|
|
|
|
Strumenti |
19-05-2008, 22:20 | #101 |
Junior Member
Iscritto dal: Mar 2008
Messaggi: 19
|
Ciao a tutti,
ho contratto questo virus del cavolo ed ho dovuto inventarmi una procedura manuale per rimuoverlo. Valida per Windows XP, ma verosimilmente anche per Windows 2000 e Vista. Siccome ho cercato in lungo e in largo informazioni chiare e veniva indicato di fare le azioni più diverse, ma nessun post risolutivo e completo, ho pensato di inviare questa procedura per i posteri. Questo virus comunque è veramente subdolo perché la sua potenzialità di autoreplicazione è esponenziale sui PC Windows. Solo i PC che hanno l'autoplay disattivato per le memorie rimovibili dovrebbero salvarsi. A quanto ho notato il "virus" in realtà non fa granché di dannoso in sé. A quanto ho capito invia qualcosa all'esterno. Cosa? Probabilmente "dati" (di che tipo e quali non ho appurato). Sul mio PC aveva tentato di instaurare un collegamento FTP. La procedura è abbastanza completa e, avendola provata su tre PC, direi risolutiva. Ciao! Attivare la visualizzazione di cartelle e file nascosti e di cartelle e file di sistema e la visutalizzazioen delle estensioni. Killare tutti i processi indesiderati (insDr, int2com, slp2 e i vari cmd.exe) Cancellare l'avvio automatico dell'applicazione incriminata N_prog.exe (se non si riesce a killare cmd.exe si può usare l'Utilità di Spybot Search&Destroy per cancellare l'avvio automatico di questo file) Cancellare tutte le cartelle del tipo restore{seriedilettereenumeri} (sono cartelle nascoste e di solito si trovano nella radice del disco interessato) N.B. Non ho avuto bisogno di disabilitare il ripristino del sistema. Le cartelle restore{seriedilettereenumeri} a cui faccio riferimento NON sono le cartelle del ripristino di Windows, ma una cartellina che fondamentalmente contiene i file del virus. In WINDOWS\Installer cancellare la cartella 24ha12 Cancellare tutti i file in WINDOWS\Prefetch (questa fase è probabilmente superflua ma non si sa mai!) Cancellare il file Windows\System32\N_prog.exe Nella cartella C:\Documents and Settings\Nomeutente\Impostazioni locali\Temp cancellare tutti i file (e in particolare quelli che terminano con .bat) Nella cartella C:\Documents and Settings\Nomeutente\Impostazioni locali\Dati applicazioni cancellare tutti i file incriminati (vedi lista più avanti) e se si trova un file autorun.inf eliminarlo Nella cartella C:\Documents and Settings\Nomeutente\Dati applicazioni cancellare tutti i file incriminati (vedi lista più avanti) e se si trova un file autorun.inf eliminarlo Modificare tutti i file autorun.inf togliendo la linea che richiama il file N_prog.exe o uno dei file interessati Verificare con Spybot Search & Destroy, in Utilità, opzione Esecuzione automatica se c'è ancora in avvio il file N_prog.exe e disabilitare e cancellare quella linea (va evidenziata per poterla eliminare) Riavviare. Verificare nei task se è ancora presente il processo cmd.exe (identificativo del problema). Potrebbe essere necessario eseguire questa procedura in modalità provvisoria e per tutti gli utenti del computer. File interessati e collelati al virus (da eliminare) hvNrtID.exe hvNrtUD.exe N_prog.exe slp.exe slp2.exe sleep.exe insDr.exe int2com.exe sys32_.exe Il virus inoltre aggiunge una linea per autoinstallarsi in tutti i file autorun.inf che trova. In un caso il virus ha addirittura creato il file autorun.inf un una cartella dell'utente (in Documents and Settings). Le penne USB e similari vengono infettate prontamente dal virus e grazie alla modifica del file autorun.inf (che fa sì che il virus parta subdolamente non appena si connetta l'hard disk esterno o la pennina al malcapitato PC) si autoreplicherà (basterà però cancellare da questo file la linea incriminata). Per poter aprire le penne USB evitando l'avvio automatico alla connessione va disabilitato il relativo autoplay delle periferice rimovibili, ma questo è disabilitabile solo tramite un'applicazione specifica scaricabile da http://www.microsoft.com/windowsxp/d...powertoys.mspx (link diretto http://download.microsoft.com/downlo...rtoySetup.exe) Oppure (cito wjmat) per disabilitare la funzione di riproduzione automatica basta semplicemente fare: Start > Esegui > digita gpedit.msc (invio) > Configurazione computer > Modelli amministrativi > Sistema > Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica > Seleziona Attivata > Nella tendina che si accende scegli Tutte le unità > OK (ricordatevi di riattivare l'autoplay dopo le pulizie!) Ultima modifica di MrsCassandra : 20-05-2008 alle 12:15. Motivo: Ho aggiunto qualche chiarimento o integrazione utile. |
19-05-2008, 22:56 | #102 |
Member
Iscritto dal: May 2005
Città: Pistoia
Messaggi: 121
|
Ottimo lavoro, molto utile!
|
19-05-2008, 23:02 | #103 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
grazie per le info,
riassumendola un pochino... disabilitazione ripristino di sistema, la solita pulizia dei temporanei e qualcosa da segare a mano.... con la guida generica non avevi risolto?? Per disabilitare la funzione di riproduzione automatica basta semplicemente fare: Start ► Esegui ► digita gpedit.msc (invio) ► Configurazione computer ► Modelli amministrativi ► Sistema ► Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica ► Seleziona Attivata ► Nella tendina che si accende scegli Tutte le unità ► OK ciao
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
20-05-2008, 12:12 | #104 | |
Junior Member
Iscritto dal: Mar 2008
Messaggi: 19
|
Ciao,
no, le guide non mi sono state molto utili. Non ho avuto bisogno di disattivare il ripristino configurazione di sistema. Né ho dovuto, con questa procedura che mi sono inventata, toccare direttamente il registro di sistema. Inoltre le guide non fanno riferimento ai file interessati. Le cartelle restore{seriedilettereenumeri} a cui faccio riferimento NON sono le cartelle del ripristino di Windows, ma una cartellina che fondamentalmente contiene i file del virus. Grazie per l'info sulla disattivazione dell'autoplay, non ero riuscita a trovarla da nessuna parte! Quote:
|
|
20-05-2008, 13:17 | #105 |
Senior Member
Iscritto dal: Dec 2007
Città: Brianza
Messaggi: 14704
|
prevx non trovava nulla?
__________________
fattoebloggato.com • Trattamento post disinfezione • Recupero dati, RAID e Partizioni • Guida UBCD4Win • Test RAM • Controllo Disco • TestDisk • Operazioni di emergenza • Live cd Linux • UBCD • Backup • Gestione ISO & immagini virtuali • Partizionare un disco • Sardu • ScreenRecording • |
20-05-2008, 14:31 | #106 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
20-05-2008, 15:03 | #107 |
Junior Member
Iscritto dal: Mar 2008
Messaggi: 19
|
Sì sì infatti mi riferivo alle guide a cui si è fatto riferimento in questa stessa discussione e alle guide correlate che si trovano nel forum...
|
30-05-2008, 15:00 | #108 |
Messaggi: n/a
|
AIUTO !!!!
Ragazzi anche io ho un problema con questo virus,che mi è entrato nel computer e anche nell'HD esterno.Ho letto la procedura e credo anche di essere in grado di toglierlo da me,IL PROBLEMA E' CHE NEL MIO COMPUTER NON C'E' LA CARTELLA C:/WINDOWS/Installer
COME FACCIO???? spero che mi possiate aiutare... |
30-05-2008, 15:31 | #109 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI: Ogni singolo log, esclusivamente in formato txt a parte SynInspector e nell'ordine indicato in Guida, deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend, pubblicando, nella discussione, singolarmente, per ogni log, il link che verrà rilasciato per il download in questo modo abbiamo una situzione più chiara su come intervenire. PS: ti consiglio di dedicare anche pochi minuti alla lettura delle Regole di sezione
__________________
Try again and you will be luckier.
|
|
30-05-2008, 20:16 | #110 | |
Junior Member
Iscritto dal: Mar 2008
Messaggi: 19
|
Quote:
Prova a cercare la cartella 24ha12 con la funzione di ricerca. Io confesso che la “Guida alla disinfezione” non mi è stata utile per niente |
|
30-05-2008, 21:24 | #111 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
E 2, tanto è vero che altri utenti che hanno seguito la Guida hanno risolto, con questo non stò dicendo che la Guida è un rimedio contro tutti i mali, ma i log prodotti dai tool indicati ci danno un quadro della situazione per decidere come intervenire, ti posso assicurare che spesso chi crede di avere il Pc contaminato dal Virus PINCO PALLA, dopo aver seguito la Guida scopre di avere questo, quello e qell'altro.
__________________
Try again and you will be luckier.
|
30-05-2008, 21:36 | #112 | |
Junior Member
Iscritto dal: Mar 2008
Messaggi: 19
|
Mi fa molto piacere che ci siano tante persone che hanno risolto con lunghe procedure, trepidanti attese di infiniti log, numerosi dowload e installazioni di applicazioni di terze parti, invio di report in svariati post sul forum, attesa di risposte che non sempre arrivano rapidamente, eccetera...
Magari a volte un utente non necessariamente inesperto può preferire una via più diretta e rapida, quando è in grado di riconoscere nel proprio PC lo stesso tipo di "problema" per cui un altro utente ha fornito una soluzione (che naturalmente non è detto che sia l'unica). Ma l'importante alla fine è risolvere! No? Ciao! Quote:
|
|
30-05-2008, 21:57 | #113 | |||
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
Quote:
Ciao
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 30-05-2008 alle 22:13. |
|||
30-05-2008, 22:31 | #114 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
immagino che sia solo pura e mera ingenua distrazione ma un briciolo di attenzione farebbe evitare anche molte infezioni
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
30-05-2008, 22:51 | #115 |
Junior Member
Iscritto dal: Mar 2008
Messaggi: 19
|
|
30-05-2008, 22:53 | #116 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Vedo che concordi, infatti ti sei limitata ad un: "Già"
__________________
Try again and you will be luckier.
|
30-05-2008, 23:21 | #117 |
Junior Member
Iscritto dal: Mar 2008
Messaggi: 19
|
Lungi da me l'idea di far partire un flame, che non credo sia l'interesse di questo topic né degli utenti, né tantomeno il mio.
Mi rendo conto che essendo nuova di questa community non posso arrivare e discutere qualcosa che è prassi consolidata in essa, prassi certamente creata con il contributo dei senior e degli habitué, qualunque sia il motivo tecnico o meno che mi ha indotta a cercare strade alternative o scorciatoie e, poi, a produrre un contributo alieno a tale modus operandi. Se ho peccato in questo, me ne scuso. Non era certamente mia intenzione urtare la sensibilità di qualcuno, men che meno quella di chi, magari, ha fatto numerosi sforzi per arrivare a produrre guide e quant'altro, che proficuamente vengono adoperate dagli utenti (e mai e poi mai affermerei il contrario). Per il resto auguro a tutti buon lavoro e buona notte. |
30-05-2008, 23:28 | #118 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
non hai urtato nessuna sensibilità e nemmeno hai urtato una "religione", semplicemente hai espresso una tua opinabilissima idea, non ho ancora letto il modus operandi che avevi seguito quindi rimane una sola idea inespressa, sul fattore lunghezza e quantità di scansioni..
se hai qualcosa da fornire in relazione al tema del thead in cui hai dato inizio a questo avvincente scambio di messaggi non ho nulla da contestare, in caso contrario se è solo una considerazione a livello generale della pratica usata inquesto forum allora ti annovero il possibile off-topic inquanto esiste un thread specifico per Consigli & Suggerimenti & Proposte - Parliamone assieme
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
30-05-2008, 23:34 | #119 | |||
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
Quote:
Quote:
__________________
Try again and you will be luckier.
|
|||
02-06-2008, 17:28 | #120 |
Messaggi: n/a
|
Spero di non aver scatenato io questo piccolo screzio...
Cmq prima di postare ho letto tutta la discussione,ho seguito la procedura di Cassandra e anche quella che si trova a pagina 5. Ho tolto tutti i file che vengono nominati,ho cancellato le cartelle,ho fatto la ricerca anche di questa 24ha12 e non l'ho trovata(pur avendo reso visibili anche le cartelle visibili).Ho windows XP Home Edition . Alla fine ero quasi convinto che il virus se ne fosse andato.All'avvio non avevo più quei processi "malvagi",non c'erano + le cartelle incriminate,e anche con SpyBot in esecuzione automatica non c'era niente di losco.PERFETTO mi sono detto.... Il problema è che mi è riapparso dopo 2 giorni l'allerta di Avast del solito virus,e dentro il PC non c'è un file di quelli incriminati.Il PC va perfettamewnte..,l'ho riavviato mille volte e non mi trova niente...Spero solo un falso positivo,però il dubbio m'è rimasto. Non è che per caso si rigenera da solo? p.s. Comunque oltre a non avere la cartella Installer non so dove sia quella Restore....................................Sorry..... Ultima modifica di eldemasiado : 02-06-2008 alle 17:42. |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 13:39.