Windows LiveWindows Live
 
 
sergio's profileQuestioni di cuorePhotosBlogListsMore Tools Help

Blog
    January 15

    Autorun.inf e TrojanDownloader:Frethog

    NON è UNA GUIDA, è solo la mia soluzione per questi problemi: virus delle pennette e "expiorer.exe" "AhnRpta.exe" nei processi in esecuzione e naturalmente  in C:\windows
     
    Preliminare: disattivare Ripristino configurazione di sistema
    Problemi risolti:
    AUTORUN.INF vari file.BAT varifile.CMD varifile.EXE ad essi collegati nei vari dischi e pennette 
    EXPIORER.EXE (bada bene "exp i orer.exe" con la i) Ahnrpta.exe in C:/windows 

    Le pen drive si disinfettano facilmente (se avete un Mac o un Linux a disposizione), altrimenti potete sperare di avviarle premendo SHIFT per evitare il caricamento dell'autorun.inf, ma prima dovete riattivare la possibilità di vedere i file nascosti cambiando questa voce nel REGEDIT:
     
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

    bisogna cambiare il valore in 1
     
    i file infetti si trovano e resistono nel System Volume Information 

    Sono stato su vari forum e nessuno ha una vera risposta salvo consigliare di installare circa 15 programmi fra antivirus - antispyware - pulitori - vari
    l'unica pagina veramente utile che ho trovato è questa:

    http://www.threatexpert.com/report.aspx?md5=ba0069b922185d5048a5a8094e9e0824
     
    se riuscite a fare quello che consigliano siete a buon punto
     
    ho notato che anche cercando di eliminare i vari punti di ripristino questi file resistevano tenacemente, quindi:
    vista le poche informazioni che ci sono "per ora" su questi problemi io ho caricato il disco LIVE di UBUNTU 8.10 ed ho cancellato i file incriminati
    in System Volume Information 
     
     
    Il PC in questione aveva  due file che si generavano automaticamente nella cartella "windows", tali:  expiorer.exe e AhnRpta.exe
    in queto caso erano due CLONI di notepad.exe (blocco note) ma non so se per tutti è così
    le cose sono collegate: virus delle pennette e suddetti file. mah.....
    come vedete io non ho le certezze di tanti frequentatori di FORUM che vi dicono, scarica qua e scarica là
    ma io HO RISOLTO senza scaricare 15 programmi e postare innumerevoli LOG del vostro PC
    per i suddetti file ho usato un metodo tutto mio ma che francamente non mi sento di indicare come soluzione ai vostri problemi
    non so nemmeno se è il mio metodo che ha risolto oppure è la diretta conseguenza della pulizia manuale del registro.
    Comunque, se proprio siete alle strette potete usare il mio metodo e vedere se funziona:
    ho creato tre file con attributi RSHA: autorun.inf expiorer.exe AhnRpta.exe di 0 byte
    non so se ha un senso ma li ho anche crittografati, proverò senza crittografia .....
    dopo aver cancellato i processi li ho incollati al posto dei SUDDETTI file
    ULTIMA COSA:
    questo intervento è scritto soprattutto per ME, perchè non ho memoria e fra un'ora avrò scordato tutti i passaggi.
     
    ATTENZIONE: siamo in piena ondata di virus
     
    "Va dove ti porta il software"
     
     
     
     
    8:46:18 AM | View trackbacks (1) | Blog it | Computer e Internet

    Comments (4)

    Please wait...
    Sorry, the comment you entered is too long. Please shorten it.
    You didn't enter anything. Please try again.
    Sorry, we can't add your comment right now. Please try again later.
    To add a comment, you need permission from your parent. Ask for permission
    Your parent has turned off comments.
    Sorry, we can't delete your comment right now. Please try again later.
    You've exceeded the maximum number of comments that can be left in one day. Please try again in 24 hours.
    Your account has had the ability to leave comments disabled because our systems indicate that you may be spamming other users. If you believe that your account has been disabled in error please contact Windows Live support.
    Complete the security check below to finish leaving your comment.
    The characters you type in the security check must match the characters in the picture or audio.

    To add a comment, sign in with your Windows Live ID (if you use Hotmail, Messenger, or Xbox LIVE, you have a Windows Live ID). Sign in


    Don't have a Windows Live ID? Sign up
    georgesroc​kwrote:
    una volta mi ricordo ai tempi del so 95 e 98 esistevano dei tecnici adatti per riformattare il disco rigido e riistallare tutto il sistema completo anche di programmi.
    che fine hanno fatto questi tecnici??
    e poi come mai la gente riformatta il disco cosi facilmente?
    cosa è successo nel mondo informatico di cui io mi sono perso?
    e se ci proponiamo noi come tecnici? tra varie assistenze ed istallazioni.
    se sei daccordo fammelo sapere ok? avrei anche il nome per la società"LinuXDowS for SerGio and GeorGes 2009" ciao grande capo e metti la protezione sennò prendi il virus anche te eheheh.
    Jan. 22
    giorgio rockwrote:
    una volta mi ricordo ai tempi del so 95 e 98 esistevano dei tecnici adatti per riformattare il disco rigido e riistallare tutto il sistema completo anche di programmi.
    che fine hanno fatto questi tecnici??
    e poi come mai la gente riformatta il disco cosi facilmente?
    cosa è successo nel mondo informatico di cui io mi sono perso?
    e se ci proponiamo noi come tecnici? tra varie assistenze ed istallazioni.
    se sei daccordo fammelo sapere ok? avrei anche il nome per la società"LinuXDowS for SerGio and GeorGes 2009" ciao grande capo e metti la protezione sennò prendi il virus anche te eheheh.
    Jan. 22
    georgesroc​kwrote:
    thank thank thank prof!!!
    Jan. 15
    prrrrrrrr letiziawrote:
    sergio io ho dovuto formatare e non ridereeeeeeeeeeeeeeee
    con questo na vasata ti rugnu kissssssssss
    Jan. 15

    Trackbacks (1)

    The trackback URL for this entry is:
    http://sitodipinko.spaces.live.com/blog/cns!5E496192FED4B123!6848.trak
    Weblogs that reference this entry