Help: worm bugbear

lupaio · 04-10-2002, 19:47

Aiuto ragazzi, ho scaricato la posta (outlook expr) e mi ha rilevato un virus che non ha "fermato". Purtroppo l'antivirus - PC CILLIN - non l'avevo attivato. Fortunatamente (credo), invece, nelle impostazioni di outlook ho tolto l'anteprima dei messaggi. Ho copiato tutte le e-mail in una cartella sul desktop e poi ho avviato la scansione con pc cillin che ha trovato Worm Bugbear e lo ha spostato in quarantena. Successivamente ho avviato la scans. del sistema e no ha trovato nulla. Vorrei sapere come devo eliminare questo worm e se il sistema è infetto o no.
Scusate la lunghezza del testo ma sono preoccupato......

Ciao e a presto

ziobystek · 04-10-2002, 21:42

per sicurezza qui trovi il fix del worm fatto dalla symantec..

http://securityresponse.symantec.com...r/FxBgbear.exe

Bilancino · 04-10-2002, 21:59

http://www.trendmicro.com/vinfo/viru...WORM_BUGBEAR.A

in sostanza per il controllo manuale:

Removing Autostart Entries from the Registry

Removing autostart entries from registry prevents the malware from executing during startup. You will need the name(s) of the file(s) detected earlier.

Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunOnce
In the right panel, locate(devi trovare una voce strana) and delete the entry or entries whose data value (in the rightmost column) is the malware file(s) detected earlier.
Close Registry Editor.

Ciao

mrmic · 05-10-2002, 10:17

Atz..che è questo qui che mi sono beccato ieri???
W32.Bugbear@mm virus

Norton me l'ha messo in quarantena e l'ho cancellato.
Devo comunque andare nel registro e fare quella modifica?
Grazie

ps
Nel regedit, sia sotto RunOnce sia RunOnceEx mi dice alla destra: REG_SZ

ziobystek · 05-10-2002, 10:31

stamattina mi è arrivata la mail e me lo sono bekkato (volutmante...volevo testare AVG). nel regedit anke io ho solo la voce REG_SZ.....ma...ora scariko il fix di norton e vediamo ke succede.

ziobystek · 05-10-2002, 10:33

http://securityresponse.symantec.com...oval.tool.html

mrmic · 05-10-2002, 10:34

Quote:

Originariamente inviato da ziobystek
[b]stamattina mi è arrivata la mail e me lo sono bekkato (volutmante...volevo testare AVG). nel regedit anke io ho solo la voce REG_SZ.....ma...ora scariko il fix di norton e vediamo ke succede.

Ti aspetto, facci da cavia

ziobystek · 05-10-2002, 10:42

AVG con la scansione completa del sistema ha rimosso perfettamente il virus e il fix di Symantec ha confermato l' esito positivo dell' operazione. Ho anke mandato una mail ai miei amici con allegato il fix per sto virus....non ho voglia di essere bombardato di mail infette kome è successo kon klez....

mrmic · 05-10-2002, 10:53

A me invece dice di non averlo trovato....
Dici che non l'avevo beccato?

amvinfe · 05-10-2002, 10:53

Ciao,
ho letto che il vermiciattolo crea anche questo file per il trojan
PWS-Hooker.dll ed inoltre crea un file .exe in "esecuzione automatica" a quanto pare di tre lettere tipo CUK.EXE
Marco(amvinfe)

lupaio · 05-10-2002, 14:34

Quote:

Originariamente inviato da ziobystek
[b]http://securityresponse.symantec.com...oval.tool.html

Non ho ancora ben capito come far partire il fix che hai postato precedentemente(colpa del mio pessimo inglese). potresti darmi delle istruzioni smeplici........??
NB: il mio SO è win xp home. Nel REgistro alla voce RunOnce e RunOneEx è presente la voce REG_SZ: cosa devo farne?
Grazie 1Gb

:o

mrmic · 05-10-2002, 14:39

Fai così: scaricati quel file della Symantech, poi tasto destro su risorse del computer>proprietà>ripristino configurazione di sistema>spunta la casella disattiva ripristino.
A quel punto lancia il programmino e quando ha finito ritorna ad abilitare il ripristino configurazione di sistema e riattivalo.
Ok?

lupaio · 05-10-2002, 17:14

Quote:

Originariamente inviato da mrmic
[b]Fai così: .........
A quel punto lancia il programmino e quando ha finito ritorna ad abilitare il ripristino configurazione di sistema e riattivalo.
Ok?

Ho seguito alla lettera le tue istruzioni però il programmino non ha trovato nessun virus! Forse è dato dal fatto che pc - cillin lo ha spostato in quarantena?
Cmq ancora Grazie.
P.S. Ho trovato notizie in merito al worm a questo indirizzo: http://www.symbolic.it/Rassegna/tanatos.html pensi sia necessario scaricare quella patch di xp?
Ciaooooo

Bilancino · 05-10-2002, 17:20

Se si installa il service pack per win XP anche IE6 viene aggiornato e quindi vengono rimosse le ultime vulnerabilità........oppure basta aggiornare al service pack solo internet exploer 6

E pensare che nel mio sito c'è in bella vista il link per le patch.........

Ciao

ziobystek · 05-10-2002, 18:51

eccovi un altra patch della trnd micro (alias pc cillin).

http://www.trendmicro.com/ftp/products/tsc/tsc.zip

stasera ho ricevuto un altra mail kon sto virus...evvai...si inizia.

lupaio · 06-10-2002, 00:42

Quote:

Originariamente inviato da Bilancino
[b]Se si installa il service pack per win XP anche IE6 viene aggiornato e..........................

Il service pack di win XP era presente quando mi è arrivato bugbear....Significa che come patch non è un gran che.....

lupaio · 06-10-2002, 00:46

[quote]Originariamente inviato da ziobystek
[b]eccovi un altra patch della trnd micro (alias pc cillin).

http://www.trendmicro.com/ftp/products/tsc/tsc.zip

Come si installa? L'ho scaricata, lanciata ma non accade nulla. come si fa ?

ziobystek · 06-10-2002, 14:04

i fix di norma non si installano!

basta lanciare l' EXe e poi lui fa la scansione....alla fine di tuto cra un LOG dove ti dice kosa è successo...non mi pare molto difficile

icoborg · 06-10-2002, 15:42

GULP!!!! mi è arrivato in questp momento!!!
io uso nod+bat
ora mi è comparso un messaggio di alerta di nod pop scanner e ce il messaggio ankora da leggere nella posta...ce la fascia nera del email arrivate ke continua a scorrere ....MA IO NN SO KE KA@@O FARE!!!

MI DITE ALLISTANTE DOVE DISATTIVARE ANTEPRIMA IN BAT????(magari l'ho fatto ma nn sono sicuro)!!!!!!!!!!!!!!!!!!

KE DEVO FARE!!!!!!???????

lupaio · 06-10-2002, 17:45

Quote:

Originariamente inviato da ziobystek
[b]i fix di norma non si installano!

basta lanciare l' EXe e poi lui fa la scansione....alla fine di tuto cra un LOG dove ti dice kosa è successo...non mi pare molto difficile

Giusto, ma il problema è che non parte nessuna scansione.
Se con le scansioni il sistema risulta pulito, posso eliminare il worm dalla quarantena di Pc-cillin?

04-10-2002, 19:47	#1
lupaio Member Iscritto dal: Sep 2002 Messaggi: 61	Help: worm bugbear Aiuto ragazzi, ho scaricato la posta (outlook expr) e mi ha rilevato un virus che non ha "fermato". Purtroppo l'antivirus - PC CILLIN - non l'avevo attivato. Fortunatamente (credo), invece, nelle impostazioni di outlook ho tolto l'anteprima dei messaggi. Ho copiato tutte le e-mail in una cartella sul desktop e poi ho avviato la scansione con pc cillin che ha trovato Worm Bugbear e lo ha spostato in quarantena. Successivamente ho avviato la scans. del sistema e no ha trovato nulla. Vorrei sapere come devo eliminare questo worm e se il sistema è infetto o no. Scusate la lunghezza del testo ma sono preoccupato...... Ciao e a presto

04-10-2002, 21:42	#2
ziobystek Senior Member Iscritto dal: May 2000 Città: prov di TORINO Messaggi: 6232	per sicurezza qui trovi il fix del worm fatto dalla symantec.. http://securityresponse.symantec.com...r/FxBgbear.exe __________________ Le mie TRATTATIVE SUL MERCATINO: Iscritto dal 2000...non so quante ne ho fatte.

04-10-2002, 21:59	#3
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	http://www.trendmicro.com/vinfo/viru...WORM_BUGBEAR.A in sostanza per il controllo manuale: Removing Autostart Entries from the Registry Removing autostart entries from registry prevents the malware from executing during startup. You will need the name(s) of the file(s) detected earlier. Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter. In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>RunOnce In the right panel, locate(devi trovare una voce strana) and delete the entry or entries whose data value (in the rightmost column) is the malware file(s) detected earlier. Close Registry Editor. Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

05-10-2002, 10:31	#5
ziobystek Senior Member Iscritto dal: May 2000 Città: prov di TORINO Messaggi: 6232	stamattina mi è arrivata la mail e me lo sono bekkato (volutmante...volevo testare AVG). nel regedit anke io ho solo la voce REG_SZ.....ma...ora scariko il fix di norton e vediamo ke succede. __________________ Le mie TRATTATIVE SUL MERCATINO: Iscritto dal 2000...non so quante ne ho fatte.

05-10-2002, 10:33	#6
ziobystek Senior Member Iscritto dal: May 2000 Città: prov di TORINO Messaggi: 6232	http://securityresponse.symantec.com...oval.tool.html __________________ Le mie TRATTATIVE SUL MERCATINO: Iscritto dal 2000...non so quante ne ho fatte.

05-10-2002, 10:17	#4
mrmic Senior Member Iscritto dal: Jan 2002 Città: Roma Messaggi: 3295	Atz..che è questo qui che mi sono beccato ieri??? W32.Bugbear@mm virus Norton me l'ha messo in quarantena e l'ho cancellato. Devo comunque andare nel registro e fare quella modifica? Grazie ps Nel regedit, sia sotto RunOnce sia RunOnceEx mi dice alla destra: REG_SZ

05-10-2002, 10:42	#8
ziobystek Senior Member Iscritto dal: May 2000 Città: prov di TORINO Messaggi: 6232	AVG con la scansione completa del sistema ha rimosso perfettamente il virus e il fix di Symantec ha confermato l' esito positivo dell' operazione. Ho anke mandato una mail ai miei amici con allegato il fix per sto virus....non ho voglia di essere bombardato di mail infette kome è successo kon klez.... __________________ Le mie TRATTATIVE SUL MERCATINO: Iscritto dal 2000...non so quante ne ho fatte.

05-10-2002, 10:53	#9
mrmic Senior Member Iscritto dal: Jan 2002 Città: Roma Messaggi: 3295	A me invece dice di non averlo trovato.... Dici che non l'avevo beccato?

05-10-2002, 10:53	#10
amvinfe Senior Member Iscritto dal: Aug 2002 Messaggi: 359	Ciao, ho letto che il vermiciattolo crea anche questo file per il trojan PWS-Hooker.dll ed inoltre crea un file .exe in "esecuzione automatica" a quanto pare di tre lettere tipo CUK.EXE Marco(amvinfe) __________________ Pensi d'avere un file infetto? Invialo a SuspectFile

05-10-2002, 14:39	#12
mrmic Senior Member Iscritto dal: Jan 2002 Città: Roma Messaggi: 3295	Fai così: scaricati quel file della Symantech, poi tasto destro su risorse del computer>proprietà>ripristino configurazione di sistema>spunta la casella disattiva ripristino. A quel punto lancia il programmino e quando ha finito ritorna ad abilitare il ripristino configurazione di sistema e riattivalo. Ok?

05-10-2002, 17:20	#14
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	Se si installa il service pack per win XP anche IE6 viene aggiornato e quindi vengono rimosse le ultime vulnerabilità........oppure basta aggiornare al service pack solo internet exploer 6 E pensare che nel mio sito c'è in bella vista il link per le patch......... Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

05-10-2002, 18:51	#15
ziobystek Senior Member Iscritto dal: May 2000 Città: prov di TORINO Messaggi: 6232	eccovi un altra patch della trnd micro (alias pc cillin). http://www.trendmicro.com/ftp/products/tsc/tsc.zip stasera ho ricevuto un altra mail kon sto virus...evvai...si inizia. __________________ Le mie TRATTATIVE SUL MERCATINO: Iscritto dal 2000...non so quante ne ho fatte.

06-10-2002, 00:46	#17
lupaio Member Iscritto dal: Sep 2002 Messaggi: 61	[quote]Originariamente inviato da ziobystek [b]eccovi un altra patch della trnd micro (alias pc cillin). http://www.trendmicro.com/ftp/products/tsc/tsc.zip Come si installa? L'ho scaricata, lanciata ma non accade nulla. come si fa ?

06-10-2002, 14:04	#18
ziobystek Senior Member Iscritto dal: May 2000 Città: prov di TORINO Messaggi: 6232	i fix di norma non si installano! basta lanciare l' EXe e poi lui fa la scansione....alla fine di tuto cra un LOG dove ti dice kosa è successo...non mi pare molto difficile __________________ Le mie TRATTATIVE SUL MERCATINO: Iscritto dal 2000...non so quante ne ho fatte.

06-10-2002, 15:42	#19
icoborg Senior Member Iscritto dal: Jan 2002 Città: Firenze, Perugia, Formia(LT) Messaggi: 9028	GULP!!!! mi è arrivato in questp momento!!! io uso nod+bat ora mi è comparso un messaggio di alerta di nod pop scanner e ce il messaggio ankora da leggere nella posta...ce la fascia nera del email arrivate ke continua a scorrere ....MA IO NN SO KE KA@@O FARE!!! MI DITE ALLISTANTE DOVE DISATTIVARE ANTEPRIMA IN BAT????(magari l'ho fatto ma nn sono sicuro)!!!!!!!!!!!!!!!!!! KE DEVO FARE!!!!!!???????

Strumenti
Mostra una versione stampabile Invia questa pagina per email