Me lo sono ritrovato ieri sera, ma credevo di averlo messo in quarantena.
Stamattina invece accendendo il pc mi sono ritrovato di fronte ad una finestra mai vista che mi faceva mettere in quarantena di nuovo quei file.
Che voi sappiate, e' molto dannoso?
Non è molto invasivo, segui queste istruzioni:
1. Update the virus definitions.
2. Run a full system scan, and delete all files that are detected as Trojan.Poldo.
3. Delete the values
MSConfigr
VirusCheckII
from the registry keys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices
NOTE: The RunServices key does not exist on all computers.
4. Delete the value
OEMCurrentVersion
from the registry key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
Inoltre non dimenticare l'aggiornamento dell'Av.
Topolin, Topolin, viva Topolin!
Non e' che ci ho capito molto, cmq ho cercato la voce poldo nel registro. non ho trovato niente.
Ho distattivato tutte le voci "strane" da msconfig
Ora sto facendo una scansione del sistema, tanto ogni mattina aggiorno il computer con il live update
Hai controllato le chiavi del registro?
Topolin, Topolin, viva Topolin!
regedit??Originariamente inviato da Al è qui
Hai controllato le chiavi del registro?
se e' quello ho cercato la voce poldo...
fatto bene?
Devi cercare la chiave indicata sopra e cancellare il valore che ti dice nella spiegazione che ho postato.
Topolin, Topolin, viva Topolin!
Poldo è un soprannome, i file exe che devi cercare sui file di registro sono JDBGMRG.EXE E AVIRCHK.EXE
Sono alle prese anche io da due minuti con questo virus, e spero come te di poterlo togliere.La bestia di Pcillin non mi segnala nulla...
In questo modo ho eliminato tale trojan definitivamente già da 4 PC
Procedura per eliminare il trojan poldo con windows 95/98
Ci vuole solo un pò di conoscenza di comandi dos e del registro
di configurazione,altrimenti LASCIATE STARE fatelo fare a qualcuno che ne capisce
Questo trojan è abbastanza invasivo in quanto crea due file nella directory System dando loro attributi nascosti.
Comunque ecco la procedura
1)Riavviare il pc in modalità dos(start chiudi sessione riavvia in modalità Dos)
2)Apparirà una schermata con scritto c:\>(scrivere) cd windows premere invio
3)avremo quindi c:\>Windows(scrivere)cd system premere invio
3)Apparirà c:\Windows\system
4)Ora scrivere ATTRIB -r -h -s jdbgmrg.exe premere invio
5)Aspettare e scrivere del jdbgmrg.exe premere invio
6)Scrivere ATTRIB -r -h -s avirchk.exe premere invio
7)Aspettare e scrivere del avirchk.exe premere invio
8)Fatto tutto ciò scrivere win premere invio
9)Si caricherà Windows
Cliccare su start - Esegui scrivere regedit(fare prima un backup di tutto il registro )
e poi eliminare SOLTANTO le chiavi riferite a jdbgmrg.exe e a avirchk.exe
Ecco le chiavi
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
Run "MSConfigr" = C:\WINDOWS\SYSTEM\JDBGMRG.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
Run "VirusCheckII" = C:\WINDOWS\SYSTEM\AVIRCHK.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
RunServices "MSConfigr" = C:\WINDOWS\SYSTEM\JDBGMRG.EXE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
RunServices "VirusCheckII"= C:\WINDOWS\SYSTEM\AVIRCHK.EXE
Potrebbe essere creata dal trojan una chiave addizionale:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion "OEMCurrentVersion" = tVersion
Dopo la pulizia del registro cliccare su start-esegui scrivere msconfig portarsi sulla scheda Esecuzione
Automatica e togliere la spunta alle voci riferite a MSConfigr e VirusCheckII.
Riavviare il pc e stare tranquilli che è scomparso
Zoccola informatica in pensione
perfetto ho risolto.
Una curiosità, mi speighi che tipo di attributi sono quelli affibiati al file .exe tramite il comando
ATTRIB -r -h -s jdbgmrg.exe
mi sembrava che i file fossero nascosti e non cancellabili direttamente sotto windows, forse con questi attributi li si rende cancellabili facilmente?
Ciao e grazie!
Con il comando attrib puoi visualizzare o modificare gli attributi di un file, cioe impostare o rimuovere gli attributi assegnati ai file
e alle directory, quali l'attributo di sola lettura(R), di archivio(A), di file di sistema(S) e di file nascosto.(H).Ed è ciò che successo con il trojan poldo il quale una volta entrato in azione ha
creato sul pc tuo o degli altri quei due file dando cosi loro attributi nascosto e di lettura o archivio Cosi:
attrib +h +r +a jdbgmrg.exe
attrib +h +r +a avirchk.exe
Invece noi con la formula generale(Attrib -r-h-s-) abbiamo sprotetto quei file rimuovendo in loro l'attributo nascosto(H)fondamentale per poi eseguire il comando del nomefile.exe, infatti DEL(cancella)non è efficace su un file al quale non siano stati tolti prima gli attributi di sistema(non era il nostro caso) e nascosto(questo era il nostro caso)(Attrib -h-s-) .Nel nostro caso se noi fossimo andati in system da dos e avessimo lanciato
subito il comando DEL nomefile prima di fare (attrib -h-s-r)avremmo
ottenuto "impossibile trovare il file",questo perche essi hanno
attributo nascosto.Se invece il trojan avesse assegnato per esempio al file avirchk.exe attributi di sistema e di archivio(attrib +s+a)
lanciando il comando DEL avirchk.exe prima di fare (attrib -s -a avirchk.exe) avremmo ottenuto "Impossibile eliminare file di sistema.
Permessi di invio
Rispondi quotando