ciao a tutti.. come da titolo domani dovrò rimuovere il worm spybot da un pc (con win XP) di un amico.
ho letto come fare e non c'è problema..
l'unica perplessità che ho è questa:
io glielo rimuovo ma poi devo aggiornare il win xp via internet perciò penso che me lo ribeccherò..(ho letto che è molto diffuso e attacca facilmente..)
perciò dovrò rimuovere + aggiornare + successiva scansione per vedere di nn averlo ripreso nel frattempo?
ciao.. scusate se ho detto una banalità.
simone
Il virus sfrutta la stessa vulnerabilità di RPC/DCOM usata da MSBlaster.
Devi ovviamente installare la patch di sicurezza:
http://www.microsoft.com/technet/sec.../MS04-012.mspx
scegli correttamente sistema operativo lingua prima di scaricarla.
Se devi collegarti a internet usando il pc privo di patch (utile per scaricarla per esempio) puoi usare un firewall, va bene anche quello di XP se usi tale SO.
Con il FW puoi connetterti a internet anche senza patch.
In ogni caso ti consiglio di eseguire un windows update completo.
Leggi il REGOLAMENTO!
E' molto complicato, un mucchio di input e output, una quantità di informazioni, un mucchio di elementi da considerare, ho una quantità di elementi da tener presente...
Drugo
grazie mille per la risposta..
allora scarico la patch dal mio computer e sul suo computer rimuovo e applico la patch offline.
poi lo aggiornerò online quando sarà sano.
grazie ancora,
simone
ciao a tutti.
la situazione è tragica.
ho notato che il pc è infetto da una marea di virus
oltre che ad essere infettato da spybot.worm , che ho tentato di rimuovere ma che sistematicamente viene trovato da norton (pur avendo disattivato il ripristino configurazione di winXP e patchato con la patch suggeritami da habanero), il computer è infettato con Collected.AE (se ne parla sul forum solo in questo thread , e i link suggeriti non spiegano come eliminarlo, perchè parlano di un altro virus TROJ_worm.AE );
ho notato una grossa attività di invio mail a indirizzi sconosciuti (6-8 mail al minuto )
successivamente norton ha segnalato la presenza di Korgo.V (sul sito symantec si accenna solo a Korgo.A fino a R)
ed infine l'antivirus AVG ha segnalato la presenza di un trojan Podobot
chiedo cortesemente aiuto a tutti, soprattutto a fivendra che ha avuto a che fare con collected.AE
grazie, simone
presumo tu abbia fatto la scansione dalla modalità provvisoria?!?
Verifica se è presente nel disco il file index.exe, nel caso vi fosse è da attribuire a lui la principale causa dell'infezione. Ti ricordo inoltre che il trojan Collected.AE è sintomo d'infezione da Sasser.
Controlla che nella cartella PREFECHT non siano presenti i files:
INDEX.EXE-26720087.pf
IUS.EXE-15169AAC.pf
FTP.EXE-0FFFB5A3.pf
nel caso li elimini, sempre dalla provvisoria.
Ricordati, se già non l'hai fatto, di svuotare il contenuto delle cartelle TEMP, cookies e soprattutto Temporary internet files proprio in questa cartella potrebbero trovarsi files infetti, ad es.
index[1].exe
x[1].exe
Infine sarebbe utilie sapere nelle chiavi Run (almeno) quali sono i processi attivi, meglio se riesci a fare uno screenshot
domani o mercoledi dovrò andare di nuovo "all'attacco"
grazie per le informazioni!
oggi ho scoperto solamente che, come già accennato nei post riguardanti collected.AE, viene creato un file installer.exe in C:\\documents and settings \nome_user\impostazioni locali\temp\installer.exe
e nella stessa cartella viene creato un notepad.exe
se avete altre informazioni al riguardo scrivete pure.. poi tra due giorni io posterò lo screenshot da casa di questo mio vicino di casa.
ciao, grazie
simone
edit: si la scansione era da modalità provvisoria.
infatti, le cartelle cookies, temporary e temp sono le prime che si devono svuotare
inoltre, usa se già non l'hai fatto Stinger capace di rimuovere le varianti Korgo, Sasser, Blaster e molti altri. Va usato dalla provvisoria e con l'antivirus disattivato
grazie mille..
i file temporanei ingenuamente nn li avevo cancellati.
non sapevo dell'esistenza di stinger, d'altra parte nn avevo mai avuto a che fare con un virus.
buona serata, simone
nel caso dovessi avere problemi e proprio non sai come rimuovere l'infezione, in Rilievo qui in questa sezione del forum all'interno del 3d -links utili- puoi scaricare HijackThis (c'è anche un tutorial) serve per capire cosa parte in avvio nel computer. Posta il log.
Permessi di invio
Rispondi quotando