Ehilà... volevo solo avvisare che in questi giorni è in giro un virus un po' particolare, andate su
www.zeusnews.it/index.php3?ar=stampa&cod=4823
per saperne di più.

In poche parole, si tratta di un file .doc infetto, che si propaga come allegato di un'e-mail e installa una backdoor sul PC di chi sia tanto incauto da aprirlo.

Un backdoor è come una "porticina di servizio" che viene creata nel computer per permettere a qualcuno di entrarci senza problemi, a volte anche scavalcando firewalls e antivirus.
Questo perchè questi programmi (in special modo il firewall) bloccano perlopiù i tentativi di intrusioni dall'esterno, ma dall'interno permettono molto più facilmente che si aprano connessioni verso l'esterno (se no bloccherebbero anche la vostra connessione ad internet!!)
Da qui anche il nome di "trojan", ossia "cavallo di Troia"... il significato è sempre quello!!

Passiamo al concreto del problema: se il documento viene aperto, il trojan lì nascosto per prima cosa sovrascrive il file infetto con uno nuovo e vuoto; a quel punto Word va in crash, informa l'utente del fatto che c'è stato un problema e chiede se riaprire il file che ora (essendo stato sostituito con uno "pulito") verrà visualizzato senza problemi.
Ciò di cui l'utente non si accorge è che nel frattempo nel suo computer è stata installata una backdoor che, come prima cosa, segnalerà la sua esistenza ad un indirizzo IP in Asia: così, se tutto è andato come programmato, l'attaccante ha praticamente il controllo del PC.

Dal momento che per ora gli antivirus non sono in grado di riconoscere il pericolo, il consiglio è di diffidare degli allegati in formato .doc, a meno che, come sempre, non ci sia fiducia totale sul contenuto, ma se il vostro più caro amico/a vi avesse mandato una mail dal titolo "Zelig!", o "I love you", tanto per citare due casi famosi, non costa niente chiedere a voce se sia un allegato autentico o meno...

Uomo avvisato...

Domanda tecnica per Gabro: ho un trojan nel pc che non riesco a eliminare nè con l'antivirus (che lo trova ma non lo elimina) e tantomeno con un ad-aware. Ho provato anche con altri programmini cazzuti ma niente da fare.
Il file è un eseguibile installato nella cartella system32 e si chiama "hlpzxxpf". Hai qualche consiglio da darmi o non mi resta che formattare nuovamente il trattore??

Grazie

bella domanda. Non ho trovato nessun virus con quel nome. Cos'è un file exe?
Poi che antivirus stai usando?
Dimmi che nn è Norton, se no potrebbe essere normale.
Se però così nn fosse la faccenda si fa più complessa.
Sei capace di vedere i programmi che partone automaticamente all'avvio del pc e
vedere se c'è anche quello?
In caso affermativo spera che ti basti cancellare quella voce..

Grazie Mauro. Purtroppo l'antivirus non è norton ma avg, il file è proprio un exe che si avvia ogni volta che si avvia il sistema operativo. Riesco a far terminare ogni volta il processo che parte in automatico ma questo non gli impedisce di attivare un dialer di connessione verso un numero a pagamento (che per fortuna non può essere chiamato visto che ho la disabilitazione di questa tipologia di numeri).
So che ci sono molti problemi di questo tipo per i poveri sfigati come noi della valdidentro che dobbiamo ancora viaggiare con il modem analogico.....

Non ho capito se hai risolto. Se hai dubbi come visualizzare i processi con avvio automatico
dimmi che ti do una mano.

I processi con avvio automatico li visualizzo. Blocco il file hlpzxxpf.exe e gli faccio terminare il processo.
Nonostante questo dopo circa 15 minuti dall'avvio viene avviata una connessione verso un numero a pagamento.
Il problema sta nell'impossibilità di eliminare del tutto questo file dalla cartella system32.
Spero di essermi spiegato al meglio...
Grazie

Miccia ha scritto: Come?
Ci sono diverse utility che ti permettono di fare questo ma nn mi viene il mente il nome di neanche una.
Sono abituato, come tutti gli smanettoni, a lavorare direttamente nel file del registro di win.
Prova a seguire queste istruzioni:
-Schiaccia sul menù start
-esegui
-regedit.exe
-vai alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- qui ora dovresti trovare una voce con un qualche nome, di tipo REG_SZ, con dati hlpzxxpf.exe.
- se è così prova a cancellarla e riavviare il pc.
- se nn è così preova a guardare nelle stesse cartelle ma partendo da HKEY_CURRENT_USER
- se si tratta di un virus mediamente stupido quando riavvi nn riparte più perchè gli hai appena eliminato l'autopartenza e a questo punto
dovresti riuscire a cancellarlo senza problemi

Spero di che così tu risolva il tuo problema.. Se così nn fosse la faccenda si complica un pò di più, in caso scrivimi ancora.
Mi raccomando nel registro nn toccare niente d'altro se no potresti fare seri danni..

Fatto.
Il file non viene più avviato in automatico e già questo è un passo avanti.
Però non riesco ad eliminarlo dalla sua cartella anche se devo dire che AVG non lo rileva più.

Il problema è però rimasto!!!
Ora nella scansione AVG mi trova un nuovo file chiamato shell32.ddl ......

Comunque grazie a Mauro, ti sei meritato una birretta!!

Ottimo, allora era un virus mediamente stupido..
Shell32.dll hai detto?
Quello è il nome di un file molto importante di sistema. Ma in che cartella si trova quello
che vede come infetto?
Aspetta prima di cancellare quello..
Vediamo se ha solo lo stesso nome o se si tratta proprio di quel file modificato..
Dimmi, si trova in C:\windows\system32?

è proprio quello.......

allora è proprio il file di sistema che ti dicevo.
nn puoi eliminarlo. o trovi un antivirus che è in grado di ripararlo
o potresti provare, magari facendo prima una copia di back-up del file in oggetto, a sostituirlo con
uno di un windows funzionante nn infetto, in caso te lo potrei mandare io x email..

Proviamo.... ti do il mio indirizzo cosi provi a mandarmi il file non infetto?

Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.