Su un server win2000 server si è installato un file nella directory WINNT/system32/atrib.exe
(con una sola t)
Non è possibile rimuoverlo perchè il sistema lo da in uso. Ma Norton lo segnala come virus e non è in grado di rimuoverlo.
(lo stesso nome di file è presente nell'elenco dei processi in corso e non è possibile stopparlo).
Mi chiedevo come poterlo rimuovere se qualcuno sa delle info a riguardo (sul sito della symantec non ho trovato nulla).
Grazie!
«Nella mia carriera ho sbagliato più di novemila tiri. Ho perso quasi trecento partite. Ventisei volte i miei compagni mi hanno affidato il tiro decisivo e l'ho sbagliato. Nella vita ho fallito molte volte. Ed è per questo che alla fine ho vinto tutto» - Michael Jordan
«Prima ti ignorano, poi ti deridono, poi ti combattono. Poi vinci.» - Gandhi
PREMESSO che non sono la persona più indicata per aiutarti e che di server non capisco nulla, ti dò solo qualche informazione di supporto e lascio ad altri più esperti la risoluzione del tuo problema...
solitamente entrando in modalità provvisoria (digitando f8 all'ok del BIOS e prima che compaia il logo Windows) puoi eliminare, rinominare o terminare processi che altrimenti rimarrebbero in esecuzione...
SE SEI SICURO sia un virus (come, il Norton prima lo riconosce e poi non c'è nel suo database?!), e non un programma interpretato come tale, e vuoi fare veramente pulizia, devi prima disabilitare il System Restore, per toglierlo anche dalla memoria di back-up...
se questo programma viene ugualmente caricato, puoi forse ritrovarlo nella chiave di registro HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENT VERSION\RUN, e là eliminare il valore corrispondente...quindi eliminare il file stesso che così non dovrebbe essere più ricaricato e quindi finalmente può essere eliminato...
fai una scansione e vedi un po'...
Sì dovrebbe essere proprio un virus perchè su un altro server pressochè identico quel file non esiste.
Comunque norton me lo segnala senza dubbio come virus, il suo problema è che non riesce ad eliminarlo.
Ho seguito la tua indicazione di provare a cancellarlo in modalità provvisoria e ci sono riuscito. Ora però al riavvio il sistema (che pure funziona benissimo) mi segnala che non riesce ad avviare "uno o più servizi" (servizio che sarebbe poi il virus, immagino eh eh...).
Mi chiedevo come poter risalire a dove il sistema prova ancora a richiamare il file in questione (ricercandolo come un servizio). Ho cercato in "Servizi" ma ci sono avviati solo quelli di sempre.
Forse devo controllare la chiave di registro che mi hai già detto tu, o non c'entra nulla?
Se sì come faccio a capire qual'è la chiave di registro che faceva riferimento al file cancellato?
Ummm... quante domande! Grazie per la pazienza!
«Nella mia carriera ho sbagliato più di novemila tiri. Ho perso quasi trecento partite. Ventisei volte i miei compagni mi hanno affidato il tiro decisivo e l'ho sbagliato. Nella vita ho fallito molte volte. Ed è per questo che alla fine ho vinto tutto» - Michael Jordan
«Prima ti ignorano, poi ti deridono, poi ti combattono. Poi vinci.» - Gandhi
Il problema è proprio quello...solitamente Norton dà istruzioni per rimuovere manualmente un virus perché ne dà la 'sintomatologia', gli eseguibili che scarica, insomma lo 'identifica'...in questo caso non si trova niente, il rischio è di andare un po' nell'oscurità e magari di eliminare files o valori importanti (per quello ti dicevo se 'SEI SICURO')...
ma quella schermata che ti dice che non si può avviare un certo servizio? è autentica? e se sì, quale servizio risulta così arrestato?
La schermata è quella tipica di quando appunto il sistema si aspetta che un servizio sia attivato e invece non lo è. Però non specifica quale servizio sia.
Controllando nel registro degli eventi, l'errore fa riferimento ad un servizio "nuovo"... Logon Service (mi era sfuggito...!!!)
Questo è un servizio che non esiste su nessun altro server.
E quel servizio fa proprio riferimento al file atrib.exe (file individuato come virus da Norton e inesistente su tutti gli altri server).
Per ora l'ho disabilitato. Sai come si fa per eliminarlo definitivamente dall'elenco dei serivizi ?
«Nella mia carriera ho sbagliato più di novemila tiri. Ho perso quasi trecento partite. Ventisei volte i miei compagni mi hanno affidato il tiro decisivo e l'ho sbagliato. Nella vita ho fallito molte volte. Ed è per questo che alla fine ho vinto tutto» - Michael Jordan
«Prima ti ignorano, poi ti deridono, poi ti combattono. Poi vinci.» - Gandhi
no...per ora tienilo disabilitato, aspetta altri post...
ma non è che hai appena fatto una nuova installazione del sistema operativo? oppure hai avviato un programma di back-up?
No no... non tocco quel server da settimane.
Ok per ora non lo elimino. Comunque sono SICURO al 100% che non è altro che un servizio virus.
Tra l'altro una volta disabilitato, il sistema non da più l'alert iniziale e tutto funziona perfettamente.
Ma non è solo per questo che sono sicuro che sia un servizio farlocco. Si tratta anche del nome del file insesistente sugli altri server (di cui uno speculare a quello) nonchè del nome del servizio che non ho mai visto prima.
grazie!
«Nella mia carriera ho sbagliato più di novemila tiri. Ho perso quasi trecento partite. Ventisei volte i miei compagni mi hanno affidato il tiro decisivo e l'ho sbagliato. Nella vita ho fallito molte volte. Ed è per questo che alla fine ho vinto tutto» - Michael Jordan
«Prima ti ignorano, poi ti deridono, poi ti combattono. Poi vinci.» - Gandhi
aprendo il Norton / rapporti / registro attività /
nella maschera che ti era apparsa all'avviso del virus, cosa leggi esattamente? oltre al riferimento ad 'atrib.exe', non c'è il nome 'codificato' del virus?
e se sempre in rapporti visualizzi la 'quarantena', cosa ritrovi?
nel peggiore dei casi, il Norton ha segnalato come virus un programma che era solo considerato pericoloso per certe sue funzioni, e allora 'atrib.exe' era un file di un certo programma xxx che era utilizzato dal servizio 'Logon', però nessun servizio viene dal nulla e dovrebbe far riferimento perciò a programmi installati di recente (se è nuovo)...e comunque "atrib.exe" non mi risulta sia una componente fondamentale di sistema...nel caso reinstalli il programma (che magari ti accorgerai non funzionare) o rimetti un back-up del file eliminato, addirittura Norton dovrebbe fare un back-up del file in quarantena prima del tentativo di riparazione, eventualmente prendilo di lì - COSA CHE NON SI FAREBBE ALTRIMENTI MAI perchè è come rimettere un virus nel sistema!!!
oppure 'atrib.exe' a questo punto è stato rilevato come virus da una analisi di tipo euristico e dovrebbe rientrare tra i 'cavalli di troia', è stato ok eliminarlo il problema sarebbe ora cercare la chiave nel registro che ne avrebbe permesso l'avvio automatico ad ogni 'start' del computer, comunque se il file non c'è più...
Permessi di invio
Rispondi quotando