[OT] Virus AvBlocker.Hosts.Trojan
Inviato: 12 lug 2004, 17:29Scusate se posto quì ma essendo il thread più letto è quello dove è più efficace.
AvBlocker.Hosts.trojan
oggi sto virus a praticamente messo in ginocchio mezzo ateno veronese... d lunedì mattina... nn vi dico ke festa.
Il virus nn è altro ke uno port-scanner, ma però è mooolto pesante e soprattutto occupa tanta d quella banda da far paura; in pratca te ne accorgi perche la macchina risulta notevolmente rallentata nell'avvio d qualsiasi applicazione, il programma antivirus risulta chiuso e le iconcine del traffico di rete sono attive anche se nn state assolutamente facendo niente.
Voi direte: ma nn hai l'antivirus??? si, c'è l'ho, il fatto è ke a noi è arrivato prima il virus delle definizioni dell'antivirus, percui ci ha fatto letteralmente la festa.
Passiamo ai fatti:
-- Localizzarlo
1) nel task manager ci deve essere un processo "msnmsgr.exe" ke NON è il messager d Winzoz(quello è msmsgr.exe), potreste notare già subito ke tale processo occupa 10/50% della Cpu anke se il messager è kiuso o non presente
2) la funzione del Realmonitor del vostro Antivurs probabilemnte è chiusa
3) la rete sta trafficando anche se nn dovrebbe aver niente da fare
4) il computer è mooolto lento (ad esempio c metteva 30 secondi ad avviare Outlook)
5) la cartella c:\docu and sett\alluser\
documetni condivisi è condivisa e contiene il file "msnmsgx.exe"
-- Debellarlo
1) fate il Winzoz update
2) aggiornate l'antivirus
3) riavviate ed entrate in modallità provvisoria
4) eseguire l'antivirus e fare una scansione completa
5) finchè l'antivirus va fate "esegui" e lanciate "regedit"
6) in regedit fare "modifica" -> "trova" e cercate "msnmsgr"
7) eliminate tutte le chiavi e/o le cartelle dove questo nome compare (dovreste trovare una cartella "infotech communic..." e un "windows login")
7a) se avvete un tool per editare il registro controllate ke nn ci sia "msnmsgr.exe" come programma in avvio automatico
8 ) completate la scansione (dovrebbe trovare il virus AvBlocker.Hosts.Trojan)
9) cercare ed eliminare tutti i file "msnmsgr.exe" che si trovano sul Pc (consiglio di effettuare tale ricerca in modalità provvisoria e abilitando la visualizzazione di file nascosti e di sistema)
10)Chiudere tutte le condivisioni attive sul Pc, soprattutto c:\docum and sett\alluser\documenti condivisi e quelle nascoste (admin$, ipc$, c$, etc...)
11) riavviate normalmente e dovreste trovarvi tutto alla "normalità"
AGGIORNATO 11.00 13/07/04
Good luck!
AvBlocker.Hosts.trojan
oggi sto virus a praticamente messo in ginocchio mezzo ateno veronese... d lunedì mattina... nn vi dico ke festa.
Il virus nn è altro ke uno port-scanner, ma però è mooolto pesante e soprattutto occupa tanta d quella banda da far paura; in pratca te ne accorgi perche la macchina risulta notevolmente rallentata nell'avvio d qualsiasi applicazione, il programma antivirus risulta chiuso e le iconcine del traffico di rete sono attive anche se nn state assolutamente facendo niente.
Voi direte: ma nn hai l'antivirus??? si, c'è l'ho, il fatto è ke a noi è arrivato prima il virus delle definizioni dell'antivirus, percui ci ha fatto letteralmente la festa.
Passiamo ai fatti:
-- Localizzarlo
1) nel task manager ci deve essere un processo "msnmsgr.exe" ke NON è il messager d Winzoz(quello è msmsgr.exe), potreste notare già subito ke tale processo occupa 10/50% della Cpu anke se il messager è kiuso o non presente
2) la funzione del Realmonitor del vostro Antivurs probabilemnte è chiusa
3) la rete sta trafficando anche se nn dovrebbe aver niente da fare
4) il computer è mooolto lento (ad esempio c metteva 30 secondi ad avviare Outlook)
5) la cartella c:\docu and sett\alluser\
documetni condivisi è condivisa e contiene il file "msnmsgx.exe"
-- Debellarlo
1) fate il Winzoz update
2) aggiornate l'antivirus
3) riavviate ed entrate in modallità provvisoria
4) eseguire l'antivirus e fare una scansione completa
5) finchè l'antivirus va fate "esegui" e lanciate "regedit"
6) in regedit fare "modifica" -> "trova" e cercate "msnmsgr"
7) eliminate tutte le chiavi e/o le cartelle dove questo nome compare (dovreste trovare una cartella "infotech communic..." e un "windows login")
7a) se avvete un tool per editare il registro controllate ke nn ci sia "msnmsgr.exe" come programma in avvio automatico
8 ) completate la scansione (dovrebbe trovare il virus AvBlocker.Hosts.Trojan)
9) cercare ed eliminare tutti i file "msnmsgr.exe" che si trovano sul Pc (consiglio di effettuare tale ricerca in modalità provvisoria e abilitando la visualizzazione di file nascosti e di sistema)
10)Chiudere tutte le condivisioni attive sul Pc, soprattutto c:\docum and sett\alluser\documenti condivisi e quelle nascoste (admin$, ipc$, c$, etc...)
11) riavviate normalmente e dovreste trovarvi tutto alla "normalità"
AGGIORNATO 11.00 13/07/04
Good luck!
