Ragazzi un mio amico ha il seguente problema: gli si apre da solo il browser explorer e si collega a vari siti tutti di natura pornografica come se qualcuno stesse usando il suo computer.
Tale pc è su di una lan aziendale.
Può trattarsi di un accesso remoto non autorizzato da parte di qualcuno o si tratta di un virus?
Potete aiutarmi?
Grazie

un troiano

digli di provare swat it un antitrojano. elbompr

Originariamente inviato da nasitopo
[B]Ragazzi un mio amico ha il seguente problema: gli si apre da solo il browser explorer e si collega a vari siti tutti di natura pornografica come se qualcuno stesse usando il suo computer.
Tale pc è su di una lan aziendale.
Può trattarsi di un accesso remoto non autorizzato da parte di qualcuno o si tratta di un virus?
Potete aiutarmi?
Grazie

Magari il pc lo fa per abitudine.... :D :D :D

Scherzi a parte concordo con Beto ed elbompr.

al 90% concordo anke io!!!!

prova dare un okkio sul registro di windows

da esegui: comando--> regedit <-- se l os è un NT -->regedit32<--

e vai qui:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

o qui

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

e vedi se trovi qualche applicazione strana che non vi garba tanto!!!e fa elimina

x nasitopo
Ti pregherei di ridurre la signature a tre righe (a 800x600) come previsto dal regolamento
Grazie

Scusa MM ora dovrei essere a posto...

Grazie ragazzi lunedì provo...

Ma dove posso trovare swat it???? o qualsiasi altro strumento per rimuoverlo?

tauscan, sul sito tausca è in prova 30 gg, quindi perfettamente funzionante.
cmq dove laroro io era successa la stessa cosa ad un collega, era solo un programma autoinstallato che appena acceso il pc dava questo problema!
fai da esegui msconfig, e trovi quasi quasi un ip con un.exe, trova il percorso ed eliminalo.
ciao
mario

C'è qualcosa nel mio sito e ti sposto in sicurezza.

Ciao

Ragazzi ho provato nell'ordine:
- a controllare il registro
- swat it
- cleaner 3
- tauscan (non mi funge)

ma non ho trovato nulla di sospetto?

cosa mi consigliate?

Scarica winpatrol:

http://digilander.libero.it/andreaing/winpatroll.htm

quando partono queste finetre avvi winpatro e guard i task aperti (processi) cerca di riconoscere quello associato nella finestra. Trovato il nome cercalo a sua volta nel registro (Start----->Esegui---->Regedit). Se si è sicuri del processo trovato forse si trova nel registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run

Se non c'è allora usa la ricerca nel registro.
Deve poi essere rimossa la chiave associata al processo caricato all'avvio. Attenzione a cosa si rimuove ovviamente.

Ciao

Ho provato winpatrol ma non funziona (può essere perchè il mio collega usa NT)

ho provato the cleaner dopo averlo aggiornato, ma nulla.

Tra l'altro in questi giorni le visite dell'intruso sono meno frequenti...

Cosa posso fare?
E' possibile che sia dovuto al virus che arriva insieme al messaggio di posta intitolato Re:Your Password? (il mio collega leggendo sul forum si è ricordato di aver ricevuto una cosa del genere circa un mese fà).

Grazie a tutti per l'aiuto che mi state dando.

Originariamente inviato da nasitopo
[B]
Cosa posso fare?
E' possibile che sia dovuto al virus che arriva insieme al messaggio di posta intitolato Re:Your Password? (il mio collega leggendo sul forum si è ricordato di aver ricevuto una cosa del genere circa un mese fà).

Grazie a tutti per l'aiuto che mi state dando.

Questo è un nuovo virus, nelle discussioni in rilievo verso le ultime pagine si parla di questo virus.

Ciao

Non penso proprio ci possa essere correlazione fra quanto da te descritto nel tuo primo (apertura automatica siti porno) e la mail ricevuta dal tuo amico con Oggetto Re:Your Password, in quanto questo tipo di messaggio viene spedito dal worm W32/Frethem@MM. Concordo con quanto scritto dagli altri, e credo sia più un trojan, probabilmente JS/Seeker (con tutte le sue varianti) o JS/NoClose, questi trojan sfruttano il linguaggio JavaScript (JS) e entrano nelle macchine dove non è stata installata la patch contro le vulnerabilità della -Microsoft virtual machine- infatti con un controllo ActiveX è uno scherzo rimandare poi una qualsiasi macchina su un sito o su un altro. Dovresti dire al tuo amico di verificare la versione di IE installata sulla sua macchina (Apri IE, anche non connesso, ? vicino a Strumenti- Informazioni su Internet Explorer e vedere versione e soprattutto aggiornamento), ti ricordo che il problema in questione si riferisce fino alla 5.5 Service Pack1 con la SP2 il problema è stato risolto, mentre sulla versione IE6 questo problema non esiste più, peccato ve ne siano altri:D . Tornando a JS/Seeker fai verificare se ha in Start/Avvio Programmi Esecuzione Automatica il file run.hta, nel caso digli di cancellarlo stessa cosa per il file BACKUP2.REG in C:/WINDOWS. Ricordati di fargli fare una scansione approfondita con un ativirus aggiornato, anche se JS/Seeker è vecchio come il cucù, per quanto riguarda JS/NoClose è sufficiente una scansione (anche qui approfondita, questo trojan è più recente quindi qui è obbligato ad avere l'antivirus aggiornato).
Leggi poi al link per quanto riguarda la vulnerabilità della Microsoft virtual machine
http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q275609&
Marco(amvinfe)

Ho cercato i file menzionati da amvinfe ma nulla, allora ho effettuato l'ultimo aggiornamento datato 13/08 e il norton mi ha rilevato il seguente virus:
W32.Frethem.Gen@mm

Allora ho eliminato le voci nel registro relative al suo avvio ed ho eliminato il relativo file taskbar.exe.

Per ora il problema non si è ancora manifestato, ma non ci metterei la mano sul fuoco in quanto tale virus non viene identificato come trojan.

Prova a vedere se W32/Frethem@MM ha copiato il file Winstat.ini
in WINDOWS, ed il file setup.exe in Start,Avvio/Programmi/Esecuzione Automatica. Io cmq farei per un'ulteriore sicurezza una scansione con il fix_tool per la rimozione automatica:
http://www.bitdefender.com/html/free_tools.php
Marco(amvinfe)