processi anomali: winkktw.exe e winkczm.exe

[ironcut]

ciao

nel picci di una mia amica con win2000, si stanno verificando dei fatti strani che credo riconducibili ad un attacco di non so bene che tipo...

in questo momento il picci non riesce più a leggere correttamenti i doc di word più vecchi, word li apre ma è come se fossero in esadecimale o chessoio, tutti i doc che non legge hanno la stessa data.

tra i processi attivi oltretutto ce ne sono due nuovi:
winkktw.exe
winkczm.exe

che ogni 10/15 secondi si succhiano la cpu e di fatto rallentano tutta la macchina!

qualcuno sa dirmi di cosa si tratta o dove trovare info per cercare di aiutarla?

merci

[3zzz]

Originariamente inviato da ironcut
tra i processi attivi oltretutto ce ne sono due nuovi:
winkktw.exe
winkczm.exe

Glab... su google non dà nulla cercando questi due nomi

[Al è qui]

In linea di massima dovrebbe essere Klez.

[amvinfe]

Originariamente inviato da Al è qui
In linea di massima dovrebbe essere Klez.

Esatto Al,
aggiunge nella chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr ent Version\Run
il valore wink???.exe dove i ? sono tre lettere casuali.
La ricerca va fatta ovviamente anche in C:\Windows\System

Marco(amvinfe)
P.S.
Dimenticavo, questa procedura va fatta per i S.O. 9x ME 2000 XP in modalità provvisoria, da controllare anche in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es .

[3zzz]

Originariamente inviato da amvinfe

il valore wink???.exe dove i ? sono tre lettere casuali.

Geniale! Io non avendolo trovato su google come virus non gli avrei mai dato importanza

[amvinfe]

Originariamente inviato da 3zzz



Geniale! Io non avendolo trovato su google come virus non gli avrei mai dato importanza

Non sempre Papà Google può aiutarci, ma se di volta in volta ci studiamo le caratteristiche di quei worms\viruses\trojans che più di tutti hanno creato problemi, tutto risulta più semplice.

Marco(amvinfe)

[ironcut]

Originariamente inviato da amvinfe


Esatto Al,
aggiunge nella chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr ent Version\Run
il valore wink???.exe dove i ? sono tre lettere casuali.
La ricerca va fatta ovviamente anche in C:\Windows\System

Marco(amvinfe)
P.S.
Dimenticavo, questa procedura va fatta per i S.O. 9x ME 2000 XP in modalità provvisoria, da controllare anche in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es .

non so esattemente cosa sia un klez!? un virus? potrebbe essersi infettata usando winmx?


cmq mi basta cancellare le righe relative in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr ent Version\Run ed eventualmente in C:\Windows\System per eliminarlo?

e per i doc word corrotti? sono portatori sani del klez? sono recuperabili?



cmq grazie davvero

[amvinfe]

No è un worm, quasi sempre (!) i danni che arreca Klez sono irrimediabili, oltre alla chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Wi
ndows\Current Version\Run ,come modificato, controlla anche la HKEY_LOCAL_MACHINE\System\CurrentControl
Set\Services .
E prova comunque, dalla modalità provvisoria a lanciare questo fix
http://www.bitdefender.com/download/...e=AntiKlez.exe
NON CONNESSO ALLA RETE!
Ciao.
Marco(amvinfe)

[ironcut]

ok, ora mi è molto più chiaro, anche se mi rimane un dubbio!



i doc, anche se non recuperabili, sono portatori sani del worm?





cmq grazie ancora

[amvinfe]

Originariamente inviato da ironcut
ok, ora mi è molto più chiaro, anche se mi rimane un dubbio!



i doc, anche se non recuperabili, sono portatori sani del worm?





cmq grazie ancora

Tutti i files che vengono infettati vanno rimossi, qualora non si riuscisse a ripulirli, in quanto vengono modificati fino a renderli inutilizzabili.
Quindi se non hai una copia "sana" degli stessi devono esssere cancellati.

Marco(amvinfe)