29 mai 2004 O sa instaleze si ala vreo 2 Mb la tine pe HDD si o sa te intrebe pe parcurs daca ii dai voie sa incarce un ceva de la GeCAD Software. Ii dai voie. Nu te chinui cu RAV-ul pentru ca e "al meu" ci pentru ca e chiar eficient la balarii de-astea. Dupa ce zice "Update finished. Ready to scan." ii poti bifa "Autoclean" si poti incerca "Scan My PC". Daca nu-i poate sterge, iti recomand sa repeti operatia dupa ce ai bootat in Safe Mode. Asta se face asa: cand iti porneste jucaria, dupa ce iti "numara" memoria, tii frumos degetelul pe F8 (chiar daca piuie sau protesteaza). In loc sa plece Windoza, iti va apare un meniu din care alegi "Safe mode with Network". O sa se vada cam aiurea (don't panic) si repeti operatia cu RAV-ul... Daca nici asa, nu pot decat sa reproduc instructiunile de curatatare pentru cei doi (sper ca doar 2) colocatari: http://www.sophos.com/virusinfo/analyses/trojwinpupc.html http://securityresponse.symantec.com/avcenter/venc/data/vbs.freelink.html So: sa incercam sa il dam jos "de mana". Sa sapam prin Registry (un fel de baza de date a Windoz-ului): Start -> Run, scrii "Regedit [Enter]" In stanga o sa ai o structura arborescenta, pe care o poti expanda pana la "frunze", iar in dreapta informatiile din "nodul" respectiv din arbore. Conteaza mai putin teoretizarea asta, ideea e ca trebuie sa cobori in jos cu mouse-ul bland pe HKEY_LOCAL_MACHINE (click-click) sau click pe (+) apoi SOFTWARE apoi Microsoft apoi Windows apoi CurrentVersion apoi Run Odata dat click pe "Run", in dreapta apar toate programelele care iti pleaca tie cand start-eaza Windozu'. Inclusiv troienii tai recent achizitionati... O linie are forma "Nume_activitate=executabil". La executabilele alea o sa ne uitam noi putin chiorash... Cauti "Rundll=RUNDLL.VBS" si dai click pe linia respectiva, apoi DEL. Daca tot suntem la "Freelink", hai sa gatam cu el... Start -> Search -> Files of Folders. Cauti "*.VBS". Click pe "Search Now". Dupa ce termina de rontait hard-discu', mergi in meniul View si alegi "Details" ca sa vezi prin ce directoare sunt. Te focusezi pe cele din "C:\Windows" sau "C:\WinNT", nu stiu cum e la tine... Cele numite "RUNDLL.VBS" sau cele care incep cu "LINKS" le stergi in pace. Unu' la mana... Gata, inchizi fereastra de cautare. Doi: domnul Revop cica isi da un nume aleator si se pune in directorul sistem din Windows. Asa ca e mai greu de identificat. Si cica dom' Revop ar putea fi activ in memorie, ceea ce inseamna ca antivirusii nu-l pot sterge. Sa vedem daca e asa: dai Ctrl-Alt-Del, alegi "Task manager" si de acolo "Processes". Executabilele din lista aia sunt cele care "merg" in clipa de fata. Acum intra in joc intuitia ta feminina: trebuie sa gasesti acel EXE cu un nume ciudatel, care sa fie si in lista de procese, si sa fie si in Registry in liniile acelea "Nume_activitate=executabil", unde "executabil" este prin C:\WinNT\System32, sau C:\WinNT\System, sau C:\Windows\System, ma rog, System sa fie. Daca gasesti vreunul in situatia asta, intai il ucizi cu sange rece (de acolo din Task Manager ii dai click pe el si apoi "End Process"), apoi ii stergi si linia corespunzatoare din Registry. Daca nu gasesti o astfel de corespondenta, inseamna ca nu e activ (nu ruleaza) si atunci ar trebui sa poata fi sters de antivirusi. Oricum, daca vezi vreo balarie gen "Cucu Bau=C:\WinNT\System32\76239996592.exe", ala e bun de sters fara sa clipesti... |
 |