| Autore |
 Discussione  |
|
|
Sibilla
Advanced Member
Impegno nella community e competenze nel supporto alla rimozione malware
2059 Messaggi |
 Inserito il - 28/02/2008 : 14:09:27
|
C'e' una discussione (questa) in cui il ripristino di configurazione sistema e' sempre attivo e non modificabile. Sembra che anche i valori del registro di configurazione lo siano e la funzione "cerca" non e' utilizzabile. Sto cercando di arrivare alle restrizioni.
Ai piu' esperti chiedo: la sottochiave si chiamera' sicuramente restriction o potrebbe rientrare tutto nelle policies?  Volendo cercare direttamente la sottochiave interessata, vado in current_user? Se la trovo, devo cercare anche in users la stessa modifica?
..ma la domanda piu' importante e': conoscete gia' in quale chiave potrei trovare queste restrizioni? (cosi' evito di comparare tutti i dati )
Il che vale comunque come apprendimento generale..
Grazie
x michal: nel caso ti venisse in mente di postarmi un link (il bello della veggenza), sappi che sto a pag 13 di 30... 
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 28/02/2008 : 20:47:47
|
controlla questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT
se c'e la cartella SystemRestore controlla che la sottochiave DisableSR abbia valore Dword uguale a 1
in tal caso elimina completamente la chiave SystemRestore(consigliato) oppure cambia il valore a 0.
Consiglio di eliminare la cartella perche la chiave è stata creata dal maleware, normalmente non c'è.
potresti anche utilizzare questo tool, non l'ho provato e non so dirti se funge, ma in casi come quello di Max può essere utile:
htt*://[www].zonapc.it/downloads/ripara_pc/ripristino_config_sistema.php
Altra chiave su cui cercare(troijan Botvoice.a):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\System\"DisableRegistryTools" = "1" |
Modificato da - michal in data 28/02/2008 21:03:57 |
 |
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 28/02/2008 : 21:40:25
|
Oh Michal..  
ok. Allora questo è il link di un ripristino.reg che ho trovato in rete. Pare siano le stesse chiavi e, se è così, è facile da farglielo eseguire. Viene prima modificato il valore del SystemRestore in una chiave X (quindi non viene eliminata), poi sistemato il servizio "sr" e poi eliminata tutta la chiave X (non so se è chiaro..)
Eccolo SystemRestore.txt, quindi glielo faccio eseguire tranquillamente. Ovviamente controllerò se il servizio "sr" è ok.. Come hai fatto in così poco tempo a trovare le due chiavi??
Diciamo che ci siamo con questo problema.. (spero..)
Per il trascinamento icone vedo nella chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
e sottochiavi.. Dovrei trovarlo lì... magari anche nella chiave delle restrizioni.
Ah ecco.. la funzione cerca che nemmeno funziona.. eh, questo è stato difficile.. Asp che prendo la pen..
Ho trovato questa:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]
[No-Spam]="Search Results Folder"
e la clsid dovrebbe essere quelle di riferimento per eventuali altri controlli. Tu che dici? Perchè se è così, allora c'è anche una patch: KB832870
Detto questo, oggi è stata una lunga giornata... nel registro mi ci sto facendo casa...
|
Modificato da - Sibilla in data 28/02/2008 23:51:48 |
|
|
|
michal
Moderatore
Città: Conversano
2403 Messaggi |
Inserito il - 29/02/2008 : 00:10:20
|
il notaio conferma la chiave adatta è proprio quella:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]
[No-Spam]="Search Results Folder"
Ps.il registro Di Xp più che una casa direi un labirinto.
Attenta a non perderti, utilizza il filo di arianna.
|
Modificato da - michal in data 29/02/2008 00:14:13 |
|
|
|
Sibilla
Advanced Member
2059 Messaggi |
Inserito il - 29/02/2008 : 00:48:24
|
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\MISC\DRAGDROP]
"Text"="Trascina o Copia e Incolla file"
la voce è quella.. ora devo cercarla in explorer..
eccola 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\StartPanel\EnableDragDrop]
"Type"="checkbox"
"Text"="[No-Spam]shell32.dll,-30475"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="Start_EnableDragDrop"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001
|
Modificato da - Sibilla in data 29/02/2008 01:07:25 |
|
|
| |
Discussione |
|
Registro di configurazione e restrizioni
Forum Bloccato
