| Autore |
 Discussione  |
|
|
lndfrg
New Member
40 Messaggi |
 Inserito il - 29/06/2005 : 11:23:49
|
 Prima di tutto un saluto generale in quanto è la prima volta che son qui.
Poi vorrei chiedere se qualcuno sa come proteggersi dal w32.toxbot
Sono 4 giorni che provo ma nulla...
Grazie
|
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
Inserito il - 29/06/2005 : 11:38:07
|
innanzitutto il w32.toxbot è un worm ke viene inoculato mediante chat IRCQ solitamente....
Questo worm apre una backdoor su IRCQ e permette attraverso un ver client al suo produttore di avere accesso completo al tuo PC se quando navighi in Internet 6 connesso come utente root o administrator. Per rimuoverlo puoi benissimo farlo con Norton Antivirus 2005 l'importante è ke tu setti la scansione d tutti i files anke degli archivi, delle foto. In poche parole nn devi impostare nessuna eccezione nelle regole dell'Antivirus. Prima verifica se nella sezione ripristina configurazione d sistema è stato creato un punto ripristino collegabile a quando hai preso il worm. Poi t consiglio d lanciare la scansione da modalità normale ed eventualmente se nn trovi niente da modalità provvisoria. Prima d rimuovere il worm ricerca il nome del file ke lo contiene e poi dal registro di configurazione d Win rimuovi tutte le chiavi associate a quel file. Queste procedure sono essenziali perchè il w32.toxbot è un worm autorigenerante ad ogni riavvio di sistema.
P.S.: Spero d esserti stato d aiuto e fammi sapere se c sono ulteriori sviluppi in merito!
P.P.S.: Ribadisco anc, a te ke 6 nuovo, ke la chat è pericolosa, tana di crackeroni e lameroni ke si divertono a sfruttare le vulnerabilità della chat stessa per mietere vittime tra visitatori innocenti! Inoltre utilizzi un sistema operativo molto vulnerabile cm Win e quindi 6 ancora + esposto a rischi!
CIAO CIAO |
 |
|
|
lndfrg
New Member
40 Messaggi |
Inserito il - 29/06/2005 : 12:02:34
|
Grazie,
comunque ho già seguito delle istruzioni simili a quelle che mi hai consigliato te. Tuttavia Norton lo ha rilevato ma non cancellato. Ho tolto le impostazioni "Ripristino impostazioni di sistema".
Ciò che mi hanno consigliato di fare è di eliminare le seguenti stringhe ma ho timore a farlo ( poi random file name che significa? devo eliminare tutta la sottocartella?).
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\[RANDOM FILE NAME]
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\[RANDOM FILE NAME]
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_[RANDOM FILE NAME]
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\[RANDOM FILE NAME]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DHCP Client
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DHCP Client
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DHCP_CLIENT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCP Client
Grazie
|
|
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
Inserito il - 29/06/2005 : 12:04:59
|
| No t devi eliminare le chiavi ke m hai appena postato. Praticamente accedi al regedit e trovi tutti i percorsi ke m hai appena postato e rimuovi dalla finestra di dx le chiavi ke m hai segnalato! X sicurezza prima effettua un backhup del registro! |
|
|
|
lndfrg
New Member
40 Messaggi |
Inserito il - 29/06/2005 : 12:10:56
|
Ad esempio in questa:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\[RANDOM FILE NAME]
dovrei cancellare tutte le chiavi. Ma ne sono una trentina!!! Cancello tutto ciò che cìè sotto Minimal praticamente?
Non c'è un modo più semplice per eliminare tale worm?
Grazie |
|
|
|
lndfrg
New Member
40 Messaggi |
Inserito il - 29/06/2005 : 12:14:07
|
Inoltre per i primi
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\[RANDOM FILE NAME]
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\[RANDOM FILE NAME]
mi dice di eliminare
"[DEFAULT]" = "Service" che non trovo
mentre per gli altri di eliminarli completamente |
|
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
Inserito il - 29/06/2005 : 12:17:09
|
Attento prima esegui il tuo PC in modalità provvisoria e vai a rimuovere il seguente file:
C:\Windows\System32\TrkWksvc.exe. (Se hai Windows XP).
Poi Prova a scansionare in modalità provvisoria e a vedere se riesce a rimuovertelo ed eventualmente( sia ke c riesca ke no) vai nel regedit al percorso seguente rimuovi "(Default)" = "Service"(t crea 1 chiave così) nei seguenti percorsi:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrkWksvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TrkWksvc
Fatto questo vai a vedere se t trova anc qualcosa e poi rilanci regedit dalla riga d comando
e vai nei percorsi seguenti a rimuovere queste chiavi:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Minimal\TrkWksvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
Network\TrkWksvc.
Ade prova a riscansionare il tutto e vedrai ke nn t troverà + niente. Poi per togliere tutti i dubbi, essendo una backdoor in background ke lancia un processo d sistema esegui la scansione da modalità normale dopo aver riavviato il tuo PC.
P.S.: Dopo aver fatto tutto questo lancia dalla riga d comando cmd e poi netstat -na e guarda se t compare una porta TCP 6556 aperta quando 6 connesso ad Internet. Se questa fosse established dopo aver seguito tutta la procedura fammi sapere ke vedremo cosa fare!
P.P.S.: Spero d esserti stato d aiuto! CIAO CIAO!
|
|
|
|
lndfrg
New Member
40 Messaggi |
Inserito il - 30/06/2005 : 09:53:38
|
Salve,
ero in procinto di provare con le operazioni che mi hai illustrato ieri quando il worm mi viene segnalato cancellato ma a quel punto ne viene fuori un altro: CacheCachekit. Mi sono informato, sembra essere uno spyware e le istruzioni per rimuoverlo sono abbastanza lunghe e tediose da ciò che mi hanno riferito.
Grazie |
|
|
|
n/a
deleted
Città: Nascosta
1310 Messaggi |
Inserito il - 30/06/2005 : 11:59:28
|
Se 1 spyware utilizza spybot 1.4, ad-aware 1.06 e spyware doctor e se quello lì è veramente uno spyware allora verrà rimosso! Cmq t consiglio d dare un occhiata alla tua config xkè 6 molto vulnerabile, e se ogni giorno è così è meglio ke nn accedi + ad Internet!
P.S.: Se c sn novità fammi sapere! CIAUZ CIAUZ! |
|
|
| |
Discussione |
|
Aiuto....
Forum Bloccato
