I sassolini di Luca

Se per qualsiasi motivo compare questo messaggio

“impossibile trovare il punto d’ingresso RasfreshKerbCreds della procedura nella libreria di collegamento dinamico rasman.dll”

avete beccato il “Trojan.Win32.Agent.amf”

Per eliminarlo, è necessario, oltre che un buon antivirus anche ripristinare il file “rasapi32.dll”

(Da forum.zeusnews.com)

verificare con una ricerca su C: e sue sottocartelle se cercando il nomefile “rasapi*.*” ne uscivano più ricorrenze; in caso positivo queste dovevano essere “quanto meno” le seguenti:

- rasapi32.dl_ : file di tipo compresso, mi hanno spiegato, da conservare;
- rasapi32.dll : nella cartella c:\windows\sistem32\ ; potenziale file inserito dal virus con lo stesso nome e al posto del file Windows originale;
- rasapixxxx.dll : nella stessa cartella system32; dove xxxx sta per un numero diverso dall’originale “32″: io avevo un “rasapi86.dll”
- eventuali altri “rasapi32″.

Dunque il rasapi32 corretto era stato rinominato a rasapi86 (per questo motivo le chiamate al file Windows originale andavano a vuoto) e al suo posto c’era un rasapi32 “fasullo” e di DIMENSIONI DIVERSE da quello rinominato “…86″ dal virus; gli altri falsi rasapi32 si riconoscevano anche perchè avevano le stesse dimensioni di quello infilato dal virus in system32 !

Gli ulteriori falsi rasapi32, nel mio caso, stavano in 2 sottocartelle di system32, nel cui path comparivano “ntuninstall” e “softwaredownload”.

A questo punto, in linea logica bastava cancellare i falsi rasapi32 e rinominare il rasapi86 a rasapi32. Tuttavia, essendo facilmente alcuni di questi file in uso da qualche processo, il modo più certo di eliminarli che mi hanno indicato è:

- fare un riavvio del PC
- andare in modalità manutenzione premendo F8 appena il PC riparte
- dalla schermata che compare scgliere “modalità provvisoria con prompt dei comandi” (alcuni PC danno modo di scegliere subito la modalità DOS, il mio no, ad es.)
- scegliere il sistema operativo con cui si vuole operare in provvisoria nel caso mio solo Windows XP (non ho l’opzione DOS)
- eventualmente riaccertarsi della posizione dei diversi rasapi tramite comando “dir rasapi*.* /s”
- fare erase dei rasapi32.dll nelle varie cartelle in cui compaiono (NON VA FATTO INVECE ERASE DI “rasapi32.dl_”)
- fare rename di rasapixxxx in rasapi32 nella sottocartella system32 (nel mio caso era rasapi86, ma può essere un numero diverso ! )
- riavviare il sistema in modalità normale
- nel mio caso le Connessioni di Rete erano nuovamente funzionanti e non ho neppure dovuto ridefinire le connesisoni ai diversi provider, le ho ritrovate intatte come prima del guasto.

Spero sia utile, auguri a tutti

(da hwupgrade.it)

Se in regedit alla chiave

HKEY_LOCAL_MACHINE\
SOFTWARE\
MICROSOFT\
WINDOWS NT\
CURRENT VERSION\
IMAGE FILE EXECUTION OPTION

la chiave “explorer.exe” abbinata al valore c:\windows\system32\asubddcu.gif

si tratta di un virus.

Eliminate questa chiave, andate in task manager e terminate il processoo “asubddcu.gif” e andate in “windows\system32″ ed eliminate il file gif sopraevidenziato.

Il virus “dovrebbe” essere stato eliminato.

Controllate poi in
HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run

che non ci siano delle connessioni a file presenti in particolare in windows\temp o in documents and settings …. temp, riportanti “nomi” strani.

Se presenti, è necessario cancellarli.

Stesso discorso vale per il ramo con capofila
HKEY_CURRENT_USER.