Nachi.B....Nuova variante del Msblast?

[R@nda]

Ne sapete qualcosa?
Me lo sono beccato e a quanto pare è una variante dell'Msblast nuova.....non riesco a trovare informazioni da nessuna parte....esiste il Nachi.A (di cui ci sono le patch) ma non il .b

E' inutile rimuoverlo....come la variante .A dell'Msblast sfrutta un buco e si riforma.

Che mi dite?

P.S.

Ma sta gente non c'ha un cazzo d'altro d afare?

[R@nda]

Pare che abbia risolto....

Le patch rilasciate da Microsoft sono 3.....io ne avevo installate solo 2.

Ora sembra ok.

Meno male....

[Faby82]

ciao
anche io mi sono beccato il nachi.b avendo installate tutte le patch..

qual è la patch mancante?

[Faby82]

avevo installato la mega security patch 826939

che conteneva:
824146
823980
815021

[R@nda]

Oh cavolo....sono le stesse che ho io.

In pratica lo ha beccato anche così?

Il file che si riforma e infetta è questo:
C:Windows\system32\drivers\svchost.exe

Dopo aver messo tutte e 3 le patch e rimosso il file ho usato questo:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=NachiA

E adesso sto facendo uno scan qui:

http://www.ravantivirus.com/scan/

E mi trova il file che ho eliminato nel cestino.....vediamo quando ha finito che fa....c'è un opzione di autoclean.

Ora problemi non ne ho.....prima mi si incartava task manager e non potevo più avviare Internet explorer e nemmeno disconnettermi......ero obbligato a riavviare.

Vediamo.

[R@nda]

Niente da fare....non c'è rimedio

O è una versione nuova oppure non ci riesco io.

Difatto sto Nachi.B non è riconosciuto da nessun antivirus e non ho trovato rimedio.....nemmeno una notizia online cercando e ricercando.

Ma che due balle......non rimane altro che attendere una patch.

Altri che hanno notizie?

Aggiornamento:

Dentro alla cartella:

C:windows\system32\config\systemprofile\impostazioni locali\content.IE5\2Lw91e3

Si formano due file Patch[1] e Patch[2] (non ricordo precisamente il nome) eliminateli...eliminate tutto meno il file desktop.ini

Poi eliminate il file svchost.exe dalla cartella che ho detto prima
e fate i passaggi con i tool che ho linkato dopo aver installato le 3 patch.

Per ora funziona .....mi rendoconto che è un pò un casino,ma sto andando a tentativi.

[arturo bandini]

cazzo, mi sa che è lo stesso che mi sono preso anch'io una mezz'oretta fa..

proverò a seguire i tuoi passi...

[Faby82]

grazie mille...
cmq il mio antivirus me l'ha rilevato subito, AVG 7.0

ho già eliminato il file svchost incriminato ma si continuava a creare e quindi ho messo il firewall ZoneAlarm e non ho avuto + problemi quindi si tratta evidentemente dell'ennesimo baco di windows.... speriamo che Bill tiri fuori una patch in fretta

cmq le 2 patch da me si chiamano WksPatch[1] e WksPatch[2], e si trovano in
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\JJD5EIRE

adesso li cancello !!!!

maledetto worm

[Faby82]

Il worm installa anche la patch di protezione 823980 (MS03-026) sui computer infetti dopo averne stabilito il sistema operativo e dopo aver scaricato la patch di protezione corrispondente. Questa installazione impropria dei file e delle impostazioni del Registro di sistema associati alla patch di protezione 823980 (MS03-026) può lasciare i computer infetti vulnerabili ai problemi descritti nel Microsoft Security Bulletin MS03-026 e causare problemi in fase di installazione della versione Microsoft della patch di protezione 823980 (MS03-026). I sintomi descritti di seguito possono indicare che la patch di protezione 823980 (MS03-026) è stata installata dal worm Nachi:
Nessuna voce relativa alla patch di protezione 823980 (MS03-026) nello strumento Installazione applicazioni. Ad esempio, Windows XP Hotfix - KB823980 non è presente nell'elenco Installazione applicazioni. Questo problema persiste anche dopo avere installato la versione Microsoft della patch di protezione 823980 (MS03-026). Questo problema si verifica perché il worm installa la patch di protezione 823980 (MS03-026) in modalità "no archive". Un amministratore può installare la patch di protezione 823980 (MS03-026) in modalità "no archive" utilizzando il parametro /n.
La voce seguente è visualizzata nel registro degli eventi di sistema:
Origine: NtServicePack
Categoria: Nessuna
ID evento: 4359
Utente: NT AUTHORITY\SYSTEM
Descrizione: sistema operativo Hotfix KB823980 installato.

Nota Per ordinare il registro degli eventi di sistema in base all'Origine, fare clic sull'intestazione di colonna Origine nel Visualizzatore eventi

[bertoz85]

PORCA PU***************************************************************************************************************************NAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

basta così lungo?

io giuro, GIURO che se becco il nullacoglione che fa ste cazzate lo crocefiggo!!!!!!!!!!!

AAAAAAAAAHHH!!

E tutto questo non dimentichiamo che è grazie al NETBIOS della rete! Da quando ho messo su la rete succedono dei gran casini!!!!!!!!!!!!!!!!!!!!!

AAAAAAAAAAAAAAAAAAAAAAAAAHHHHHHHHHHHHHHHHHH

sto ca**ino di virus lo odiooooooooooooooooooo il Pccillin l'ha rilevato subito lma lui aveva già eseguito il suo codice!!
Ma come è possibile.

Mi metto a piangereeeeeeeeeee

[me]

Quote:

Originariamente inviato da Faby82
grazie mille...
cmq il mio antivirus me l'ha rilevato subito, AVG 7.0

ho già eliminato il file svchost incriminato ma si continuava a creare e quindi ho messo il firewall ZoneAlarm e non ho avuto + problemi quindi si tratta evidentemente dell'ennesimo baco di windows.... speriamo che Bill tiri fuori una patch in fretta

cmq le 2 patch da me si chiamano WksPatch[1] e WksPatch[2], e si trovano in
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\JJD5EIRE

adesso li cancello !!!!

maledetto worm

sono da eliminare??

[Charlie Brown]

Qualche notizia in + dal sito della pandasoftware....
http://www.pandasoftware.com/virus_i...s=44588&sind=0

qui c'è anche un remove per questo worm.

Comunque svchos.exe una volta pulito è un apply di windows non è da eliminare...

[Faby82]

sono tutti da eliminare non preoccupatevi...

il vero svchost.exe sta in c:\windows\system32

[R@nda]

Quote:

Originariamente inviato da Faby82
sono tutti da eliminare non preoccupatevi...

il vero svchost.exe sta in c:\windows\system32

Infatti.....sto infame si nasconde pure bene.
Cmq sequendo le dritte di questo post sono riuscito a risolvere.
ma porcamisaeria però....

[RAdish]

io lo ho eliminato tramite nod ma ho ancora problemi...

in esecuzione ho ancora 4 5 svchost pero' facendo una ricerca di virus sul pc non me lo trova col fix della symantec non me lo trova.

I problemi che ho ora sono avere alcuni programmi che non partono e non riuscire a visualizzare le proprieta' di una directory; se termino da task manager tutti i svchost mi esce la schermata di rpc riavvia il pc in 60 secondi, ma in quei 60 secondi funziona di nuovo tutto.

[palanzana]

Quote:

Originariamente inviato da RAdish
io lo ho eliminato tramite nod ma ho ancora problemi...

in esecuzione ho ancora 4 5 svchost pero' facendo una ricerca di virus sul pc non me lo trova col fix della symantec non me lo trova.

I problemi che ho ora sono avere alcuni programmi che non partono e non riuscire a visualizzare le proprieta' di una directory; se termino da task manager tutti i svchost mi esce la schermata di rpc riavvia il pc in 60 secondi, ma in quei 60 secondi funziona di nuovo tutto.

stessa cosa..

[palanzana]

provate qui http://www.microsoft.com/downloads/d...displaylang=en


dovrebbe risolve...

[palanzana]

ora sto facendo lupdate di win dal sito... è possibile ke ogni volta bisogna fare sta pippa!

[Re_Lizard]

Anche io ho lo stesso identico problema.....

[Re_Lizard]

Quote:

Originariamente inviato da palanzana
provate qui http://www.microsoft.com/downloads/d...displaylang=en


dovrebbe risolve...

Con questo hai risolto??
Io non riesco nemmeno a entrare nelle directory, se ci provo la cpu va al 100% sel suo utilizzo e si blocca tutto...posso solo resettare