Questo bel vermicello e' in giro e si diffonde rapidamente... quindi occhio!!!

A detailed analysis of W32/MyDoom-A is available at:
http://www.sophos.com/virusinfo/analyses/w32mydooma.html

Si tratta di un worm che si diffonde attraverso e-mail infette e tramite reti Peer-to-Peer (P2P). Quando viene eseguito, il worm apre il programma Notepad di Windows, visualizzando una serie di dati privi di senso.

Nelle e-mail infette il worm usa oggetto, testo e nomi di allegati variabili. Il worm tenta anche di effettuare un attacco DDOS (Distributed Denial Of Service) verso il sito SCO.COM. L’attacco è programmato per cominciare il 1 febbraio.

Il worm si comporta anche come una backdoor, installando sui sistemi infetti una libreria dinamica SHIMGAPI.DLL nella cartella di sistema di Windows ed eseguendola come processo figlio del programma EXPLORER.EXE.

Il worm è stato programmato per fermare il proprio processo di diffusione il 12 febbraio.

Dettagli tecnici

Il worm è compresso con il programma UPX e la sua lunghezza è di 22528 byte. Le stringhe di testo presenti nel programma sono codificate con l’algoritmo ROT13.

Quando viene eseguito, il worm crea un mutex (oggetto di sistema) con nome “SwebSipcSmtxSO”, allo scopo di evitare la l’esecuzione di più istanze di se stesso.

Il worm copia se stesso nella cartella di sistema di Windows usando il nome taskmon.exe e quindi modifica il Registro di sistema allo scopo di venire eseguito in automatico ad ogni avvio di Windows

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
" TaskMon" = %sysdir%\taskmon.exe

Nel caso in cui tale modifica fallisca, il worm tenta di scrivere la seguente chiave

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"TaskMon" = %sysdir%\taskmon.exe

Il worm crea anche un altro file, codificato all’interno del programma principale, e lo memorizza su disco nel seguente percorso

%sysdir%\shimgapi.dll

Questo programma ha funzioni di backdoor e apre le porte TCP/IP dalla 3127 alla 3198, mettendosi in ascolto per eventuali connessioni. Una delle caratteristiche di questa backdoor consiste nella possibilità di ricevere dei programmi da remoto e di eseguirli sul sistema infetto.

Diffusione tramite P2P

Il worm effettua una ricerca nel Registro di sistema per individuare l’eventuale presenza del percorso condiviso del programma P2P Kazaa. Se il test ha successo, il worm copia se stesso nella cartella trovata usando i seguenti nomi

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Le cui estensioni vengono scelte in modo casuale nella seguente lista

.bat
.exe
.scr
.pif

Diffusione via e-mail

Il worm trova gli indirizzi e-mail ai quali spedire se stesso consultando la Rubrica di Windows e il contenuto di file aventi le estensioni che seguono

pl
adb
tbb
dbx
asp
php
sht
htm
txt

Le e-mail inviate dal worm si presentano con le seguenti caratteristiche:

L’oggetto è scelto tra una delle stringhe nella seguente lista:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Il testo del messaggio è scelto tra i seguenti:

test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.

I nomi dei file allegati sono composti usando i nomi:

document
readme
doc
text
file
data
test
message
body

con le estensioni

pif
scr
exe
cmd
bat

Quando il computer infetto viene accesso dopo il 1 febbraio il worm richiede circa ogni secondo la pagina principale del sito SCO.COM. La richiesta di connessione viene effettuata con un semplice comando “GET / HTTP/1.1". Dal momento che tale effetto si verifica su tutte le macchine infette sparse nel mondo, lo scopo del worm consiste nel creare un sovraccarico di richieste tale da determinare un vero e proprio attacco DDOS.

http://www.nod32.it/pedia/m/mydoom-a.htm

ciao

Eraser :)

Tool di rimozione della F-Secure

http://www.f-secure.com/tools/f-mydoom.exe

Tool di rimozione di Sophos

http://www.sophos.com/support/cleaners/mydoogui.com

Tool di rimozione di Nod32

http://www.nod32.it/cgi-bin/mapdl.pl?tool=MyDoomA

Originariamente inviato da eraser
Quando il computer infetto viene accesso dopo il 1 febbraio il worm richiede circa ogni secondo la pagina principale del sito SCO.COM. La richiesta di connessione viene effettuata con un semplice comando “GET / HTTP/1.1". Dal momento che tale effetto si verifica su tutte le macchine infette sparse nel mondo, lo scopo del worm consiste nel creare un sovraccarico di richieste tale da determinare un vero e proprio attacco DDOS.


mmm sono quasi pentito di aver fatto questa segnalazione :D :D :ahahah:

Originariamente inviato da Hell-VoyAgeR
mmm sono quasi pentito di aver fatto questa segnalazione :D :D :ahahah:
:D il solito 'stardo inside :D

Originariamente inviato da Hell-VoyAgeR
mmm sono quasi pentito di aver fatto questa segnalazione :D :D :ahahah:

:D :D :D :D

Altre info le potete trovare qui:

http://punto-informatico.it/p.asp?i=46726

Stasera su italia uno hanno detto che microsozz ha offerto 250mila dollari a chi segnala gli autori di tale virus.......

qualcuno conosce un tool autonomo che controlla le mail su sul server e le cancella? ne usavo uno che funzionava molto bene per un altra ondata di virus di qualche mese fa "I-Worm.Sobig.F Virus Stopper" , sapete se ne esiste 1 per il nuovo mydoom?
thankz
:rolleyes:

Scusa eraser(nn vorrei far arrabbaiare il nuovo mod :D) ma avevo cercato e nn mi ero accorto di questo post!! :O

Spero nn t dispiaccia se faccio un copia incolla di quello che avevo scritto la :) :
-------------------------------------------------------------------------------
Nuovo virus MyDoom: la microsoft corre ai ripari con.....
......con 250.000$ di ricompensa a chi dara informazioni sui compilatori del nuovo worm MyDoom che sta infestando la rete mondiale!!! :eek:

Eh si avete capito bene,mezzo miliardo delle vecchie lire(nn che per il povero bill sia molto eh :D). Cmq sto virus sta facendo un vero casino....io l'ho ricevuto 7 volte in 2 gg (fortuna che il buon norton me la sempre trovato ed eliminato) e quasi tutti i miei amici di pesaro (che naturalmente nn ne sanno un gran che di pc e di protezioni :rolleyes: ) si sono beccati sto simpatico worm!

Ma voi sapete precisamente cosa attacca questa testa di bip!?!?
Naturalmente cmq per ora nn ce nessun modo di correre ai ripari se nn quello di tenmere l'antivirus aggiornato e magari di installare qualche buon firewall(anche se gi ail primo basterebbe)! :o:

bye bye e mi raccomando...aggiornate l'antivirus :sofico:

ma ti pare chge mi arrabbio per ste cose :)

Ci mancherebbe ;) :D

Ciao

Eraser :)

Originariamente inviato da eraser
ma ti pare chge mi arrabbio per ste cose :)

Ci mancherebbe ;) :D

Ciao

Eraser :)
Chissa magari t sei innamorato del tasto ban:sofico: .....scherzo avviamente:) !!
bye bye

Ottima segnalazione, ci sono mica i tool di rimozione anche per il W32/MyDoom-B??

http://www.bitdefender.com/html/virusinfo.php?menu_id=1&v_id=186

trovi il link in fondo alla pagina :)

Ciao

Eraser :)

Sco.com è KO :O domani la variante B ha in programma di lanciare attacchi DoS contro il sito di Microsoft, riuscirà a buttarlo giu ?
:confused:

Originariamente inviato da MButi
Sco.com è KO :O domani la variante B ha in programma di lanciare attacchi DoS contro il sito di Microsoft, riuscirà a buttarlo giu ?
:confused:

Sicuramente no.

beh però se contribuiamo anche noi podarsi che ci riusciamo.... :asd: :D :D :D

sicuramente per risolvere il problema alla microsoft nella giornata di domani spegneranno i server.

P.S. la mia signature l'ho fatta per il blaster, ma ultimamente è tornata valida.

;-)
Marco - Goblin

Altre info che potrebbero essere utili le trovate qui:

http://www.microsoft.com/italy/security/antivirus/mydoom.mspx?gssnb=1

uh e per chi usa eudora?
:)

finchè vengono attaccati i siti di Sco e Microsoft non mi preoccupo :sofico:
chissà perchè proprio loro :rolleyes: hehehehheheh :rotfl: :rotfl:

Originariamente inviato da linux_goblin
sicuramente per risolvere il problema alla microsoft nella giornata di domani spegneranno i server.

P.S. la mia signature l'ho fatta per il blaster, ma ultimamente è tornata valida.

;-)
Marco - Goblin
Quindi se la diffusione di Linux e Windows fosse invertita non esisterebbero virus ? Non ci vuole molto a capire che è un ragionamento falso, il problema non è il sistema operativo ma l'ignoranza di molte persone che nonostante tutto continuano ad aprire allegati arrivati via email :muro:

Originariamente inviato da MButi
Quindi se la diffusione di Linux e Windows fosse invertita non esisterebbero virus ? Non ci vuole molto a capire che è un ragionamento falso, il problema non è il sistema operativo ma l'ignoranza di molte persone che nonostante tutto continuano ad aprire allegati arrivati via email :muro:
MButi non concordo per quanto dici sui virus perchè in ogni caso Linux gestisce in maniera completamente differente gli utenti. Mi fermo qui e non proseguo perchè non voglio aprire flame e andare OT :p

grazie xcdegasp, mi hai tolto le parole di bocca ma... ha ragione anche MButi, chi scrive i virus lo fa per il sistema operativo più diffuso (ce ne sono pochissimi per mac - che potenzialmente vulnerabile come Windows - prima della versione 10)

e di buchi nel kernel linux ce ne sono eccome... non venitemi a dire che questo sistema operativo (che amo) è esente da bachi.

ciao,
Marco - Goblin

P.S: ogni opinione qui espressa va presa con le molle, vi chiedo scusa se ho scritto qualcosa di sbagliato.
No flame please.

non avendo l'antivirus aggiornato me lo sono beccato. Ora che ho il nuovo Panda mi ha trovato già 4 file con MyDoom. Il brutto che uno era un esecutibile ("stripgirl" o qualcosa del genere). Domanda?
L'esecutibile me lo ha spedito qualcuno (ho usato Kazaa in questi giorni)? Sarà stato un dialer (cmq. ho l'adsl:D )?

Salve.
Stamattina ho ricevuto due e-mail; quoto una parte del testo di una

A virus was found in an Email message you sent.
This Email scanner intercepted it and stopped the entire message
reaching its destination.

The virus was reported to be:

virus WORM_MYDOOM.A

Premetto che io nella rubrica non ho indirizzi, appunto per evitare autospedizioni da parte di virus. Gli indirizzi ai quali avrei mandato le e-mail non li conosco e non appaiono nemmeno tra la posta ricevuta, quindi mi domando come sia stato possibile che il virus si sia autospedito. Il NORTON aggiornato non ha trovato nulla. D'altro canto nel sito SYMANTEC nella lista dei worm appare solo il MYDOOM B .
Quindi non sono sicuro di avere o non avere il suddetto virus.

Ciao
civale

Originariamente inviato da MButi
Quindi se la diffusione di Linux e Windows fosse invertita non esisterebbero virus ? Non ci vuole molto a capire che è un ragionamento falso, il problema non è il sistema operativo ma l'ignoranza di molte persone che nonostante tutto continuano ad aprire allegati arrivati via email :muro:



Quoto ed aggiungo molti non aggiornano neanche gli antivirus e non installano le patch.

:D

di queste mail, me ne stanno arrivando a vagonate.....tutte con scritto un problema nella visualizzazione della mail e codice ASCII e palle varie, tutte rigorosamente cancellate.....:O

Originariamente inviato da civale
Salve.
Stamattina ho ricevuto due e-mail; quoto una parte del testo di una

A virus was found in an Email message you sent.
This Email scanner intercepted it and stopped the entire message
reaching its destination.

The virus was reported to be:

virus WORM_MYDOOM.A

Premetto che io nella rubrica non ho indirizzi, appunto per evitare autospedizioni da parte di virus. Gli indirizzi ai quali avrei mandato le e-mail non li conosco e non appaiono nemmeno tra la posta ricevuta, quindi mi domando come sia stato possibile che il virus si sia autospedito. Il NORTON aggiornato non ha trovato nulla. D'altro canto nel sito SYMANTEC nella lista dei worm appare solo il MYDOOM B .
Quindi non sono sicuro di avere o non avere il suddetto virus.

Ciao
civale

questo virus, come tutti quelli recenti, camuffa il reale mittente inserendo un indirizzo a caso del suo database (database creato inserendo le rubriche dei pc infettati) mentre i destinatari sono quelli trovati nella rubrica del client vittima...
può succedere infatti che il mittente e destinatario coincidino :)

in ogni caso per mydoom.a (Novarg.A) andate a questo link:
http://www.nod32.it/pedia/m/mydoom-a.htm
tool rimozione MyDoom.A:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=MyDoomA

mentre per info su MyDoom.B :
http://www.nod32.it/pedia/m/mydoom-b.htm

quindi civale tranquillo :)
anche il mio indirizzo email è stato usato da sto virus come mittente!! :mad: :mad:

Originariamente inviato da eraser
Tool di rimozione della F-Secure

http://www.f-secure.com/tools/f-mydoom.exe

Tool di rimozione di Sophos

http://www.sophos.com/support/cleaners/mydoogui.com

Tool di rimozione di Nod32

http://www.nod32.it/cgi-bin/mapdl.pl?tool=MyDoomA


Ciao a tutti.

Vorrei chiedere lumi su questo nuovo virus perchè ho letto tutta la discussione e mi par di aver capito di ... NON aver capito.

Ora a me sono arrivate delle e-mail che NORTON ANTIVIRUS 2004 ha rilevato dannose ed ha eliminato l'allegato.

Queste e-mail avevano o un testo INCOMPRENSIBILE o addirittura un testo comprensibilissimo :eek: spedito nientepopodimenoche dall'FBI spiegando che sul pc è stato rilevato dei programmi NON autorizzati ma l'indirizzo e-mail mittente era italianissimo riconducibile ad un server italiano (virgilio).

Che ne pensate di questo?

Ora a mio cugino, privo di antivirus aggiornato, sono arrivate le stesse e-mail e il pc si è infetto sicuramente (mi è arrivata una sua e-mail imcomprensibile).

I tools di cui sopra servono per eliminare questo virus? Questo virus oltre ad aprire una porta per un attacco congiunto ad altri siti (mi par di aver capito così) che altri problemi provoca? I tools bastano per risolvere il problema o bisogna formattare il tutto e reinstallare?

Grazie a tutti e scusate se ho riproposto eventuali domande già fatte.

Buona giornata

Grunge

quel virus di cui parli non è mydoom bensì un'altro tipo di virus, norton dovrebbe dirti il nome associato al worm rilevato...
in ogni caso basta che non apri la posta e il gioco è fatto.

E' solo una posta inviata da un client infetto, non credevi mica che l'fbi ti mandi un'email per dirti: "guarda sappiamo cosa stai facendo!! anzi già che ci siamo ti infettiamo il pc :D " :sofico:

Una volta che sei in possesso del nome del worm (escludo tu possa essere infetto) vai su www.symantec.it oppure www.nod32.it leggiti le info sul worm e poi dalla home scarichi l'eventuale tool se verifichi la sua presenza nel tuo pc.

Salve a tutti.

Sembra che questo simpatico virus installi presso la macchina infetta anke un piccolo trojan sulle porte dalla 3127 alla 3198... Qualcuno sa per caso come funziona questo trojan? Oppure dove e' possibile reperire notizie a riguardo?

marco nella home di www.nod32.it hai i due link per tale virus, basta che clicchi sulla variante che ti interessa ;)

Originariamente inviato da xcdegasp
marco nella home di www.nod32.it hai i due link per tale virus, basta che clicchi sulla variante che ti interessa ;)
Ciao.
Scusa, ma non cercavo generiche informazioni sul virus in questione (per queste nod32 va benissimo), cercavo invece informazioni dettagliate sul trojan: se davvero funziona, quali porte apre, come si fa ad usarlo da remoto...
Nod32 dice soltanto:
Questo programma ha funzioni di backdoor e apre le porte TCP/IP dalla 3127 alla 3198, mettendosi in ascolto per eventuali connessioni. Una delle caratteristiche di questa backdoor consiste nella possibilità di ricevere dei programmi da remoto e di eseguirli sul sistema infetto. Per eseguire la libreria dinamica per mezzo del processo di EXPLORER.EXE, il worm modifica la seguente chiave di Registro... [...]

allora non ti posso aiutare...

io coma antivirus ho avg free e firewall sygate 5.5

sapete dirmi se esiste un buon sito dove facciano una scansione online.....mi assale un dubbio di aver qualke viruz...ma non riesco a scovarlo anke con li ultimi aggiornamenti...:(

Originariamente inviato da restimaxgraf
sapete dirmi se esiste un buon sito dove facciano una scansione online.....mi assale un dubbio di aver qualke viruz...ma non riesco a scovarlo anke con li ultimi aggiornamenti...:(

http://it.trendmicro-europe.com/enterprise/products/housecall_pre.php

http://www.bitdefender.com/scan/licence.php

http://www.pandasoftware.com/activescan/activescan/principal.asp?

http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=it&venid=sym

Originariamente inviato da MrOZ
http://it.trendmicro-europe.com/enterprise/products/housecall_pre.php

http://www.bitdefender.com/scan/licence.php

http://www.pandasoftware.com/activescan/activescan/principal.asp?

http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=it&venid=sym



grazie mille....e forza Zac!!!:D :D :D

SCUSATE sono abbastanza disperato non riesco a togliere sto maledetto worm dal pc...ho usato TUTTI i tool di rimozioe e nessuno di essi mi ha rilevato NULLA di NULLA!!!...ora mi sorge un dubbio:MA SIETE SICURI che il ''Worm.Sco.A'' sia esattamente la stessa cosa del W32/Mydoom-A''??????

SCUSATE sono abbastanza disperato non riesco a togliere sto maledetto worm dal pc...ho usato TUTTI i tool di rimozioe e nessuno di essi mi ha rilevato NULLA di NULLA!!!...ora mi sorge un dubbio:MA SIETE SICURI che il ''Worm.Sco.A'' sia esattamente la stessa cosa del W32/Mydoom-A''??????

Originariamente inviato da Pancaro
SCUSATE sono abbastanza disperato non riesco a togliere sto maledetto worm dal pc...ho usato TUTTI i tool di rimozioe e nessuno di essi mi ha rilevato NULLA di NULLA!!!...ora mi sorge un dubbio:MA SIETE SICURI che il ''Worm.Sco.A'' sia esattamente la stessa cosa del W32/Mydoom-A''??????


guarda, io un po' di giorni fà ho ricevuto una mail da interfree, ke mi avvisava ke ero infetto dallo sco....ho controllato diverse volte ma non son mai riuscito ad individuarlo...ora non sò + cosa pensare, se sono infetto o meno...se qualcuno sà risponderci?:( :cry:

Originariamente inviato da Pancaro
SCUSATE sono abbastanza disperato non riesco a togliere sto maledetto worm dal pc...ho usato TUTTI i tool di rimozioe e nessuno di essi mi ha rilevato NULLA di NULLA!!!...ora mi sorge un dubbio:MA SIETE SICURI che il ''Worm.Sco.A'' sia esattamente la stessa cosa del W32/Mydoom-A''??????
hai verificato le chivi di registro nella scheda run?? in caso fallo ;)
se tutti i tool non trovano nulla credo tu sia a posto :)

Originariamente inviato da restimaxgraf
guarda, io un po' di giorni fà ho ricevuto una mail da interfree, ke mi avvisava ke ero infetto dallo sco....ho controllato diverse volte ma non son mai riuscito ad individuarlo...ora non sò + cosa pensare, se sono infetto o meno...se qualcuno sà risponderci?:( :cry:
semplice, il mittente reale delle poste non sei mai stato tu... il worm dalla sua bancadati ha messu un indirizzo email a caso per il mittente ed uno per il destinatario...
può succedere che il mittente e il destinatario della stessa email combacino :D

Allora ho letto bene le modifiche che fa alla voce run ed effettivamente in Run ho la famigerata CTFMOON.exe...tale file è presente nel computer......tuttavia TUTTI I TOOL di rimozione non mi trovano nulla....ora io dico ma questo CTFMOON.exe è un file creato dal virus oppure è un file di sistema modificato dal virus????..N.B. ctfmoon.exe lo ho sotto CurrentUser..ecc. ecc.

Azzo la voce è CTFMOON!!! e non TASKMOON!!!....e porca miseria allora dovrei essere salvo:)...be speriamo a questo punto che sia come dici tu,ovvero che il worm su altro pc metta come mittente la mia e-mail:).......succede anche ad altri per caso?

Originariamente inviato da Pancaro
Azzo la voce è CTFMOON!!! e non TASKMOON!!!....e porca miseria allora dovrei essere salvo:)...be speriamo a questo punto che sia come dici tu,ovvero che il worm su altro pc metta come mittente la mia e-mail:).......succede anche ad altri per caso?


ctfmoon è un servizio di win...ed esiste dalla installazione del sistema...;)

Originariamente inviato da restimaxgraf
ctfmoon è un servizio di win...ed esiste dalla installazione del sistema...;)
è lun prgramma lanciato in background da msoffice, anche alla chiusura dei programmi office rimane attivo :)

Originariamente inviato da xcdegasp
questo virus, come tutti quelli recenti, camuffa il reale mittente inserendo un indirizzo a caso del suo database (database creato inserendo le rubriche dei pc infettati) mentre i destinatari sono quelli trovati nella rubrica del client vittima...
può succedere infatti che il mittente e destinatario coincidino :)

in ogni caso per mydoom.a (Novarg.A) andate a questo link:
http://www.nod32.it/pedia/m/mydoom-a.htm
tool rimozione MyDoom.A:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=MyDoomA

mentre per info su MyDoom.B :
http://www.nod32.it/pedia/m/mydoom-b.htm

quindi civale tranquillo :)
anche il mio indirizzo email è stato usato da sto virus come mittente!! :mad: :mad:
Quindi se uno riceve la mail significa che è infettato in quanto ricevuta? Oppure come tutti i virus basta eliminare l'allegato o la mail intera?

se non apri l'allegato non ci son problemi...;)

Originariamente inviato da restimaxgraf
se non apri l'allegato non ci son problemi...;)
Infatti...mi sembrava...ma dal discorso quotato supra sembrava quasi che il destinatario di questa mail fosse in quanto tale infettato....
Ho capito male... :)

Originariamente inviato da raceman
Infatti...mi sembrava...ma dal discorso quotato supra sembrava quasi che il destinatario di questa mail fosse in quanto tale infettato....
Ho capito male... :)
forse hai frainteso il discorso che avevo fatto :)
l'indirizzo viene preso dagli indirizzi del client infetto, quindi se tale persona ha salvato nel suo client di posta il tuo indizzo è ovvio che quando il virus cerca di spedirsi possa spedire un mail anche a te :)
come è possibile che a te arrivi una mail infetta inviata da te stesso, ovvero se il virus usasse il tuo indirizzo sia nel campo del mittente sia nel campo del destinatario :) ma in realtà tale email non è mai stata inviata dal tuo indirizzo :)

spero di averti chiarito le idee :)

in ogni caso se ti arriva non sei infetto perchè sarebbe come se il virus ti dicesse: "hei guarda sono nel tuo pc. vedi?"
sarebbe del tutto assurdo :D oltre al fatto che il virus per replicarsi nel tuo pc non ha assolutamente bisogno di inviarsi via email hehehehhehe ;)

cosa succede se faccio partire il tool di rimozione se il virus non ce l'ho? (penso) :wtf:


poi, che differenza c'è tra i 3 tool di rimozione?

fai partire il tool di rimozione e il virus non c'è che vuoi che succeda? ti risponde che non ha trovato il virus :D
indicativamente non c'è differenza, ma per essere sicuri basta usarli tutti e tre :p o in base ai tuoi gusti scegli cosa usare :D

ho usato tutti i tool di rimozione
ma nessuno trova qualke file infetto

però i sintomi del virus li ho lo stesso

cosa posso fare?

e premetto ke ho gia' provato a formattare

che sintomi avresti?? :eek:

spesso mi si blocca ie
taskmanager mi rimane ad icona senza aprirlo
il sistema è tutto instabile

poi sapete dirmi cosa sia il file di nome userinit.exe?

anzi no
trovato il file infettato

il virus nn è questo ma un'altro

mi pare ke si kiama welcheria (o una cosa simile)

Originariamente inviato da Wolv3rine
spesso mi si blocca ie
taskmanager mi rimane ad icona senza aprirlo
il sistema è tutto instabile

poi sapete dirmi cosa sia il file di nome userinit.exe?
per il file ecco la spiegazione:
http://www.liutilities.com/products/wintaskspro/processlibrary/userinit/

per il virus non trovo nulla.. potresti indicare il nome corretto?

welchia

ho trovato il tools
il problema è ke si rigenera

esiste per caso una patch?

Stesso identico problema...ho provato ad installare questa patch (http://www.microsoft.com/italy/security/articles/blast.asp) ma nn credo sia efficace per questo nuovo worm...infatti anche a me,dopo averlo eliminato col tool specifico,si rigenera :(

Non uso firewall per i programmi p2p...dovrei configurarlo ad hoc e mi secco :D

Qualcuno ci può aiutare?

Thx )

Raga mi dite i sintomi :D del vostro pc?? perce da ieri sera anche il mio sembra stia per passare a miglior vitaformat c: :D) ed e tutto instabile....cioe per aprire alcune cose ci mette un po di tempo a volte :O

http://www.nod32.it/pedia/n/nachi-a.htm

attivate il firewall di winxp e l'errore rpc dovrebbe essere inibito...
aggiornate il sistema con windows-updates e mettetevi su un buon antivirus e un firewall di terze parti ad esempio sygate, tini o outpost ;)

io per ora ho messo il firewall di winzoz e il virus nn mi sta dando + problemi
speriamo bene

Raga questa e nuova :( : ho finito ieri sera con emule il 2 tempo di the it@li@n j@b. Ora col fatto che enkeywebsite nn esiste piu :cry: .....nn ero tanto fiducioso di utilizzare il motore di ricerca del programma,cmq questo file aveva molte fonti:O . insomma,lo faccio partire e mi da errore(g spot mi da che e un xvid ma nn ho i codec installati che invece ho) e da quel momento il pc va in bambola. Il fatto e che se il pc e appena acceso o cmq lo riavvio e cerco di eliminarlo nn me lo elimina perche dice che e gia usato da un altro prog. bla bla bla! E anche se ci clicco sopra per eliminarlo poi da li il sistema va in tilt,la temperatura comincia a salire come se stessi giocando o altre cose....nn capisco!!! Cosa puo essere?!? Potrebbe essere che il fiel fosse infettato!??! Dopo cmq provo a fare una scansione con norton(nn ne ho avuto tempo prima)!
thx e bye

come posso evitare che un file .pif si avvii automaticamente il opera?:D