|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
22-05-2007, 14.43.47 | #1 |
Junior Member
Registrato: 24-04-2003
Loc.: Trieste
Messaggi: 72
|
trojan.linkoptimizer.b
Ho trovato le istruzioni sul sito di Symantec e la pulizia manuale non sembra particolarmente complessa (una decina di chiavi da eliminare dal registro e poi delete dei file infetti). http://www.symantec.com/security_res...032716-2324-99 Il problema è che non riesco a modificare il registro, sembra protetto dall'aggiornamento. Ho provato anche con il tool rilasciato da Symantec ma nulla è cambiato. http://securityresponse.symantec.com...stry.keys.html Qualcuno ha idea di come posso rimettere il file di registro in read/write? ciao e grazie Matteo |
22-05-2007, 18.05.21 | #2 |
Hero Member
Registrato: 26-06-2006
Loc.: Empoli (FI)
Messaggi: 968
|
Sarebbe opportuno capire qual'è il tipo di errore che ti viene fuori proma di consigliarti una possibile soluzione...
|
22-05-2007, 18.15.33 | #3 |
Gold Member
Top Poster
Registrato: 20-08-2002
Loc.: Mestre
Messaggi: 3.563
|
Sei riuscito ad eliminare i file infetti?
Magari sono proprio loro a bloccare il registro. Prova a fare una scansione con Virit e se proprio non riesci a ripulire posta il log della scansione di hijackthis
___________________________________
Solo gli operai sanno quanto vale il tempo; se lo fanno sempre pagare. |
23-05-2007, 06.04.49 | #4 |
Forum supporter
Registrato: 08-06-2002
Messaggi: 1.539
|
|
23-05-2007, 09.16.08 | #5 | |
Junior Member
Registrato: 24-04-2003
Loc.: Trieste
Messaggi: 72
|
Quota:
Non posso postare il log di hijackthis perchè non parte su quella macchina |
|
23-05-2007, 09.17.07 | #6 | |
Junior Member
Registrato: 24-04-2003
Loc.: Trieste
Messaggi: 72
|
Quota:
|
|
23-05-2007, 09.48.10 | #7 |
Forum supporter
Registrato: 08-06-2002
Messaggi: 1.539
|
Ciao, generalmente è un malware che impedisce l'uso di hijackthis e di altri programmi.
Apri il registro di sistema da START\ESEGUI digita regedit>OK Aperto l’editor del registro, cliccando sul segno + accanto alle singole voci segui adesso questo percorso: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon, click su quest’ultima cartella all'interno della cartella, sulla parte destra dovresti trovare UserInit= REG riporta in un post tutte le voci a fianco di Userinit, sulla parte destra della finestra. |
23-05-2007, 10.33.06 | #8 | |
Junior Member
Registrato: 24-04-2003
Loc.: Trieste
Messaggi: 72
|
Quota:
|
|
23-05-2007, 11.10.57 | #9 |
Forum supporter
Registrato: 08-06-2002
Messaggi: 1.539
|
La stringa è nella norma virgola compresa alla fine. Dovremo cercare di cancellare voce per voce ora ti metto un esempio con il il programma Avenger, tu inserisci alla stessa maniera i file che vuoi cancellare:
http://swandog46.geekstogo.com/avenger.zip lo scompatti in una cartella, mettila dove credi meglio Avvia l'eseguibile *.exe Rendi attiva la stringa "Input Script Manually" Clicca sulla lente ingrandimento ora avrai davanti una finestra "View/edit script" All'interno del contenitore bianco, copia e incolla quanto scrivo qui sotto files to delete: C:\WINDOWS\system32\file da cancellare.exe Clicca sul pulsante "done " Clicca sul semaforo verde Rispondi due volte si alle domande Il sistema operativo dovrebbe riavviarsi da solo eventualmente fallo tu Alla fine trovi un *.log nella root C:\ del tuo sistema operativo, si tratta di un file di tipo *.txt che puoi allegare in un post cosi vediamo se ha funzionato. |
23-05-2007, 13.10.08 | #10 | |
Junior Member
Registrato: 24-04-2003
Loc.: Trieste
Messaggi: 72
|
Quota:
|
|
23-05-2007, 13.13.12 | #11 | |
Junior Member
Registrato: 24-04-2003
Loc.: Trieste
Messaggi: 72
|
Quota:
Per lanciare avenger.exe ho dovuto uccidere explorer.exe e poi lanciarlo da nuovo processo in task manager. Comunque il risultato è il seguente: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Error: selected file does not appear to be a valid script. Error code: 0 |
|
24-05-2007, 04.06.36 | #12 |
Forum supporter
Registrato: 08-06-2002
Messaggi: 1.539
|
Si vede che hai compilato lo script del programma non nella norma, oppure la causa è lo sblocco di Explorer, magari riprova.
|
25-05-2007, 11.39.36 | #13 |
Hero Member
Registrato: 26-06-2006
Loc.: Empoli (FI)
Messaggi: 968
|
Infatti il virus è linkato ad Explorer...
prova a verificare la presenza di codice malevolo in questa chiave... hkey_local_machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe Dovrebbe esserci la presenza di un fantomatico programma in C\WINDOWS\SYSTEM32 che si lancia con quella chiave.. Se c'è poi ti dico come poter procedere con tolls esterni! |
25-05-2007, 11.49.13 | #14 |
Forum supporter
Registrato: 08-06-2002
Messaggi: 1.539
|
Se fosse cosi come scritto nel post sopra:
Scarica AVGPfix da qui (è un cleaner puro): http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP 2)apri il taskmanager (ctrl+alt+canc), premi la tab.Processi, eseleziona explorer.exe, premi Termina processo, il desktop sparirà, sempre dal taskmanager vai su file>nuova operazione, scrivi regedt32>OK, si apre il registro di sistema, vai alla voce explorer.exe cliccando sul segno + accanto alle singole voci del seguente percorso: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Image File Execution Options explorer.exe click tasto dx su di essa>Autorizzazioni>Avanzate>premi il tab.Proprietario>autorizza l'Utente del computer>OK. Torni alla pagina principale, metti la spunta a Controllo completo e lettura>OK. Click tasto dx sulla voce e scegli Elimina. 3)Sempre dal task manager , vai su file>nuova operazione e scrivi explorer.exe >OK per ripristinare il desktop. 4)avvii Avgpfix (premi start, individui il file: c:\windows\system32\file premi OK per eliminare il file). 5)Provi ad eseguire hijackthis e alleghi un log. |
25-05-2007, 12.11.12 | #15 |
Hero Member
Registrato: 26-06-2006
Loc.: Empoli (FI)
Messaggi: 968
|
Tutto perfetto!
Io ho lavorato dall'esterno con un BartPe ma le cose che ho fatto sono le medesime proposte da Giancarlo! |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|