devo disinfettare il registro, ma regedit.exe si apre e chiude

**snowtura** · 11-10-2005, 16:10

come da titolo, ho una macchina che purtroppo è stata in mano ai miei genitori per troppo tempo senza la mia supervisione.
W32.HLLW.Gaobot e W32.Randex si sono intrufolati in non so che modo e ora sto procedendo con la ripulitura seguendo le istruzioni Symantec.
Il problema è nel registro di sistema. Appena digito redegit.exe dal prompt di windows, il regsitro si apre e si chiude. Ovviamente sarà una sicurezza di gaobot, maledetto. In questo modo infatti non posso rimuovere le chiavi incriminate dal registro.
a qualcuno è successo e/o ha una soluzione per il mio problema?

grazie.

ciauz,
Ale

**LUCASS** · 11-10-2005, 16:21

Ciao,scaricati Registrar Lite è un editor di registro + approfondito ma in inglese,vedi se riesci probabilemte per aliminare alcune chiavi dovrai modificare i permessi con quel programma,te ne accorgi dal messaggio che ti compare,per avere i permesse necessari Security>Edit Permission>al tuo account metti tutte le spunte su "Consenti">applica>ok
per il W32.HLLW.Gaobot prova con il removal tool
http://securityresponse.symantec.com...oval.tool.html
per il Randex non sai quale variante sia?

**snowtura** · 11-10-2005, 16:27

dunque, io ho riavviato il pc col cd delle norton dentro e ho fatto la scansione da dos come dio comanda.
mi ha rilevato 5-6 files infetti da gaobot e un paio da rendex.
purtroppo non mi ha fatto creare il file di log quindi sono andato a cancellare quelli che mi ricordavo direttamente da dos.
ho riavviato e ho fatto la scansione da windows (2000).
2 file infetti da rendex sono stati rilevati ed eliminati.
rendex è identificato come W32.Rendex, la versione generica...
X gaobot invece la cosa drammatica è che la scansione manuale da windows non lo rileva più e nemmeno il fixer.
ma visto che il registro è ancora in queste condizioni, penso che il virus sia ancora li in giro che mi aspetta
adesso provo col sw ke mi hai linkato. grazie

**LUCASS** · 11-10-2005, 16:39

Si l'ho trovato(randex)queste sono le chiavi che va a toccare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
RunOnce
nel pannello di destra cancellate qualsiasi valore che si riferisce al nome del file che è stato rilevato come infettato da W32.Randex

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
RunServices
nel pannello di destra cancellate qualsiasi valore che si riferisce al nome del file che è stato rilevato come infettato da W32.Randex

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run
nel pannello di destra cancellate qualsiasi valore che si riferisce al nome del file che è stato rilevato come infettato da W32.Randex

Adesso non so che sistema operativo uso,nel sito dice che se hai NT/2000/XP o 95/98/Me puoi saltare alcuni passaggi delle chiavi te le ho messe tutte se puoi vuoi vederlo tu ecco il sito
http://securityresponse.symantec.com...32.randex.html

**thomas_anderson** · 11-10-2005, 18:26

Se hai XP puoi usare l'utility reg.exe. Per avere un help basta che digiti reg /? al prompt dei comandi. Ci sarebbe anche un altro modo, consigliato da Trend Micro: VBScript, ma non lo posto, perchè l'altra volta è successo un casino.

**LUCASS** · 11-10-2005, 18:51

Scusa postalo che male c'è?male che va vieni bannato

**thomas_anderson** · 11-10-2005, 18:57

Fix.vbs

On Error Resume Next
Set Sh = CreateObject("WScript.Shell")
Sh.RegDelete " HKEY_LOCAL_MACHINE\Software|Microsoft\Wi
ndows\CurrentVersion\Run\MalwareKey"
Set Sh = Nothing

Ovviamente è possibile aggiungere più righe con la funzione RegDelete per rimuovere + chiavi. Utile quando sono molte le chiavi infette. Script estrapolato dal sito di Trend Micro.
Basta aggiungere tante Sh.RegDelete quante sono le chiavi da rimuovere.

**lorisino** · 11-10-2005, 19:15

la soluzione sembra buona, il problema rimane individuare tutte le chiavi maledette

**snowtura** · 11-10-2005, 22:21

bene, sono riuscito a estirpare il male con Registrar Lite. Per fortuna la macchia non si era estesa eccessivamente. Ora entrambi i pc infetti sembrano puliti, ma soprattutto quello dei miei ha un antivirus aggiornato.

grazie a tutti ragazzi!

PS: che giornataccia!

**LUCASS** · 11-10-2005, 22:28

Mi fa piacere

per sicurezza fai qualche scansione on-line
http://www.kaspersky.com/service?chapter=161739400
http://www.pandasoftware.com/actives..._principal.htm
secondo me ti trova un macello di malware,ma non ti scoragiare

Discussione: devo disinfettare il registro, ma regedit.exe si apre e chiude

Strumenti discussione

Ricerca discussione

Visualizza

devo disinfettare il registro, ma regedit.exe si apre e chiude

Permessi di invio