neppure in linux

[ddmaster]

Originariamente inviato da holifay
Sarà banale, ma forse provando a reimpostare prima gli attributi della cartella e dei file contenuti con questo comando da DOS:

codice:

1) attrib -r -s -h c:\il_percorso_e_il_nome_della_cartella\*.*
2) del c:\il_percorso_e_il_nome_della_cartella\*.*

Io proverei in sequenza:
- accesso da modalità provvisoria
- comandi dos come da riquadro
- HijackThis + eventuale ozione di boot (tipo killbox)

Magari hai già provato...

seeeee...... magari.... già provate tutte... grazie lo stesso...
allora... sto provando un'altra procedura che ho trovato su un forum francese.... se funziona, visto che non ho trovato nulla di simile sul forum la posto per i poveri "posteri" che dovessero sbattere la faccia con sti cosi...

[amvinfe]

inserisci un nuovo log di Silent Runners

[ddmaster]

no.... ho già risolto e doverosamente posto l'unica procedura che mi ha permesso di eliminare tutto... che essendo in francese traduco.

Allora iniziamo col tirare fuori dalla polvere il cd originale di xp (anche se non ha il numero di serie dell'installato non fa nulla.

1. avviare il pc da cd (do per scontato che tutti sappiano come si fa)

2. una volta avviato il programma di installazione premere il tasto "r" per avviare la consolle di ripristino del sistema

3. alla richiesta di quale installazione di windows premere il numero corrispondente al sistema infetto (se multiOS altrimenti inserire 1 e premere invio)

4. inserire la password di "amministratore" all'apposita richiesta e premere invio

5. a questo punto ci ritroviamo col prompt dei comandi e digitiamo esattamente senza ovviamente le virgolette "disable winik" e premere invio

6. arriverà subito la risposta che è stato disabilitato il servizio a questo punto abbiamo il prompt della consolle su c:\windows quindi digitiamo sempre senza virgolette "cd system32\drivers" e invio poi "del winik.sys" e invio

7. digitiamo exit ed invio ed usciamo.

8. al primo riavvio andare subito in modalità provvisoria e da questa cancelliamo la cartella incriminata/e che ora saranno cancellabili (ovviamente essendo nomi generati dal virus non ha senso che dica come si chiamavano queste tanto non esistono riferimenti)

9. ora sempre in modalità provvisoria come admin apriamo regedit e cancelliamo le seguenti chiavi

hklm\system\\currentcontrolset\services\winik

hklm\system\currentcontrolset\enum\root\legacy_win ik

se dovessero essere protette e non cancellabili tasto destro sulle chiavi protette>amministrazione>spuntare i privilegi a "controllo totale" ed applicare, dopodichè le chiavi saranno cancellabili

togliere tutti i valori facenti riferimento ai file "bastardi" che si riferiscono a chiamate ai file contenuti nella cartella del virus dalla chiave:
hklm\software\microsoft\windows\currentversion\run \
ed eliminare l'ultima chiave
hkml\software\nomedellacartellaincriminata

10. riavviate il sistema e date un'altra bella controllata... non si sa mai...

dimenticavo una cosa importante...informazioni sulla consolle di ripristino
3d originale in francese dove ho trovato la procedura

mamma mia che faticaccia è stata sto winik

ciao e grazie a tutti

[amvinfe]

Ottimo ddmaster.
Grazie per aver messo a disposizione del Forum la soluzione ed l'URL da dove hai reperito le informazioni.


Chiudo il 3d