Malware "Win32/Ramnit.a" Cos'è e come rimuoverlo
Allora... girando per il web mi sono imbattuto in molte community, dove ho visto gente che chiedeva disperatamente aiuto per eliminare questo Malware... Ramnit.a è un malware, che si trasmette via facebook, o probabilmente anche via altri siti web. Quest'ultimo include anche una backdoor che permette ai manipolatori di rubarvi informazioni riservate, un rootkit che offusca la backdoor in modo che gli antivirus non lo rilevino (Ma ormai lo rilevano quasi tutti) e in finale include anche un file infector che in pratica, vi infetterà tutti i file .exe, .dll, .html e .htm. Per i primi 2 la cosa si può risolvere, mentre i file con estensione .html e .htm saranno eliminati del tutto. Allora prima di tutto, scaricatevi process explorer: Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Ok, dopodichè avviatelo... poi andate su C:\Programmi\Microsoft Ci sarà un file .exe, il mio si chiamava DesktopLayer.exe, poi dovete vedere voi, anche perché può essere che il nome non corrisponda con il mio... Non si sa mai Dopo aver visto il nome tornate su process explorer, cliccate in alto al centro sull'opzione "Find" e poi successivamente "FindHandle Or Dll" e inserite il nome dell'EXE che avete visto su C:\Programmi\Microsoft (In alternativa, il nome sarà scritto anche nel registro di sistema in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, cercate la stringa "C:\WINDOWS\system32\userinit.exe," vicino ad essa ci sarà attaccato il codice per avviare il malware, cosa che io avevo in questo modo
Codice:
Perfavore,
Entra
oppure
Registrati
per vedere i codici!
Fatto ciò, il nostro process explorer ci dirà quale processo sta eseguendo il malware (Vi verrà evidenziato automaticamente), senza paura chiudetelo cliccandoci sopra con il tasto destro, e poi successivamente su kill process, successivamente ritornate nella cartella C:\Programmi\Microsoft ed eliminate il file. Fatto ciò abbiamo solamente impedito che il virus si propagasse su altri file (Anche se penso che il vostro PC sarà già tutto infetto tranne alcuni files) e quindi siamo ancora molto ma molto lontani dalla fine. Adesso dovete scaricare un tool che vi aiuterà a rimuovere tutti i file infetti, però attenzione... durante la scansione non dovrete assolutamente aprire nessun tipo di programma con estensione da me nominate all'inizio, perché appunto non sapete se esso è infettato dal virus, e quindi pure se fate la scansione e per sbaglio aprite un programma, dovrete ricominciarla... perché i file si saranno reinfettati da capo, quindi sarà molto noioso dover aspettare... P.S. Prima della scansione con Dr. Web, vi consiglio di disattivare l'antivirus per evitare conflitti. Scaricatevi Dr.Web Cureit: Perfavore,
Entra
oppure
Registrati
per vedere i Link!
Apritelo e se vi chiede di andare in modalità Safe e cazzi vari mettete su Annulla perché se vi si blocca il Programma durante la scansione e avete la modalità safe, l'unico modo per chiuderla, sarà spegnere il Computer dal Bottone d'accensione e quindi ricominciare il tutto. Una volta inizializzato il programma, si preparerà per la scansione, fatto ciò esso inizierà automaticamente la scansione rapida, ma voi cliccate sul quadratino verde per stopparla, e cambiate le impostazioni, e fate come negli screen. 
Una volta che avete finito tutto, riavviate il computer e installate un antivirus decente, tenetelo sempre attivo e disabilitatelo solo quando c'è n'è bisogno. Domanda: Perché hai messo "Dr. Web Cureit" come tool per rimuoverlo e non un tool di "Kaspersky" o cazzi vari? Risposta: Perché "Dr. Web Cureit" è l'unico programma che riesce a curare in modo efficace i file infetti. Domanda2: Degli utenti mi hanno consigliato di usare ComboFIX che cosa devo fare? Risposta2: Lascia stare questi programmini che non servono a niente e segui la guida. Molti utenti consigliano senza neanche conoscere qual è il problema. Domanda3: Il mio antivirus, dopo la scansione rileva ancora dei file .html e .htm infetti, la tua guida non ha funzionato? Risposta3: Non è che non ha funzionato, si vede che "Dr. Web Cureit" ha spostato i file da un'altra parte e il tuo antivirus adesso li sta eliminando tutti quanti. Domanda4: Il file .exe in C:\Programmi\Microsoft oppure nel Registro di sistema (Regedit), ha un nome diverso dal tuo, cambia qualcosa? Risposta4: No, è lo stesso, infatti nella guida ho scritto " il mio si chiamava DesktopLayer.exe, poi dovete vedere voi, anche perché può essere che il nome non corrisponda con il mio... Non si sa mai" Proprio perché non so se negli altri computer infetti, il nome è lo stesso oppure cambia. Se avete altre domande da farmi, scrivete nel thread. |
