PDA

Visualizza versione completa : W32.Sobig.A@mm Ais Hlp ME :D



Boe.
06-02-2003, 17.38.38
Sul computer di un amico ho trovato il virus W32.Sobig.A@mm.

Mi sono comportato come da Symantec Security Reponse (http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/it-w32.sobig.a@mm.html) e dopo una fallita scansione ho provato la rimozione con il tool. Cippa...

Ho rimosso in manuale il virus come dal sito symantec. Parrebbe andare tutto bene non foss'altro che ogni volta che riavvio win 98 se Outlook express parte in automatico e tenta la connessione a internet.


Ho controllato:

- esecuzione automatica
- autoexec.bat
- config.sys
- win.ini
- registro di sistema

ecececececcc...

Ma nulla... Qualcuno sa dirmi come ne posso venire fuori senza formattone?

dragoelliott
06-02-2003, 17.50.12
Sei sicuro di avere fatto l'operazione manuale bene?
Hai fatto tutti i passaggi:
MANUAL REMOVAL INSTRUCTIONS

Terminating the Malware Program

This procedure terminates the running malware process from memory.

Open Windows Task Manager.
On Windows 9x/ME systems, press
CTRL+ALT+DELETE
On Windows NT/2000/XP systems, press
CTRL+SHIFT+ESC, and click the 1 Processes tab.
In the list of running programs*, locate the process:
WINMGM32
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing during startup.

Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry or entries:
WindowsMGM
In the left panel, double-click the following:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry or entries:
WindowsMGM
Close Registry Editor
NOTE: If you were not able to terminate the malware process from memory as described in the previous procedure, restart your system.
Running Trend Micro Antivirus

Scan your system with Trend Micro antivirus and delete all files detected as WORM_SOBIG.A. To do this, Trend Micro customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, Trend Micro's free online virus scanner.

Deleting Malware Files

On Windows 9x/NT


Click Start>Find>Files and Folders.
In the Named input box, type:
DWN.DAT;SNTMLS.DAT
In the Look In drop-down list, select the drive which contains Windows, then press Enter.
On Windows 2000/ME/XP

Click Start>Search>For Files and Folders.
In the Search for files and folders named input box, type:
DWN.DAT;SNTMLS.DAT
In the Look In drop-down list, select the drive which contains Windows, then press Enter.
Once the files are found right-click each file then select DELETE. Click YES when prompted.

e inoltre se hai Me o Xp

For Windows ME

Right-click the My Computer icon on the Desktop and click Properties.
Click the Performance tab.
Click the File System button.
Click the Troubleshooting tab.
Select Disable System Restore.
Click Apply > Close > Close.
When prompted to restart, click Yes.
Press F8 while the system restarts.
Choose Safe Mode then hit the Enter key.
After your system has restarted, continue with the scan/clean process. Files under the _Restore folder can now be deleted.
Re-enable System Restore by clearing Disable System Restore and restarting your system normally.
For Windows XP

Log on as Administrator.
Right-click the My Computer icon on the desktop and click Properties.
Click the System Restore tab.
Select Turn off System Restore.
Click Apply > Yes > OK.
Continue with the scan/clean process. Files under the _Restore folder can now be deleted.
Re-enable System Restore by clearing Turn off System Restore.

Guarda bene se hai seguito tutti i passaggi!!
Ciao!!

:) :)

dragoelliott
06-02-2003, 17.53.15
scusami, ho visto solo adesso che avevi messo il link....:p :p
Scusate ancora!!
Ciao!!

Boe.
08-02-2003, 20.16.25
up'n'running...

ais001[db]
08-02-2003, 20.34.23
x essere sicuro di aver rimosso del tutto il Virus... prova a lanciare il Tool dalla modalità provvisoria.


poi apri il file Win.ini e controlla che non si siano ricreati i link nelle voci:

run=
load=







... poi controlla che non sia stato impostato all'avvio il check della posta ( C:\WINDOWS\All Users\Menu Avvio\Programmi\Esecuzione Automatica ).... x fare questo basta vedere cosa carica nella voce del menu ESECUZIONE AUTOMATICA.

altrimenti basta riconfigurare la connessione dentro le opzioni di OE, nella sezione STRUMENTI - OPZIONI - CONNESSIONE - CAMBIA

Boe.
09-02-2003, 01.38.55
ais fatto tutto.. ma proprio non riesco a capire perchè oe parta in automatico.. nelle impostazioni web non c'è mica l'opzione che lo fa partire all'avvio di win... boh.. ho controllato tutto quello che c'è in avvio di win e mica l'ho trovato... idem in esecuzione automatica.... boh.. vorrei evitare il formattone perchè la proprietaria del pc non si ricorda la password e con tiscali avere il reset è peggio di farsi ricevere dal papa..

ais001[db]
09-02-2003, 13.59.29
se parte in auto..... sicuramente c'è da qlc parte... :rolleyes:

se è solo un problema di psw..... basta che esporti l'account da dentro OE.... lo salvi da qlc parte... e poi quando reinstalli OE... lo reimporti. ;)

Brus
09-02-2003, 18.28.19
Dico la mia cavolata..meglio info in + che in meno :D

Prova a installare un firewall e vedi quali sono i programmi che chiedono il collegamento, poi una volta visto cos'è, ti regoli di conseguenza