Virus Autoinstallante ?

[hammer]

tratto da www.hardware-mania.com

- ATTENZIONE NUOVO VIRUS AUTOINSTALLANTE
Segnalata da Antonio 25/11/2001

Da poche ore sta circolando un nuovo virus tramite e-mail, che ha la particolarità di essere autoinstallante!! La mail purtroppo potrebbe essere mandata anche da un amico inconsapevole e quindi diventa molto più difficile capire quale sia la mail da eliminare! Il virus si chiama WORM_BADTRANS.B. La mail contenente il virus non ha allegati ed è vuota. Ulteriori informazioni a questo indirizzo. Anche io sono stato colpito dal virus :-( però grazie al Norton Antivirus 2002 sono riuscito a eliminarlo dal sistema, vi consiglio caldamente di aggiornare i vostri antivirus.
----------------------------

Ma se anche un amico inavvertitamente può mandare questa mail come facciamo a sapere quale dobbiamo cancellare?

[Bilancino]

ho letto che questo virus installa un programma Troiano.....

When executed, this worm copies itself as kernel32.exe in the "\windows\system" directory. It then adds the following registry value:

HKEY_LOCAL_MACHINE\SOFTWARE\Mi
crosoft\Windows\CurrentVersion
\RunOnce\Kernel32=kernel32.exe

Inoltre è bene disattivare l'anteprima e-mail

Ciao

[hammer]

sai dirmi come disattivare l'anteprima in outlook 2000 ? Ma un antivirus che lo rileva e lo elimina non basta? Bisogna comunque fare quelle procedure da te illustrate?

[Bilancino]

Allora l'anteprima in outlook si toglie andando su visualizza----->Layout----->Togliere lo spunto su visualizza riquadro in anteprima.

Le operazioni di cui ho parlato prima si fanno quando un antivirus non è aggiornato oppure non ha riconosciuto il file infetto. Molti troiani vengono installati in quella voce del registro.

Nel registro di Windows è possibile vedere se sono installati cavalli di Troia.

Start----->Esegui----->Regedit-----> Hkey_Local_Machine\Sofware\Microsoft\Windows

\CurrentVersion\Run

\Run-

\RunOnce

\RunService

\Runservice-



In tutte queste directory Run sono presenti i programmi caricati all'avvio, quindi se si riconosce un file che non è associato a programmi installati o programmi di windows stesso è possibile che si tratti di un cavallo di Troia. Tutte queste operazioni fatte manualmente sono svolte in modo automatico da particolari tools gratuiti (sempre se l'antivirus non li ha riconosciuti)


Ciao

[DURONMEN]

Ho beccato il virus in questione proprio oggi, e nonostante abbia installato il Norton antivirus 2001 aggiornato, i 2 file infestati dal virus, che sono stati trovati dal Norton, non sono stati nè corretti nè eliminati. In pratica Norton dice di non poterci fare niente perchè i 2 file in questione sono usati da windows.
Ora come faccio io ad eliminare questo cacchio di virus???

Dato che è la prima volta che mi capita di prendere un virus informatico, e visto che non so cosa fare, vi prego di aiutarmi.

[Bilancino]

Vai nel registro :HKEY_LOCAL_MACHINE\SOFTWARE\Mi

crosoft\Windows\CurrentVersion

\RunOnce\Kernel32=kernel32.exe


e rimuovi Kernel32=kernel32.exe

Così non viene caricato e rimuovi i file creati dal virus perchè io questi file con win98 non li ho quindi non sono file di sistema.

[DURONMEN]

Quote:

Originariamente inviato da Bilancino
[b]Vai nel registro :HKEY_LOCAL_MACHINE\SOFTWARE\Mi

crosoft\Windows\CurrentVersion

\RunOnce\Kernel32=kernel32.exe


e rimuovi Kernel32=kernel32.exe

Così non viene caricato e rimuovi i file creati dal virus perchè io questi file con win98 non li ho quindi non sono file di sistema.

Ho fatto come mi hai suggerito tu, e sembra che il problema sia stato risolto.
Però ho notato una cosa strana, dopo aver rimosso il file "kernel32" dal registro del sistema, il Norton non mi trova più il file infetto, che comunque è un .dll che non è stato cancellato, e che ho ancora nel sistema. Solo che prima lo vedeva come infettato dal virus, mentre otra no.
Secondo te è normale?
Cmq grazie per il prezioso consiglio.

[Bilancino]

Questo virus è un cavallo di troia norton in generale vede nel registro queste voci se ci sono dice che c'è un virus ma non sa quale è perchè non è aggiornato. Avendo tolto la voce non vede più il virus (che è un cavallo di troia non un virus dannoso). Quando si installa per sbaglio questo virus ci creano i files:

kernel32.exe
protocol.dll
kdll.dll

Io in win98 non li ho quindi non sono di windows ma creati dal virus. Ad ogni riavvio del sitema poiche si è tolta la chiave del registro il programma troiano (kernel32.exe) non viene attivato e il virus è morto.........basta poi togliere i files creati dal virus.

Ciao

[DURONMEN]

Quote:

Originariamente inviato da Bilancino
[b]Questo virus è un cavallo di troia norton in generale vede nel registro queste voci se ci sono dice che c'è un virus ma non sa quale è perchè non è aggiornato. Avendo tolto la voce non vede più il virus (che è un cavallo di troia non un virus dannoso). Quando si installa per sbaglio questo virus ci creano i files:

kernel32.exe
protocol.dll
kdll.dll

Io in win98 non li ho quindi non sono di windows ma creati dal virus. Ad ogni riavvio del sitema poiche si è tolta la chiave del registro il programma troiano (kernel32.exe) non viene attivato e il virus è morto.........basta poi togliere i files creati dal virus.

Ciao

Ora mi è tutto chiaro, ho eliminato i file incriminati, ed ora non mi resta che ringraziarti per il prezioso aiuto che mi hai dato.
Ciao.

[tanino]

anche io mi sono beccato il virus, sono entrato il Key (ecc), ho cancellato il file kernel32.exe, ma non risco a cancellare il file nella directory System. Quando mi collego, Zone alarm mi avverte che il file kernel.exe si vuole collegare, che posso fare?

[Bilancino]

Quando hai cancellato la chiave nel registro come ho detto devi riavviare il PC perchè solo a quel punto non viene caricato il file kernel32.exe e può essere caricato e quindi non è in uso.

Domanda: L'allegato era di dimensione di 40k perchè è arrivato proprio ora (forse) ma avendo l'anteprima e-mail disattivata non si è aperto l'ho cancellato......(norton aggiornato non l'ha riconosciuto......)


Ciao

[x-keydog-x]

sotto il registro cè scritto solo:

kernel32 "kernel32.exe"


devo eliminarlo?
non ce nessun kernel32=kernel32

che faccio lo elimino?
devo eliminare solo questo o anche altri file?
quali?

[Bilancino]

Cancellalo subito.

E' il nuovo virus ed arriva con allegato da 40k e doppia estensione come nel tuo caso se è stato attivato hai un troian all'interno del tuo PC.

Quando si installa per sbaglio questo virus ci creano i files:

kernel32.exe
protocol.dll
kdll.dll

Vai nel registro :HKEY_LOCAL_MACHINE\SOFTWARE\M
icrosoft\Windows\CurrentVersio
n\RunOnce\Kernel32=kernel32.exe


e rimuovi Kernel32=kernel32.exe

Cancella anche i tre files


Ciao

[x-keydog-x]

si ma non cè kernel=kernel32

cè scritto solo kernel32.exe
e poi scusate ma il kernel32 non è un file vitale per windows?
se lo elimino e cancello anche gli altri 3 file(che sono presenti perche li ho visti sotto la cartella di win) non corro il rischio che poi il pc non parte piu e devo resettare tutto reinstallando win?

[Bilancino]

Veramente io con win98 non ho il file Kernel32.exe.......
Se non ti fidi di me allora cambiaci nome e vedrai che al'avvio ti dice che non trova kernel32.exe che è un programma troiano arrivato con un allegato da 40K e indirizzo tipo _mionome@chitepare (notare _)

Ciao

[x-keydog-x]

quando provo ad eliminare il file kernel32.exe che ho nella cartella c:windows\system mi dice che non lo puo eliminare perche è usato da windows.
che faccio

poi:
il file protocol .dll non cè

non vorrei che poi eliminado questi file non parta piu windows

[x-keydog-x]

per il file kdll.dll mi dice la stessa cosa come nel kernel: non si puo eliminare perche è usato da windows

[Bilancino]

Prima devi togliere la voce nel registro poi riavviare windows e poi l'ho puoi cancellare. Se non togli la voce nel registro i file è cariato e non può essere cancellato. Ho notato che ogni e-mail ha solo kernel32.exe in comune le altre dll cambiano. Comuqnue l'importante è bloccare kernel32.exe

Ciao

[$@y@n]

Con WIN XP è la stessa cosa? mi è arrivato anche a me, solo che nella key del registro non ho il kernel....

come faccio avedere se l'ho beccato?

se lancio il norton (aggiornato all'ultima definizione) non mi trova niente.

Fatemi sapere.

[hammer]

Sayan posso chiederti un favore? Potresti fare un 3dmark 2001 con la tua configurazione scritta sotto la firma e comunicarmi il risultato?
grazie!