www.MegaLab.it

[melinda]

ho il virus in oggetto, stamattina mentre scaricavo la posta mi è stato rilevato tra files temporanei, adesso, mentre non stavo nemmeno utilizzando il computer è stato di nuovo rilevato nella cartella System Volume Information, che non sono nemmeno riuscita a trovare, ho fatto già una ricerca ma non so come rimuoverlo.
p.s.: sono tre giorni che ricevo spam con allegati dei virus nella casella postale tim.it e non so come fermarli, questo virus si è diffuso pur non avendo aperto gli allegati.
lo devo fermare ma chi mi aiuta?
grazie!

[crazy.cat]

Disattiva il ripristino della configurazione e riavvia il pc, così intanto lo eliminiamo da una parte.
http://www.MegaLab.it/2330

Poi cancella tutti i file temporanei di internet.

Dalla modalità provvisoria fai una scansione con questo antivirus
http://www.MegaLab.it/2333

Tu che antivirus hai?

Qui ci sono le info, bisogna agire sul registro e sul file hosts
http://www.symantec.com/avcenter/venc/d ... bb@mm.html

[melinda]

Tu che antivirus hai?
Qui ci sono le info, bisogna agire sul registro e sul file hosts
http://www.symantec.com/avcenter/venc/d ... bb@mm.html

Symantec Antivirus Corporate Edition (una schefezza)

[melinda]

p.s.: già mi trovo in difficoltà con le info in italiano..
in inglese proprio non ci capisco niente

[crazy.cat]

Intanto fai la scansioni e disabilita quello che ti ho detto.

(cambia antivirus che è meglio)

Cerca nel tuo pc un file che si chiama hosts, lo puoi aprire con Notepad ed elimini tutte le righe che trovi come queste qui sotto

Codice: Seleziona tutto

127.0.0.1       www.symantec.com
127.0.0.1       securityresponse.symantec.com
127.0.0.1       symantec.com
127.0.0.1       www.sophos.com
127.0.0.1       sophos.com
127.0.0.1       www.mcafee.com
127.0.0.1       mcafee.com
127.0.0.1       liveupdate.symantecliveupdate.com
127.0.0.1       www.viruslist.com
127.0.0.1       www.viruslist.com
127.0.0.1       viruslist.com
127.0.0.1       f-secure.com
127.0.0.1       www.f-secure.com
127.0.0.1       kaspersky.com
127.0.0.1       www.avp.com
127.0.0.1       www.kaspersky.com
127.0.0.1       avp.com
127.0.0.1       www.networkassociates.com
127.0.0.1       networkassociates.com
127.0.0.1       www.ca.com
127.0.0.1       ca.com
127.0.0.1       mast.mcafee.com
127.0.0.1       my-etrust.com
127.0.0.1       www.my-etrust.com
127.0.0.1       download.mcafee.com
127.0.0.1       dispatch.mcafee.com
127.0.0.1       secure.nai.com
127.0.0.1       nai.com
127.0.0.1       www.nai.com
127.0.0.1       update.symantec.com
127.0.0.1       updates.symantec.com
127.0.0.1       us.mcafee.com
127.0.0.1       liveupdate.symantec.com
127.0.0.1       customer.symantec.com
127.0.0.1       rads.mcafee.com
127.0.0.1       trendmicro.com
127.0.0.1       www.microsoft.com
127.0.0.1       www.trendmicro.com

Vai su Start - esegui - scrivi regedit e lo avvii. dovresti cercare le chiavi di registro che sono scritte qui sotto

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

ed andare ad eliminare i valori che trovi nella finestra di destra che hanno scritto

"WksSVC" = "EXPLORER.EXE"

Se hai problemi fai una ricerca nel registro di WksSVC e controlla che sia scritto come è indicato nella riga qui sopra e la cancelli.

Devi trovare il modo di togliere tutto,altrimenti corri il rischio di riprendere il virus.

[melinda]

ho disattivato il ripristino della configurazione, riavviato e cancellato file temporanei, entrata in modalità provvisoria lanciata scansione ma esce errore: hellExecute file=C:\Temp\scan.txt failed

e non parte la scansione.

[melinda]

che antivirus mi consigli ?

[crazy.cat]

ho disattivato il ripristino della configurazione, riavviato e cancellato file temporanei, entrata in modalità provvisoria lanciata scansione ma esce errore: hellExecute file=C:\Temp\scan.txt failed
e non parte la scansione.

Credo che tu non abbia estratto il contenuto del file Sdat*.exe nella cartella scangui.
Leggi bene l'articolo, devi aggiungere l'opzione /e in fondo alla riga prima di lanciare il comando.

C'è una discussione in rilievo in questa sezione che parla degli antivirus, prima però ripuliamo il pc.

[melinda]

ok grazie riprovo

[melinda]

allora...
il risultato della scansione è questo:
Summary report on C:\*.*
File(s)
Total files: ........... 88386
Clean: ................. 86690
Possibly Infected: ..... 9
Cleaned: ............... 0
Deleted: ............... 9
Non-critical Error(s): 2
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0


Time: 00:45.56

poi...
nel registro ho trovato una dll con quel nome wkssvc, ma entrando in system32 ho visot che risale al 2001...cioè da quando ho il computer e non l'ho cancellata...


e ancora..
continuo a ricevere nella posta messaggi contenenti virus e ogni volta che apro la casella postale, anche senza aprire i messaggi mi becco questo worm...ce ne sono 3 in quarantena...
che fare in questi casi?

[crazy.cat]

Hai windows xp?
Le patch e gli aggiornamenti sono tutti installati, anche il service pack 2?
Quel virus sfrutta alcuni buchi del sw per poter entrare.

Cosa importante,cambia antivirus (Avast,gratis ed in italiano) in modo da avere un maggior controllo e sicurezza.

Con Outlook express mi pare ci sia la possiblità di disattivare l'anteprima dei messaggi e di impedire lo scarico di allegati pericolosi.
Limiteresti almeno la possibilità di beccarti qualche schifezza.

In quanto a ricevere i messaggi, non ci puoi fare niente, devi capire quali sono da eliminare al volo senza neanche aprirli.

[melinda]

Hai windows xp?
Le patch e gli aggiornamenti sono tutti installati, anche il service pack 2?
Quel virus sfrutta alcuni buchi del sw per poter entrare.

si ho xp.
il sp2 è installato... se ho tutte le patch però non saprei...
ho gli aggiornamenti automatici e quando mi richiede l'installazione la faccio...

Cosa importante,cambia antivirus (Avast,gratis ed in italiano) in modo da avere un maggior controllo e sicurezza.

domanda scema, devo necessariamente disinstallare PRIMA l'antivirus attuale, o posso solo disattivarlo e disinstallarlo successivamente ?

Con Outlook express mi pare ci sia la possiblità di disattivare l'anteprima dei messaggi e di impedire lo scarico di allegati pericolosi.
Limiteresti almeno la possibilità di beccarti qualche schifezza.

uso da anni incredimail con la casella postale di tim che non mi hanno dato mai problemi, all'improvviso sono arivati questi messaggi, comunque ho appena disattivato l'anteprima degli allegati spero serva a qualcosa

In quanto a ricevere i messaggi, non ci puoi fare niente, devi capire quali sono da eliminare al volo senza neanche aprirli.

non avevo disattivato l'anteprima..ma ho beccato i virus senza mai aprire ai messaggi..

grazie di tutto!

[crazy.cat]

il sp2 è installato... se ho tutte le patch però non saprei...

Allora dovresti essere a posto.

domanda scema, devo necessariamente disinstallare PRIMA l'antivirus attuale, o posso solo disattivarlo e disinstallarlo successivamente ?

Andrebbe disinstallato prima quello vecchio, tenerne due insieme non serve.
E comunque quello vecchio non mi sembra che ti protegga molto.

uso da anni incredimail con la casella postale di tim che non mi hanno dato mai problemi, all'improvviso sono arivati questi messaggi,

Neanche a me virgilio mi aveva mai dato problemi, ultimamente arrivano delle mail da indirizzi esteri con i loro allegati.
Io però le leggo sempre sul portale e non mi scarico niente in locale sul pc.