File di bath cattivissimo

[kioto]

Ragazzi e' circa un mese che da una navigazione su un sito
ho in effetti una serie di problemi qualcosa dovuto anche alla mia non curanza in termini di sicurezza specie per il P2P.
Ho un problema in win Mx improvvisamente condivivdo una cartella che si chiama Kernel (BHOOOOOOO) in c:\windows\kernel\
La gente da me si scarica crack di ogni genere io di roba crack non ne ho da condividere ma questa cartella e' piena di .exe e di programmi a siti porno e crack per software di ogni genere.
Vado ad eliminare la cartella ma la cartella si rigenera sempre
e ogni tanto mi crea una win32.dll in c:\ eun file bath di in windows di nome Winbat.exe.
Io tra l'altro so che i dialer su le connessioni come fastweb non funzionano ma per la mia scarsa conoscenza in materia non cosa devo pensare e da dove sia saltata fuori sta roba spero che mi possiate aiutare.

[kioto]

Se qualcuno ha anche un minimo indizio a parte la il "Formattone" e' il benvenuto

[amvinfe]

Da percorso che indichi C:\windows\kernell o hai un Win9x/ME od un XP, nel caso di ME e di XP, disabilita il Ripristino di configurazione di sistema come prima cosa.

Il fatto che tu abbia winmx mi sorprende visto che questo worm installa files all'interno di cartelle condivise, o meglio all'interno di una cartella condivisa che lui stesso crea (kernell) nei P2P KaZaA, Grokster, iMesh, Morpheus comunque tutte le operazioni che seguiranno vanno fatte non connesso.

Apri winmx, seleziona la cartella "Shared Files" clicca su "Unshare Folder", e seleziona una ad una tutte le cartelle per poi cancellarle, clicca su OK.

Avvia in modalità provvisoria e fai la scansione con l'antivirus (aggiornato) ed elimina tutti i files trovati infetti.
Cerca nel disco i seguenti files ed eliminali anche dal cestino
bearshare.exe
winbat.exe
portati in C:\windows cerca la cartella(!) Kernell cliccaci di dx ed eliminala.

Da start>esegui scrivi regedit e clicca su OK portati in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run clicca su Run ed al pannello di dx clicca di dx su BearShare ed elimina.

Ora dal percorso
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices clicca sulla cartella RunServices dalla finestra di dx clicca di dx su BearShare ed elimina.

Portati ora in
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\batfile\shell\ open\command clicca sulla cartella command nel pannello di dx dovresti trovare questo valore

(Predefinito) c:\windows\winbat.exe "%1" %*

clicca su (Predefinito) devi modificare il valore che ho scritto sopra eliminando questo percorso c:\windows\winbat.exe

ATTENZIONE SEGUI ATTENTAMENTE IL VALORE CHE DEVE RIMANERE!!!

(Predeterminado) "%1" %*


dove "%1" %* è
virgolette, percentuale, uno, virgolette, spazio, percentuale, asterisco

NON SBAGLIARE!!!!!!!!!!!

Portati ora in HKEY_CURRENT_USER\Software\winMX\LocalContent
clicca sulla cartella LocalContent nella finestra didx dovresti trovare una stringa simile a una o più di queste, cliccaci di dx ed elimina:

dir0 = 012345:C:\WINDOWS\kernell
dir1 = 012345:C:\WINDOWS\kernell
dir2 = 012345:C:\WINDOWS\kernell

clicca sui più per risalire fino a chiudere l'editor.


Riavvia in modalità provvisoria e fai una nuova scansione con l'antivirus.

P.S.

TUTTE QUESTE PROCEDURE SONO ASSAI DELICATE ESSENDO NELL'EDITOR DI REGISTRO, QUINDI SE NON SEI PRATICO FATTI AIUTARE DA QUALCUNO CHE LO E', UN ERRORE POTREBBE COMPROMETTERE IL CORRETTO FUNZIONAMENTO DELLA MACCHINA.


Marco(amvinfe)

[kioto]

Tra le prime cose che ho fatto ho disinstallato win-mx perche' ogni qual volta utilizzavo il software non condivideva le cartelle che io gli avevo dato, ma caricava tutta la cartella kernel.
Le voci nel registro non le ho trovate ad esempio beashare.exe in run e tantomeno l'ho trovato nel disco C:\ facendo una ricerca.
Ho provato ad eliminare winbat.exe, ma si ricrea ed anche la cartella kernel.Dovrei intervenire dal registro di sistema, ma non so dove.
Un ultimo dubbio ci sono anche programmi a siti porno sai se con adsl fastweb mi devo preoccupare perche' come avrai notato per certe cose sono un po' all'acqua di rose.

[amvinfe]

quando non riesci ad eliminare files o cartelle, puoi provare dalla modalità provvisoria, il fatto di sapere il vostro sistema operativo serve a chi vi legge a non dover ogni volta scrivere:
- se usi ME devi disabilitarlo facendo così, se invece usi XP lo devi disabilitare facendo cosà-

Ormai è diventata la regola dimenticare di scrivere su quale sistema si sta operando, ma più che scriverlo e riscriverlo non possiamo fare...

Il percorso per entrare nell'editor di registro te l'ho scritto, ma a questo punto è meglio che ti fai aiutare da qualcuno che sia pioù esperto di te e che abbia la possibilità di agire avendo la macchina davanti a sè.

[unombra]

permè l'unica cosa è formattare HD come ho fatto io....

[kioto]

Ho seguito quello che mi hai indicato e ti ringrazio per avermi messo a diposizione le tue conoscenze.Il problema e che alcune voci non le trovo in quanto ho cancellato win mx.Ho modoficato la voce per i file di batch e ho cancellato la cartella kernel ed il winbat, tra l'altro la kernel la elimina solo in modalita' provvisoria.

[kioto]

Ho trovato la soluzione il problema continuava ad esistere perche' avevo usato un paio di giorni kazaa e poi l'avevo disinstallato ma tra le chiavi di registro c'era ancora e dovuto eliminare i valori nel registro che mi creavano quella cartella kernel non era win-mx infettato.Grazie tanto per l'aiuto.

[amvinfe]

Originariamente inviato da kioto
Ho trovato la soluzione il problema continuava ad esistere perche' avevo usato un paio di giorni kazaa e poi l'avevo disinstallato ma tra le chiavi di registro c'era ancora e dovuto eliminare i valori nel registro che mi creavano quella cartella kernel non era win-mx infettato.Grazie tanto per l'aiuto.

infatti come ti avevo scritto più in alto, comunque meglio così

[kioto]

La cosa bella e che Kazaa lo ho avuto installato due giorni o forse meno che inculata.