Chi mi aiuta ad eliminarlo?
Andando sul sito della Symantec .... non ci capisco un tubo!!!
Pleaseeeeee....
Chi mi aiuta ad eliminarlo?
Andando sul sito della Symantec .... non ci capisco un tubo!!!
Pleaseeeeee....
scusa ma a me sembra tutto piuttosto chiaro... qual è il tuo problema?
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
Il problema è che ho già eseguito la procedura riportata sul sito della Symantec. La prima volta in modalità normale (scollegandomi da Internet, chiudendo tutte le applicazioni attive, etc. etc.) ma mi ha dato che il virus W32.Welchia.B.worm non è stato trovato
Allora... ho provato ho fatto nuovamente la procedura in modalità provvisoria... niente!!! Il virus ancora c'è!
E' molto fastidioso, perché mi inibisce parecchie funzioni del PC... come, ad esempio, la visualizzazione del Task Manager (Ctrl-Alt+Canc).
Cosa posso fare? Grazie.
Quali sono i files che vengono trovati infetti? E quale sistema operativo usi?
Uso Windows XP e mi appare la notifica di Norton che mi dice che è stato trovato W32.Welchia.B.Worm ma che è stato impossibile eliminarlo.
Mi appare anche un'altra segnalazione dove c'è questo percorso:
Windows/System32/Config/system/WksPatch[1].exe
Ho già eseguito varie volte il Tool di rimozione della Symantec, seguendo scrupolosamente le istruzioni (almeno credo!), ma il virus ancora c'è!
E' veramente fastidioso. Mi blocca un casino di Operazioni...
sarebbe belloche qualcuno riuscisse ad aiutarmi.
Grazie
hai fatto proprio i seguenti passaggi?
1 disabilita ripristino configurazione sistema (Pannello controllo/Sistema/Ripristino configurazione sistema> metti il flag sul 'disabilita')
2 aggiorna definizioni antivirus (dovrebbero arrivare all'11)
3 riavvia il PC in modalità provvisoria (f8 all'Ok del Bios e prima dell'apparire del logo di Windows)
4 fai una scansione con l'antivirus, cancellando i files trovati infettati dal Worm
riavvia e riattiva pure il ripristino configurazione sistema
Oltre a tutto quello che Delmak_O ti ha suggerito, apri la task (Ctrl+Shift+Esc) e termina se presente il valore aggiunto dal worm, c'è da controllare il file WKSPATCH.EXE, questo file viene scaricato dal worm grazie ad un server FTP, quindi portati da Start>Esegui scrivi regedit premi OK, in HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\ ed elimina la cartella, se presente, WksPatch. Fai una ricerca nel disco di WKSPATCH.EXE il percorso è C:\Windows\System32\ ed eliminalo
Cerca anche il file rpcxt.exe ed eliminalo, fai lo stesso con il file svchost.exe MA SOLO SE LO TROVI IN QUESTA DIRECTORY!!! c:\windows\system32\drivers\ RICORDATI CHE IL FILE svchost.exe E' UN FILE LEGITTIMO DEL SISTEMA MA SOLO SE IL SUO PERCORSO E' (IN WINXP) C:\WINDOWS\SYSTEM32\
Portati in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ Run ed in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ RunServices ed elimina se presente il valore Configuration Loader = “rpcxt.exe”
Svuota il cestino.
Fai girare il tool di rimozione.
Tutto questo dalla modalità provvisoria, non connesso! E dopo che hai disabilitato il Ripristino di config. del sistema (system restore) salvo poi riabilitarlo a procedure ultimate.
Installa poi un firewall e fai, come ti è stato già scritto fai TUTTI gli WindowsUpdate, leggi anche all'url, ti farai un'idea più precisa.
http://www.microsoft.com/italy/techn...y/ms03_026.asp
Grazie per la collaborazione!!!
Allora... per quanto riguarda ciò suggerito da Delmak... ho eseguito tutto alla "lettera".
Poi ho provato ad effettuare anche la procedura suggerita da Amvinfe; risultato:
1) nel registro HKEY_LOCAL_MACHINE\System\CurrentControl
Set\Services\ non c'è nessuna cartella denominata WksPatch.
2) ho eseguito la ricerca (su Cdi WKSPATCH.EXE e, dopo averlo trovato, l'ho eliminato.
3) ho eseguito la ricerca (su C
4) ho eseguito la ricerca (su C
5) sono andato nel registro HKEY_LOCAL_MACHINE\Software\Microsoft\Wi
ndows\CurrentVersion\Run e il valore rpcxt.exe non c'è. Il registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices... non l'ho proprio trovato...
6) ho disabilitato il Ripristino Conf. di Sistema, ho riavviato il PC, ho eseguito il Tool di rimozione che ho salvato su floppy (Symantec W32.Welchia.Worm Fix Tool 1.0.4)... ma quando termina, mi dice che il virus W32.Welchia non è stato trovato sul computer!!!
7) per finire... proprio mentre scrivevo l'ultima riga qui sopra...
Non ce la faccio più!
anche io ho sto maledetto worm che mi continua a perseguitare, non riesco ad eliminarlo
Ciao
Ecco la procedura completa che ho utilizzato per rimuovere (forse) il maledetto W32.Welchia.Worm :metallica
1) ho lanciato Windows Update (pulsante Start) ed ho scaricato, e quindi installato, ben 22,1 Mb di cosette molto utili….
2) ho aggiornato AD-AWARE
3) ho aggiornato Norton Antivirus (Live Update)
4) ho disabilitato “ripristino configurazione di sistema” (cliccare con il tasto dx del mouse sull’icona Risorse del Computer – Proprietà – Ripristino Configurazione di Sistema – spuntare Disattiva Ripristino Configurazione di Sistema)
5) ho salvato su un floppy, scaricandoli dal sito della Symatec i seguenti files:
a. FixWelch.exe (tool di rimozione del virus in questione file)
b. ChKtrust.exe (vedi QUI)
c. CleanSSC.exe (vedi QUI)
Ho quindi lanciato b) e c) seguendo la procedura riportata sul sito della Symantec.
6) Start-Esegui scrivere: regedit e al seguente percorso:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\ eliminare (se c’è) la cartella WksPatch
7) cercare nel disco C: (Start – Cerca) WKSPATCH e, se c’è, eliminarlo (può avere la seguente sintassi: WksPatch[1].exe oppure [2], [3]… etc.)
8) cercare nel disco C: (Start – Cerca) RPCXT e, se c’è, eliminarlo (dev’essere un *.exe)
9) cercare nel disco C: (Start – Cerca) SVCHOST (dev’essere un *.exe) e, se c’è, controllare bene che non sia nella cartella c:\windows\system32\ (qui deve esserci! ). Se, invece, esiste pure nella cartella c:\windows\system32\drivers questo occorre eliminarlo!
10) Start-Esegui scrivere: regedit e al seguente percorso:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run eliminare (se c’è) il valore Configuration Loader = “rpcxt.exe”
11) svuotare il cestino
12) Abilitare Modalità Provvisoria
Start-Esegui scrivere: msconfig dopodiché selezionare BOOT.INI e, quindi, spuntare /SAFEBOOT – OK – Riavvia sistema
13) al riavvio, scansione del sistema con Norton Antivirus
14) andare al Prompt dei Comandi (DOS), inserire il floppy, e lanciare A:fixwelch.exe (tool di rimozione del virus)
15) disabilitare Modalità Provvisoria (tolto /SAFEBOOT) – vedi sopra
16) riavviato sistema
17) abilitato “ripristino configurazione di sistema” (vedi sopra)
speriamo bene!!!!
Permessi di invio
Rispondi quotando