Aiuto per favore!!!

[schubaffo]

Ho una situazione terribile...
dopo aver trovato il worm W32.Netspree.Worm sul mio pc...

http://securityresponse.symantec.com/avcenter/venc/data/w32.netspree.worm.html

ho provato a cancellarlo, ed ho reinstallato windows, mettendo subito il norton ed aggiornandolo... ma il worm c'è ancora!!!
Ma come si prende??? perchè non riesco ad eliminarlo??
Nel sito della symantec è conosciuto, ma il norton non lo vede!!!



che posso fare???

[schubaffo]

Sul sito della SYmantec c'è scritto che "la cura" sarà disponibile nel live update del 29 gennaio... che faccio... aspetto???

ma come l'ho preso?? si può prendere frequentando determinati siti, forum o comunità varie?? o è + probabile col file sharing (che comunque non ho usato dopo la reinstallazione di stamattina)???

[Bilancino]

Rimozione manuale:

<a Teminazione del processo virus : (nel caso di Win Me/Xp disabilitare il system restore)

<1 Nel caso di Windows NT/2000/XP premere CTRL+SHIFT+ESC per visualizzare tutti i processi attivi. Chiudere il processo(i) associato(i) al virus. Chiudere il task manager di windows e riaprirlo per verificare che il processo(i) sia(no) chiuso(i), se la verifica è positiva si può chiudere il task manager di windows

<2 Nel caso di windows 98/Me usare un programma tipo Winpatrol per effettuare lo stesso procedimento perché il task manager di windows 98/Me non mostrano tutti i processi attivi.

<b Rimozione delle chiavi e dei file del virus

<3 Start ---> Esegui --->; Regedit

<4 Andare nella seguente posizione nel registro:

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run

Nella parte destra della finestra del registro individuare la chiave e rimuoverla Windows Subsys

<5 Andare nella seguente posizione nel registro:

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Runservice

E rimuovere nella parte destra della finestra la chiave Windows Subsys

<C Ripristino dei valori nel registro

Se non si è stato potuto terminare i processi relativo al virus riavviare il sistema.

<6 Start ---> Esegui ---> Regedit

<7 Andare nella seguente posizione nel registro:

HKEY_LOCAL_MACHINE>System>Current Control Set>
Control>Lsa

Nella parte destra della finestra individuare la chiave restrictanonymous e modificare il valore inserendo 0

<8 Chiudere il registro e riavviare


Come ultimo passo basta cancellare i file del virus WORM_NETSPREE.A usando una scansione con l’antivirus aggiornato così sarà lui a trovare i files e a rimuoverli. Se l'aggiornamento del tuo antivirus non è disponibile cancellali a mano (se già sai quali sono)

Ciao

[schubaffo]

ti ringrazio bilancino, ma tutte queste operazioni le ho già fatte... è solo che il Norton non lo riconosce, e quindi non riesco ad individuare tutti i file potenzialmente infettati dal worm...

ho cancellato i 5 file prodotti dal worm, modificato le chiavi di registro... tutto insomma, ma il worm continua a "riprodursi"...
forse c'è ancora qualche file infettato che non riesco a trovare... magari con il Live Update di mercoledì prox risolvo...

[Bilancino]

Ma hai il pc in una lan?

Prova questo tool:

http://www.trendmicro.com/download/tsc.asp

scarica anche le ultime firme della trend micro e metti il tutto in una directory........

Ciao

[schubaffo]

no, niente lan...

ora provo, grazie :P

[schubaffo]

niente

[Bilancino]

Per me lo riprendi in qualche modo quando sei collegato, usi p2p icq qualcosa perchè si propaga tramite le condivisione di reti in genere......

Ciao

[schubaffo]

Quote:

Originally posted by "Bilancino"

Per me lo riprendi in qualche modo quando sei collegato, usi p2p icq qualcosa perchè si propaga tramite le condivisione di reti in genere......

Ciao

ok ... ma ho reinstallato winzozz stanotte... e non ho ancora usato nessun p2p.... e icq lo avevo solo installato...

Si può prendere un worm solo visitando determinati siti?? Sai... mi servivano delle "ranocchie"...

[Bilancino]

Quote:

Originally posted by "schubaffo"




Si può prendere un worm solo visitando determinati siti?? Sai... mi servivano delle "ranocchie"...

E' possibile se il sistema operativo non ha la patch per i controlli activex (mi riferisco a win 98 me)

Ciao

[schubaffo]

Quote:

Originally posted by "Bilancino"



E' possibile se il sistema operativo non ha la patch per i controlli activex (mi riferisco a win 98 me)

Ciao

Ho win2000 pro...
ora ho installato Agnitum Outpost firewall... e quegli strani files non si formano +...
Però rilevo DECINE E DECINE di tentativi di connesione esterna da parte di GMT.EXE (gator)... pensi sia quello il problema?? Può avere una qualche relazione con il mancato riformarsi dei 5 file tipici del worm W32.Netspree.Worm???

[Bilancino]

Se hai gator prova spybot e toglilo.

Ciao

[schubaffo]

Quote:

Originally posted by "Bilancino"

Se hai gator prova spybot e toglilo.

Ciao

spybot è sensazionale... ha trovato cose inimmaginabili!!!
Spero di avere risolto e ti ringrazio per il preziosissimo aiuto...

un'ultima cosa ti chiedo... ma è possibile installare il DivX 5.0.3 senza dover installare il gator??? Non esiste una versione "non ufficiale" per ovviare a questa seccatura??

[Bilancino]

Io ho il 5.02 e non lo uso per la codifica ma solo per vedere altre versioni non le ho installate.

Ciao