W32.spybot.worm

[Nounours]

Salve a tutti sono 3 giorni che ogni sera alla stessa ora esce la schermata rossa di norton che dice che il file britney_spears_game.exe oppure il file dragonball_z eccc... è infetto dal visus w32.spybot.worm .. ho letto in giro che è un virus che si propaga tramite programmi di condivisione file... ma il mio problema è che io sul mio pc non ho mai istallato nessuno di questi programmi (Kazza, winmx, oppure ecc.. ) poi ho visto nel registro di sistema e in particolare nelle voci

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunOnce

se ci fosse qualche voce attinente al virus e invece non c'e nulla ...

Come faccio per eliminare quel visus cattivo??? e cosa potrebbe causare al mio pc???

[amvinfe]

Fai una ricerca di questi files che vengono aggiunti dal worm
wupdate.exe
5py.exe
taskmger.exe
msupdate32.exe
mswin32.exe
e queste chiavi
Wupdate driver = wupdate.exe
Wupdate driver = 5py.exe
Winsock2 driver = taskmger.exe
Microsoft Update 32 = msupdate32.exe
Winsock2 driver = mswin32.exe
in
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Run

HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>RunOnce


Se hai XP o ME disabilita il System Restore (o come lo si voglia chiamare "ripristino di configurazione di sistema")

Marco(amvinfe)

[Nounours]

Originariamente inviato da amvinfe



Se hai XP o ME disabilita il System Restore (o come lo si voglia chiamare "ripristino di configurazione di sistema")

Marco(amvinfe)

come si fa?

[tittula]

tasto dx su risorse del computer e selezioni proprietà (oppure alt+invio sempre su risorse del computer), vai in "ripristino configurazione sistema" e disabilitalo.

[Nounours]

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Run

Quì ho trovato
Nome: Predefinito Tipo: reg_sz Dati:valore non impostato
Nome: NAV Agent Tipo: reg_sz Dati:crogrammi/norton ecc...

e qui:

HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>RunOnce

Nome: Predefinito Tipo: reg_sz Dati:valore non impostato


che vuol dire? il norton non mi rileva nulla quando faccio la scansione ma nel registro delle attività mi dice:

************************************************** *******************

Data: 02/09/2003, Ora: 21.51.22, Guest su ERIKA-GRANDE
Il file
C:\DOCUMENTS AND SETTINGS\ALL USERS\DOCUMENTI\Britney_Spears_Game.exe
è infettato dal virus W32.Spybot.Worm.
Impossibile riparare questo file.


Data: 02/09/2003, Ora: 21.51.22, Guest su ERIKA-GRANDE
Il file
C:\DOCUMENTS AND SETTINGS\ALL USERS\DOCUMENTI\Britney_Spears_Game.exe
è infettato dal virus W32.Spybot.Worm.
L'accesso al file è stato negato.


Data: 02/09/2003, Ora: 21.51.36, Guest su ERIKA-GRANDE
Il file
C:\explorer.exe
è infettato dal virus W32.Spybot.Worm.
Impossibile riparare questo file.


Data: 02/09/2003, Ora: 21.51.36, Guest su ERIKA-GRANDE
Il file
C:\explorer.exe
è infettato dal virus W32.Spybot.Worm.
L'accesso al file è stato negato.


Data: 02/09/2003, Ora: 21.51.50, Guest su ERIKA-GRANDE
Il file
C:\Britney_Spears_Game.exe
è infettato dal virus W32.Spybot.Worm.
Impossibile riparare questo file.


Data: 02/09/2003, Ora: 21.51.50, Guest su ERIKA-GRANDE
Il file
C:\Britney_Spears_Game.exe
è infettato dal virus W32.Spybot.Worm.
L'accesso al file è stato negato.


Data: 02/09/2003, Ora: 21.52.00, Guest su ERIKA-GRANDE
Il file
C:\Documents and Settings\erika\Desktop\Britney_Spears_Game.exe
è infettato dal virus W32.Spybot.Worm.
Impossibile riparare questo file.


Data: 02/09/2003, Ora: 21.52.00, Guest su ERIKA-GRANDE
Il file
C:\Documents and Settings\erika\Desktop\Britney_Spears_Game.exe
è infettato dal virus W32.Spybot.Worm.
L'accesso al file è stato negato.

Data: 03/09/2003, Ora: 21.56.26, Guest su ERIKA-GRANDE
Il file
C:\DOCUMENTS AND SETTINGS\ALL USERS\DOCUMENTI\Britney_Spears_Game.exe
è infettato dal virus W32.Spybot.Worm.
L'accesso al file è stato negato.


Data: 03/09/2003, Ora: 21.56.48, Guest su ERIKA-GRANDE
Il file
C:\explorer.exe
è infettato dal virus W32.Spybot.Worm.
Impossibile riparare questo file.


Data: 03/09/2003, Ora: 21.56.48, Guest su ERIKA-GRANDE
Il file
C:\explorer.exe
è infettato dal virus W32.Spybot.Worm.
L'accesso al file è stato negato.


Data: 03/09/2003, Ora: 21.57.06, Guest su ERIKA-GRANDE
Il file
C:\Britney_Spears_Game.exe
è infettato dal virus W32.Spybot.Worm.
Impossibile riparare questo file.


Data: 03/09/2003, Ora: 21.57.06, Guest su ERIKA-GRANDE
Il file
C:\Britney_Spears_Game.exe
è infettato dal virus W32.Spybot.Worm.
L'accesso al file è stato negato.


Data: 03/09/2003, Ora: 21.58.14, Guest su ERIKA-GRANDE
Il file
C:\Documents and Settings\erika\Desktop\Britney_Spears_Game.exe
è infettato dal virus W32.Spybot.Worm.
Impossibile riparare questo file.


Data: 03/09/2003, Ora: 21.58.14, Guest su ERIKA-GRANDE
Il file
C:\Documents and Settings\erika\Desktop\Britney_Spears_Game.exe
è infettato dal virus W32.Spybot.Worm.
L'accesso al file è stato negato.


Data: 05/09/2003, Ora: 20.11.56, Guest su ERIKA-GRANDE
Il file
C:\explorer.exe
è infettato dal virus W32.Spybot.Worm.
Impossibile riparare questo file.


Data: 05/09/2003, Ora: 20.11.56, Guest su ERIKA-GRANDE
Il file
C:\explorer.exe
è infettato dal virus W32.Spybot.Worm.
L'accesso al file è stato negato.


Data: 05/09/2003, Ora: 20.12.02, Guest su ERIKA-GRANDE
Il file
C:\DragonBall-Z_Game_Unreleased.exe
è infettato dal virus W32.Spybot.Worm.
Impossibile riparare questo file.


Data: 05/09/2003, Ora: 20.12.02, Guest su ERIKA-GRANDE
Il file
C:\DragonBall-Z_Game_Unreleased.exe
è infettato dal virus W32.Spybot.Worm.
L'accesso al file è stato negato.

************************************************** ******************


e ieri la schermata del norton che mi avvertiva del virus non è uscita.. sarà forse perchè ho istallato Zone Alarm? :master:

help ...

[amvinfe]

Alquanto strana la cosa, comunque leggiti questa discussione, tratta dello stesso tuo problema. Nell'ultimo post troverai la stessa soluzione che hai adottato tu installando ZoneAlarm.

Una curiosità puoi vedere se nella tua macchina è presente questo file DLDER.EXE e nel caso se è anche presente in
HKLM\SOFTWARE\Microsoft\windows\currentversion\run


Marco(amvinfe)
P.S.
Dimenticavo,
visto che ora hai installato anche un Firewall, controlla dai logs se hai richieste di traffico dalle porte 17300 e/o 27374