
Mi e' capitato diverse volte un fatto analogo..e per prima cosa si cerca di riportare il desktop alle condizioni iniziali
io purtroppo per te ho kde..e il consiglio sarebbe

sudo rm -R ~/.kde

per gnome non ho idea di dove si trovi questa directory
Dopo aver effettuato questa specie di reset possiamo vedere se il problema era effettivamente quello o c'e' dell'altro

[robilive]

Se e' per win il codice non e' dannoso per linux,il problema sara' dovuto ad altro magari qualcosa che hai fatto in precedenza

Carissimo granma, purtroppo in precedenza non ho fatto nulla, quindi mi stupisce il fatto che un trojan per winzozz possa crearmi problemi su Ubuntu...

no e' impossibile..poi si rischia di confondere un problema per un altro.

Divilinux, vorrei che fosse impossibile, e ne ero convinto fino a qualche giorno fa... Poi la scansione con ClamAV m'ha fatto venire qualche dubbio...

Mi e' capitato diverse volte un fatto analogo..e per prima cosa si cerca di riportare il desktop alle condizioni iniziali
io purtroppo per te ho kde..e il consiglio sarebbe

sudo rm -R ~/.kde

per gnome non ho idea di dove si trovi questa directory

Devo, in sostanza, dare quel comando li con il path della cartella gnome?

[granma]

Ho testato un centinaio tra virus ,worm,trojan  di win per lavoro su macchine linux di diverse distribuzioni e non ho mai avuto nessun problema credimi il problema e' altrove

[Divilinux]

Trojan.BAT fa proprio pensare a windows..a meno che qualcuno non riesca a far funzionare degli script di win anche con linux
in un post recente (gennaio 2007..che coincide con la fine del 2006, data di segnalazione di questo ipotetico trojan) sulla mailing list degli sviluppatori di clamAV si parla di un possibile bug che riguarda le wildcard

http://www.mail-archive.com/clamav-deve ... 02667.html

quindi probabilmente si tratta di un falso-positivo..e comunque in giro notizie non ce ne sono. E' un po' come vincere al superenalotto, beccare il primo virus (trojan per giunta) per linux.
Cosa e' piu' verosimile..il trojan che in una frazione di secondo assume da solo i privilegi di root,o si spaccia per il tuo attuale utente..e ti cambia le impostazioni del desktop?..un trojan?..che di solito e' pilotato da un attaccante remoto?..l'hacker piu' veloce del west..
Oppure e' piu' facile credere in una mossa sbagliata..o in un problema di gnome..o di qualsiasi altra cosa piu' inerente al problema che lamenti?

[robilive]

Uhm... Ragazzi, so per certo che avete ragione voi e non io (l'esperienza non la batte nulla) ma posso assicurarvi che quando è successo "tutto" io stavo solo guardando sto benedetto video (o meglio, ho cliccato su "guarda dove sta"), nient'altro...

. E' un po' come vincere al superenalotto, beccare il primo virus (trojan per giunta) per linux.

Credimi Divilinux, con la fortuna che ho in questo periodo, non mi stupirei più di tanto... 

Beh, comunque, se il problema sta altrove, che mi consigliate di fare?

Ps Divilinux, il comando di prima "sudo rm -R" che fa? Cancella tutto?

[Divilinux]

Ps Divilinux, il comando di prima "sudo rm -R" che fa? Cancella tutto?

si ma la directory ~/.kde ..non la home..occhio a cosa cancelli
Ripeto..non avendo gnome non ho idea se:

1- si possa fare
2- funzioni realmente

[simo_magic]

si si può fare ma gnome è più dispersivo purtroppo...

Codice: Seleziona tutto

rm -fr .gnome .gconf .gnome2 .gconfd  .gnome2_private  

fa tabula rasa di tutte le impostazioni di gnome

[robilive]

Beh, ragazzi... Sempre ottime notizie  ! Comunque, ho cercato un pò su google se si poteva "resettare" gnome ed ho trovato 2 soluzioni 1) creare un utente temporaneo, eliminare gnome, entrare come temporaneo e con privilegi di root e non ricordo che altro si diceva e 2) installare "gnome-reset" che sotto una piacevole interfaccia grafica si prende il compito di backuppare tutto e poi resettare.. Naturalmente ho seguito la seconda strada! E, altrettanto naturalmente, non ha funzionato...

[robilive]

UHm.... Simo_magic, mi sapresti dire di preciso che vado ad eliminare con quel comando? Cioè, fa tabula rasa di cosa?

[robilive]

si si può fare ma gnome è più dispersivo purtroppo...

Codice: Seleziona tutto

rm -fr .gnome .gconf .gnome2 .gconfd  .gnome2_private  

fa tabula rasa di tutte le impostazioni di gnome

Uhm... Non so cosa ne pensiate voi, ma io sotto /root/ la cartella ".gnome" non la ho... Ho le altre ma non gnome... E' normale come cosa?

[robilive]

Ho trovato questo link su google in cui si parla appunto di "resettare" gnome...
http://linuxfud.wordpress.com/2007/02/14/how-to-reset-ubuntugnome-settings-to-defaults-without-re-installing/
Se avete il tempo di leggerlo (se saltate l'introduzione son due righe..) e di farmi sapere se secondo voi è attendibile, ve ne sarei grato! Intanto vi saluto. Buonanotte e grazie ancora a tutti per l'assistenza, a domani!

                                                                                        robilive.

[Ganjolinux]

Oddio....l'inglese propio io non lo mastico  ::)

[granma]

Uhm... Non so cosa ne pensiate voi, ma io sotto /root/ la cartella ".gnome" non la ho... Ho le altre ma non gnome... E' normale come cosa?

Non devi guardare in /root ma nella tua home

[robilive]

Non devi guardare in /root ma nella tua home

Ah, grazie, mi era sfuggito sto passaggio...
Letto cosa dicono a quel link? Vado tranquillo seguendo quella procedura?