Novarg Worm

[horusbird]

Il pc che ho in ufficio deve aver beccato il novarg.
I sintomi sono:

1) all'avvio del pc vengono inviate decine di mail, me ne accorgo da norton che scansiona la posta in uscita anche se la cartella di posta in uscita e' vuota e qualche server blocca il msg dicendo che e' infetto da Novarg.

2) Outlook non riesce acollegarsi a nessun pop (non risolve i server).


Ho scaricato da BitDefender il tool relativo (w32Mimail) ma fatta la scansione non trova nulla!!!

Qualche aiuto su come procedere?

Grazie

[Dwarf]

http://forum.html.it/forum/showthrea...hreadid=590488


Il virus è presente nelle definizioni del virus rilasciate ieri

[Dwarf]

Originariamente inviato da horusbird



Ho scaricato da BitDefender il tool relativo (w32Mimail) ma fatta la scansione non trova nulla!!!

Mimail è un virus Novarg un altro e quindi dubito che il fix creato per un virus ne rilevi uno diverso

Qui trovi tutto fix e istruzioni: http://securityresponse1.symantec.co...varg.a@mm.html

[horusbird]

Originariamente inviato da Dwarf
Mimail è un virus Novarg un altro e quindi dubito che il fix creato per un virus ne rilevi uno diverso

Qui trovi tutto fix e istruzioni: http://securityresponse1.symantec.co...varg.a@mm.html

Il tool della symantec si blocca ..
Ho appena scaricato dalla computer associated international il tool per win32/shing.worm e fina ad ora ha trovato TASKMON.EXE infetto (l'ha interrotto) e shimgapi.dll in windows/system e l'ha "curato" has been cured.

Ora come procedo? se TASKMON e' infetto devo fare qualcosa o il clean fa da solo?

grazie ancora

[amvinfe]

Originariamente inviato da horusbird
Il tool della symantec si blocca ..
Ho appena scaricato dalla computer associated international il tool per win32/shing.worm e fina ad ora ha trovato TASKMON.EXE infetto (l'ha interrotto) e shimgapi.dll in windows/system e l'ha "curato" has been cured.

Ora come procedo? se TASKMON e' infetto devo fare qualcosa o il clean fa da solo?

grazie ancora

Una volta che hai riavviato controlla se in queste chiavi HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ Run HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Run è ancora presente questa voce
TaskMon = taskmon.exe
se hai Win98 o ME ( ) controlla se in questa chiave HKEY_CLASSES_ROOT \CLSID \{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32 (apri la cartella InProcServer32 e guarda nel pannello di dx) la libreria dinamica infetta shimgapi.dll è stata effettivamente sostituita dal valore esatto "C:\WINDOWS\SYSTEM\WEBCHECK.DLL"

[horusbird]

Originariamente inviato da amvinfe
Una volta che hai riavviato controlla se in queste chiavi HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ Run HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\ Run è ancora presente questa voce
TaskMon = taskmon.exe
se hai Win98 o ME ( ) controlla se in questa chiave HKEY_CLASSES_ROOT \CLSID \{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32 (apri la cartella InProcServer32 e guarda nel pannello di dx) la libreria dinamica infetta shimgapi.dll è stata effettivamente sostituita dal valore esatto "C:\WINDOWS\SYSTEM\WEBCHECK.DLL"

Taskmon.exe e' presente mentre la chiave era ancora shimgapi.dll; l'ho allora sostuita come da tue indicazioni con webcheck.dll.

Ora testo la macchina per un po' per vedere se e' tutto a posto.

Grazie infinite delle informazioni.

[horusbird]

Solo una curiosita':
visto che non apro MAI gli allegati.. come ho fatto beccare questo worm?

[amvinfe]

Condivisione file e cartelle? Che sistema operativo hai Win98?
La stringa da aggiungere in HKEY_CLASSES_ROOT \CLSID \{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32 è così come l'ho scritta "C:\WINDOWS\SYSTEM\WEBCHECK.DLL"
Se il problema persiste riavvia il pc in modalità provvisoria, fai nuovamente la scansione con il fix_tool
Ti ricordo inoltre che il valore TaskMon = taskmon.exe nelle chiavi HKEY_LOCAL_MACHINE\Software\Microsoft\Wi
ndows\CurrentVersion\ Run HKEY_CURRENT_USER\Software\Microsoft\Win
dows\CurrentVersion\ Run non deve esserci! Cliccaci di dx ed eliminala.

[amvinfe]

Per non avere troppe discussioni aperte che riguardano lo stesso problema, chiudo questo 3d pregandoti di continuare nel 3d in rilievo Grazie
http://forum.html.it/forum/showthrea...hreadid=591463