Voglio dire, lo so che esiste questo link qua:
http://securityresponse.symantec.com/av ... rorat.html
Ma un procedimento più semplice non c'è?
Ho saputo del virus eseguendo una scansione on-line sul sito della Symantec ( tra l'altro ho pure l'antivirus scaduto).
Spybot 1.3 (aggiornato) non rivela nulla...
Ad-aware rivela, nel registro di sistema, una chiave alterata...
Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Windows Object recognized!
Type : RegData
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Value : Shell
Data :
Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1
Description:
General Windows Security Issue. Your system security may be compromised.
Risk Level: Low
Comment: Shell Possibly Compromised
Con Ad-aware, la vado sì ad eliminare, ma poi, alla scansione successiva (di verifica), ricompare di nuovo....(come se si riformasse immediatamente)
Ho provato pure con WT Registry Cleaner XP, mi dà:
Chiavi della Root del registro:
HKEY_LOCAL_MACHINE
Sottochiavi:
SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}
Valori:
StubPath
Name:
C:\WINDOWS\system\sservice.exe
Ed anche questo, me l'elimina lì per lì, ma poi alla pulizia successiva (di verifica), ritorna....
Non so se le due cose siano collegate fra loro... però il difetto di "apparente rimozione" è lo stesso...
Ad ogni modo, per ritornare a backdoor prorat, ho provato pure con:
"a squared 2" e non ha trovato nulla
"ewido" ed ha trovato sì qualcosa, ma lì per lì l'elimina e poi ritorna, ritrorna sempre. Ufffaaaa....
Insomma: non esiste un programmino facile (una patch) per questo trojan (giusto?) che mi sono beccato....?
P.S.
Ho provato pure con TDS-3, ma qui non sono riuscito a fare partire neppure la scansione....
Insomma come deve fare un povero imbranato come me, che per giunta non conosce neppure l'inglese, a risolvere la situazione?
Mille grazie....
P.S.
Dimenticavo...
Ho provato pure con Panda Software è questo è il risultato:
Virus:Bck/Prorat.E Disinfettato C:\WINDOWS\services.exe
Virus:Bck/Prorat.E Disinfettato C:\WINDOWS\system\sservice.exe
Virus:Bck/Prorat.E Disinfettato C:\WINDOWS\system32\fservice.exe
Virus:Bck/Prorat.A Disinfettato C:\WINDOWS\system32\winkey.dll
Ma poi, alla scansione successiva, li ritrova (e li disinfetta nuovamente...), e così x l'eternità....
La scansione on-line eseguita tramite HouseCall, invece dice che il pc va bene...
Certo, ci vuole un po' di coraggio ad affermare una cosa del genere; o no?