E' un parente stretto di "Disk Knight" ma al momento non ci sono programmi che riescano a rimuoverlo o anche semplicemente a rilevarlo,tranne il programma Antiknight 2.0 che lo rileva soltanto.
Potete cercare su internet dove scaricarlo oppure ....potete provare a scaricare da qui.http://www.plusexpert.cl/download/AntiKnight.rar ma non aspettatevi miracoli: lo rileva, dice di averlo eliminato, ma in realtà il virus resta.
Se nella chiave usb e' presente un file "ufo.exe" firmato "microsoft corp. security division" ormai il pc e' infettato.
Per vedere se c'e' occorre attivare la visualizzazione dei file nascostinelle cartelle di sistema, cioe' in "Risorse del Computer"Strumenti -> Opzioni cartella -> Visualizza File Nascosti e di sistema( non so se questa indicazione sia corretta: non uso windows da omai unpaio di lustri e sto andando a memoria )
dopodichè occorre
0) stampare questo messaggio, visto che occorrerà riavviare il pc almeno un paio di volte.
1) Disattivare l'autorun di penne USB
2) Riavviare il sistema in modalità provvisoria premendo F8
3) Eliminare il file C:\Windows\System32\secpol.exe (il file cerca di spacciarsi come file di sistema ma non lo è)
4) ATTENZIONE A NON FARE CANCELLAZIONI INOPPORTUNE - il sistema potrebbe non ripartire:
Entrare in REGEDIT - che si trova in c:\windows\ e modificare laseguente chiave di registroHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
che contiene
C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\secpol.exe
con
C:\WINDOWS\system32\userinit.exe,
Se non la trovate basta premere "F3" ed eseguire una ricerca su tutto ilregistro cercando "secpol". Esiste una sola ricorrenza di questa chiave,per fortuna.
5) Controllare se sui supporti rimovibili precedentemente collegati alpc sono presenti i file UFO.exe e autorun.inf (entrambi sono nascosti),in caso eliminarli
6) riavviare e controllare nelle directory C:\WINDOWS\system32\ l'assenza di "secpol.exe" e nelle chiavi di UFO.exe e autorun.inf
Nel caso non si riuscisse a cancellare il file
C:\WINDOWS\system32\secpol.exe
è necessario partire con un cd con una distribuzione linux liveaggiornata e montare il disco con opzione "ntfs-3g". Questo avviene aparire dalla Debian "Sid" o sulla Ubuntu "7.10" e nelle versionisuccessive di entrambe le distribuzioni.
Per quanto ne so, in giro c'e' anche un virus che si trasmette allostesso modo, il file è "love.exe", che e' ancora più rognoso darimuovere: riesce a bloccare anche alcuni antivirus spianando la stradaa virus di altro tipo, che altrimenti verrebbero debellati. In quel modoci si troverebbe la macchina trasformata in una "cultura virale" peggiodi una capsula di Petri.
4 commenti:
Ma se io di tutte queste parole avessi capito poco e nulla?
lascia perdere
il mio amico è logorroico
non le ho capite nemmeno io :-D
ha fatto tutta quella fatica, mi dispiaceva ...
Ah, pensavo di dovermi preoccupare...
beh se non avete capito nulla forse questo post non fa per voi,sperando ke non vi becchiate mai quella rogna perchè vi assicuro che è parecchio fastidioso!In quel caso in effetti penso ke rileggereste questo articolo più e più volte per cercare di eliminarlo!:)
Posta un commento