Pulizia: ricapitoliamo
Per quanto riguarda Windows 2000 e XP:
1) avviare con MultiPE;
2) lanciare i miei batch DeltempPE.cmd per pulire i temporanei e RootkitPE.cmd che
avrete preventivamente copiato in C: o da chiavetta USB. Questo toglierà l'avvio del rootkit dal registro del Windows installato in C: e ci porterà a
conoscenza del percorso del file relativo al rootkit medesimo;
3) eliminare questo file secondo le indicazioni sopra riportate.
Nel caso non si riesca ad eliminarlo ci si può accontentare di rinominarlo
cambiandogli almeno estensione (io di solito uso .kkk) in modo da renderlo inoffensivo;
4) cercare in C:\Programmi o C:\Programmi\File comuni\System o C:\Programmi\File comuni\Microsoft Shared o C:\Programmi\File comuni\Services gli
eseguibili virali, normalmente in queste cartelle non ci sono file .exe, al massimo
qualche volta è presente qualche file di disinstallazione in C:\Programmi.
Cancellate i file sospetti secondo la procedura riportata sopra o almeno rinominateli
in modo da assicurarvi che diventino inoffensivi;
5) cancellare la cartella dell'utente fantasma contenuta
in C:\Documents and settings . Attenzione a non cancellare la cartella sbagliata;
6) Riavviare in modalità normale e rifinire cancellando
tramite il comando control userpasswords2 l'utente fantasma, i residui dal registro, dell'installazione di Linkoptimizer in
pannello di controllo ed il servizio relativo al virus. Se non ci riuscite pazienza:
avendo tolto di mezzo i file infetti e l'utente anche se il servizio continuerà ad esistere non potrà certo
avviarsi;
7) controllare con HiJackThis se ci sono altri residui che ci sono sfuggiti;
8) poi un giro di VirIT non guasta in ogni caso,
visto che ci sono sempre altri file infetti, di solito con estensione DLL, e
che si trovano in C:\Windows e/o in C:\Windows\System32 e non è facile identificarli a "naso".
Notare che talvolta alcune di queste cose non si troveranno
proprio, sia perché ogni variante ha delle differenze (ma ci sono differenze anche tra infezioni della stessa variante) ma anche soprattutto se l'antivirus installato sul PC ha già tentato
una rimozione per conto suo senza riuscirci.
Per quanto riguarda Windows 98-ME:
1) avviare da MultiPE;
2) lanciare il mio batch DeltempPE.cmd per pulire i temporanei (e cancellare quindi l'eseguibile presente in C:\Windows\Temp ). In alternativa avviare da DOS o floppy e cancellare C:\Windows\Temp a mano;
3) cercare in C:\Programmi o C:\Programmi\File comuni\System o C:\Programmi\File comuni\Microsoft Shared o C:\Programmi\File comuni\Services gli
eseguibili virali. Normalmente in queste cartelle non ci sono file .exe, al massimo
qualche volta è presente qualche file di disinstallazione in C:\Programmi.
Cancellate i file sospetti. Non ci dovrebbero essere problemi ad effettuare la
cancellazione;
4) Riavviare in modalità normale e rifinire cancellando
il richiamo al file infetto presente in HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce;
5) controllare con HiJackThis se ci sono altri residui che ci sono sfuggiti;
6) poi un giro di VirIT non guasta in ogni caso,
visto che ci sono sempre altri file infetti, di solito con estensione DLL, e
che si trovano in C:\Windows e/o in C:\Windows\System32 e non è facile identificarli a "naso".
|