win32/Hidrag

[tittula]

Pare noto anche come jeefo e PE_JEEFO.A

La cosa bella è che non trovo nulla su questo virus ne nel sito della symantec ne negli altri.

Questo è tutto ciò che so

http://www.globalhauri.com/html/supp...ode=VRW3000443

http://www.avp.ch/avpve/newexe/win32/hidrag.stm

oltre che avg non sembra troppo interessato a rimuoverlo, anche se me lo segnala.

Il file exe infetto si trova nella cartella System restor di D, quindi ho dovuto far visualizzare i file di sistema, e poi aggiugnermi all'accesso di questa cartella, perchè non mi ci faceva entrare.

Ora che faccio lo cancello e basta o ci sono altre operazioni da fare?
Non sono riuscito a trovare nessun tool di rimozione.

[Habanero]

non è che AVG non te lo elimina proprio perchè è in system restore?
prova a disabilitare system restore e poi a far ripartire la scansione.

http://service1.symantec.com/SUPPORT...rc=sec_doc_nam

[tittula]

Grazie Haba, in effetti avevo provato come hai detto tu e poi a far la scansione in modalità provvisoria, solo che ora non me lo riconosce più come virus. E avg non manda più alert.

Mah ancora non sto tranquillo.

[amvinfe]

Come scritto da Habanero, se ti viene segnalato nella cartella del System Restore nessun antivirus ha la possibilità di accedere a tale cartella, proprio perchè trattasi di cartella protetta. Habanero ti ha suggerito di disattivare il System Restore, questo per far sì che files del virus vengano cancellati assieme ai punti di ripristino.
Per vedere se il virus ha aggiunto valori nel registro portati in
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>RunServices
e verifica se è presente il valore
PowerManager = “%Windows%/SVCHOST.EXE”
nel caso lo elimini.
http://www.trendmicro.com/vinfo/viru...EEFO.A&VSect=T
http://www.sophos.com/virusinfo/analyses/w32jeefoa.html
http://www3.ca.com/virusinfo/virus.aspx?ID=35519
http://securityresponse.symantec.com...w32.jeefo.html

Non esistono tool specifici per la sua rimozione.


Marco(amvinfe)

[tittula]

No sembra che nel registro quel valore non ci sia.

A questo punto mi tranquillizzo, se ho nuovi .. incontri ravvicinati con questo "sconosciuto" vi farò sapere. Certo è che il file A0002814.exe sta ancora là (in questa cartella D:\System Volume Information\_restore{33364FFA-D0B3-4461-939A-3F07073CF822}\RP13) solo che non lo riconosce più come virus. Può essere che il "miracoloso" avg lo abbia ...guarito??? :gren:

Grazie Marco e Haba

Cacchio ho appena notato che su avevo scritto nella cartella System restore invece che System volume information ...
scusate tanto spero non cambi nulla nella sostanza dell'intervento.