www.MegaLab.it

[pippobauro]

ciao a tutti, non so se è la sezione giusta, ma è di questi giorni che a una mia amica è successo di ricevere un file via msn chiamato fotos.zip , essendole arrivato da una sua amica lei lo ha decompresso e si è ritrovata la sorpresa che le sono sparite le icone del desktop, poi le sono spariti i tasti di cerca, pannello di controllo, le impedisce ogni istallazione dicendo che non ha i privilegi di amministratore del pc e le impedisce di vedere parte delle cartelle del sistema operativo. ogni volta che accende il pc le appare questa scritta

esto pasa para los curios@ ...

por intentar de ver mis fotos

virus roberto

hijo de puta

da una breve ricerca ho trovato qualcosa in alcuni siti messicani, ma non parlano del modo per eliminarlo, alla scansione con il suo antivirus risulta per ora invisibile,lei usa avast, volevo chiedere se ne avete sentito parlare e se c'è un modo per eliminarlo senza formattare il pc, per ora a questa amica le ho detto di spostare tutti i suoi files in un hdd esterno perche se non trovo una soluzione passo alla soluzione definitiva formattando il pc.

dimenticavo, mentre eravamo in msn con assistenza remota ho visto nel suo pc un sacco di files così, C:FOUND.000 con estensione composta solo da numeri, io ho moltissimi più programmi di lei, ma quelle cartelle non le ho
e mi sembrano molto strane, domani faccio fare un log con hyjack this e semmai lo posto qui, magari si trova una soluzione

[crazy.cat]

Questi C:FOUND.000 sono file recuperati da qualche scandisk.

[pippobauro]

Il virus è MSNHideOptions.A (o B), Rimuoverlo è facile, se sai usare HiJackThis spunta la riga seguente,se presente
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe
Poi disabilita il ripristino di sistema, riavvia in modalità provvisoria, vai nella cartella
c:\windows e cancella il file svchost.exe (vai in windows, non in windows\system in quanto in questa ultima c'è un file con lo stesso nome che è legittimo !!) poi va eliminato il file MIS CONTACTOS.TXT
svuota il cestino, poi riavvia in modalità normale e riattiva il ripristino di XP

MSNHideOptions.B creda le seguenti entrate nel Registro di Windows:
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
svchost = %windir%\svchost.exe
dove %windir% è la direttiva di Windows.
Mediante questo comando, MSNHideOptions.B riesce ad eseguirsi ogni volta che Windows si avvia
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFind = 01, 00, 00, 00
Disabilita la funzione Cerca del menù Inizio.
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoRun = 01, 00, 00, 00
Disabilita la funzione Esegui del menù Inizio.
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoDesktop = 01, 00, 00, 00
nasconde le icone del desktop.
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoControlPanel = 01, 00, 00, 00
disabilita l'accesso al pannello di controllo.
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoClose = 01, 00, 00, 00
Disabilita l'opzione Spegni del menù Inizio.
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
StartMenuLogOff = 01, 00, 00, 00
Disabilita l'opzione Chiudi Sessione del menù Inizio.
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
HideClock = 01, 00, 00, 00
Nascosta l'orologio dell'area della traybar.
 
MSNHideOptions.B modifica la seguente entrata del Registro di Windows:
* HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = %pagina usuale dell'utente infettato%
Cambia questa pagina in:
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = http://pro<*****>utas.com/
Mediante questa modifica, MSNHideOptions.B modifica la página iniziale di Internet Explorer.

ora il mio problema è, visto che anche da rimosso non mi da accesso al comando esegui su start, come posso creare dei files *.reg per riabilitare queste funzioni disabilitate?

[pippobauro]

ho trovato una chiave di registrazione per riavere il comando esegui, una volta avviato regedit, devo eliminare le chiavi che ha messo il virus o devo mettere 0 al posto di 1 su ogni chiave di registro?

[crazy.cat]

Le puoi mettere a 0 così riabiliti le varie funzioni, oppure le cancelli.
alla fine il risultato è uguale.