AMD Planet

[Aragorn]

un tizio che conosco si è beccato questo virus
Roron
il suo av (avg)
glielo elimina ma dopo un pò ricompare

gli ho consigliato di guardare nel task manager di xp se c'è qualcosa di strano che è il virus residente in memoria
ma nn lo trova

gli ho anche dato la pagina di rimozione della symantec ma x uno che nn è uno smanettone nn è proprio facilissimo

quindi se avete qualche dritta mi fate un favore
grazie mille

[Ghost]

Durante la propria installazione, Roron crea una copia di se stesso nella directory di Windows con il nome "rundll16.exe" e registra questo file nelle chiavi di auto-run del registro:


HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LoadCurrentProfile = Rundll16.exe powprof.dll,LoadCurrentUserProfile

HKCR\exefile\shell\open\command
%WinDir%\Rundll16.exe "%1" %*

HKCR\regfile\shell\open\command
%WinDir%\Rundll16.exe regedit.exe "%1"


Il worm si copia inoltre nella directory di sistema sotto Windows e nella cartella "Program Files". Per scegliere il nome del file di destinazione, Roron seleziona dei nomi di file e directory esistenti e aggiunge un'estensione scelta casualmente:

98.exe
16.exe
32.exe


Ad esempio, le copie del worm possono chiamarsi:

Program Files\Online Services\Online Service16.exe
Windows\System\browseui16.exe


Anche questi file sono registrati nelle chiavi HKLM\...\Run= e / o in WIN.INI, sotto la sezione [windows] come istruzione "run=" .

Il worm puo' visualizzare il seguente messaggio:

WinZip Self-Extractor License Confirmation

Your version of WinZip Self-Extractor is not licensed, or the
license information is missing or corrupted. Please contact
the program vendor or the web site (http://www.WinZip.com) for
additional information.


Roron crea un suo file di dati nella directory di Windows e lo utilizza per conservarvi alcune variabili che servono alla sua corretta esecuzione. Il file si chiama winfile.dll .

Possono inoltre esistere copie del worm con le seguenti denominazioni:

Zip Password Recovery v4.5.exe
Star Craft 2 Trailer.exe
WWF!!_The_ROCK(sHOw).exe
cRedit CarDs gEn v1.2.exe
WinZip 8.2 (Cracked).exe
GTA 3 Bonus Cars.exe
Eminem Desktop.exe
DMX tHeMe (full).exe
NFS 5 Bonus Cars.exe
Counter Strike 1.5 (Editor).exe
Madonna - My Life (Review).exe
DivX 5.4 Bundle.exe
KaZaA Media Desktop v1.8.3.exe
Win XP key gen 2.1B.exe
Serials 2002 Update.exe

X ELIMINARLO PROVA QUA'
ftp://ftp.europe.f-secure.com/anti-viru ... -roron.zip
ftp://ftp.europe.f-secure.com/anti-viru ... -roron.txt

Cmq roron è vekkissimo come virus.... è del 2002.

poi se vuoi essere sempre aggiornato...
http://vil.nai.com/vil/stinger/

BYEEEEE E SPERO KE VADA A BUON FINE

[Aragorn]

uh... dice di aver già provato in questo modo

il problema e che i tool glielo rimuovono ma dopo un pò il worm ritorna....

[Ghost]

ehm...ma se mi dici ke nn è uno smanettone...come può essere mai ke sia entrato nel regedit???? BOHH!! non so + cosa dirti ho finito le mie risorse e quelle di internet

[jaber]

provato a fare la scansione da modalità provvisoria?in questo modo il virus,in tutte le varianti,non parte col sistema operativo.tentar non nuoce.

[Aragorn]

nn gli parte l'antivirus in modalità prov

[MORETTOSA]

non ha in giro una copia del reg?
di solito se ha installato un proghramma di pulizia per il reg quel programma fa una serie di copie di back prova a rimettergli un reg di una ultima pulizia del registro(ps tutto questo sempre che abbia qualche programma di pulizia)

[Aragorn]

nn credo
cioèil problema che sta a londra
se no andrei io e prima o poi il verme lo faccio saltare fuori...

[MORETTOSA]

digli un bel format

[Aragorn]

a quello ci arrivavo senza chiedere un parere....

[MORETTOSA]

se e inteligente avra sicuramente un hardisk di dati e una gostata pulita quindi in 20 min risolve il problema definitivamente con il format

[Aragorn]

non ha la ghostata

[MORETTOSA]

bene non gli passa piu

[Aragorn]

poraccio

[igmar]

bello sto topic