Nonostante un mio caro amico abbia un NortonAV2004 su WinXP costantemente aggiornato, qualcosa è maledettamente entrato lo stesso con queste caratteristiche:
Icona di Norton sparisce poco dopo l'avvio.
Ctrl+alt+canc .... il task si chiude immediatamente.
Tenti di aprire REGEDIT e anche questo si chiude immediatamente.
Qualsiasi programma di amministrazione si chiude subito.
Dall'cona di connessione di rete si nota traffico senza
nessun programma aperto (attendendo sempre che LU di Norton termini il suo controllo x aggiornamenti).
Vado in mod.provvisoria....e riesco ad aprire REGEDIT
mi accorgo che alla solita sezione
HKLM.....CurrentVerisioRun
appare la chiamata ad un file eseguibile di 5 lettere *.exe
...lo stesso file anche in RunService.
Rimuovo le chiavi che chiamano il file.
Lo cerco e lo trovo nella cartella C:windowsSystem32
Lo cancello.
Riavvio normalmente.....niente da fare c'è ancora.
Qualsiasi prog di amministrazione si chiude appena
tento di aprirlo.
Rivado in provvisoria...di nuovo REGEDIT,
...e azzz...trovo un nuovo file con nome diverso
a prima ...sempre di 5 lettere *****.exe richiamato e locato
sempre nella cartella system32.
Ho pensato...stai a vedere che anche in provvisoria
esegue q.sa alla chiusura della sessione e quidi si
replica.
Cerco di aggirarlo in questo modo:
Faccio partire un CD boot con un programma
che mi da la possibilità di caricare un sistema operativo
indipendente da quello su HD.
Il prog/sys si chiama ERD Commander.
Bene...mi da la possibilità di vedere il file di registro di wincoz.
Trovo ancora i file incriminati sempre con nome diverso...rimuovo ancora il tutto.
Riavvio XP ... e sono punto a capo.
Sebbene abbia letto le diverse morfologie degli ultimi virus in
circolo citati dalla Symantec.... ho letto solo qualcosa di simile
...ma non si comporta come descritto.
Aggiungo anche che ho tentato un spegnimento brutale ma... :
* Alla sola pressione del tasto di accensione, questo non attende
i classici 5 secondi per spegnesri....ma si comporta come se
chiudessi da 'chiudi sessione'.
* Ho provato nuovamente a ripulire e togliere corrente dalla spina
... niente di niente.
Ora ho il forte sospetto che sia nel bootloader dell'hd
o si è annidiato accoppiandosi a una variabile di sistema (dll).
Q.no sa qualcosa o perdiamo le classiche 8 ore per reistallare
tutto ?
Grazie.
PS. ne sono passate già + di 8 a dare la caccia a worm.