virus W32.Randex

[unicorno]

Salve ragazzi, da un paio di giorni mentre navigo mi compare una schermata di Norton antivurus (2004) che mi dice che il file tskmgr.exe nella cartella di WINNT/system32 relativo al virus W32.Randex è stato cancellato dal sistema.
Gia sono andato sul sito della Symantec ed ho visto quello che dice ma il problema è che io non ho il virus perchè appena mi entra nel sistema Norton me lo trova e me lo cancella subito automaticamente, ho provato anche a vedere se nelle chiavi di registro è presente qualcosa ma alla voce "run" non c'è traccia di niente, quindi come fa a rigenerarsi ogni volta?
ovviamente ho anche fatto la scansione ma non trova niente sempre perchè è gia stato eliminato..
mi succede ormai un due, tre volte al giorno mentre navigo e la cosa comincia ad infastidirmi, qualche consiglio???


grazie,

[NetEscape]

La chiave HKLM/Software/Microsoft/Windows/CurrentVersion/Run (o anche RunOnce o RunEx) nn è la sola a poter essere infettata. Un bravo worm che sa il fatto suo può infilarsi anche da altre parti, come in HKEY_CURRENT_USER. Ma non è questo l'importante. Fai così:

1)effettua una scansione in modalità provvisoria (premi F8 prima del caricamento del sistema) con euristica avanzata.
2)assicurati che l'antivir sia aggiornato.
3)munisciti di un firewall.
Ti consiglio Zone Alarm.
Il firewall va configurato così:
Firewall>>Intenet Zone>> Security HIGH
Firewall>>Trusted Zone>> Security HIGH
Firewall>>Advanced>>Lock Host File (segno di spunta).

Se non riesci a rimuovere la bestia con Norton, cerca un tool specifico sul sito della Symantec.
Sta attento però ad effettuare le scansioni
sempre in modalità provvisoria , perchè in modalità normale i processi di sistema interferiscono con l'azione dell'antivir. Ciao

[Cinder]

quindi come fa a rigenerarsi ogni volta?
ovviamente ho anche fatto la scansione ma non trova niente sempre perchè è gia stato eliminato..
mi succede ormai un due, tre volte al giorno mentre navigo e la cosa comincia ad infastidirmi, qualche consiglio???

I worm della famiglia randex sfruttanto diverse vulnerabilità di windows per reinfettare un pc ( non appena ci si ricollega ad internet ), ed è molto probabile che il tuo debba essere aggiornato con le patch di sicurezza.

Vai su www.windowsupdate.com ed installa tutte le patch critiche che il sito ti proporrà per il tuo Windows 2000 e se non lo hai già fatto installa pure il service pack 4

Altrimenti installa le patch singolarmente seguendo i link:

http://www.microsoft.com/technet/sec.../MS03-026.mspx

http://www.microsoft.com/technet/sec.../ms04-011.mspx

http://www.microsoft.com/technet/sec.../MS03-007.mspx

http://www.microsoft.com/technet/sec.../MS03-049.mspx

Se usi Microsoft SQL Server 2000

http://www.microsoft.com/technet/sec.../MS02-061.mspx

[NetEscape]

Inutile patchare un computer quando è stato già infettato. Prima devi rimuovere il worm, munirti di un firewall (non quello di xp) e poi provvedere alla patch. Altrimenti appena usi la connessione per l'update il tuo pc potrebbe infettarsi nuovamente.

[NetEscape]

Ma tu hai XP o 2000?

[unicorno]

Allora io ho win2000, windows è completamente aggiornato e lo era anche prima, menter parlo con voi il mio amico mi ha rifatto visita!
ho provato a fare quello che mi avete detto però ripeto che durante la scansione con Norton super aggiornato non mi trova niente perchè quando mi compare la schermata relativa al virus Norton mi avverte che lo ha eliminato e quindi nelle scansioni successive non lo trova perchè me lo elimina appenna si fa vivo.
Inoltre non ho mai usato un firewall, mi sono sempre limitato ad usare l'antivirus, adaware e spybot, come funziona il firewall? so che limita l'accesso di cose in ingresso nel pc ma come si usa? l'ho dovuto disabilitare perchè appena mi sono connesso ad internet mi ha dato una schermata che mi diceva che mi stava proteggendo ma subito dopo con la connessione in corso non mi apriva più nessuna pagina, era come off-line benchè connesso, questo me lo ha causato il firewall ma come funziona precisamente e inoltre non è che ne esiste uno in italiano per caso? adesso provo a leggere qualcosa qua e la, vediamo se ci capisco qualcosa...

a dopo...

[NetEscape]

Allora, Zone Alarm è assolutamente tranquillo e non ti blocca affatto. Quindi installalo senza paura. Devi avere un firewall per forza se hai Winzozz, altrimenti non navighi sicuro, te lo dico x esperienza diretta. La scansione con antivirus va fatta in modalità provvisoria, altrimenti nn serve. Vai nella sezione dedicata a win 2000 sul sito Microsoft e scarica il Service Pack 4, come ti ha consigliato ottimamente Cinder (che saluto ). Poi installa il firewall dal sito di Zone Alarm. si configura così:

Sezione "firewall" del pannello di configurazione:
Internet Zone >> security HIGH (impostare)
TRusted Zone >> security HIGH (impostare)

Poi vai su Advanced >> spunta la casella Lock host File
e sei a posto.

Zone alarm ti avviserà con dei msgbox quando blocca qualcosa. tu spunta la casella "don't show this message again", così nn ti disturberà durante la navigazione.

Ogni volta che un programma accede ad internet devi chiedere permesso al firewall. se è 1 programma sicuro, come il tuo browser, tu spunta "remember this setting" sul messaggio che apparirà, in modo che nn te lo chieda di nuovo.

Per il resto segui le indicazioni di Cinder.

ciao

[amvinfe]

quale variante Randex ti viene segnalata?

[Cinder]

Inutile patchare un computer quando è stato già infettato. Prima devi rimuovere il worm, munirti di un firewall (non quello di xp) e poi provvedere alla patch.Altrimenti appena usi la connessione per l'update il tuo pc potrebbe infettarsi nuovamente

Per i worm di questo genere, che sfruttano eventuali vulnerabilità non pachate per reinfettare pc da dove sono appena stati rimossi, gli aggiornamenti sono essenziai altro che inutili. Inutile è rimuovere un worm quando hai accertato che non appena ti riconnetti te lo ribecchi subito perchè probabilmente il worm passa per uno spiffero che non hai patchato( vedi blaster ecc. ecc.)
ma soprattutto perche il worm viene subito intercettato dall antivirus e reso inoffensivo.

Dalle indicazione date dall'utente tutto faceva pensare ad un ritorno del worm (non appena si riconnetteva ad internet) tramite vulnerabilità, ecco perche era essenziale per unicorno accertarsi di avere tutte le patch installate per poter almeno escludere che il worm si ripresentasse tramite vulnerabilità non corretta e solo a questo punto installare un firewall e vedere se il worm si ripresenta

[unicorno]

Allora le patch le avevo tutte installate senza problema perchè da poco ho formattato tutto causa rottura scheda madre, comunque il pc ha tutti gli aggiornamenti installati di Windows 2000,di Office,di Norton, compresa la service pack 4 per Windows, inoltre ho installato e configurato il firewall e sembra che va adesso, è attivo e mi segue nella connessione.
Vi dico anche che poco fa mi ha attaccato un'altro virus che Norton ha trovato ma c'era scritto che non era possibile ripararlo e il suo nome è: W32.HLLW.Gaobot.gen, sono andato sul sito della Symantec ho scaricato il tool l'ho avviato in modalità provvisoria ma non mi ha trovato niente, ho sempre dalla mod.provv. scannerizzato l'intero sistema e niente, sono andato sulle chiavi di reg. in run, runonce ecc. ma non c'è traccia di niente, ho fatto scansioni con adaware e spybot sempre dalla provvisoria, ma mi hanno trovato solo 4 cookie di poco conto e adesso che mi sono riconnesso ad internet con il firewall attivo da 20 minuti ancora non mi è comparso niente, i miei amici ancora non si sono fatti vivi.

Per amvinfe:

il virus che mi è comparso da quando ho scritto il messaggio che è quello più frequente, mi diceva che Norton ha trovato e rimosso il virus da system32/tskmgr.exe e il nome del virus è W32.Randex (linkato per andare sul sito della symantec e senza sotto attributi, solo Randex), mentre il secondo è quello che ho scritto sopra e mi ha trovato l'errore il Explorer.exe se non sbaglio, il nome è W32.HLLW.Gaobot.gen.

non so più che provare, fino ad ora non mi è ricomparso niente, altri suggerimenti??

grazie