Visualizza messaggio singolo
Vecchio 13-10-2004, 14.31.21   #8
Infoservice
Senior Member
 
L'avatar di Infoservice
 
Registrato: 14-12-2002
Loc.: Coniolo (AL)
Messaggi: 395
Infoservice promette bene
Quota:
Originariamente inviato da Cico2000
a me era successa una cosa simile dopo una scansione con adware , in pratica mi aveva sballato qualcosa sul protocollo tcp ip e non mi andava piu il dns..alla fine ho piallato la macchina preso da maiale..perņ se scopri qualcosa fammi sapere..sono interesasto anche io ..
Ok ragazzi ho risolto. (NON HO RIFORMATTATO CICO2000!!!! YEAH)
Vi posto la soluzione cosi' puo' servire a qualcun altro sf..ato come me.

Allora e' un po lunga.
Iniziamo col dire che mi sono accorto che la connessione inviava e riceveva pacchetti come una matta anche se avevo chiuso tutti i progr. che potevano usarla
Allora sono andato per esclusione e ho chiuso tutti i servizi che partivano all'avvio e che non conoscevo (CTRL-ALT-CANC->Servizi)

I servizi che mi parevano strani sono (poi vi dico a cosa servono):

WcgoPSVC.exe
PCSVC.exe
PCTSPK.exe
MDM.exe
e infine l'incriminato Wvsvc.exe

I primi 3 sono servizi per una videocamera della creative (trovata nota su internet)

MDM.exe e' un servizio di windows (attendibile)

L'ultimo invece e' un worm chiamato Rbot o korgo!!

Terminato questo processo tutto e' tornato a funzionare.
Quindi ho scaricato il tools della Trend-micro Damage Cleanup Engine / Template scaricabile qui: http://www.trendmicro.com/ftp/products/tsc/tsc.zip
L'ho eseguito e il report e' stato questo:

------------------------------------------------
Damage Cleanup Engine (DCE) 3.6(Build 1120)
Windows XP(Build 2600: Service Pack 1)

Start time : mer ott 13 2004 11:13:47

Load Damage Cleanup Template (DCT) "C:\Documents and Settings\Pamela\Desktop\tsc\tsc.ptn" (version 432) [success]
WORM_WOOTBOT.AA[virus found]
-->delete registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Wind ows\CurrentVersion\Runservices","sys32snd.exe") success
-->delete registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Wind ows\CurrentVersion\Run","sys32snd.exe") success
-->delete registry data("HKEY_USERS",".DEFAULT\Software\Microsoft\Win dows\CurrentVersion\Run","sys32snd.exe") success
-->delete registry data("HKEY_USERS",".DEFAULT\Software\Microsoft\Win dows\CurrentVersion\RunOnce","sys32snd.exe") success
WORM_RBOT.QQ[virus found]
-->delete registry data("HKEY_LOCAL_MACHINE","Software\Microsoft\Wind ows\CurrentVersion\Run","wvsvc.exe") success
-->delete file("C:\WINDOWS\System32\wvsvc.exe","","") success
-->delete registry data("HKEY_LOCAL_MACHINE","SOFTWARE\Microsoft\Wind ows\CurrentVersion\RunServices","wvsvc.exe") success
-->delete registry data("HKEY_CURRENT_USER","Software\Microsoft\Windo ws\CurrentVersion\Run","wvsvc.exe") success

Complete time : mer ott 13 2004 11:14:08
Execute pattern count(1288), Virus found count(2), Virus clean count(2), Clean failed count(0)
--------------------------------------------------

Riassunto: due virus rimossi (WORM_RBOT.QQ e WORM_WOOTBOT.AA)

Infine sono andato sul sito della trend-micro e con il tools HouseCall ho fatto una scansione on-line del pc e ho rimosso il virus KORGO.AE cancellando un file in windows\system32

Riavviato il tutto e voila che ho ripreso a navigare bene!

Vi lascio con una domanda. Perche' ho dovuto usare 4 antivirus per rimuovere tutte le schifezze da questa macchina?????

Tempo fa ho partecipato ad un thread su questo forum che parlava di antivirus in cui elogiavano nod32 e AVG a scapito di NAV.
Beh, la mia storiella ha dimostrato che AVG in questo caso non e' servito (c'e' da dire che il virus c'era gia' quando l'ho installato).

Cmq avrebbe dovuto scovarlo lo stesso o no? Altrimenti a cosa servono le scansioni del disco, basterebbero i programmi della systray che controllano tutto il traffico!!!!

VAbbe' non voglio fare polemica. Thats all falk.

CIAUUUUUUUU
Infoservice non č collegato   Rispondi citando