mercoledì 30 aprile 2008

Virus

Ugo Santosuosso, sistemista dell'aula, sta facendo girare il seguente messaggio.

E' un parente stretto di "Disk Knight" ma al momento non ci sono programmi che riescano a rimuoverlo o anche semplicemente a rilevarlo,tranne il programma Antiknight 2.0 che lo rileva soltanto.

Potete cercare su internet dove scaricarlo oppure ....potete provare a scaricare da qui.http://www.plusexpert.cl/download/AntiKnight.rar ma non aspettatevi miracoli: lo rileva, dice di averlo eliminato, ma in realtà il virus resta.

Se nella chiave usb e' presente un file "ufo.exe" firmato "microsoft corp. security division" ormai il pc e' infettato.

Per vedere se c'e' occorre attivare la visualizzazione dei file nascostinelle cartelle di sistema, cioe' in "Risorse del Computer"Strumenti -> Opzioni cartella -> Visualizza File Nascosti e di sistema( non so se questa indicazione sia corretta: non uso windows da omai unpaio di lustri e sto andando a memoria )

dopodichè occorre

0) stampare questo messaggio, visto che occorrerà riavviare il pc almeno un paio di volte.

1) Disattivare l'autorun di penne USB

2) Riavviare il sistema in modalità provvisoria premendo F8

3) Eliminare il file C:\Windows\System32\secpol.exe (il file cerca di spacciarsi come file di sistema ma non lo è)

4) ATTENZIONE A NON FARE CANCELLAZIONI INOPPORTUNE - il sistema potrebbe non ripartire:

Entrare in REGEDIT - che si trova in c:\windows\ e modificare laseguente chiave di registroHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

che contiene

C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\secpol.exe

con

C:\WINDOWS\system32\userinit.exe,

Se non la trovate basta premere "F3" ed eseguire una ricerca su tutto ilregistro cercando "secpol". Esiste una sola ricorrenza di questa chiave,per fortuna.


5) Controllare se sui supporti rimovibili precedentemente collegati alpc sono presenti i file UFO.exe e autorun.inf (entrambi sono nascosti),in caso eliminarli

6) riavviare e controllare nelle directory C:\WINDOWS\system32\ l'assenza di "secpol.exe" e nelle chiavi di UFO.exe e autorun.inf

Nel caso non si riuscisse a cancellare il file

C:\WINDOWS\system32\secpol.exe

è necessario partire con un cd con una distribuzione linux liveaggiornata e montare il disco con opzione "ntfs-3g". Questo avviene aparire dalla Debian "Sid" o sulla Ubuntu "7.10" e nelle versionisuccessive di entrambe le distribuzioni.


Per quanto ne so, in giro c'e' anche un virus che si trasmette allostesso modo, il file è "love.exe", che e' ancora più rognoso darimuovere: riesce a bloccare anche alcuni antivirus spianando la stradaa virus di altro tipo, che altrimenti verrebbero debellati. In quel modoci si troverebbe la macchina trasformata in una "cultura virale" peggiodi una capsula di Petri.


4 commenti:

BlackMamba11 ha detto...

Ma se io di tutte queste parole avessi capito poco e nulla?

Andreas Formiconi ha detto...

lascia perdere
il mio amico è logorroico
non le ho capite nemmeno io :-D
ha fatto tutta quella fatica, mi dispiaceva ...

BlackMamba11 ha detto...

Ah, pensavo di dovermi preoccupare...

Unknown ha detto...

beh se non avete capito nulla forse questo post non fa per voi,sperando ke non vi becchiate mai quella rogna perchè vi assicuro che è parecchio fastidioso!In quel caso in effetti penso ke rileggereste questo articolo più e più volte per cercare di eliminarlo!:)