Virus...!, Se avete problemi con virus,spyware,ecc. postate qui...!

Ciao a tutti,ho aperto questo topic per parlare di virus,e siccome ho una discreta esperienza con i virus sarò lieto di darvi una mano!

Attenzione virus del mese...!

SpamBot Adware.BHO.BK.

Alias: SpamBot Adware.BHO.BK.

Spyware
Pericolosità: Media
Sistemi operativi interessati: Windows 95,98,ME,2000,NT,XP
Data scoperta: 2006-12-04

Descrizione:

Scheda a cura di: Redazione Alground

SpamBot/Adware.BHO.BK. giunge attraverso una finta email. L'incipit del messaggio è il seguente: "Sono l'avvocato (nome casuale) e mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo di posta elettronica messaggi dal contenuto esplicito". SpamBot, una volta insediatosi nel computer dell'utente, registra una libreria dinamica, DLL, nella cartella di sistema di Windows con il nome

webdesk.dll

dopodichè inserisce nel registro di sistema i seguenti valori

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser
Helper Objects/{BD2E165D-1BC6-23AA-345B-1C234F173CBD} = Web Desk
HKEY_CLASSES_ROOT/WebDesk.webq.1
HKEY_CLASSES_ROOT/WebDesk.webq
HKEY_CLASSES_ROOT/CLSID/{BD2E165D-1BC6-23AA-345B-1C234F173CBD}
HKEY_CLASSES_ROOT/Interface/{BDA8125F-55CA-4168-6D9A-168E76C11ABD}


e comincia ad inviare informazioni a dei server situati in Russia, incastrati ovviamente con un sistema di scatole cinesi. Per assicurarsi che lo spyware venga ricaricato ad ogni riavvio del computer, SpamBot fa ricorso al vecchio sistema del Browser Helper Object, un modulo che va a fare parte del browser Internet Explorer e che viene quindi utilizzato ad ogni riavvio del computer.

Fonte:Redazione Alground

grazie per l'informazione coniglio come sempre utilissima(votate di piu' il forum se no' viene cancellato)

daccordo...!

Ragazzi leggete è importante:

Trojan Horse Clicker. DHV Trojan-Clicker. Win32. Small.kj

Alias: Trojan-Clicker.Win32.Small.kj

Trojan
Pericolosità: Alta
Sistemi operativi interessati: Windows ME,XP,2000
Data scoperta: 2006-11-21

Clicker.DHV è un trojan che sta ultimamente infettando parecchi utenti Il Trojan viene individuato dall'antivirus, specialmente da AVG Free, da NOD 32 e da tutti i prodotti Kaspesky, come Trojan Horse Clicker.DHV o nella sua variante. DAO. Altro nome con cui è conosciuto è Trojan-Clicker.Win32.Small.kj il quale crea diversi file nella cartella C:\WINDOWS\System32\ fra cui

syst32.dll
syshost.dll
mdm32.dll
winsmgr32.dll
iexplore32.dll
scrss32.dll
spoolsv32.dll
svchost32.dll

Dopodichè si registra nel registro di sistema come

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon]
"Userinit"="%System%\userinit.exe,,%Windir%\svchost.exe%"

In questo modo si assicura che venga ricaricato ad ogni riavvio di Windows.

Payload

Il Trojan scarica dalla seguente pagina di Internet attraverso il browser Internet Explorer:

http://195.225.***.34/stat2/0034/tuk.php

Dopodichè cerca di scaricare file nella directory dei file temporanei di Windows

http://195.225.***.34/stat2/0034/c1.txt
http://195.225.***.34/stat2/0034/c2.txt
http://195.225.***.34/stat2/0034/c3.txt


Fonte:Redazione Alground

grazie per l'informazione

Prego...!
Ps. X tutti gli utenti anche voi potete postare le informazioni su i virus...!

Altro nuovo virus...!

EMAIL-WORM.WIN32. WAREZOV.AT

Worm
Pericolosità: Alta
Sistemi operativi interessati: Windows ME, 95,98, Xp
Data scoperta: 2006-09-25

Descrizione:

Questo worm si diffonde via Internet come allegato di messaggi infetti e invia una copia di se stesso a tutti gli indirizzi email raccolti dalla macchina vittima. Il worm è un file PE.EXE impacchettato con UPack. Il file compresso è approssimativamente di 117KB, e una volta estratto è pesante all'incirca 470KB.

Installazione del worm

Una volta lanciato, il worm visualizza il seguente messaggio.



Dopodichè, si copia nella directory root di windows come “t2serv.exe”:

%Windir%\t2serv.exe

Crea inoltre i seguenti file nelle directory root e di sistema di Windows

%System%\e1.dll (8192 bytes)
%System%\wmnecomc.dll (24576 bytes)
%System%\wmpcskdl.dll (20480 bytes)
%System%\xactcomr.exe (12288 bytes)
%Windir%\t2serv.dll (6656 bytes)
%Windir%\t2serv.s
%Windir%\t2serv.wax

successivamente crea il seguente file nella directory del sistema Windows

%System%\wmnecomc.dll

Il worm crea i seguenti valori nel registro di sistema, assicurandosi che il file worm venga lanciato automaticamente ogni volta che Windows venga riavviato sulla macchina infetta.

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"t2serv" = "%Windir%\t2serv.exe s"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "wmnecomc.dll e1.dll"

Payload

Il worm scarica i seguenti file dagli URL sottoindicati, dopodichè li esegue:

http://www4.vertio*****eliplim.com/chr/grv/lt.exe
http://www6.vertio*****eliplim.com/chr/grv/nt.exe

I file siti in questi URL contengono delle varianti di Email-Worm.Win32.Warezov

Infezione via email

Il worm si autoinvia a tutti gli indirizzi raccolti dalla rubrica di MS Windows. Il worm, utilizza la sua stessa libreria SMTP per inviare messaggi infetti. Come si può vedere nell'esempio

è molto dannoso questo virus..........

Già bisogna stare attenti...!

Attenzione nuovo virus...!

W32.Zindos.A

Alias: Zindos.A, Win32/Zindos.A, W32/Zindos.A, W32/Zindos.worm, W32/Zindos-A

WormBackdoor
Pericolosità: Media
Sistemi operativi interessati: Win9x/ME/NT/2000/XP
Data scoperta: 2004-07-27

Descrizione:

Worm che si propaga grazie alla variante .M di Mydoom sfruttando la parte server del trojan Zincite.A

W32.Zindos.A cerca di sferrare attacchi DoS verso il sito microsoft.com, attraverso la porta 1034 in TCP che Zincite.A apre in una macchina infettata, sembra che l'autore della variante .M di Mydoom e di Zindos.A sia il medesimo.

Una volta eseguito, Zindos.A copia nella cartella TEMP un file dove il nome è casuale, ma che avrà sempre estensione.exe. Per assicurarsi d'essere eseguito ad ogni riavvio della macchina, copia il valore Tray = (nome casuale).exe nelle chiavi

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ed in

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

L'attacco DoS al sito microsoft.com avverrà dopo tre minuti che avrà infettato la macchina, tenterà anche di scaricare ad intervalli di tempo una pagina web, cercherà anche altre macchine infettate dal worm Mydoom.M cercando, a sua volta, d'installare il suo codice infetto.

Soluzione:

Soluzione: N.B. Prima della rimozione fare il backup del registro. Riavviamo in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), entriamo nella Task (Ctrl+Alt+Canc nei sistemi operativi 9x e ME o Ctrl+Shift+Esc nei sistemi operativi NT, 2000 e XP), e terminiamo, se presente, l'applicazione aggiunta dal worm. Chiudiamo la Task.

Portarsi in:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ed in

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows CurrentVersion\Run

cliccare sulla cartellina gialla della chiave "Run", nella finestra di dx potremo cercare ed eliminare la voce aggiunta da W32.Zindos.A, cliccando di dx sul valore Tray = (nome casuale).exe e successivamente su Elimina, confermiamo le modifiche ed usciamo dal Registro.

Svuotiamo il contenuto della cartella TEMP.

Riavviamo il computer.

Nota:

Installare un Firewall.

Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato. Riavviare in modalità normale. N.B. Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Procedure per il Ripristino di configurazione del sistema: Su Sistemi Operativi WinME: Click su Start, da Impostazioni click su Pannello di Controllo, doppio click su Sistema e cliccate sulla scheda Prestazioni. Click su File System quindi sulla scheda Risoluzione dei problemi e selezionate Disattiva ripristino configurazione di sistema, date OK quindi cliccate su Chiudi, vi verrà chiesto di riavviare il computer. Su Sistemi Operativi WinXP: Click su Start, click con il tasto dx del mouse su Risorse del Computer poi su Proprietà. Click sulla scheda Ripristino configurazione di sistema mettere la spunta su Disattiva Ripristino configurazione di sistema o su Disattiva Ripristino configurazione di sistema su tutte le unità, click su Applica click su Sì e poi su OK, riavviare. N.B. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema.


Fonte:Redazione Alground

quanti virus......

E questi non sono nulla...!

Nuovo virus...!

W32.Netsky.C@mm

Alias: W32/Netsky.C, Netsky.C, Moodown.C, I-Worm.Moodown.c, Win32/Netsky.C, W32/Netsky.c@MM, W32/Netsky.C.worm, WORM_NETSKY.C, W32/Netsky-C

Worm
Pericolosità: Medio/Alta
Sistemi operativi interessati: Win9x/ME/NT/2000/XP
Data scoperta: 2004-02-25

Descrizione:

Variante .C del worm che nelle settimane scorse ha creato non pochi problemi a migliaia di computers di tutto il mondo, anche per questa variante se ne prevede una larga diffusione. Scritto in Microsoft Visual C++ e compresso con le utilità Petite (~25 KB) o Aspeck (~28 KB), può arrivare via mail con un allegato .zip o con eseguibile quale .doc .htm .rtf .txt se l'estensione è una sola, nel caso di allegato a due estensioni, la seconda può essere .com .exe .pif .scr (N.B. anche nel caso di allegato a doppia estensione, la seconda potrebbe non essere visualizzata).

Anche in questa variante esiste la possibilità d'essere infettati via P2P, in questo caso una volta infettati, il worm cercherà nell'HD una cartella con il nome "sharing" o "share", nel caso la ricerca fosse positiva copierà nella stessa cartella un gran numero di files eseguibili infetti, alla prima connessione attiva comincerà a propagarsi. I software P2P che possono propagare questo worm sono diversi, fra i quali: Kazaa, Kazaa Lite, BearShare, eDonkey2000, ICQ, Kmd, Limewire, Shareaza. Di seguito ecco i nomi dei files che potrebbero copiarsi nella cartella del P2P

1000 Sex and more.rtf.exe - 3D Studio Max 3dsmax.exe - ACDSee 9.exe - Adobe Photoshop 9 full.exe - Adobe Premiere 9.exe - Ahead Nero 7.exe - Best Matrix Screensaver.scr - Clone DVD 5.exe - Cracks & Warez Archive.exe - Dark Angels.pif - Dictionary English - France.doc.exe - DivX 7.0 final.exe - Doom 3 Beta.exe - E-Book Archive.rtf.exe - Full album.mp3.pif - Gimp 1.5 Full with Key.exe - How to hack.doc.exe - IE58.1 full setup.exe - Keygen 4 all appz.exe - Learn Programming.doc.exe - Lightwave SE Update.exe - Magix Video Deluxe 4.exe - Microsoft Office 2003 Crack.exe - Microsoft WinXP Crack.exe - MS Service Pack 5.exe - Norton Antivirus 2004.exe - Opera.exe Partitionsmagic 9.0.exe - Porno Screensaver.scr - RFC Basics Full Edition.doc.exe - Screensaver.scr - Serials.txt.exe - Smashing the stack.rtf.exe - Star Office 8.exe - Teen Porn 16.jpg.pif - The Sims 3 crack.exe - Ulead Keygen.exe - Virii Sourcecode.scr - Visual Studio Net Crack.exe - Win Longhorn Beta.exe - WinAmp 12 full.exe - Windows Sourcecode.doc.exe - WinXP eBook.doc.exe - XXX hardcore pic.jpg.exe

Ecco nel dettagli come può presentarsi la mail contenente il worm W32.Netsky.C@mm



Va ricordato inoltre che i mittenti delle mail, gli oggetto, il testo del messaggio e l'allegato sono variabili, di seguito solo alcuni esempi:

Mittente: vario

Oggetto: believe me/ dear/ Delivery Failed/ denied!/ error/ exception/ Status/ stolen/ take it/ trust me/ warning

Testo: a crazy doc about you/ abuse?/ account?/ already?/ I have your password! /i hope thats not true!/ i know your document!/ i like your doc!/ picture?/ poor quality!/ possible?/ pretty pic about you?/ pwd?/ read it immediately!

Allegato: 454543403/ aboutyou/ associal/ letter/ location/ mail2/ mails/ regid/ release/ response/ schock/ secrets/ sexual

Per propagarsi via mail usa un proprio motore SMTP (Simple Mail Transfer Protocol) e cercherà gli indirizzi cui allegarsi in tutte le unità disco (C/Z), ma anche in tutti i files con estensione adb .asp .dbx .doc .eml .htm .html .msg .oft .php .pl .rtf .sht .tbb .txt .uin .vbs .wab

Una volta eseguito l'allegato copia in C:\%WinDir% il file winlogon.exe (25.352 bytes) e per assicurarsi che ad ogni avvio ci sia un processo attivo, copia in HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run ed in HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run il valore ICQ Net = winlogon.exe ?stealth

Se la macchina è infetta dalle varianti A/B del worm Mydoom o dalla variante .T del worm Mimail cerca di eliminare i vaolri da loro aggiunti, la medesima cosa farà se nella chiave HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run troverà il valore KasperskyAV. Per assicurarsi d'avere un solo processo attivo crea il mutex [SkyNet.cz]SystemsMutex

Curiosità: se l'infezione avrà esito positivo, in data 26 febbraio 2004 dalle ore 06.00 alle ore 09.00 e non oltre le 09.01 nel computer infetto si potrebbero ascoltare dei suoni "bip"

Chiavi del registro interessate

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

Se nel computer sono già presenti i worms Mimail.T e Mydoom.A/B, l'altra chiave interessata oltre a quelle già citate è la

HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35- 11CF-9C87-00AA005127ED}InProcServer32

Soluzione:

Soluzione: N.B. Prima della rimozione fare il backup del registro. Riavviamo in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), entriamo nella Task (Ctrl+Alt+Canc nei sistemi operativi 9x e ME o Ctrl+Shift+Esc nei sistemi operativi NT, 2000 e XP), e terminiamo, se presente, l'applicazione aggiunta dal worm. Chiudiamo la Task.

Con la funzione trova, cerchiamo ed eliminiamo il file winlogon.exe ma solo se il percorso del file è c:windows (Win98x/Me/XP) o c:winnt (NT/2000) eliminiamo il file anche dal cestino.

ATTENZIONE!!!

Il file winlogon.exe è un file legittimo del sistema operativo, ma SOLO se la sua directory è System32 ad esempio C:WINDOWSSYSTEM32winlogon.exe

Portarsi in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ed in HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun ed eliminare dal pannello di dx il valore ICQ Net = winlogon.exe ?stealth

Facciamo click su Start



Click su Esegui



Scriviamo regedit e facciamo click su OK



Ora siamo nell' Editor del Registro di configurazione



Per poterci portare nella chiave "Run" dobbiamo cliccare sui + di HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun e di HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun e cliccare sulla cartellina gialla della chiave "Run", nella finestra di dx potremo cercare ed eliminare la voce aggiunta da W32.Netsky.C@mm cliccando di dx sul valore ICQ Net = winlogon.exe ?stealth e successivamente su Elimina.





Riavviare il computer.

Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato. Riavviare in modalità normale. N.B. Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Procedure per il Ripristino di configurazione del sistema: Su Sistemi Operativi WinME: Click su Start, da Impostazioni click su Pannello di Controllo, doppio click su Sistema e cliccate sulla scheda Prestazioni. Click su File System quindi sulla scheda Risoluzione dei problemi e selezionate Disattiva ripristino configurazione di sistema, date OK quindi cliccate su Chiudi, vi verrà chiesto di riavviare il computer. Su Sistemi Operativi WinXP: Click su Start, click con il tasto dx del mouse su Risorse del Computer poi su Proprietà. Click sulla scheda Ripristino configurazione di sistema mettere la spunta su Disattiva Ripristino configurazione di sistema o su Disattiva Ripristino configurazione di sistema su tutte le unità, click su Applica click su Sì e poi su OK, riavviare. N.B. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema.

Tool per la rimozione automatica: http://vil.nai.com/vil/stinger

Fonte:Redazione Alground

Altro nuovo virus...!

Win32/Crypt.E

Alias: Crypt.E, Alcan.B, Alcan.C, Crypt.B, Downloader-EA, TR/Crypt.E, Trj/Downloader.CZU, Trojan.Crypt.E, Trojan.Win32.Crypt.e, Trojan.Winupd, Trojan/Downloader.Delf.CQ, W32.Spybot.Worm, W32/Crypt.E, W32/Crypt.E-tr, Win32.Alcan.B, Win32.Alcan.B!ZIP, Win32.Alcan.C, Win32/Alcan.B!ZIP!Trojan, W32/Crypt.E, Win32/Rbot.CPQ!Dropper, Win32:Crypt

TrojanWorm
Pericolosità: Media
Sistemi operativi interessati: Win9x/ME/NT/2000/XP
Data scoperta: 2005-06-25

Descrizione:

E' un trojan compresso in PE-Spin, si propaga attraverso programmi P2P, è capace d'installare una variante del worm Rbot. Presente in internet con diverse varianti, tutte simili fra loro, descriviamo quella che viene considerata come la variante più diffusa anche in Italia.

Il nome del file che contiene il trojan è sempre di un software conosciuto inserito all'interno di un archivio con estensione .ZIP all'interno del quale è presente il file SETUP.EXE (~800 KB), tutto questo per far credere all'utente d'essere un file sicuro. Per creare il file zippato contenente il file infetto verrà collocato nella %SysDir% il file bszip.dll (la directory %SysDir% fa riferimento al proprio sistema operativo). Il file zippato verrà collocato in una o più cartelle, se presenti, riconducibili a programmi P2P

donkey2000\Incoming
earshare\Shared
eMule\Incoming
gnucleus\downloads
grokster\my grokster
Kazaa\My Shared Folder
Limewire\Shared
morpheus\My Shared Folder
My Shared Folder
rapigator\share
res\My Shared Folder
shareaza\downloads
shared

Vediamo nel dettaglio i vari passaggi:

a. scarica collegandosi ad un server (newcracks.net) una serire di pagine salvando una lista di nomi di file per poi posizionarli in C:\ all'interno di due file di testo

i nomi dei due file sono x.txt e z.txt

b. crea una copia infetta e la colloca in C:\ all'interno di un file .zip (c:\temp.zip)

c. crea un file .zip il cui nome sarà preso casualmente dalla lista dei nomi dei file precedentemente scaricata e collocata all'interno dei file x.txt e z.txt, all'interno del file zippato si avrà sempre il file setup.exe

Se verrà eseguito il file di setup, verrà mostrata a video una falsa immagine d'installazione ed un falso messaggio d'errore dove viene consigliato di scaricare l'ultima versione del programma:



Verrà creata in %Programmi% la cartella winupdate all'interno della quale verrà collocato il file winupdate.exe, aggiungerà inoltre in C:\ il file z.tmp

Per assicurarsi d'essere caricato ad ogni riavvio del sistema, aggiunge il valore

winupdate = "%Programmi%\winupdate\winupdate.exe /auto" (dove %Programmi% è la directory in base il proprio sistema operativo)

Il trojan installerà diversi eseguibili con attributo nascosto (+h) e di sistema (+s) vediamo quali

c:\%WinDir%\%SysDir%\cmd.com
c:\%WinDir%\%SysDir%\netstat.com
c:\%WinDir%\%SysDir%\ping.com
c:\%WinDir%\%SysDir%\regedit.com
c:\%WinDir%\%SysDir%\taskkill.com
c:\%WinDir%\%SysDir%\tasklist.com
c:\%WinDir%\%SysDir%\taskmgr.exe
c:\%WinDir%\%SysDir%\\tracert.com

(le directory %WinDir% e %SysDir% fanno riferimento al proprio sistema operativo)

N.B.

ricordo che un file con estensione .com ha priorità rispetto un file .exe, nel caso si volesse eseguire ad es. regedit verrebbe eseguito regedit.com il file cioè installato dal trojan, in caso d'infezione dovremo ricordarci d'eseguire invece il file regedit.exe.

Per quanto riguarda invece il file taskmgr.exe lo stesso verrà sovrascritto dal trojan con un file da ~2 byte rendendo di fatto inutilizzabile il file legittimo di sistema.

Altra azione del trojan sarà quella di scaricare spyware e adware collegandosi all'indirizzo members.chello.nl, collocando i file infetti in C:\ all'interno dei file a.tmp e b.tmp

Cercherà infine di scaricare il file xz.exe collegato ad una variante del trojan RBot

Soluzione:

Soluzione: N.B. Prima della rimozione fare il backup del registro. Riavviamo in Modalità provvisoria (premendo il tasto F8 al caricamento del sistema), entriamo nella Task (Ctrl+Alt+Canc nei sistemi operativi 9x e ME o Ctrl+Shift+Esc nei sistemi operativi NT, 2000 e XP), e terminiamo, se presente, l'applicazione o le applicazioni aggiunte dal worm.Chiudiamo la Task. Cerchiamo ed eliminiamo (anche dal cestino) i files:

c:\%WinDir%\%SysDir%\cmd.com
c:\%WinDir%\%SysDir%\netstat.com
c:\%WinDir%\%SysDir%\ping.com
c:\%WinDir%\%SysDir%\regedit.com
c:\%WinDir%\%SysDir%\taskkill.com
c:\%WinDir%\%SysDir%\tasklist.com
c:\%WinDir%\%SysDir%\taskmgr.exe
c:\%WinDir%\%SysDir%\\tracert.com

(le directory %WinDir% e %SysDir% fanno riferimento al proprio sistema operativo)

Portarsi in

Start>Esegui scrivere regedit.exe e dare l'OK.

Portarsi in

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

cliccare sulla cartellina Run e dal pannello di dx selezionare di dx sulla voce

winupdate = "%Programmi%\winupdate\winupdate.exe /auto" (dove %Programmi% è la directory in base il proprio sistema operativo)

e successivamente su Elimina.

Eliminare il contenuto delle cartelle TEMP, Temporary internet files e cookies.

Fare una scansione, sempre dalla modalità provvisoria, con l'antivirus aggiornato e con un antispyware aggiornato. Riavviare in modalità normale. N.B. Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Procedure per il Ripristino di configurazione del sistema: Su Sistemi Operativi WinME: Click su Start, da Impostazioni click su Pannello di Controllo, doppio click su Sistema e cliccate sulla scheda Prestazioni. Click su File System quindi sulla scheda Risoluzione dei problemi e selezionate Disattiva ripristino configurazione di sistema, date OK quindi cliccate su Chiudi, vi verrà chiesto di riavviare il computer. Su Sistemi Operativi WinXP: Click su Start, click con il tasto dx del mouse su Risorse del Computer poi su Proprietà. Click sulla scheda Ripristino configurazione di sistema mettere la spunta su Disattiva Ripristino configurazione di sistema o su Disattiva Ripristino configurazione di sistema su tutte le unità, click su Applica click su Sì e poi su OK, riavviare. N.B. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema.

Riavviare il computer.

Installare un firewall

Fonte:Redazione Alground