Rimuovere e cancellare virus W32.BADTRANS.B@MM 

Mi sono imbattuto col Virus W32.BADTRANS.@MM ,e devo dire che sto' canaccio di un vermaccio è molto pericoloso. Sicuramente molto più pericoloso di come si dice in giro

Il vermone viaggia per email ( come al solito.... ) e lasciamo stare le estensioni del file in quanto questo non ci puo' fregare più di tanto..... infatti se vediamo le estensioni siamo gia che fregati . il vermone ha fatto il suo lavoro, ovvero si sarà installato nel pc.

Nei sistemi dove è installato Outlook senza patch di sicurezza ,ovvero la protezione per l'esecuzuione automatica dell'email ( vers.5.0) l'allegato dell'email si avvia automaticamente semplicemente selezionando l'email stessa,anche solo per cancellarla..non ci accorgeremo di nulla se non di una velocissima finestra di installazione.....
Il virus scrive un file nella cartella C:\windows\temp e da qui crea 3 file in C.\windows\system.
I file sono: KDLL.DLL - CP_25389.NLS -  KERNEL32.EXE 

I primi due hanno il compito di "copiare" tutte le battute dei tasti,ovvero si comporterà come un trojan,tutte le cose che scriverete sulla tastiera saranno memorizzate dai file KDLL.DLL e cp_25389.nls

Il  KERNEL32.EXE  è il responsabile della replicazione del virus, fa partire e reinviare lo stesso tramite email a tutti gli indirizzi presenti nella rubrica di Outlook, forse anche agli indirizzi che trova sulle pagine web da noi visuallizate durante la nostra navigazione...questo forse mi viene perchè in un certo modo viene interessata anche la directory dei file temporanei internet...avendo trovato dei file infetti dal virus W32.BADTRANS nel percorso C.\WINDOWS\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\........\README.MP3.SCR

Dopo aver creato questi file,il vermone aggiunge un'impostazione al registro di Windows per permettere al file KERNEL32.EXE ( e quindi KDLL.DLL  e cp_25389.nls) di avviarsi attivando il sitema operativo.
La stringa del registro è la seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\
WINDOWS\CURRENTVERSION\RUNONCE\KERNEL32\:KERNEL32.EXE

potrebbe anche scrivere,oltre che nella RUNONCE anche nella RUNONCEEX..meglio controllare...

ATTENZIONE!! non eliminare la stringa prima di aver eliminato i file detti sopra,in particolar modo KERNEL32.EXE, in quanto la stringa potrebbe riformarsi automaticamente alla chiusura del registro,e quindi riavviare il Kernel32.exe.

Per chi ha invece la versione di Outlook patchata con versioni SP2 o versioni Superiori di Internet explorer ( tipo la 6) selezionando l'email il sistema ci chiederà se vogliamo salvare un file o annullarlo.....questo succede al sistema protetto,ma....se controlliamo bene,anche in questo caso succede qualcosa!! l'allegato email,non potendo scaricare nella cartella TEMP per l'installazione,in quanto ci chiede il permesso che noi gli neghiamo, si salva automaticamente nella directory dei FILE TEMPORANEI INTERNET e da li potrebbe procedere nel suo cammino... ( ripeto che ho trovato dei file infetti dal virus W32.BADTRANS nel percorso C.\WINDOWS\IMPOSTAZIONI LOCALI\TEMPORARY INTERNET FILES\CONTENT.IE5\........\README.MP3.SCR ,il nome del file infetto è appunto README.MP3.SCR sempre meglio effettuare uina scansione con antivirus aggiornato...



ATTENZIONE!!!  cosa molto importante è aggiornare l'antivirus con definizioni recentissime.

PER ELIMINARE il vermaccio
Symantec mette a disposizione (gratisse..) un tool di rimozione in questa pagina

Oppure a mano....

Per prima cosa cancelliamo tutto il contenuto della cartella C:\windows\temp e il contenuto dei file temporanei internet,anche quello non in linea (dalle opzioni internet..)

Successivamente partire dal DOS,condizione obbilgatoria in quanto con Windows attivo,il virus,essendo in esecuzione non potra' essere cancellato,se ci proviamo ci da' un messaggio di errore dicendo che il file è usato da windows


Dal dos digitare,per i meno esperti..(rispettare gli spazi)

c: (dare invio)
cd windows (dare invio)
cd System (dare invio
apparira la seguente scritta:
c:\windows\system

a questo punto ,di seguito,digitare
del kdll.dll (dare invio)
Abbiamo eliminato il file kdll.dll

poi digitare ancora:
del kernel32.exe (dare invio)

si elimina il kernel32.exe

attenzione a non eliminare il file kernel.dll , di sistema di windows

Riavviamo il sistema

A questo punto si deve rimuovere la stringa di avvio del KERNEL32.EXE nell'impostazioni del registro di windows,come riportato in alto,eliminando la voce KERNEL32:EXE nelle impostazioni... per i meno esperti,per entrare nel registro digitare regedit dal comando esegui , in questo modo si elimina completamente il virus.

Il file cp_25389.nls possiamo eliminarlo con comodo dopo del riavvio della macchina.

A questo punto,ripulito il sistema,non ci resta che aggiornare Outlook con una versione + sicura,oppure installare la patch reperibile sul sito Microsoft,e installare un antivirus AGGIORNATO  per far si che il virus venga bloccato anche nella cartella dei file temporanei internet

ATTENZIONE!! Alcuni virus , essendo attivi, non posono essere eliminati: si consiglia di cancellarli dopo aver avviato il sistema in modalita' provvisoria, premendo F5 al boot di sistema ( oppure F8 per avere il menu di avvio  e selezionare in modalita' provvisoria )

Crazynet. it
Visione consigliata con internet explorer vers.5.0 o successive o Mozilla Firefox Se si vede con Navigator ritieniti fortunato ma cambia il browser al + presto , sei rimasto l'unico ad usarlo!! Crazynet.it non è responsabile in alcun modo del contenuto dei link riportati sulle sue pagine. I marchi e i logo che compaiono sul sito, sono proprietà delle rispettive società. Sono ben accetti da parte dei visitatori contributi letterari,oboli,offerte varie anche in natura (solo donne)