PDA

View Full Version : Backdoor.Agent.B



Bryant
16th August 2004, 09:46
Non riesco a togliere sto virus dal Computer, Sia con Norton che con Ad-Aware, cmq non mi da problemi (almeno in apparenza) solo che Norton lo rileva e dice che non può cancellare il file infettato perchè è in uso ...

il file è: c:\WINNT\System32\resj.dll

Prima i file erano 2 uno sono riuscito a cancellarlo da Dos, ma quest'altro file non riesco a trovarlo :gha:

Ho provato anche a prendere l'HD e a scansionarlo su un'altro comp, ma niente da fare :(

Tnk

:wave:

Taran
16th August 2004, 11:25
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.html

Il problema e' che il virus crea una chiave in registro che lo lancia a ogni reboot, essendo in esecuzione non puoi rimuoverlo. Lancia lo scan in modalita' provvisoria, se non funzia nemmeno cosi' rimuovi il virus manualmente:

- Disabiliti il System Restore (se hai ME o xp)
- Start>Esegui... scrivi regedit e premi ok
- Vai nella chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
- In questa cartella cerchi una riga che sia scritta piu' o meno cosi': "*<qua dentro ci sono da 1 a 5 lettere a caso>" = "RUNDLL32 C:\winnt\System32\resj.dll,StreamingDeviceSetup" e la cancelli
- Vai in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- Rinomini la sottochiave "Windows" in "Windows1"
- Aspetti 5 secondi
- Vai in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows1
- Fai doppioclick su "AppInit_DLLs" e cancelli la riga c:\winnt\system32\resj.dll
- Riavvi
- Riapri regedit, torni alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
e rinomini "Windows1" in "Windows"
- Chiudi regedit
- Altro riavvio
- Fai uno scan con norton
- Riattivi il system restore

Bryant
16th August 2004, 12:18
:kiss:

Fatto tutti i passaggi ora sto scansionando :D

Cmq l'errore veniva subito appena accendevo il comp, sta volta non è venuto :)

Grazie ;)

Bryant
16th August 2004, 12:42
:gha:

nn va via pz ...

cmq non avevo trovato sta riga:

"*<qua dentro ci sono da 1 a 5 lettere a caso>" = "RUNDLL32 C:\winnt\System32\resj.dll,StreamingDeviceSetup"

c'erano 2 righe con RUNDLL32 ecc ... ma non contenevano il file resj.dll