Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 13-11-2005, 12.14.02   #1
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
infezione da virus rootkit... soluzioni?

ho un bel problemino da risolvere....

su un portatile con Windows XP Home ho trvotato una catastrofe con desktop cambiato, impostazioni non modificabili, pannello di controllo bloccato nella visualizzazione XP e non modificabile in "classica", parecchie chiavi del registro invisibili, utente principale duplicato e replicato in cartelle nidificate in altre ...etc, etc...

un'occhiata ai processi trasforma il sospetto in certezza... parecchi processi maligni in corso tra cui l'inconfondibile Netsky...

avviando con un BartPE ed effettuando una scansione con scangui (aggiornato) trovo e rimuovo una bella lista di virus:

Netsky.p
Reg/LowZones trojan
backdoor-BDD trojan
backdoor-CPT trojan
AdClicker-AJ.gen trojan
W32/SDbot.worm
StartPage in varie versioni
FURootkit trojan

tutti da me ben conosciuti eccetto l'ultimo, ma sul web ho trovato tutte le info necessarie per la rimozione e dei danni provocati ... appunto lo stravolgimento di intere sezioni del registro con la variazione di diritti utente e varie policy modificate...

l'utente (unico) in realtà non è attivato ma il virus ne ha creato uno nascosto in documents & setting con nome di TEMP e sparpagliato repliche in windows\config\systemprofile...

l'idea per la rimozione è che devo prendere controllo del registro e riattivare le parti nascoste... poi posso segare l'utente FAKE...


però non so come procedere....

qualcuno ha avuto esperienze simili???

(intanto ho fatto una partizione e spostato tutti i dati


Thx
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 16-11-2005, 10.07.59   #2
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
allora... problema "aggirato"...

sul web non ho trovato nulla che mi permettesse di ripristinare i danni....

così, dato che non sono riuscito a ripristinare il vecchio utente ho sostituito l'utente "virale" funzionante ma senza nulla dentro, con tutto il contenuto dell'utente originale e nel contempo cancellato tutte le repliche nascoste, poi con regedit HO rimosso tutte le chiamate a queste cartelle...

resta l'utente "originale" come cartella ma non come utente funzionante... non l'ho rimossa per precauzione....


adesso funziona tutto... uff! format rimandato in altra occasione
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo

Ultima modifica di Lionsquid : 16-11-2005 alle ore 10.17.28
Lionsquid non è collegato   Rispondi citando
Vecchio 16-11-2005, 11.16.05   #3
RNicoletto
Gold Member
Top Poster
 
L'avatar di RNicoletto
 
Registrato: 13-02-2001
Loc.: Forette City
Messaggi: 13.153
RNicoletto promette bene
Come hai fatto a sostituire l'utente virale?? L'hai cancellato??
___________________________________

"Society doesn’t need newspapers. What we need is journalism." - Clay Shirky
RNicoletto non è collegato   Rispondi citando
Vecchio 17-11-2005, 09.10.50   #4
cippico
Depeche Mode Fan
Top Poster
 
L'avatar di cippico
 
Registrato: 18-12-2000
Loc.: Bolzano
Messaggi: 8.865
cippico è nella strada per il successo
bella domanda...

Quota:
Originariamente inviato da RNicoletto
Come hai fatto a sostituire l'utente virale?? L'hai cancellato??
attendiamo risposta

grazie e ciaooo
___________________________________

DEPECHE MODE e WINTRICKS DIPENDENTE - Il mio sito : HTTP://CIPPICO.ALTERVISTA.ORG
Date anche uno sguardo ai miei articoli sul sito MegaLab.it...
...CLICCANDO QUI ...spero possano esservi utili .
cippico non è collegato   Rispondi citando
Vecchio 17-11-2005, 09.36.27   #5
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
Quota:
Originariamente inviato da RNicoletto
Come hai fatto a sostituire l'utente virale?? L'hai cancellato??
no, non l'ho cancellato ...

è in uso ed ho trasferito l'utente originale nell'utente "de-viralizzato"

dato che l'utente "de-viralizzato" di fatto è una replica dell'utente principale originario (ed unico) e come unica differenza ho trovato solo il registro associato ed il contenuto della cartella utente... una volta rimossa l'infezione ho fatto un volgarissimo copia e incolla tra le cartelle avviando con un bartpe

il portatile sta funzionando senza intoppi, ho installato l'adsl ed aggiornato l'xp, superando anche l'autenticazione....

al momento non ho ricevuto chiamate, ...quindi suppongo che stia ancora funzionando regolarmente
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Virus polli: 1° contagio da uomo a uomo (Update) Gigi75 Chiacchiere in libertà 76 23-04-2006 14.38.10
CCleaner RiskWare? AndyWarrior Sicurezza&Privacy 7 10-04-2006 16.38.58
Aviaria - Ungheria: "Pronto vaccino per l'uomo, presto in commercio" Giorgius Chiacchiere in libertà 3 23-03-2006 17.06.00
Virus SONY/parte II Flying Luka Archivio News Web 10 30-11-2005 05.04.10
Dopo infezione virus non vedo le risorse di rete (ed altro) Daniela Internet e Reti locali 59 19-05-2004 13.12.28

Orario GMT +2. Ora sono le: 13.46.18.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.