W32.Welchia AIUTO!!

[frances83]

Ciao a tutti, sono nuova e spero di poter trovare un aiuto al mio problema.cercherò di spiegarmi bene..allora due giorni fa navigavo senza fare niente d particolare (nn scaricavo ne oggetti da int, nè posta, nè ero su siti strani!) mi appare un alert del Norton (2003 x la cronaca e AGGIORNATO) che m avverte di un virus tale w32.welchia.b.worm .. ok, prendo conseguenze e mentre riaggiorno norton scarico dalla symantec il FixWelch ovvero il Removal Tool per il Welchia. Lo faccio girare e niente..alla fine mi dice che nn è stata trovata alcuna infezione. La scansione di Norton, lo stesso che poco prima mi aveva visualizzato l'alert non mi visualizza ALCUN file infetto!! gli alert sono questi: due alert per un file WksPatch[1].exe che non mi elimina per un accesso negato e un alert successivo per un file svchost.exe (nella dir "sbagliata per il sistema" C:\windows\system32\drivers\svchost.exe) che invece mi elimina. credo sia questo il motivo per cui il welchia nn fa l'effetto che dovrebbe fare cioè attaccare qlc che nn so e quindi far si che l'RPC (??) blocchi la connessione. Ho visto che si crea in contemporanea dei Wskpatch (k elimino manualmente, anche se nn cambia nulla) un file index.dat che si va a infilare in un po' d processi (ho scaricato un TaskManager che permette di vedere cosa usano i processi e dove risiedono). Bene il virus nn ha l'effetto k dovrebbe ma mi rende l'uso del pc impossibile: per es. ora mi da memoria (ram) insuff e ho aperto solo I.E., Outlook e il Msn..un po poco!!, oppure se chiamo alcuni programmi nn me li carica (x es. il TaskManager di wind, quello di default ctrl alt canc), se chiamo altre istanze d programmi (uno sfoglia file, una masterizzazione facendo partire il Nero StartSmart) non me le apre, se scrivo un indirizzo nella barra di Explorer non ci va e riesco a andare nei siti solo tramite link (x fortuna ho la google toolbar!)..insomma tutto un gran casino, ho fatto un sacco di scansioni online ma niente, nessuno visualizza nulla. ho scaricato altri removal tools per es. quello della McAfee ma neanche quello me lo trova.
So di esser stata prolissa ma nn volevo lasciare nulla da parte per cercare di delineare le cose per bene. Spero che m rispondiate subito perchè mi scoccerebbe ovviare cn una formattazione e magari ribeccarmi il virus alla prima connessione!! Ah dimenticavo, ho scaricato anche le patch della Microsoft!
Vabè chiudo qua, lascio anche il mio indirizzo e mail: bohemien983@msn.com

Vi prego aiutatemi, nn so più come fare!!!!

[amvinfe]

avendo tu XP, devi disabilitare il Ripristino di configurazione di sistema, poi installare la patch e controllare la macchina con un fix tool o con l'av aggiornato, tutto non connessa.
Altre info:
http://forum.html.it/forum/showthrea...hreadid=630832

N.B.
a fine procedure riattiva il Ripristino di configurazione di sistema

[frances83]

il fatto è che io il ripristino di sistema l'ho disattivato da mò!! l'avevo tolto dopo l'ultima formattazione!!
e cmq ieri ho controllato e il ripristino era disattivato!!!
dimmiche hai la soluzione o mio salvatore!!!

[amvinfe]

come prima cosa leggiti gli articoli degli URLs che ti ho postato.
Per rimuovere il file WksPatch[1].exe puoi provare in questo modo visto che non ti permette di rimuoverlo negandoti l'accesso:
o provi a rimuoverlo dalla modalità provvisoria (ma ho i miei dubbi)
o se usi WinZip puoi provare così: segnati il percorso del file WksPatch[1].exe che dovrebbe essere C:\WINDOWS\system32\config\systemprofile\Impostazi oni locali\Temporary Internet Files\Content.IE5\serie di lettere e numeri\WksPatch[1].exe Apri WinZip, clicca su "File" e poi su "Apri archivio" nella finestra che si apre clicca sul menù a tendina di "Tipo file" e seleziona "Tutti i files (*.*)" segui il percorso che ti eri segnata del file WksPatch[1].exe clicca di dx sul file ed eliminalo (anche dal cestino)
Poi devi ripetere tutte le procedure di rimozione installazione della patch compresa!!!

Facci sapere.

[frances83]

eliminare Wskpatch o come siavolo si chiama nn m da alcun problema! Infatti nn capisco perchè al Norton dia accesso negato, io vado nella cartella system32/config/../internet temp file e elimino il Wskpatch contenuto nelle cartelle cn le indicibili cifre!! E noto che li si crea quel file d cui ho parlato cioè index.dat che pero è ineliminabile in quanto in uso da diverse applicazioni!
M sono letta tutte le discussioni di html.it che parlassero di Welchia, le ho provate tutte, anche quella di andare a vedere in regedit ma nn ho trovato le chiavi di cui parlano i ragazzi. fare scansione e fix in modalita provvisoria nn è servito a nulla!