C:\WINDOWS\system32\slvchost32.exe is infected with W32.Spybot.Worm

[vodafone]

mmm

non riesco a rimuoverlo (o pulirlo)!

[amvinfe]

riavvia in modalità provvisoria ed esegui la scansione con Norton da questa modalità.

[n3n0oo]

Prova facendo:

Start/esegui/regedit

ti si apre una finestra clicca su modifica/trova scrivi la il nome del virus o worm o trojan che sia, e fagli fare una ricerca, cancella tutti i file trovati, dopo averli eliminati fai F3 e se te trova altri, elimina anche quelli.

PERO OCCHIOOOO

prima accertati (facendo una ricerca su google) che siano effettivamente worm, virus o trojan...ti avviso che eseguendo il procedimento che t'ho detto io, vai a cancellare file direttamente dal registro di sistema...quindi se cancelli qualche cosa i sbagliato mandi a quel paese il S.O.

Fammi sapere,

[amvinfe]

il worm spybot inserisce valori nelle chiavi del registro, .dll, .exe inoltre se usi programmi P2P cerca nel disco la cartella dove il nome o parte di esso sia share ed inserisce una lunga lista di .exe, mi spieghi dal regedit come fa a trovarli?

[billiejoex]

Ma per favore... ancora col metodo F3 del regedit?? Siamo seri su! Non esiste metodo più primitivo (e inutile) per risolvere un problema inerente il sistema.

[vodafone]

ho trovato il modo come rimuovere questo worm

http://securityresponse.symantec.com...ybot.worm.html

solo che seguendo le istruzioni ancora non sono riuscito a rimuoverlo...

in paricolare:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce (vedi allegato)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
RunServices (nessun valore trovato)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run (nessun valore trovato)
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
RunServices (nessun valore trovato)
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce (nessun valore trovato)
HKEY_CURRENT_USER\Software\Microsoft\OLE (nessun valore trovato

inoltre non ho capito bene che cosa bisogna fare quando si arriva al punto 6 del link, cioè

6. To delete the zero-byte files from the Startup folder
Follow the instructions for your version of Windows :

Note: There may be legitimate files on your system that start with "tftp." Delete only the zero-byte files from the Startup folder.

To delete zero-byte files in Windows XP
On the Windows taskbar, click Start > Search.
Click All files and folders.
In the "All or part of the file name" box, type, or copy and paste, the following file name:

tftp*.*


Make sure that "Look in" is set to "Local Hard Drives" or to (C.
Click More advanced options.
Check Search system folders.
Check Search subfolders.
Click Search.
Delete the files that are zero-bytes in size and contained within any folder whose name ends with "Startup."

[n3n0oo]

vodafone fatti aiutare da...billiejoex

Ma per favore... ancora col metodo F3 del regedit?? Siamo seri su! Non esiste metodo più primitivo (e inutile) per risolvere un problema inerente il sistema.

Vodafon io il mio consiglio te l'ho dato...solo che non tutti sono d'accordo con me...dicono che so primitivo....però sul sito della Symantec (scusa se è poco)...verso la fine spiega come cancellarlo, e guarda caso risorge il buon vecchio regedit!!!

5. To delete the value from the registry
WARNING: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify only the specified keys. Read the document, "How to make a backup of the Windows registry," for instructions.

On the Windows taskbar, click Start > Run.
Type the following:

regedit


Click OK.


In the Registry Editor, navigate to the following key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run


In the right pane, delete any values that refer to the file name that was detected as infected with W32.Spybot.Worm.


Navigate to the following keys and, in the right pane, delete any values that reference the file name in step e:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\OLE


Exit the Registry Editor.

[billiejoex]

Vodafon io il mio consiglio te l'ho dato...solo che non tutti sono d'accordo con me...dicono che so primitivo....però sul sito della Symantec (scusa se è poco)...verso la fine spiega come cancellarlo, e guarda caso risorge il buon vecchio regedit!!!

Sul sito della symantec viene suggerita una procedura di disinfezione ben precisa, indicando chiavi di registro ben precise. Non suggeriscono di aprire il regedit, usare la ricerca, e cancellare indiscriminatamente qualunque stringa abbia lo stesso nome del worm, come hai fatto tu!

E se il mio worm si chiamasse explorer? Cosa faccio? Mi metto a cancellare tutte le chiavi di registro che contengono questo nome?

La tua è una tecnica che potrebbe funzionare, avendo un po' di fortuna, in certi casi, ma non è certo da manuale. Altrimenti la Symantec non suggerirebbe, per ogni worm, una procedura di disinfezione differente, non credi?

[n3n0oo]

mai nesun sito o azienza ti dirà mai di andare a fare un ricerca nei file rigistro del sistema operativo...la prova che ho suggetito io di fare non sempre va a buon fine proprio come dici te...però provare non nuoce...se facendo una ricerca ti trova il worm e lo cancelli risolvi altrimenti procedi il altre maniere...ma è sempre una prova valida da effettuare anche se obsoleta come dite voi!!!

[billiejoex]

la prova che ho suggetito io di fare non sempre va a buon fine proprio come dici te...però provare non nuoce

Provare può nuocere eccome. Se symantec fornisce un database in cui viene descritto il metodo di disinfezione di quasi ogni tipo virus mi vuoi dire perchè dovrei procedere come dici tu? :|