Re: ragazzi aiuto

Ahi ahi.....hai fatto la scansione con antivirus e spyware?

Re: ragazzi aiuto

il sp2 lo hai gia installato????

Re: ragazzi aiuto

ho trovato questo in un altro forumo n nso se vada leggi


"PER RISOLVERE IL PROBLEMA LEGGETE E APPLICATE QUELLO CHE SEGUE:

DESCRIZIONE
IRC/SdBot_DUD
Alias: SdBot.DUD, Backdoor.RBot.56EF8FD2, Backdoor.Win32.SdBot.gen, IRC/SdBot.DUD, W32/Backdoor, W32/Gaobot.gen.worm, W32/Sdbot.worm.gen.g, Win32.HLLW.MyBot, Win32/IRCBot.Variant!Trojan, Win32/IRCBot.Variant!Trojan
Trojan
Pericolosità: Bassa
Sistemi operativi interessati: Win9x/ME/NT/2000/XP
Data scoperta: 2005-03-30

Caratteristica: Controllo remoto del computer attraverso IRC_file.

Trojan che si propaga sfruttando le risorse condivise nelle reti, disabilita l'esecuzione di diversi programmi, impedisce l'uso di alcuni strumenti di Windows, e permette che un attaccante prenda il controllo remoto della macchina infettata ed esegua dei comandi da un canale IRC.
Può manifestarsi con un nome qualunque anche se gli esempi trovati riportano il seguente:
Microsft-XP-8293k-fix.exe
Questo trojan cerca di indiciduare la presenza nel descktop della finestra di mIRC, noto client di IRC (Internet Relay Chat).
Se lo trova crea nella cartella di Windows il file riportato di seguito e cancella il file originale:
C:\WINDOWS\SYSTEM\scvhost.exe
NOTA: "c:\windows\system" può variare a seconda del sistema operativo installato (con stesso nome se mancante in Windows 9x y ME, come "c:\winnt\system32" in Windows NT e 2000 e "c:\windows\system32" in Windows XP e Windows Server 2003).
Per eseguirsi in automatico ad ogni avvio di sistema, crea delle chiavi nel registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft Critical System Services = "scvhost.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft Critical System Services = "scvhost.exe"
HKCU\Software\Microsoft\OLE
Microsoft Critical System Services = "scvhost.exe"
NOTA: SVCHOST.EXE (Generic Host Process for Win32 Services), è un file legittimo di Windows XP, utilizzato per l'esecuzione dei servizi. Il nome del file del trojan è simile, ma presenta alcune lettere scambiate allo scopo di confondersi con quello originale (SCV al posto di SVC).
Quindi verifica che vi sia una connessione Internet, e se è così, si connette attraverso la porta TCP 6667 al server:
pownage.net
Inoltre cerca di connettersi al canale "#anti-school" di un determinato server IRC con i dati:
nickname NOR
username ezkieya.
Per non eseguirsi più di una volta in memoria, il trojan crea un mutex:
UrxBotie
Nella macchina così infettata un utente remoto può ottenerne facilmente il controllo tramite la porta nascosta creata al momento della connessione al canale.
Altre possibili azioni:
- Realizzare attacchi di Denial of Service
- Terminare processi
- Scaricare ed eseguire files
- Autoeseguirsi
Il componente trojan realizza la sua connessione utilizzando la porta (TCP/113), richiesta da alcuni server IRC per ragioni di autenticazione
Inoltre il trojan evita che altre applicazioni, tra cui antivirus e strumenti di sistema, vengano eseguite mentre esso stesso è attivo in memoria.


Soluzione: N.B. Prima della rimozione fare il backup del registro. Riavviamo in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), entriamo nella Task (Ctrl+Alt+Canc nei sistemi operativi 9x e ME o Ctrl+Shift+Esc nei sistemi operativi NT, 2000 e XP), e terminiamo, se presente, l'applicazione aggiunta dal worm. Chiudiamo la Task.

Cancelliamo manualmente i files aggiunti dal virus
Da Esplora Risorse cerchiamo ed eliminiamo il file:
C:\WINDOWS\SYSTEM\scvhost.exe
IMPORTANTE: Non cancelliamo C:\WINDOWS\SYSTEM32\SVCHOST.EXE,poichè è un file proprio di Windows.
Svuotiamo il cestino.
Editiamo il registro
Nota: alcuni dei percorsi nel registro che menzioneremo, possono non essere presenti, ciò dipende dalla versione di Windows installata.
Start>Esegui>scriviamo REGEDIT e premiamo OK.
Aiutandoci cliccando sui + fino ad ottenere:
HKEY_CURRENT_USER
\Software
\Microsoft
\OLE
selezioniamo la cartella "OLE" e nel pannello di dx, cotto la colonna "Nome", cerchiamo e cancelliamo la chiave:
Microsoft Critical System Services = "scvhost.exe"
Aiutandoci ancora cliccando sui + fino ad ottenere:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
selezioniamo la cartella "Run" e nel pannello di dx, cotto la colonna "Nome", cerchiamo e cancelliamo la chiave:
Microsoft Critical System Services = "scvhost.exe"
Aiutandoci sempre cliccando sui + fino ad ottenere:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
selezioniamo la cartella "RunServices" e nel pannello di dx, cotto la colonna "Nome", cerchiamo e cancelliamo la chiave:
Microsoft Critical System Services = "scvhost.exe"
Chiudiamo e Salviamo le modifiche
Eliminare i files anche dal cestino!
Riavviare il computer.
Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato. Riavviare in modalità normale. N.B. Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Procedure per il Ripristino di configurazione del sistema: Su Sistemi Operativi WinME: Click su Start, da Impostazioni click su Pannello di Controllo, doppio click su Sistema e cliccate sulla scheda Prestazioni. Click su File System quindi sulla scheda Risoluzione dei problemi e selezionate Disattiva ripristino configurazione di sistema, date OK quindi cliccate su Chiudi, vi verrà chiesto di riavviare il computer. Su Sistemi Operativi WinXP: Click su Start, click con il tasto dx del mouse su Risorse del Computer poi su Proprietà. Click sulla scheda Ripristino configurazione di sistema mettere la spunta su Disattiva Ripristino configurazione di sistema o su Disattiva Ripristino configurazione di sistema su tutte le unità, click su Applica click su Sì e poi su OK, riavviare. N.B. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema."

Re: ragazzi aiuto

bah, una soluzione per un trojan ad un messaggio che può voler dire QUALSISASI COSA.

puoi avere programm ii o driver installati male, win sporco, malware (ma non quello nello specifico sai?), trojan, problemi hardware....

qualche scansione? un hijack this? ma lo fa ogni quanto?

Re: ragazzi aiuto

si ok una delle tante soluzioni...intanto puo controllare male nn fa

Re: ragazzi aiuto

basta cercare se ha scvhost nel task manager....

Re: ragazzi aiuto

svchost

....Io ne ho 6

Re: ragazzi aiuto



allora ho fatto scansione con ad-aware e hijack this ieri...nn mi ha trovato nulla...

Re: ragazzi aiuto



ne ho 8.....ke significa?