Get Adobe Flash player

Archivi del mese: ottobre 2008

UPS_LETTER.ZIP

Se ricevete un messaggio (magari anche in inglese) del tipo

“Unfortunately we were not able to deliver postal package you sent on Sept the 18 in time because the recipients address is not correct. lease print out the invoice copy attached and collect the package at our office
Your UPS”

con allegato un file UPS_LETTER.ZIP, sappiate che si tratta di un virus. Per quanto ovvio cancellate sia il messaggio che soprattutto l’allegato.

Nel caso invece aveste aperto l’allegato zip e anche il contenuto vi siete beccato un bel virus che blocca gli screensaver e cancella le stampanti.

Per ripristinare il tutto questi sono i passaggi:

  • andare in modalità provvisoria con command prompt
  • andare in  C:\Windows\System32
  • cancellare i seguenti files
    - rs32net.exe
    - lphc????eafn.exe (where ??? vary between computers – the two computers here were “p4jj” and “3puj”)
  • andare in C:\Windows\Temp.
  • cancellare tutti i files che iniziano con “.tt” e finiscono con “.tmp” o “.tmp.exe” o “.tmp.vbs” e hanno tre caratteri casuali esadecimali tipo “E5E” (e vanno da “.tt848.tmp” a “.ttE63.tmp”).
  • Aprire Regedit
  • HKCU\Control Panel\Desktop -> puo’ contenere varie entrate”ConvertedWallpaper”, “SCRSVR32.EXE”, “OriginalWallpaper”, “Wallpaper” – cancellate tutto
  • HKCU\Software\Microsoft\Shared Tools\MSConfig\Startupreg -> rimuovere le chiavi “RS32net” e “lphc????eafn.exe”.
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe -> ha una entry tipo “Debugger” che punta a “C:\Program Files\Microsoft Common\wuauclt.exe” – cancellate la chiave!
  • Reboot.

Dovrebbe essere pulito il virus ma il salvaschermo e lo sfondo sono stati resettati. Fate girate un antivirus ed un antispyware.

Categorie

Contatore

454203 visitatori