Consenso all'uso dei cookies

SITO1 -- SITO2 -- Forum2 -- CercaGlobale -- Informativa su Cookie e Privacy

Questo Forum1 è in sola lettura -- Usa il Forum2


Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
Come rimuovere herss?
#1
Do una mano da 3 anni a questa parte a creare le liste in una biblioteca di quartiere gestita da volontari. Mi occupo anche di creare il backup su chiavetta, mi sono accorta portando a casa la chiavetta che nel pc è presente il virus herss

in msconfig ho notato che il percorso del virus sembra esserse nelle temporanee ho digitato %temp% in esegui per provare ripulire le temporanee la cartella sembrava vuota ma, facendo una selezione di controllo a vuoto ho avuto conferma di un mio sospetto, ci sono due file nascosti, quella variante del virus impedisce di attivare Visualizza cartelle e file nascosti e tutte le altre visualizzazioni di file nascosti.

Ho provato a portare su qualche tool per provare a rimuoverlo

Ho usato Claim in versione portable che non è riuscito a rimuovere nulla,
Stinger che non ha trovato nulla, ma non c'è nulla da fare, le temporanee sono ancora lì...
Smanettando si impara... Angel

Cita messaggio
#2
ciao, se conosci il percorso e cosa esattamente vuoi rimuovere, con qualsiasi installazione di ubu in live, entri in win e cancelli. se ti può interessare esistono antivirus "rescue" ossia fanno la scansione con il sistema fermo. io uso all'occorrenza avg rescue ma sul web ne trovi anche altri.
http://www.avg.com/it-it/avg-rescue-cd
Cita messaggio
#3
Grazie mille proverò entrambe le soluzioni Smile sorriso originale
Poi vi saprò dire
Smanettando si impara... Angel

Cita messaggio
#4
Cancellare il contenuto della cartella dei file temporanei potrebbe NON risolvere il tuo problema: è probabile che il file rilevato herss.exe sia un file "di comodo" creato dal virus vero, che potrebbe anche NON essere un file .exe ma una DLL (.dll) caricata dal sistema all'avvio;
devi fare 2 cose:
- cercare tutti i processi che vanno in esecuzione automatica (ti viene in aiuto msconfig) ma non basta;
- controlla anche queste chiavi di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

se hai un sistema a 64 bit anche la chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

per essere avviato automaticamente il processo sospetto dovrebbe essere visibile nelle chiavi di registro.

Se lo trovi devi cancellare la chiave ma certe volte non è possibile se prima non elimini il processo del virus dalla memoria; in questo caso avvia il Task Manager (ma sarebbe meglio Process Explorer http://technet.microsoft.com/en-us/sysin...96653.aspx), visualizza i processi attivi e termina quelli sospetti; potrebbe essere una cosa laboriosa perché questo tipo di virus tende a replicarsi anche in memoria per cui potresti avere un sacco di processi che magari hanno nomi fantasiosi (devi terminarli tutti); se non lo fai la chiave di avvio automatico potrebbe essere ricreata o impossibile da cancellare.

Se non ti riesce, fai una scansione da chiavetta usb (una linux Live) come Kaspersky Rescue Disk 10 (https://support.kaspersky.com/4131) e magari Kaspersky WindowsUnlocker (http://support.kaspersky.com/8005) che serve a "disinfettare" il registro di configurazione.
Il mio blog: http://zerozerocent.blogspot.it/
Legge di Murphy: SE QUALCOSA PUO' ANDAR MALE, LO FARA'
Cita messaggio
#5
(07-02-2013, 18:25 )Nuvolotta Ha scritto: in msconfig ho notato che il percorso del virus sembra esserse nelle temporanee ho digitato %temp% in esegui per provare ripulire le temporanee la cartella sembrava vuota ma, facendo una selezione di controllo a vuoto ho avuto conferma di un mio sospetto, ci sono due file nascosti, quella variante del virus impedisce di attivare Visualizza cartelle e file nascosti e tutte le altre visualizzazioni di file nascosti.

Salve! Se si avvia in automatico con windows, potresti disattivarlo dall'avvio automatico tramite ccleaner>strumenti avvio.
L'ipocrisia è un briciolo di speranza, per chi non ha personalità.(By Leroy)

Niente rafforza l'autorità quanto il silenzio.(Charles De Gaulle )

Siate la cura della vostra malattia, non la causa. (By Leroy)


Cita messaggio
#6
Leroy è una cosa che ho provato fare sia con cclener, sia con hijackthis, sia con msconfig, per un po' sparisce dalla lista dei programmi che partono dall'avvio, poi per non so quale mistero, forse il virus si attiva in qualche circostanza particolare, o forse un paio di altre persone che sono addette a creare il database esternamente non si sono accorte di avere la chiavetta infetta (anche se in realtà io appena me ne sono accorta ho avvisato tutti)

tra l'altro avevo controllato che le voci run del registro fossero pulite, e risultavano esserlo :-(
avevo cancellato a mano tutti i collegamenti al virus herss nel registro, e non risulta attivo neppure in taskmanager

Proverò con Process Explorer...
Smanettando si impara... Angel

Cita messaggio
#7
Ci sono riuscita alla fine, il virus e il file inf che era collegato erano nella root. Ho dovuto eliminarlo a mano, perchè purtroppo abbiamo in quella biblioteca un solo pc e gli orari in cui si può usare sono limitati agli orari di accesso della sala civica. per cui è già tanto che mi abbiano permesso di fare le prime scansioni, per fortuna è andata bene Smile sorriso originale

Sono riuscita a rimettere a posto le due chiavi di registro che il virus aveva modificato
in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
cambiando il valore a 1 di CheckedValue di tipo REG_DWORD

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
cambiando il valore della chiave Hidden a 1
così dopo sono riuscita a vedere i file nascosti e a cancellare i due maledetti a mano.

Comunque non stava infettando più le chiavette perchè anche se gli antivirus che avevo provato non riuscivano a trovarlo come fosse un rootkit avevano inserito alcune misure di sicurezza che bloccavano l'avvio automatico della chiavetta che consentiva di infettare il pc e viceversa di infettare le chiavette una volta che si fosse inserita per copiare qualcosa.
Smanettando si impara... Angel

Cita messaggio


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)