w32/lexi.worm.....help!

**nik999** · 27-01-2003, 19:28

Salve a tutti, ho beccato questo virus: "w32/lexi.worm" e mi ha infettato questo file: (percorso corretto)WINNT\sistem32\win32load.exe\WIN32LOAD.EX E
Scusate ma non mi intendo troppo di virus....e quello che non capisco
è il "WIN32LOAD.EXE" (maiuscolo), perchè il "win32load.exe" (minuscolo)l'ho trovato dentro la cartella e McAffe mi dice (non potendolo ne' eliminare, ne' pulire) di eliminarlo e sostituirlo con una copia non infetta. Io non so a cosa serve questo file, non vorrei far casino eliminandolo !! Consigli??
Grazie a tutti.
N.

**Bilancino** · 27-01-2003, 20:29

WORM_NETSPREE.A

Si riconosce della presenza dei files:

1. Lcp_Netbios.dll
2. Psexec.bat
3. Psexec.exe
4. Psexecsvc.exe
5. Win32load.exe

http://securityresponse.symantec.com...pree.worm.html

Ciao

**nik999** · 27-01-2003, 21:53

Scusa Bilancino...ma che devo fare ? potresti essere meno conciso?
Abbi pazienza cono un profano......devo eliminare quei files che mi hai elencato?..ti prego sii più chiaro

**Bilancino** · 27-01-2003, 21:59

Rimozione manuale:

<a Teminazione del processo virus : (nel caso di Win Me/Xp disabilitare il system restore)

<1 Nel caso di Windows NT/2000/XP premere CTRL+SHIFT+ESC per visualizzare tutti i processi attivi. Chiudere il processo(i) associato(i) al virus. Chiudere il task manager di windows e riaprirlo per verificare che il processo(i) sia(no) chiuso(i), se la verifica è positiva si può chiudere il task manager di windows

<2 Nel caso di windows 98/Me usare un programma tipo Winpatrol per effettuare lo stesso procedimento perché il task manager di windows 98/Me non mostrano tutti i processi attivi.

<b Rimozione delle chiavi e dei file del virus

<3 Start ---> Esegui --->; Regedit

<4 Andare nella seguente posizione nel registro:

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run

Nella parte destra della finestra del registro individuare la chiave e rimuoverla Windows Subsys

<5 Andare nella seguente posizione nel registro:

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Runservice

E rimuovere nella parte destra della finestra la chiave Windows Subsys

<C Ripristino dei valori nel registro

Se non si è stato potuto terminare i processi relativo al virus riavviare il sistema.

<6 Start ---> Esegui ---> Regedit

<7 Andare nella seguente posizione nel registro:

HKEY_LOCAL_MACHINE>System>Current Control Set>
Control>Lsa

Nella parte destra della finestra individuare la chiave restrictanonymous e modificare il valore inserendo 0

<8 Chiudere il registro e riavviare

Come ultimo passo basta cancellare i file del virus WORM_NETSPREE.A usando una scansione con l’antivirus aggiornato così sarà lui a trovare i files e a rimuoverli. Se l'aggiornamento del tuo antivirus non è disponibile cancellali a mano.

Oppure prova questo tool:

http://www.trendmicro.com/download/tsc.asp

scarica anche le ultime firme (pattern file) della trend micro e metti il tutto in una directory........

Il tutto deve essere fatto senza essere collegati ad internet.

**nik999** · 27-01-2003, 23:01

Bilancino, non sei un grande...SEI UN TITANO !! HO fatto come mi hai detto e l'ho eliminato. Mi inchino davanti a tale sapienza.....grazie di cuore.
N.

**nik999** · 27-01-2003, 23:28

Scusa se approfitto ancora...ma ho saputo che IIS è un veicolo piuttosto vulnerabile per questi "ragnacci"..non avresti qualche dritta ?
nik.

**Bilancino** · 27-01-2003, 23:32

Fare un windows update per le vulnerabilità sulla sicurezza e se si usa una password di condivisione questa deve essere complicata e non semplice.

Ciao

**nik999** · 28-01-2003, 00:46

grazie ancora BIL, ALLA PROX

Discussione: w32/lexi.worm.....help!

Strumenti discussione

Ricerca discussione

Visualizza

w32/lexi.worm.....help!

Permessi di invio