file !ReadMe.exe (backdoor.IRC.bot)

xenom · 25-01-2005, 22:05

raga ho un bel problema: intanto vi dico che uso norton antivirus 2004 (aggiornato) e windows xp professional (nessun sp).

Da un po' di MESI (tanti) riappare un file nascosto chiamato "!ReadMe.exe", questo file viene creato da non so cosa nelle cartelle condivise. Notare che norton lo rileva casualmente, intendo che a quanto pare questo file viene creato in un determinato momento, anche se non tocco il pc, anche se non lo collego al portatile. è da un mese che non si ripresentava, ora ha ricominciato. Norton non lo ripara, lo mette sempre in quarantena.

questo eseguibile appartiene ad un virus, non ricordo esattamente il nome perchè ora l'ho già cancellato, ma dovrebbe essere il Gaobot.A (la lista dei backup mi dice "backdoor.irc.bot").

Vi dico già da subito che probabilmente l'eseguibile non l'ho mai avviato. il virus non ha modificato nessuna chiave di registro, almeno non è in autorun... e non c'è nemmeno ora tra i processi.

io vorrei capire come stracazzo si crea questo file... sembra che venga creato dal nulla.

Grazie, se vi servono altre info per capire meglio ditemelo

tidav · 25-01-2005, 22:18

Se hai l'ADSL (con il 56K ci vuole molto tempo) prova ad andare in www.kaspersky.com .
Nella sezione HOME USERS trovi il AntiVirus Personale 5.0 PRO.
Vai in TRIALS e lo scarichi (sono 24 MB) , disattivi momentaneamente il Norton , lo aggiorni e gli fai fare una scansione completa.

Poi se ti risolve il problema o lo tieni gratuitamente per 30 gg oppure lo disinstalli.

Magari ti trova il problema, il Kaspersky 5.0 PRO è uno dei migliori AV.

eraser · 25-01-2005, 23:33

di solito quel nome è utilizzato dalle varianti del worm Gobot (Ghost Bot) scritto da Positron

xenom · 26-01-2005, 14:45

Quote:

Originariamente inviato da eraser
di solito quel nome è utilizzato dalle varianti del worm Gobot (Ghost Bot) scritto da Positron

ah...

per caso sapete dirmi come caspita fa ad "autocrearsi"? io sono quasi sicuro di non averlo attivato, anche perchè non noto cose strane, e come ho già detto questo problema ce l'ho da molti mesi...

xenom · 26-01-2005, 15:28

ARGH! Dopo che ho installato kaspersky, non riesco + ad andare su internet explorer! Ogni volta che carica una pagina, si chiude la finestra all'improvviso!

E questo DOPO aver installlato kaspersky!

che è successo?

edit: ho disinstallato kaspersky e IE6 funzia bene... perchè caxx me lo chiudeva sempre? :|

Dome87 · 26-01-2005, 19:22

ce l'avevo anche io questo virus, è appunto una qualche variante di agobot, kaspersky me lo cancellava sempre ma questo puntualmente si ricreava. Prova ad andare nel registro di windows, in hkey local mashine----software---windows---current vers---run, se trovi qualcosa che c'entra con quello lo cancelli e dovrebbe andare a posto. Io non ricordo come avevo fatto, comunque se riesci....................un bel format e tutto si sistema

xenom · 26-01-2005, 21:26

Quote:

Originariamente inviato da Dome87
ce l'avevo anche io questo virus, è appunto una qualche variante di agobot, kaspersky me lo cancellava sempre ma questo puntualmente si ricreava. Prova ad andare nel registro di windows, in hkey local mashine----software---windows---current vers---run, se trovi qualcosa che c'entra con quello lo cancelli e dovrebbe andare a posto. Io non ricordo come avevo fatto, comunque se riesci....................un bel format e tutto si sistema

nah... fosse così semplice avrei già risolto

il format no! 160 giga da backuppare non sono pochi

Ciaba · 26-01-2005, 22:03

...se hai la configurazione di ripristino attivata è li che si annida(come la maggior parte dei virus che si riproducono dal nulla)...
Poi un mito da sfatare è che un antivirus una volta trovato "l'inquilino" lo possa togliere da tutto il sistema...accontentiamoci che lo segnala e poi armati di pazienza andiamo a cercare in rete le soluzioni che ci propongono le softwarehouse stesse...e quì ci si trovano tutte le indicazioni di rimozione MANUALE.......che è l'unica in grado di salvarti il SO.
http://securityresponse.symantec.com...2.gobot.a.html

xenom · 27-01-2005, 20:32

per eliminare tutti i punti di ripristino per debellare il virus devo eliminare fisicamente la cartella "restore"?

FOXYLADY · 27-01-2005, 20:38

Quote:

Originariamente inviato da xenom
per eliminare tutti i punti di ripristino per debellare il virus devo eliminare fisicamente la cartella "restore"?

No, basta che vai su start/risorse computer, tasto destro, proprietà e da li disattivi il ripristino.

Ciao

xenom · 28-01-2005, 15:57

Quote:

Originariamente inviato da FOXYLADY
No, basta che vai su start/risorse computer, tasto destro, proprietà e da li disattivi il ripristino.

Ciao

eh ma a me serve il ripristino... (mi ha salvato le chiappe + volte

)... per eliminare TUTTI i punti come faccio?

FOXYLADY · 28-01-2005, 16:31

Quote:

Originariamente inviato da xenom
eh ma a me serve il ripristino... (mi ha salvato le chiappe + volte

)... per eliminare TUTTI i punti come faccio?

Fai come ti ho già detto sopra, in quel modo elimini anche tutti i punti di ripristino.
Poi , dopo aver fatto la scansione con l'AV, lo puoi riattivare.

Ciao

25-01-2005, 22:05	#1
xenom Senior Member Iscritto dal: Mar 2004 Città: Verona Messaggi: 2364	file !ReadMe.exe (backdoor.IRC.bot) raga ho un bel problema: intanto vi dico che uso norton antivirus 2004 (aggiornato) e windows xp professional (nessun sp). Da un po' di MESI (tanti) riappare un file nascosto chiamato "!ReadMe.exe", questo file viene creato da non so cosa nelle cartelle condivise. Notare che norton lo rileva casualmente, intendo che a quanto pare questo file viene creato in un determinato momento, anche se non tocco il pc, anche se non lo collego al portatile. è da un mese che non si ripresentava, ora ha ricominciato. Norton non lo ripara, lo mette sempre in quarantena. questo eseguibile appartiene ad un virus, non ricordo esattamente il nome perchè ora l'ho già cancellato, ma dovrebbe essere il Gaobot.A (la lista dei backup mi dice "backdoor.irc.bot"). Vi dico già da subito che probabilmente l'eseguibile non l'ho mai avviato. il virus non ha modificato nessuna chiave di registro, almeno non è in autorun... e non c'è nemmeno ora tra i processi. io vorrei capire come stracazzo si crea questo file... sembra che venga creato dal nulla. Grazie, se vi servono altre info per capire meglio ditemelo

25-01-2005, 22:18	#2
tidav Senior Member Iscritto dal: Oct 2004 Messaggi: 893	Se hai l'ADSL (con il 56K ci vuole molto tempo) prova ad andare in www.kaspersky.com . Nella sezione HOME USERS trovi il AntiVirus Personale 5.0 PRO. Vai in TRIALS e lo scarichi (sono 24 MB) , disattivi momentaneamente il Norton , lo aggiorni e gli fai fare una scansione completa. Poi se ti risolve il problema o lo tieni gratuitamente per 30 gg oppure lo disinstalli. Magari ti trova il problema, il Kaspersky 5.0 PRO è uno dei migliori AV. Ultima modifica di tidav : 25-01-2005 alle 22:21.

25-01-2005, 23:33	#3
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	di solito quel nome è utilizzato dalle varianti del worm Gobot (Ghost Bot) scritto da Positron __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

26-01-2005, 15:28	#5
xenom Senior Member Iscritto dal: Mar 2004 Città: Verona Messaggi: 2364	ARGH! Dopo che ho installato kaspersky, non riesco + ad andare su internet explorer! Ogni volta che carica una pagina, si chiude la finestra all'improvviso! E questo DOPO aver installlato kaspersky! che è successo? edit: ho disinstallato kaspersky e IE6 funzia bene... perchè caxx me lo chiudeva sempre? :\| Ultima modifica di xenom : 26-01-2005 alle 18:19.

26-01-2005, 19:22	#6
Dome87 Member Iscritto dal: Sep 2004 Messaggi: 99	ce l'avevo anche io questo virus, è appunto una qualche variante di agobot, kaspersky me lo cancellava sempre ma questo puntualmente si ricreava. Prova ad andare nel registro di windows, in hkey local mashine----software---windows---current vers---run, se trovi qualcosa che c'entra con quello lo cancelli e dovrebbe andare a posto. Io non ricordo come avevo fatto, comunque se riesci....................un bel format e tutto si sistema __________________ Moderatore di Wigotechnology

26-01-2005, 22:03	#8
Ciaba Senior Member Iscritto dal: Nov 2002 Città: Firenze Messaggi: 4027	...se hai la configurazione di ripristino attivata è li che si annida(come la maggior parte dei virus che si riproducono dal nulla)... Poi un mito da sfatare è che un antivirus una volta trovato "l'inquilino" lo possa togliere da tutto il sistema...accontentiamoci che lo segnala e poi armati di pazienza andiamo a cercare in rete le soluzioni che ci propongono le softwarehouse stesse...e quì ci si trovano tutte le indicazioni di rimozione MANUALE.......che è l'unica in grado di salvarti il SO. http://securityresponse.symantec.com...2.gobot.a.html __________________ I soliti case ti hanno stancato? Passa all'UnCase Listen With Headphones

27-01-2005, 20:32	#9
xenom Senior Member Iscritto dal: Mar 2004 Città: Verona Messaggi: 2364	per eliminare tutti i punti di ripristino per debellare il virus devo eliminare fisicamente la cartella "restore"?

Strumenti
Mostra una versione stampabile Invia questa pagina per email