Caricare l’HIVE di registro di un altro utente
Mi capita il solito Windows XP con la schermata della guardia di finanza che vuole $oldi.
Fortunatamente la macchina ha due utenti, entrambi amministratori, e il problema si manifesta su un solo utente, l’altro è immune e cosi posso lavorare sul pc senza dovermi barcamenare con live cd e robe del genere, anche perché avviare in modalità provvisoria e loggandosi con l’utente infetto porta al riavvio del computer senza possibilità di scampo e una volta loggato la maschera di richiesta di soldi parte e disabilita ogni tipo di task manager e combinazione di tasti.
Il problema è evidentemente in esecuzione automatica, ma quello che viene avviato SOLO nell’utente marcio non lo vedo dall’utente sano, quindi passo antivirus ed antispyware come se non ci fosse un domani, che in effetti trovano schifezze che vengono rimosse, ma quella che carica la pagina è ancora li.
Il mio amico google mi svela un trucco per caricare l’hive del registro dell’altro utente e poterci lavorare senza problemi (della serie non si finisce mai di imparare).
1) lancio regedt32.exe
2) mi posiziono sulla voce “HKEY_LOCAL_MACHINE”, perché solo in quella posizione si attiva la voce in “File\Carica hive”
3) carico il registro relativo all’utente marcio, che trovo in “c:\documents and settings\UTENTE MARCIO\ntuser.dat”
4) mi viene chiesto un nome, mettiamo “pippo”, e la voce “pippo” mi appare sopra “HKEY_LOCAL_MACHINE”, ci entro e mi trovo tutto il registro relativo al’utente marcio
5) rufolando un poco trovo in “pippo\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon” una voce “shell” che contiene “explorer.exe, c:\documents and settings\UTENTE MARCIO\skype.dat”, ovvio che quello “skype.dat” altri non è che il beffardo eseguibile con l’estensione camuffata che carica la pagina marcia, lo vaporizzo lasciando solo “explorer.exe”
6) scarico l’hive del registro da “File\Scarica hive”, altrimenti se mi loggo con l’utente marcio windows mi dice che il profilo è danneggiato e rientro nell’utente ormai bonificato. A quel punto vaporizzo anche il file “skype.dat” e vivo felice.
Raniero 1 – MalwareDelPiffero 0
Se avete montato un antivirus della Symantec intanto non vi preoccupate, questa sfiga capita ad un sacco di gente anche me al lavoro per esempio con il Symantec Endpoint Protection.
Stamattina la solita collega impacciata lamentava un virus nel computer.
Begle, che porta il nome del simpatico cane della foto a fianco, è anche il nome di un virus assai fastidioso che può essere di problematica rimozione, i primi sintomi di infezione sono, ma non solo questi, sparizione improvvisa dell’audio, anche se i driver sono tutti a posto, l’impossibilità dei riavvio in modalità provvisoria, infatti durante il boot il computer se ne esce all’improvviso con una simpatica schermata blu e riavvia ed il malfunzionamento di praticamente tutti gli antivirus per computer.
Dopo aver prestato la mia chiavetta usb ad un conoscente per copiare dei files dal suo portatile ad un altra macchina ho avuto la bella sorpresa di trovarci dentro un file autorun.inf che ero certo non ci fosse.
Erano gli inzi degli anni 90 quando mi trovai a litigare molto spesso con questa tipologia di virus.