Virus che disabilita gli antivirus
Mi e’ capitato di vedere su un pc che sebbene non “sembrava” essere presenti virus, qualsiasi antivirus fosse installato questo non era possibile aggiornarlo e nemmeno windows update poteva essere abilitato
Dopo varie ricerche ho trovato un articolo in inglese dove ho trovato la soluzione al problemi.
E’ necessario scaricare ed installare i seguenti programmi:
- SmitFraudFix (normal)
- SmitFraudFix (safe mode)
- Spy Subtract
- SuperAnti Spyware
- Avira AntiSpywhere
- Trojan Remover
Tutte le attività tranne la prima sono state effettuate in modalità provvisoria.
Messaggio di errore “NMIndexStoreSvr.exe”
Se accendendo il computer compare l’errore “Si è verificato un errore in NMIndexStoreSvr.exe. L’applicazione verrà chiusa.” si tratta di un errore di Nero Scout.
Per disabilitarlo basta aggiornare Nero, ovvero
- andare in modalità provvisoria
- spostarsi in C:\Programmi\File Comuni\Ahead\Lib
- rinominare il file “NMIndexStoreSvr.exe” in “NMIndexStoreSvr.bak
- reboot xp
Se non si riesce ad entrare in modalità provvisoria, aprire il task manager (da ctrl alt canc), chiudere il processo in oggetto e poi agire come dal punto 2 del paragrafo precedente.
UPS_LETTER.ZIP
Se ricevete un messaggio (magari anche in inglese) del tipo
“Unfortunately we were not able to deliver postal package you sent on Sept the 18 in time because the recipients address is not correct. lease print out the invoice copy attached and collect the package at our office
Your UPS”
con allegato un file UPS_LETTER.ZIP, sappiate che si tratta di un virus. Per quanto ovvio cancellate sia il messaggio che soprattutto l’allegato.
Nel caso invece aveste aperto l’allegato zip e anche il contenuto vi siete beccato un bel virus che blocca gli screensaver e cancella le stampanti.
Per ripristinare il tutto questi sono i passaggi:
- andare in modalità provvisoria con command prompt
- andare in C:\Windows\System32
- cancellare i seguenti files
- rs32net.exe
- lphc????eafn.exe (where ??? vary between computers – the two computers here were “p4jj” and “3puj”) - andare in C:\Windows\Temp.
- cancellare tutti i files che iniziano con “.tt” e finiscono con “.tmp” o “.tmp.exe” o “.tmp.vbs” e hanno tre caratteri casuali esadecimali tipo “E5E” (e vanno da “.tt848.tmp” a “.ttE63.tmp”).
- Aprire Regedit
- HKCU\Control Panel\Desktop -> puo’ contenere varie entrate”ConvertedWallpaper”, “SCRSVR32.EXE”, “OriginalWallpaper”, “Wallpaper” – cancellate tutto
- HKCU\Software\Microsoft\Shared Tools\MSConfig\Startupreg -> rimuovere le chiavi “RS32net” e “lphc????eafn.exe”.
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe -> ha una entry tipo “Debugger” che punta a “C:\Program Files\Microsoft Common\wuauclt.exe” – cancellate la chiave!
- Reboot.
Dovrebbe essere pulito il virus ma il salvaschermo e lo sfondo sono stati resettati. Fate girate un antivirus ed un antispyware.
Ripristino danni virus Beagle
Se siete stati colpiti dal virus Beagle e siete riusciti a debellarlo, non avete finito il vostro lavoro. Il virus modifica alcune voci di registro che vanno ripristinate come illustrate dagli articoli allegati:
- da Hw Upgrade
- da Hardware Upgrade Forum
- da Microsoft
Some Dangerous Viruses Detected In Your System
Leggete questo meraviglioso articolo da wininizio che risolve tutti i problemi