www.MegaLab.it

da **ba_61** » gio dic 15, 2005 7:29 pm

Durante una scansione con Kaspersky, mi ha individuato due file come infetti (penso un falso positivo).

I file "notepad.exe" in C:\WINDOWS ed in C:\WINDOWS\System32.

Con l'elaborazione, Kaspersky ha eliminato i due file.

Ora del Blocco Note è rimasta nella barra dei Programmi un'icona dos che ovviamente non apre niente.

E' possibile estrarre dal CD di XP tali file?

[nota]

Tipo expand... o copy... con la console di ripristino o altre metodologie.

Thank

da **crazy.cat** » gio dic 15, 2005 7:38 pm

Lo trovi nell'allegato, va messo nella cartella Windows.
Avvisa quando hai fatto che lo cancello.

da **ba_61** » gio dic 15, 2005 7:45 pm

crazy.cat ha scritto:Lo trovi nell'allegato, va messo nella cartella Windows.
Avvisa quando hai fatto che lo cancello.

Fatto grazie, ma mi dà picche (non ne occorrerebbero 2 o sono uguali (WINDOWS e System32).

da **crazy.cat** » gio dic 15, 2005 7:51 pm

E' vero, i file sono due, non ci avevo fatto caso.

da **ba_61** » gio dic 15, 2005 8:00 pm

crazy.cat ha scritto:E' vero, i file sono due, non ci avevo fatto caso.

Mi darebbe anche l'altro? [:-D]

da **ba_61** » ven dic 16, 2005 3:30 am

Grazie comunque: risolto con una telefonata.

[nota]

Non penso si trattasse di un falso positivo, poichè alla successiva scansione, senza esclusioni di file, non li ha più rilevati.

Penso fosse questo:

Il nome della chiave e' casuale e il suo valore contiene il percorso al file del worm nella directory di Windows. Nello stesso percorso viene poi creata una copia del file col nome NOTEPAD.EXE, mentre l'applicazione originale del Blocco Note viene rinominata in NOTEDPAD.EXE. Il worm ricerca gli indirizzi e-mail contenuti in file con determinate estensioni e nell'Address Book di Outlook. A questo punto Yarner si autoinvia a tutti gli indirizzi trovati.

da **blind** » ven dic 16, 2005 10:47 am

controlla anche il percorso C:\WINDOWS\system32\dllcache (devi impostare la visualizzazione dei file e cartelle nascoste e protette) il file notepad.exe si trova anche li, quindi per scrupolo ti consiglio di scansionarlo..

da **ba_61** » ven dic 16, 2005 12:35 pm

C:\WINDOWS\system32\dllcache

La cartella è vuota (con dicitura in blu) [sbigot]

da **blind** » ven dic 16, 2005 12:41 pm

si la dicitura blu va bene.. se è vuota vuol dire che l' hai svuotata te, oppure usi dustbuster..

da **ba_61** » ven dic 16, 2005 3:37 pm

oppure usi dustbuster..

Tanato

www.MegaLab.it

notepad.exe

notepad.exe

Chi c’è in linea