virus VBS.Haptime.A@mm

[kromos]

Visitando il sito:
http://digilander.libero.it/nudismo/...ge/croazia.htm
NAV2001 mi ha segnalato:

Il file
C:\Documents and Settings\Administrator\Impostazioni locali\Temporary Internet Files\Content.IE5\9TSGSSN8\amici1[1].htm
è infettato dal virus VBS.Haptime.A@mm.
L'accesso al file è stato negato.

Smanettando per cancellare questo file, le finestre dello schermo hanno cominciato ad impazzire. Resettato il sistema mi è comparsa una finestra del NAV, grigia ma con una banda rossa nella quale compariva qusta scritta: "E' il momento di aggiornare la protezione antivirus altrimenti il sistema potrebbe non essere protetto contro i nuovi virus scoperti".

Domanda 1 : è una genuina finestra del NAV ?
Domanda 2 : cosa posso fare per ringraziare il titolare del sito?

Il mio pattern data 14.08.02. Cliccando Live Update da NAV, mi risponde che tutti i sistemi Symantec sono aggiornati (ma non è vero ...).

Per scrupolo ho fatto la ricerca dei files notoriamente creati dal virus, ma non li ho trovati.
Negativa anche la scansione online con Housecall.

Lo sfarfallamento delle finestre si è presentato ancora due volte, e oggi ho trovato lo schermo nero e ho dovuto resettare. Di fatto, sarà anche una coincidenza, il sistema (ho W2000) è instabile dopo quel giorno. Quali possono essere le cause?
Grazie
kromos

[Al è qui]

Questo worm è difficilmente localizzato in pagine web. La cosa principale da fare è sicuramente una scansione con firme aggiornate a sistema fermo. Da dischetto per intenderci.

[Al è qui]

Dimenticavo un link importante nel caso tu fossi infetto.

http://www.symantec.com/avcenter/ven...time.a@mm.html

[Dwarf]

Tempo fa pure io ho trovato un sito web infetto da questo virus, è stato sufficiente svuotare la cartella dei files temporanei.

[kromos]

...perfetto, grazie.
qualcuno comunque mi può confermare se la finestra di avviso che compare al restart è veramente del NAV o è fasulla?
Grazie
kromos

[kromos]

Vi sarei veramente grato se poteste rispondere al quesito posto circa la finestra. Non ho infatti la possibilità di fare in tempi brevi una scansione con dischetto e pattern aggiornato.
Chiedo inoltre di sapere se l'infezione può esistere anche in assenza dei file normalmente associati a questo virus, come nel mio caso.
E se è normale che il Live Update mi dica che è tutto aggiornato mentre il NAV2001 mi dice il contrario (per la cronaca il servizio di aggiornamento è attivo per altri 125 gg). Reinstallare il NAV2001 risolverebbe qualcosa?
Grazie
kromos

[amvinfe]

Non è una falsa finestra di NAV che Haptime apre, almeno da quello che ho trovato sulla descrizione del virus. Come ti suggeriva Al è qui, forse ti conviene fare la scansione con il fix, sicuramente se decidi diversamente dovrai spendere più tempo dopo per formattare e reinstallare tutto, visto che questo virus è del tipo distruttivo. Tanto per capirsi, ad esempio, cancella i files con estensione .exe
ma non sono i soli a sparire dal disco.
I files che hai controllato sono per caso:
HELP.HTA, HELP.VBS, HELP.HTM, and UNTITLED.HTM ?

Hai controllato anche nelle chiavi di registro la presenza di files riconducibili ad Haptime?

HKCU\Control Panel\Desktop\wallPaper=%WinDir%\HELP.HTM

HKCU\Identities\(User ID)\Software\Microsoft\
Outlook Express\5.0\Mail\Message Send HTML="1"

HKCU\Identities\(User ID)\Software\Microsoft\
Outlook Express\5.0\Mail\Compose Use Stationery="1"

HKCU\Identities\(User ID)\Software\Microsoft\
Outlook Express\5.0\Mail\Stationery Name="%WinDir%\Untitled.htm"

Poi per mia pura curiosità prova a vedere se hai presente questi files:
kak.hta in Start>Esecuzione Automatica e del file
kak.htm in C:\WINDOWS

Dal tuo primo post si legge che hai la versione 5 di IE, siccome questo virus sfrutta i numerosi bugs delle vecchie versioni del browser della Microsoft, la macchina è aggiornata con le relative patch?
Ciao
Marco(amvinfe)