Leonardo.it

Come rimuovere virus w32.harakit (files csrcs.exe e khq) in modo veloce

di
0 votes, average: 0,00 out of 50 votes, average: 0,00 out of 50 votes, average: 0,00 out of 50 votes, average: 0,00 out of 50 votes, average: 0,00 out of 50 voti
Foto Rimuovere virus w32.harakit (files csrcs.exe e KHQ) in modo veloce
Condividi

Il vostro PC (o la vostra LAN) è infetta da files KHQ e da altri files eseguibili lunghi 501k che non riuscite ad eliminare? E’ il virus w32.harakit e va rimosso manualmente, se il vs. antivirus non riesce a farlo !

Istruzioni

  • 1
    Per rimuovere il virus occorre capire come funziona. Il virus si insedia nella cartella windowssystem32 e si chiama CSRCS.EXE (potete vederlo attivando la visualizzazione file nascosti e files/cartelle di sistema).
    Viene lanciato nel file di registro di windows attraverso la chiave “run” di explorer. Sostanzialmente, ad ogni avvio, controlla le cartelle condivise del PC (e le “radici” degli hard disk) per verificare se si era già insediato. Dove trova possibilità va a copiare dentro due files, un eseguibile da circa 501Kb (con nomi sempre diversi, solitamente 6 caratteri e con estensione .exe, ad esempio qwertyu.exe . Vengono visualizzati come cartelle ma con nome di un file. Se effettuate una visualizzazione delle cartello lo individuate subito proprio per il fatto che ha una estensione .exe). Il secondo file è un file nascosto chiamato KHQ che sembra funga da “flag” (per dire al virus che quella cartella è già stata “attaccata”).
  • 2
    Se si tratta di un PC isolato, la situazione è questa. Se invece siete in rete (LAN) potreste avere sul vs. PC solo gli eseguibili da 501k ed i files KHQ (qualcuno ve li ha scaricati inconsapevolmente, in attesa che poi vi clicckiate sopra attivando l’installazione del csrcs.exe nella system32). Quello che dovete fare, per rimuovere l’infezione, in ambedue i casi è questo:
  • 3
    1- attivate la visualizzazione di cartelle e files nascosti e/o di sistema (in risorse del computer -> strumenti -> opzioni cartella -> visualizzazione)
  • 4
    2- cercate il file CSRCS.EXE nella windowssystem32 oppure cercatelo con il cerca (START-> cerca -> file e cartelle) secondo l’esempio qui riportato:

    http://web.tiscalinet.it/leadfree/esempio.JPG

  • 5
    3- cancellate il file ed editate il registro di windows (start -> esegui -> regedit). Cercate “csrcs.exe”. Troverete questa stringa in una chiave di explorer (run). Eliminatela in modo che non venga più lanciata.
  • 6
    4- Bene, avete eliminato la fonte principale. Ora bisogna togliere le “mine”. Sempre con il cerca (per evitare di sfogliare le cartelle ad una ad una, con il rischio di lasciarne indietro qualcuna) cercate “KHQ”. Nella cartella dove trovate il KHQ (lunghezza 0 byte) cercate l’eseguibile da 501K. Cancellate entrambi.
  • 7
    Fatto tutto? Bene. Avete eliminato il trojan. Se siete in rete assicuratevi che nessuno abbia più mine in giro, altrimenti nuove reinfestazioni sono altamente probabili !

Tags

, , , , , ,


Commenti alla guida

 
Chiudi

You need to log in to vote

The blog owner requires users to be logged in to be able to vote for this post.

Alternatively, if you do not have an account yet you can create one here.

Powered by Vote It Up