Vai al contenuto
PLC Forum


VIRUS - come trovarlo??

Dario Valeri

Da Dario Valeri:
in Altri argomenti PC

 Share

Messaggi consigliati

Dario Valeri

Dario Valeri

Inserito:
Inserito:

ciao

mi trovo alle prese con un virus che non so come si chiama......

egli produce dei files con nome "2010" con all'interno un testo , pou ne produce un'altro con estensione "WAR" che e'un eseguibile che fa danni...

per ora nessun antivirus e' riuscito a trovarlo qualcuno sa come fare???

ciao da dario


Gianmario Pedrani

Gianmario Pedrani

Inserita:
Inserita:

Ciao dario parti con un dischetto di boot e cercati un anti viru da dos ma aggiornato, se poi hai una copia di bakup ti consiglio di ripristinarla subito

ed il file contenete il virus mandalo alla mcafeel se hai problemi mandamelo che lo spedisco io per te e vediamo se loro sanno qualcosa

ciao nel frattempo faccio qualche indagine

hai provato anche con gli antivirus on line quelli che tramite brose ti scannano il computer ?

fammi sapere alla prossima

ciao

<_<

Dario Valeri

Dario Valeri

Inserita:
  • Autore
Inserita:

RICIAO

non e' sul mio computer ma di un altro , credo sia stato preso su internet

questo che segue e'il testo che c'e' all'interno delle centinaia di files che fa

e pensare che c'e' un firewall che impedisce TUTTO non riesco a connettermi a nessuna chat , ad astalavista o altri .. mah!

"TUTTI QUESTI MONDI

SONO VOSTRI

TRANNE EUROPA

NON TENTATE

DI ATTERRARVI

VIVETECI INSIEME

VIVETECI IN PACE

"2010"

By Lord Rayden "

ciao

dario

Gianmario Pedrani

Gianmario Pedrani

Inserita:
Inserita:

Ho trovato questo sul sito di mcafee

non so se ti puo essere utile

This worm is written in Delphi and UPX packed. It attempts to propagate via network shares, copying itself to remote systems. At the time of writing, AVERT has not received a sample of this worm from the field, merely enquiries from customers.

Upon execution the worm copies itself as:

* %WinDir%\KILLONCE.EXE

* C:\Recycled\KILLONCE.EXE (only observed on 9x)

The following Registry keys are set to ensure the worms subsequent execution:

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"KillOnce" = %WinDir%\KILLONCE.EXE

* HKEY_CLASSES_ROOT\exefile\shell\open\command

"(Default)" = %WinDir%\KILLONCE.EXE "%1" %*

* HKEY_CLASSES_ROOT\txtfile\shell\open\command

"(Default)" = C:\Recycled\KILLONCE.EXE C:\WINNT\NotePad.exe %1

The worm adds the built-in 'Guest' account to the group Administrators.

Network shares are enumerated, and if open shares are found:

* the worm renames REGEDIT.EXE to REGEDIT.EXE.SYS on the remote machine, setting the HIDDEN file attribute. It copies itself to that directory as REGEDIT.EXE.

* the worm searches for the file RUNDLL32.EXE in the Windows directory on remote machines. If found, the file is renamed to RUN32.EXE and the worm copies itself there as RUN32DLL.EXE. (For remote machines running Windows XP Pro, RUNDLL32.EXE is located in WINDOWS\SYSTEM32, so this routine fails.)

* the worm searches for .DOC and .HTM files. If found, the worm copies itself to that directory as SHDOCVW.DLL (for HTM files) or RICHED20.DLL (for DOC files). NB: In testing:

1. this routine was not delivered if the above routine (copying as RUNDLL32.EXE) was successful - see above

2. it was observed that if multiple HTM/DOC files exist in a directory, the worm only copies itself there once.

* code within the worm suggests it also searches for .EML and .NWS files on shares. In testing, .EML on remote machines were deleted, and .NWS left untouched. (Other descriptions describe the worm copying a base-64 encoded copy of itself when EML/NWS files are found - this was not observed, although code within the worm suggests this to be so.)

Indications Of Infection: Back to Top

* REGEDIT.EXE renamed to REGEDIT.EXE.SYS (in DLLCACHE directory as well where applicable)

* numerous files named SHDOCVW.DLL or RICHED20.DLL of size 39,310 bytes

* existence of the above Registry hooks and KILLONCE.EXE files.

* appearance of the 'Windows File Protection' dialog box on machines infected remotely

Removal Instructions: Back to Top

All Users:

Use specified engine and DAT files for detection and removal.

Additional Windows ME/XP removal considerations

questo e il sito di mcafeel per le liste dei nuovi virus

http://www.mcafee.com/anti-virus/default.asp

Speriamo bene :(

Dario Valeri

Dario Valeri

Inserita:
  • Autore
Inserita:

ciao

mille grazie Gianmario

comunque faro' un file zip e te lo inviero' percio'che tu lo invii a mcafee

ciao

dario

Gianmario Pedrani

Gianmario Pedrani

Inserita:
Inserita:

Ok Dario poi quando ho notizie ti faccio sapere ciaoooooo :ph34r:

Massimo Vergani

Massimo Vergani

Inserita:
Inserita:

ciao Dario, io in passato, prima di istallare norton, ho risolto usando

kaspersky antivirus

spero ti possa essere utile

Ciao

Gianmario Pedrani

Gianmario Pedrani

Inserita:
Inserita:

Ho spedito il file infetto alla mcafeel dopo aver parlato con un loro tecnico in chat adesso attendo risposte poi vi faccio dapere ciaooooooooo

Dario Valeri

Dario Valeri

Inserita:
  • Autore
Inserita:

ciao

quelli che ti ho mandato sono dei files prodotti da quel virus

non so se a loro volta sono infetti.

ciao

dario

Gianmario Pedrani

Gianmario Pedrani

Inserita:
Inserita:

Per Dario il virus Che si trova nel computer del tuo amico si chiama

W32/Warray (ED) è nuovo e anche mcafeel non lo ha ancora implementato nel loro scan.dat mi hanno inviato un supplemento al loro scan.dat che si chiama extra.dat te lo invio via posta io lo provato e sui file che mi hai inbiato lo ha trovato senza problemi, il virus si trova nell ' eseguibile.

Ciao e buon lavoro e buona ricerca

ps Spero che il tuo amico abbia mcafee ver 6.0

Poi fammi sapere come e andata ciaooooo

Crea un account o accedi per commentare

Devi essere un utente per poter lasciare un commento

Crea un account

Registrati per un nuovo account nella nostra comunità. è facile!

Registra un nuovo account

Accedi

Hai già un account? Accedi qui.

Accedi ora
 Share
Vai alla lista discussioni
×
×
  • Crea nuovo/a...