PDA

Visualizza versione completa : VIRUS Worm.Win32.Ladex


MEGS
17-04-2004, 15.46.55
Salve a tutti,
ho scoperto di avere questo virus Worm.Win32.Ladex che non riesco proprio a togliere (ho McAfee).
Potreste darmi un suggerimento per togliere definitivamente questo virus ?

Grazie

davlak
17-04-2004, 16.05.35
già provato in modalità provvisoria?

cmq in linea di massima:

nel registro dovresti avere questi valori:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
@="smss.exe"
@="csrss.exe"

da cancellare

e su HD:

Windows\Help\DOSAPP.HLP
Windows\Inf\CDROM.SYS
Windows\Fonts\DOSOEM.FON
Windows\SMSS.EXE
Windows\CSRSS.EXE
Windows\System32\LADY.EXE

anche questi da cancellare, ma prima dovresti terminare il processo Lady.exe nel Task Manager.


Se però hai una LAN il discorso è un pò più complicato.

MEGS
17-04-2004, 16.08.48
Originariamente inviato da davlak
già provato in modalità provvisoria?

cmq in linea di massima:

nel registro dovresti avere questi valori:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
@="smss.exe"
@="csrss.exe"

da cancellare

e su HD:

Windows\Help\DOSAPP.HLP
Windows\Inf\CDROM.SYS
Windows\Fonts\DOSOEM.FON
Windows\SMSS.EXE
Windows\CSRSS.EXE
Windows\System32\LADY.EXE

anche questi da cancellare, ma prima dovresti terminare il processo Lady.exe nel Task Manager.


Se però hai una LAN il discorso è un pò più complicato.

Grazie per la velocissima risposta,
ho visto che nel task non ho Lady.exe ma ho invece SMSS.EXE e CSRSS.EXE. Cosa mi conviene fare ?

davlak
17-04-2004, 16.18.30
Originariamente inviato da MEGS


Grazie per la velocissima risposta,
ho visto che nel task non ho Lady.exe ma ho invece SMSS.EXE e CSRSS.EXE. Cosa mi conviene fare ?
quelli sono due processi di sistema, quindi non vanno toccati, e sono collocati in c:\windows\system32, solo che il worm li replica in c:\windows...perciò cancella quei valori dal registro e poi cancella i file che ti ho indicato in c:\windows (o cmq nella cartella di installazione di win, immagino tu abbia XP o 2000).
Meglio se fai tutto in modalità provvisoria.

MEGS
17-04-2004, 16.21.35
Originariamente inviato da davlak

quelli sono due processi di sistema, quindi non vanno toccati, e sono collocati in c:\windows\system32, solo che il worm li replica in c:\windows...perciò cancella quei valori dal registro e poi cancella i file che ti ho indicato in c:\windows (o cmq nella cartella di installazione di win, immagino tu abbia XP o 2000).
Meglio se fai tutto in modalità provvisoria.

Ok grazie provo.
Se non mi risenti vuol dire tutto ok.

Ciao