cogito
2007-03-13 07:12:17 UTC
Posto questa piccola osservazione che a me e' stata utile.. spero lo sia
altrettanto a qualcun altro con gli stessi problemi.
Ho avuto di recente tre macchine infettate dai signori sopra; una con
w2server e due con xppro.
Sintomi classici: la connessione che cade, programmi come Hijackthis o
Spybot che si chiudono appena aperti. (il virus cerca negli headers dei
forms aperti uno o piu' determinati nomi e se li trova lancia un comando di
chiusura), velocita' rallentata sia dal lato rete che dal lato cicli
macchina, il modem a 56k (che uso per i fax) prende vita e cerca di
connettersi con la normale linea telefonica a un bar di Copacabana, ecc..
Alla ricerca su internet di testi ed altre esperienze che potessero essermi
utili al debellamento della pandemia grazie alla sempre presente serendipity
della rete ho trovato (come sempre) molte cose interessanti ma poco e niente
di risolutivo. (anche perche' esce una versione di un virus e tre secondi
dopo c'e' un altro bischero che ne fa una versione diversa).
Ho fatto i soliti controlli di rito: scansioni con blacklight e i tools di
sysiternals per l'individuazione e l'eliminazione dei rootkit, un paio di
passate con kaspersky (che ultimamente lascia passare sempre piu' cose
purtroppo) e bitdefender, una sguardata ai programmi di avvio con msconfig e
autorun.. e tutte le altre cose.
Nella macchina con w2server l'ambaradan sopra e' stato sufficiente; nelle
due macchine con xppro il virus e' stato eliminato ma al riavvio, una volta
entrato nell'account utente, il desktop era sparito.(orrore, tragedia,
sgomento.. spese a carico del contribuente)
Ho quindi recuperato il virus su una macchina ripristinando uno stato
precedente (cosa che gia di per se ha un suo velo di comicita' drammatica) e
ho provato una procedura manuale per l'eliminazione per capire cosa c'era
che non andava.
In ambedue i casi il virus si installava sia come rootkit sia come
"programma di debug per explorer.exe". (vedi
http://msdn2.microsoft.com/it-it/library/a329t4ed(VS.80).aspx )..
succede quindi che, passati blacklight e i vari antivirus (nel mio caso
kaspersky e bitdefender), si elimina l'eseguibile "virus" ma nel regedit
resta confinato, come programma di debug per explorer, la chiamata al quel
particolare file infetto.. che pero' non esiste piu' dato che gli antivirus
l'hanno tolto ..e quindi windows non sa come (anzi .."con cosa") far partire
explorer.exe.
Si puo' risolvere tutto semplicemente dicendo a windows di far partire
normalmente explorer senza fare il debug: si chiama regedit da modalita'
provvisoria con prompt dei comandi (amministratore), si va alla chiave
HLM\Software\Microsoft\Windows NT\Currentversion\Image File Execution
Options.Si trovera' sicuramente una sottochiave a nome "explorer.exe" (con
dentro un valore stringa che richiama al virus): deve essere eliminata
(tutta la sottochiave explorer.exe col suo contenuto). Ovviamente nella
maggior parte dei casi questa chiave (cosi' come il virus) avra' delle
autorizzazione speciali quindi per toglierla sara' necessario prima andare
su proprieta' / autorizzazioni, aggiungere se stessi come utente
amministratore, auto-autorizzarci alla lettura, scrittura ed ovviamente alla
cancellazione :) ..e quindi un bel delete alla chiave explorer.exe senza
altri ripensamenti. Al riavvio tutto riparte senza problemi.. o almeno..
con i problemi di sempre connaturati al sistema.. che non sono pochi. ;-)
Sperando di essere stato utile a qualcuno colgo l'occasione per fare i miei
piu' cordiali Antani a tutti come se fossi...etc, etc..
altrettanto a qualcun altro con gli stessi problemi.
Ho avuto di recente tre macchine infettate dai signori sopra; una con
w2server e due con xppro.
Sintomi classici: la connessione che cade, programmi come Hijackthis o
Spybot che si chiudono appena aperti. (il virus cerca negli headers dei
forms aperti uno o piu' determinati nomi e se li trova lancia un comando di
chiusura), velocita' rallentata sia dal lato rete che dal lato cicli
macchina, il modem a 56k (che uso per i fax) prende vita e cerca di
connettersi con la normale linea telefonica a un bar di Copacabana, ecc..
Alla ricerca su internet di testi ed altre esperienze che potessero essermi
utili al debellamento della pandemia grazie alla sempre presente serendipity
della rete ho trovato (come sempre) molte cose interessanti ma poco e niente
di risolutivo. (anche perche' esce una versione di un virus e tre secondi
dopo c'e' un altro bischero che ne fa una versione diversa).
Ho fatto i soliti controlli di rito: scansioni con blacklight e i tools di
sysiternals per l'individuazione e l'eliminazione dei rootkit, un paio di
passate con kaspersky (che ultimamente lascia passare sempre piu' cose
purtroppo) e bitdefender, una sguardata ai programmi di avvio con msconfig e
autorun.. e tutte le altre cose.
Nella macchina con w2server l'ambaradan sopra e' stato sufficiente; nelle
due macchine con xppro il virus e' stato eliminato ma al riavvio, una volta
entrato nell'account utente, il desktop era sparito.(orrore, tragedia,
sgomento.. spese a carico del contribuente)
Ho quindi recuperato il virus su una macchina ripristinando uno stato
precedente (cosa che gia di per se ha un suo velo di comicita' drammatica) e
ho provato una procedura manuale per l'eliminazione per capire cosa c'era
che non andava.
In ambedue i casi il virus si installava sia come rootkit sia come
"programma di debug per explorer.exe". (vedi
http://msdn2.microsoft.com/it-it/library/a329t4ed(VS.80).aspx )..
succede quindi che, passati blacklight e i vari antivirus (nel mio caso
kaspersky e bitdefender), si elimina l'eseguibile "virus" ma nel regedit
resta confinato, come programma di debug per explorer, la chiamata al quel
particolare file infetto.. che pero' non esiste piu' dato che gli antivirus
l'hanno tolto ..e quindi windows non sa come (anzi .."con cosa") far partire
explorer.exe.
Si puo' risolvere tutto semplicemente dicendo a windows di far partire
normalmente explorer senza fare il debug: si chiama regedit da modalita'
provvisoria con prompt dei comandi (amministratore), si va alla chiave
HLM\Software\Microsoft\Windows NT\Currentversion\Image File Execution
Options.Si trovera' sicuramente una sottochiave a nome "explorer.exe" (con
dentro un valore stringa che richiama al virus): deve essere eliminata
(tutta la sottochiave explorer.exe col suo contenuto). Ovviamente nella
maggior parte dei casi questa chiave (cosi' come il virus) avra' delle
autorizzazione speciali quindi per toglierla sara' necessario prima andare
su proprieta' / autorizzazioni, aggiungere se stessi come utente
amministratore, auto-autorizzarci alla lettura, scrittura ed ovviamente alla
cancellazione :) ..e quindi un bel delete alla chiave explorer.exe senza
altri ripensamenti. Al riavvio tutto riparte senza problemi.. o almeno..
con i problemi di sempre connaturati al sistema.. che non sono pochi. ;-)
Sperando di essere stato utile a qualcuno colgo l'occasione per fare i miei
piu' cordiali Antani a tutti come se fossi...etc, etc..