Pulizia: ricapitoliamo

Per quanto riguarda Windows 2000 e XP:

1)  avviare con MultiPE;

2) lanciare i miei batch DeltempPE.cmd per pulire i temporanei e RootkitPE.cmd che avrete preventivamente copiato in C: o da chiavetta USB. Questo toglierà l'avvio del rootkit dal registro del Windows installato in C: e ci porterà a conoscenza del percorso del file relativo al rootkit medesimo;

3) eliminare questo file secondo le indicazioni sopra riportate. Nel caso non si riesca ad eliminarlo ci si può accontentare di rinominarlo cambiandogli almeno estensione (io di solito uso .kkk) in modo da renderlo inoffensivo;

4)  cercare in C:\Programmi o C:\Programmi\File comuni\System o C:\Programmi\File comuni\Microsoft Shared o C:\Programmi\File comuni\Services gli eseguibili virali, normalmente in queste cartelle non ci sono file .exe, al massimo qualche volta è presente qualche file di disinstallazione in C:\Programmi. Cancellate i file sospetti secondo la procedura riportata sopra o almeno rinominateli in modo da assicurarvi che diventino inoffensivi;

5)  cancellare la cartella dell'utente fantasma contenuta in C:\Documents and settings . Attenzione a non cancellare la cartella sbagliata;

6)  Riavviare in modalità normale e rifinire cancellando tramite il comando control userpasswords2 l'utente fantasma, i residui dal registro, dell'installazione di Linkoptimizer in pannello di controllo ed il servizio relativo al virus. Se non ci riuscite pazienza: avendo tolto di mezzo i file infetti e l'utente anche se il servizio continuerà ad esistere non potrà certo avviarsi;

7)  controllare con HiJackThis se ci sono altri residui che ci sono sfuggiti;

8)  poi un giro di VirIT non guasta in ogni caso, visto che ci sono sempre altri file infetti, di solito con estensione DLL, e che si trovano in C:\Windows e/o in C:\Windows\System32 e non è facile identificarli a "naso".

Notare che talvolta alcune di queste cose non si troveranno proprio, sia perché ogni variante ha delle differenze (ma ci sono differenze anche tra infezioni della stessa variante) ma anche soprattutto se l'antivirus installato sul PC ha già tentato una rimozione per conto suo senza riuscirci.

Per quanto riguarda Windows 98-ME:

1)  avviare da MultiPE;

2)  lanciare il mio batch DeltempPE.cmd per pulire i temporanei (e cancellare quindi l'eseguibile presente in C:\Windows\Temp ). In alternativa avviare da DOS o floppy e cancellare C:\Windows\Temp a mano;

3)  cercare in C:\Programmi o C:\Programmi\File comuni\System o C:\Programmi\File comuni\Microsoft Shared o C:\Programmi\File comuni\Services gli eseguibili virali. Normalmente in queste cartelle non ci sono file .exe, al massimo qualche volta è presente qualche file di disinstallazione in C:\Programmi. Cancellate i file sospetti. Non ci dovrebbero essere problemi ad effettuare la cancellazione;

4)  Riavviare in modalità normale e rifinire cancellando il richiamo al file infetto presente in HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce;

5)  controllare con HiJackThis se ci sono altri residui che ci sono sfuggiti;

6)  poi un giro di VirIT non guasta in ogni caso, visto che ci sono sempre altri file infetti, di solito con estensione DLL, e che si trovano in C:\Windows e/o in C:\Windows\System32 e non è facile identificarli a "naso".

Warning: include(admin_edmaster/correlati_articoli.php) [function.include]: failed to open stream: No such file or directory in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon7.html on line 123

Warning: include() [function.include]: Failed opening 'admin_edmaster/correlati_articoli.php' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /mnt/host/www/wintricks/wintricks.it/www/manuali/gromozon7.html on line 123