http://www.prevx.com/filenames/2296455117801830125-X1/UFO.EXE.html

non mi ha trovato niente!
speriamo che sia pulito:rolleyes:

bhe dai grazie dell'aiuto!!;)

non mi ha trovato niente!
speriamo che sia pulito:rolleyes:

bhe dai grazie dell'aiuto!!;)

Prego ;)

Non so se può servire ma
http://www.pcprofessionale.it/2009/03/19/mai-piu-virus-su-chiavetta-usb/

salve a tutti. sono nuovo. ho un problema. non riesco più ad aprire gli hard disk con il semplice doppio click. sia gli interni che l'esterno. quando ci provo mi si apre la finestra 'apri con'... se però clicco col destro e scelgo esplora allora riesco ad accedere... come mai? penso a qualche virus... io uso avg free come antivirus. vi posto il risultato con hijack.
sapete aiutarmi?


Log rimosso non conforme alla Regole di sezione

salve a tutti. sono nuovo. ho un problema. non riesco più ad aprire gli hard disk con il semplice doppio click. sia gli interni che l'esterno. quando ci provo mi si apre la finestra 'apri con'... se però clicco col destro e scelgo esplora allora riesco ad accedere... come mai? penso a qualche virus... io uso avg free come antivirus. vi posto il risultato con hijack.
sapete aiutarmi?


ha i letto il primo post?
i log richiesti vanno caricati secondo le regole di sezione, grazie

ha i letto il primo post?
i log richiesti vanno caricati secondo le regole di sezione, grazie

ma dove? volevo solo cercare di risolvere il mio problema

ma dove? volevo solo cercare di risolvere il mio problema

è tutto spiegato qui
http://www.hwupgrade.it/forum/showthread.php?t=1599603

Oggi ho formattato il mio PC però ho un problema che mi affligge: in gestione disco non mi compaiono gli HD (problema che avevo già prima di formattarlo).
l'anomalia è che gli hd mi compaiono in risorse del computer però posso esplorarli solo perché col doppio click mi esce "accesso negato.
se ci clicco sopra col destro, la prima opzione è autoplay, la 2° "apri" (che però mi crea errore)

ho seguito quindi la guida in prima pagina e dopo la scansione con avira e la cancellazione del file autorun, ho risolto il problema dell'apertura dei dischi in risorse deil computer

ciò nonostante in gestione disco continuano a non comparire e non capisco perchè:muro:

ho eseguito anche la scansione con kaspersky e questo è il link del log
log kaspersky.txt (http://wikisend.com/download/447986/log kaspersky.txt)

mi sapete aiutare?:help:

:ave:

Scusate ragazzi, io ho beccato questo virus proprio dopo aver messo la maledetta penna USB di mio cugino sul PC...
Dal primo momento non potevo accedere ne a C ne a D... dopo aver utilizzato il programma Autorun eater, ho eliminato l'apposito file infetto dalla partizione D e adesso funge perfettamente, ma su C non mi trova niente di anomalo, ma io ugualmente non posso accedervi...

Cosa devo fare? premetto che la chiavetta non è mia, quindi nn mi interessa togliere il virus da quella, mi interessa solo che il pc torni a fungere correttamente

http://wikisend.com/download/508104/hijackthis.log

Scusate ragazzi, io ho beccato questo virus proprio dopo aver messo la maledetta penna USB di mio cugino sul PC...
Dal primo momento non potevo accedere ne a C ne a D... dopo aver utilizzato il programma Autorun eater, ho eliminato l'apposito file infetto dalla partizione D e adesso funge perfettamente, ma su C non mi trova niente di anomalo, ma io ugualmente non posso accedervi...

Cosa devo fare? premetto che la chiavetta non è mia, quindi nn mi interessa togliere il virus da quella, mi interessa solo che il pc torni a fungere correttamente

http://wikisend.com/download/508104/hijackthis.log


Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio (http://www.hwupgrade.it/forum/images_hwu/editor/attach.gif)

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)


O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Autorun Eater] C:\Programmi\Autorun Eater\oldmcdonald.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [kamsoft] C:\windows\system32\kamsoft.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1218153481156
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Deskscapes - {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - (no file)
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Programmi\NOS\bin\getPlus_HelperSvc.exe (file missing)


fai una scansione completa con F-Secure online (http://www.hwupgrade.it/forum/showpost.php?p=24033058&postcount=6) o Kaspersky removal tool (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7) e carica il suo log

Oggi ho formattato il mio PC però ho un problema che mi affligge: in gestione disco non mi compaiono gli HD (problema che avevo già prima di formattarlo).
l'anomalia è che gli hd mi compaiono in risorse del computer però posso esplorarli solo perché col doppio click mi esce "accesso negato.
se ci clicco sopra col destro, la prima opzione è autoplay, la 2° "apri" (che però mi crea errore)

ho seguito quindi la guida in prima pagina e dopo la scansione con avira e la cancellazione del file autorun, ho risolto il problema dell'apertura dei dischi in risorse deil computer

ciò nonostante in gestione disco continuano a non comparire e non capisco perchè:muro:

ho eseguito anche la scansione con kaspersky e questo è il link del log
log kaspersky.txt (http://wikisend.com/download/447986/log kaspersky.txt)

mi sapete aiutare?:help:

:ave:
ciao

li vedi da gestione risorse e non da gestione disco? solitamente è il contrario

Salve. ho come S.0. xp moddato da greifi Grishnackh 2007.

Formattato pochi mesi fa ed installato il suddetto so. Non ricordo se il problema dell'apri con si presentò subito o quando collegai il mio hd esterno (forse è lui il portatore sano).

Chi è così gentile da aiutarmi? Grazie. :(

Comunque ho fatto una scansione con HijackThis v2.0.2:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.15.58, on 12/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\LClock\lclock.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Windows Sidebar\sidebar.exe
C:\Programmi\VisualTaskTips\VisualTaskTips.exe
D:\Programmi\everestultimate_build_1726_zxfym3wnt0b\everest.exe
C:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
C:\DOCUME~1\Joshua\IMPOST~1\Temp\RtkBtMnt.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Windows Sidebar\sidebar.exe
C:\Programmi\Windows Live\Contacts\wlcomm.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\uTorrent\uTorrent.exe
C:\Documents and Settings\Joshua\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [LClock] C:\Programmi\LClock\lclock.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Programmi\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programmi\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [EVEREST AutoStart] D:\Programmi\everestultimate_build_1726_zxfym3wnt0b\everest.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Aggiungi al banner Blocco pubblicità - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a periferica &Bluetooth... - C:\Programmi\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241358124984
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241358105281
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 7595 bytes

P.S. il problema apri con si presenta sia se apro c: che se apro una chiavetta esterna.

P.P.S. non riesco a visualizzare i file nascosti.

P.P.P.S. Kaspersky KIS 8 agiornato nu me vede nulla!

Grazie :(

Salve. ho come S.0. xp moddato da greifi Grishnackh 2007.

Formattato pochi mesi fa ed installato il suddetto so. Non ricordo se il problema dell'apri con si presentò subito o quando collegai il mio hd esterno (forse è lui il portatore sano).

Chi è così gentile da aiutarmi? Grazie. :(

Comunque ho fatto una scansione con HijackThis v2.0.2:



Ciao
devi seguire la guida del primo post e caricare i log secondo le regole di sezione. grazie

Fixa questa voce

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

hai i supporti removibili USB infetti sarà necessario fare alcune scansioni con:

MBAM
A2
CureIT

naturalmente i supporti andranno collegati prima di iniziare le scansioni

ciao, se vado in risorse del computer e selezione 1 hd a caso con il mouse e cerco di entrare mi appare questo errore mentre se selziono l' hd dal barra degli indirizzi posso entrare come risolvo ?
http://img218.imageshack.us/img218/9049/erroreg.th.jpg (http://img218.imageshack.us/my.php?image=erroreg.jpg)
quali punti della guida devo seguire ?

ciao, se vado in risorse del computer e selezione 1 hd a caso con il mouse e cerco di entrare mi appare questo errore mentre se selziono l' hd dal barra degli indirizzi posso entrare come risolvo ?
http://img218.imageshack.us/img218/9049/erroreg.th.jpg (http://img218.imageshack.us/my.php?image=erroreg.jpg)
quali punti della guida devo seguire ?

Ciao segui i seguenti Punti:

1 - 2 - 3 - 4

Ciao ragazzi..è da troppo tempo che ho questo virus..per mancanza di tempo non mi sono mai adoperato per toglierlo..Ha infettato tutto, forse manca solo l'hard disk esterno..a questo punto formatterò..Volevo chiedervi però, visto che ho dei file da salvare, di valutare la mia idea:

Faccio partire ubuntu live, sposto tutti i file che mi servono sull' Hard Disk esterno, e via, formatto...

Ma la mia domanda è:

se nel caso anche L'hard disk fosse infetto, è sufficiente cancellare tutti i vari autorun.inf etcetera, oppure devo per forza formattare? Perchè se è così..sono fregato!

ciao

non serve a nulla formattare
segui la guida del primo post con tutte le periferiche usb collegate
prima di collegare quelle a rischio tieni premuto shift oppure disattiva la riproduzione automatica (USB/CD) (http://www.hwupgrade.it/forum/showpost.php?p=25768214&postcount=46)

Il fatto è che il pc è così rovinato che Karpesky non mi rileva nulla :-(

inoltre non riesco ad attivare i file nascosti, e avira non mi fa gli aggiornamenti..devo per forza formattare..sperando che l'hard disk esterno non sia infetto!

per il problema dei file nascosti prova la scansione rapida con Malwarebytes' Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9) oppure vedi qui (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)

ciao a tutti,
ho un virus che si diffonde tramite l'autorun.inf sul disco usb, però essendo formattato in ntfs non riesco a rimuoverlo perchè è protetto da windows, come faccio???

ciao

hai seguito la procedura del primo post?

ciao

hai seguito la procedura del primo post?

si, cmq ho risolto, a quanto pare su vista di default neanche l'amministratore ha i privilegi massimi sui file di di sistema... ho dovuto alzare i privilegi a livello dell'utente system.

Comunque consiglio a tutti di creare una cartella che si chiama autorun.inf e un file senza estensione che si chiama RECYCLER, e poi nasconderli.
Ho provato personalmente e la maggiorparte dei virus (i più stupidi) non riescono più a copiarsi.
Dopo che l'ho fatto non mi sono più beccato virus a scuola dove era veramente un bagno si sangue :D
ciao a tutti!

si, cmq ho risolto, a quanto pare su vista di default neanche l'amministratore ha i privilegi massimi sui file di di sistema... ho dovuto alzare i privilegi a livello dell'utente system.

Comunque consiglio a tutti di creare una cartella che si chiama autorun.inf e un file senza estensione che si chiama RECYCLER, e poi nasconderli.
Ho provato personalmente e la maggiorparte dei virus (i più stupidi) non riescono più a copiarsi.
Dopo che l'ho fatto non mi sono più beccato virus a scuola dove era veramente un bagno si sangue :D
ciao a tutti!

lo fa tranquillamente il tool del punto 6

lo fa tranquillamente il tool del punto 6

ops scusa, non l'avevo visto perchè mi ero bloccato al punto 4 :D

ho una chiavetta usb che se la inserisco sul pc pricipale che ha vista 64 si apre tranquillamente cliccandoci sull'icona nel menù di risorse del pc.
se la metto invece su pc con windows xp se clicco sull'icona nel menù risorse del pc mi da accesso negato,e ci posso entrare solo cliccandoci col
tasto destro->esplora.
come si spiega?

ho una chiavetta usb che se la inserisco sul pc pricipale che ha vista 64 si apre tranquillamente cliccandoci sull'icona nel menù di risorse del pc.
se la metto invece su pc con windows xp se clicco sull'icona nel menù risorse del pc mi da accesso negato,e ci posso entrare solo cliccandoci col
tasto destro->esplora.
come si spiega?

ciao

segui il primo poste e quindi verifica che nella chiavetta non ci siano file autorun.inf

vista potrebbe non avere questo problema per via dell'uac e simili

ciao

segui il primo poste e quindi verifica che nella chiavetta non ci siano file autorun.inf

vista potrebbe non avere questo problema per via dell'uac e simili

cioè uac in che modo nn fa avvenire questo problema?

Ciao ragazzi,

Ho anche io il problema di 2 chiavette infette più un hard disk esterno da 500 GB.

Installando Autorun Eater e Flash_Disinfector e facendo scansioni con NOD32 spero di aver risolto definitivamente le chiavette.

Gli errori erano questi :

F:\driver\usb\–��Œ“†�Í€ŒŽ (proprio sit caratteri strani)- variante modificata di Win32/Injector.LR cavallo di troia

F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autousb.exe - variante modificata di Win32/Injector.LR cavallo di troia


Sull'hard disk esterno c'era un file SETUP.EXE che ho rimosso manualmente (rilevato da NOD32 quando l'ho collegato)

La questione però è : come faccio a capire ed eliminare invece questi virus dal PC che me li mette ogni volta ? (nonostante ora non riuscirà a metterli per via di quei software, però magari quel SETUP.EXE sull'hard disk esterno rischio di beccarlo ancora)

Ho fatto la scansione con NOD32 e Malawarebyte e non ha trovato nulla, però anche oggi (prima di provare Autorun Eater e Flash Disinfector) son tornato a casa con le chiavette compromesse.

IL PC in questione (che non è quello da cui sto scrivendo) è privo di connessione ad internet e non posso collegarmi nemmeno con le chiavette modem perché non prendono :muro: Quindi non suggeritemi software che richiedono aggiornamenti del loro database dal web. :)

Grazie

Ciao ragazzi,

Ho anche io il problema di 2 chiavette infette più un hard disk esterno da 500 GB.

Installando Autorun Eater e Flash_Disinfector e facendo scansioni con NOD32 spero di aver risolto definitivamente le chiavette.

Gli errori erano questi :

F:\driver\usb\–��Œ“†�Í€ŒŽ (proprio sit caratteri strani)- variante modificata di Win32/Injector.LR cavallo di troia

F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autousb.exe - variante modificata di Win32/Injector.LR cavallo di troia


Sull'hard disk esterno c'era un file SETUP.EXE che ho rimosso manualmente (rilevato da NOD32 quando l'ho collegato)

La questione però è : come faccio a capire ed eliminare invece questi virus dal PC che me li mette ogni volta ? (nonostante ora non riuscirà a metterli per via di quei software, però magari quel SETUP.EXE sull'hard disk esterno rischio di beccarlo ancora)

Ho fatto la scansione con NOD32 e Malawarebyte e non ha trovato nulla, però anche oggi (prima di provare Autorun Eater e Flash Disinfector) son tornato a casa con le chiavette compromesse.

IL PC in questione (che non è quello da cui sto scrivendo) è privo di connessione ad internet e non posso collegarmi nemmeno con le chiavette modem perché non prendono :muro: Quindi non suggeritemi software che richiedono aggiornamenti del loro database dal web. :)

Grazie
ciao

basta seguire il primo post e al punto della scansione scarichi da un pc il kaspersky removal tool aggiornato ad oggi e scansioni con quello

Posso chiedere come mai è prevista questa operazione ?

1) Disattivate ripristino configurazione di sistema:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok


Come può "interferire" l'opzione di ripristino ?

Posso chiedere come mai è prevista questa operazione ?

1) Disattivate ripristino configurazione di sistema:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok


Come può "interferire" l'opzione di ripristino ?

perchè le infezioni vanno ad annidarsi li, e se in futuro effettui un ripristino non è da escludere la possibilità del reinfettamento

perchè le infezioni vanno ad annidarsi li, e se in futuro effettui un ripristino non è da escludere la possibilità del reinfettamento

Io pensavo che quell'opzione fosse semplicemente relativa all'attivare o meno la funzione del ripristino , non che desse accesso/blocco alla "cartella" (potenziale annidamento di virus) relativa al ripristino a seconda del fatto che sia appunto attivata o disattivata...

Quindi "disattivando" do la possibilità all'antivirus di scansionare la cartella relativa al riprstino ?

disattivando elimini tutto quello che c'è dentro, infezioni comprese

Salve a tutti, spero di azzeccare la sezione e il post giusto....
Ieri pomeriggio, mi sono accorto di essere infetto da un virus (nello specifico quello che presenta anche i files msfun 80 e algsrv....., mi sembra si chiami xl.fun e qualche cosa....), tant'è vero che non riuscivo nemmeno a visualizzare le cartelle e i files nascosti.
Dopo aver seguito qualche vostro tread, sono riuscioto a rimuoverlo. (primo grazie)
MI sono accorto successivamente che non riuscivo però ad aprire una partizione dell'hd (ogni volta che clicco due volte sopra mi dice non è un'applicazione di win32 valida).
Leggendo qua e la nel forum ho creduto fossi infetto da un bagle o roba simile....Ho effettuato tutti i controlli del caso (ma non presento altri sintomi dell'infezione) e in pià hijack this, non trova nulla di anomalo....ho provato anche con antivir, avg e nod 32 (come consigliatomi da qualche altro utente), ma non ho trovato nulla, nemmeno i files .inf di cui si parla.

La mia domanda è ora questa:
ieri in preda ad un attacco di "igiene" ho usato diversi programmi per la pulizia del registo, non è che ho inconsapevolmente eliminato una chiave di registo utile?
è possibile?
voi (sicuramente più esperti di me) cosa ne pensate??
cosa possa fare?

Grazie mille:help:

Assurdo, mi sono tornati tutti i virus di prima sulla chiavetta nonostante abbia installato anche quel software Flash_Disinfector che doveva "ingannare" il virus non permettendogli di scrivere il file dell'autorun ..

E:\driver\usb\–��Œ“†�Í€ŒŽ - variante modificata di Win32/Injector.LR cavallo di troia

E:\Key\K\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autousb.exe - variante modificata di Win32/Injector.LR cavallo di troia

E:\Key\K\driver\usb\–��Œ“†�Í€ŒŽ - variante modificata di Win32/Injector.LR cavallo di troia

E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autousb.exe - variante modificata di Win32/Injector.LR cavallo di troia

Quindi penso sia totalmente inutile come programma, l'unica è andare di scansione ed eliminarli ogni volta...

Salve a tutti, spero di azzeccare la sezione e il post giusto....
Ieri pomeriggio, mi sono accorto di essere infetto da un virus (nello specifico quello che presenta anche i files msfun 80 e algsrv....., mi sembra si chiami xl.fun e qualche cosa....), tant'è vero che non riuscivo nemmeno a visualizzare le cartelle e i files nascosti.
Dopo aver seguito qualche vostro tread, sono riuscioto a rimuoverlo. (primo grazie)
MI sono accorto successivamente che non riuscivo però ad aprire una partizione dell'hd (ogni volta che clicco due volte sopra mi dice non è un'applicazione di win32 valida).
Leggendo qua e la nel forum ho creduto fossi infetto da un bagle o roba simile....Ho effettuato tutti i controlli del caso (ma non presento altri sintomi dell'infezione) e in pià hijack this, non trova nulla di anomalo....ho provato anche con antivir, avg e nod 32 (come consigliatomi da qualche altro utente), ma non ho trovato nulla, nemmeno i files .inf di cui si parla.

La mia domanda è ora questa:
ieri in preda ad un attacco di "igiene" ho usato diversi programmi per la pulizia del registo, non è che ho inconsapevolmente eliminato una chiave di registo utile?
è possibile?
voi (sicuramente più esperti di me) cosa ne pensate??
cosa possa fare?

Grazie mille:help:

ciao

non ho capito quale problema sia rimasto?

Assurdo, mi sono tornati tutti i virus di prima sulla chiavetta nonostante abbia installato anche quel software Flash_Disinfector che doveva "ingannare" il virus non permettendogli di scrivere il file dell'autorun ..

E:\driver\usb\–��Œ“†�Í€ŒŽ - variante modificata di Win32/Injector.LR cavallo di troia

E:\Key\K\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autousb.exe - variante modificata di Win32/Injector.LR cavallo di troia

E:\Key\K\driver\usb\–��Œ“†�Í€ŒŽ - variante modificata di Win32/Injector.LR cavallo di troia

E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autousb.exe - variante modificata di Win32/Injector.LR cavallo di troia

Quindi penso sia totalmente inutile come programma, l'unica è andare di scansione ed eliminarli ogni volta...
ciao

Flash_Disinfector dovrebbe impedire la creazione del solo autorun.inf non di altri file e vartelle infette

la chiavetta è pulita ora?

ciao

non ho capito quale problema sia rimasto?

Fortunatamente ho risolto il problema, in pratica, nonostante io avessi debellato il virus xls.fun (se non ricordo male il nome), non riuscivo comunuqe ad aprire con il doppio click una partizione dell'hd (mi diceva sempre non è un'applicazione di win32 valida).
Dopo vari tentativi, non ho fatto altro che fare una scansione con avira antivir, che mi ha risolto il problema.

Grazie comunque per l'interessamento ;)

Fortunatamente ho risolto il problema, in pratica, nonostante io avessi debellato il virus xls.fun (se non ricordo male il nome), non riuscivo comunuqe ad aprire con il doppio click una partizione dell'hd (mi diceva sempre non è un'applicazione di win32 valida).
Dopo vari tentativi, non ho fatto altro che fare una scansione con avira antivir, che mi ha risolto il problema.

Grazie comunque per l'interessamento ;)

bene

ciao

Flash_Disinfector dovrebbe impedire la creazione del solo autorun.inf non di altri file e vartelle infette

la chiavetta è pulita ora?



Si, l'ho ripulita con il NOD32

Ma il file autousb.exe non è una specie di autorun ?

Si, l'ho ripulita con il NOD32

Ma il file autousb.exe non è una specie di autorun ?

autorun.inf era il file che faceva funzionare la riproduzione automatica delle chiavette e cd e che quindi garantiva l'esecuzione del relativo file infetto ad ogni inserimento della stesse
ora microsoft visto il proliferare delle infezioni ha eliminato l'autorun dalle chiavette in win 7 e con gli aggiornamenti in xp e vista

nulla toglie che vengano studiati altri modi per auto lanciare i file infetti

ciao a tutti..ho seguito la guida passo x passo ma sono rimasto dubbioso in un punto particolare di essa..vi spiego il mio aneddoto:
inserisco una delle mie chiavette e avira mi segnala questo:
http://img190.imageshack.us/img190/5691/avvisoavira.jpg
nel forum trovo questa guida..dopo aver eseguito il punto 1,passo al seguente,scansionando il sistema con kasper e avira..a proposito,attendo un vostro consenso per riportare l'eventuale log di kasper,data la grandezza del file(78.570 kb)..per avira,invece,nessun problema..resto con la puzza sotto il naso per uno strano avviso che mi ha segnalato sul report..:rolleyes: ne discuteremo più avanti comunque..ecco il log:
AVSCAN-20090907-213827-0F1511F3.txt (http://wikisend.com/download/601278/AVSCAN-20090907-213827-0F1511F3.txt)
passato tranquillamente il punto 3,mi trovo in difficoltà al punto 4 nel cancellare oppure no questi file autorun:
http://img216.imageshack.us/img216/1646/autorunq.jpg
decido di tralasciarli,procedendo ai punti 5-6,con la finale formattazione della chiavetta..attendo vostre consultazioni e opinioni sul mio procedimento..:)

ciao a tutti..ho seguito la guida passo x passo ma sono rimasto dubbioso in un punto particolare di essa..vi spiego il mio aneddoto:
inserisco una delle mie chiavette e avira mi segnala questo:
http://img190.imageshack.us/img190/5691/avvisoavira.jpg
nel forum trovo questa guida..dopo aver eseguito il punto 1,passo al seguente,scansionando il sistema con kasper e avira..a proposito,attendo un vostro consenso per riportare l'eventuale log di kasper,data la grandezza del file(78.570 kb)..per avira,invece,nessun problema..resto con la puzza sotto il naso per uno strano avviso che mi ha segnalato sul report..:rolleyes: ne discuteremo più avanti comunque..ecco il log:
AVSCAN-20090907-213827-0F1511F3.txt (http://wikisend.com/download/601278/AVSCAN-20090907-213827-0F1511F3.txt)
passato tranquillamente il punto 3,mi trovo in difficoltà al punto 4 nel cancellare oppure no questi file autorun:
http://img216.imageshack.us/img216/1646/autorunq.jpg
decido di tralasciarli,procedendo ai punti 5-6,con la finale formattazione della chiavetta..attendo vostre consultazioni e opinioni sul mio procedimento..:)
ciao

il log di kasp filtralo con questo
http://hwupgrade.blogspot.com/2008/11/il-parser-per-log-un-utilissimo.html

ciao

il log di kasp filtralo con questo
http://hwupgrade.blogspot.com/2008/11/il-parser-per-log-un-utilissimo.html

scusate il ritardo:
http://www.mediafire.com/?sharekey=d59897a3e9001f627f7ec40ada4772a6e04e75f6e8ebb871

P.S.
So che non è il posto adatto,ma ho provatoa cercare una voce che trattasse i problemi di mozilla,senza alcun risultato..dove posso trovarla in questo forum?

scusate il ritardo:
http://www.mediafire.com/?sharekey=d59897a3e9001f627f7ec40ada4772a6e04e75f6e8ebb871

direi tutto ok

P.S.
So che non è il posto adatto,ma ho provatoa cercare una voce che trattasse i problemi di mozilla,senza alcun risultato..dove posso trovarla in questo forum?

se parli dell'ultimo firefox qui
http://www.hwupgrade.it/forum/showthread.php?t=1757157

Purtroppo non ho risolto il mio problema, la chiave si infetta ogni volta (8 volte su 10) che la collego al computer "problematico" poiché collegandola su questo da cui scrivo e facendo la scansione con il nod32 rileva sempre :

E:\driver\usb\–��Œ“†�Í€ŒŽ - variante modificata di Win32/Injector.LR cavallo di troia

E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autousb.exe - variante modificata di Win32/Injector.LR cavallo di troia


Sul computer "problematico" ho fatto la scansione con kaspersky tool removal cancellando le varie rilevazioni dannose che ha fatto ma come vedete il problema rimane. Per fortuna non influisce sulle prestazioni del computer, da solo il problema che quando collego la chiavetta non posso mai toglierla con "rimozione sicura dell'hardware" perché compare il messaggio che indica che non è possibile farlo perché è occupata dal sistema (virus..)

Poi ogni volta che la collego su questo computer disinfetto la chiavetta. E' un po' palloso :muro:

Come risolvere ? Ricordo che è un computer senza internet. Grazie

Purtroppo non ho risolto il mio problema, la chiave si infetta ogni volta (8 volte su 10) che la collego al computer "problematico" poiché collegandola su questo da cui scrivo e facendo la scansione con il nod32 rileva sempre :

E:\driver\usb\–��Œ“†�Í€ŒŽ - variante modificata di Win32/Injector.LR cavallo di troia

E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\autousb.exe - variante modificata di Win32/Injector.LR cavallo di troia


Sul computer "problematico" ho fatto la scansione con kaspersky tool removal cancellando le varie rilevazioni dannose che ha fatto ma come vedete il problema rimane. Per fortuna non influisce sulle prestazioni del computer, da solo il problema che quando collego la chiavetta non posso mai toglierla con "rimozione sicura dell'hardware" perché compare il messaggio che indica che non è possibile farlo perché è occupata dal sistema (virus..)

Poi ogni volta che la collego su questo computer disinfetto la chiavetta. E' un po' palloso :muro:

Come risolvere ? Ricordo che è un computer senza internet. Grazie

Ciao potresti allegare secondo le Regole di sezione il log del Kasperky, thx.

Ciao potresti allegare secondo le Regole di sezione il log del Kasperky, thx.

Ciao, scusa ma il log di Kaspersky è direttamente il risultato che compare alla fine nella finestrina stessa del programma ? (quindi allego il file immagine) O rilascia proprio un file di testo ad esempio ? Perché in questa seconda ipotesi non ci ho fatto caso.

In ogni caso devo rifare la scansione ;)

EDIT : scusa ho letto ora le istruzioni per salvare il report , a presto

Ciao, non funziona piu il link:
"6)SE LA CHIAVETTA CONTIENE FILES DI VITALE IMPORTANZA:
Scaricare: http://download.bleepingcomputer.com...isinfector.exe"

Stesso discorso per:
" scaricare ed installare DISK KNIGHT REMOVER:clicca qui per il download"

Ciao, non funziona piu il link:
"6)SE LA CHIAVETTA CONTIENE FILES DI VITALE IMPORTANZA:
Scaricare: http://download.bleepingcomputer.com...isinfector.exe"

Stesso discorso per:
" scaricare ed installare DISK KNIGHT REMOVER:clicca qui per il download"

http://download.bleepingcomputer.com//sUBs/Flash_Disinfector.exe

Funziona correttamente, riprova, mentre per quanto concerne DISK KNIGHT REMOVER puoi anche non utlizzarlo.

Non capisco come mai mi dia errore caricamento pagina per questo link...

Non capisco come mai mi dia errore caricamento pagina per questo link...

Prova a disabilitare il tuo AV giusto il tempo di scaricare il tool.

Adesso provo, ti faccio risapere grazie

Ciao a tutti!

Posto un problema che ho riscontrato sulla mia chiavetta e su quella di un paio di amici: all'interno della chiave stessa c'è un file che si chiama "bbbbe.xyz.exe" oppure altre_lettere.xyz.exe.

Credo che il file fosse nascosto o qualcosa di simile (l'ho notato inserendo la chiave in un apple).

Ho fatto le varie scansioni richieste:

prevx lo ha rilevato ma non mi ha permesso di eliminarlo (serviva la versione a pagamento)

superantispyware è stato molto più efficacie, e adesso il tizio incriminato è in quarantena, classificato come Trojan.Agent/Gen

avira non ha rilevato niente fin dall'inizio, ad una scansione successiva del sistema non ha rilevato niente in ogni caso;

Gmer sembra restituire un log pulito;


Sapete qualcosa di questo file e della sua malignità?
Vedete, in passato ho avuto un paio di problemi con qualche malware, ma che mi sembrava di aver risolto: attualmente sono protetto da avira, comodo firewall (senza defense +, però), spybot search and destroy, spyware blaster, prevxcsi free, e periodicamente effettuo la scansione con superantispyware. Inoltre navigo con Firefox con NOSCRIPT, tanto per darvi un'idea della configurazione "PARANOIA" che mi ritrovo.

Fatto è che il file, se maligno, sembra non aver intaccatto il disco fisso ma sia sempre stato sulla chiavetta!

Grazie per le delucidazioni, e soprattutto per il (tanto) tempo che dedicate alla risoluzione dei nostri problemi. E' sempre molto apprezzato!

Ciao a tutti!

Posto un problema che ho riscontrato sulla mia chiavetta e su quella di un paio di amici: all'interno della chiave stessa c'è un file che si chiama "bbbbe.xyz.exe" oppure altre_lettere.xyz.exe.

Credo che il file fosse nascosto o qualcosa di simile (l'ho notato inserendo la chiave in un apple).

Ho fatto le varie scansioni richieste:

prevx lo ha rilevato ma non mi ha permesso di eliminarlo (serviva la versione a pagamento)

superantispyware è stato molto più efficacie, e adesso il tizio incriminato è in quarantena, classificato come Trojan.Agent/Gen

avira non ha rilevato niente fin dall'inizio, ad una scansione successiva del sistema non ha rilevato niente in ogni caso;

Gmer sembra restituire un log pulito;


Sapete qualcosa di questo file e della sua malignità?
Vedete, in passato ho avuto un paio di problemi con qualche malware, ma che mi sembrava di aver risolto: attualmente sono protetto da avira, comodo firewall (senza defense +, però), spybot search and destroy, spyware blaster, prevxcsi free, e periodicamente effettuo la scansione con superantispyware. Inoltre navigo con Firefox con NOSCRIPT, tanto per darvi un'idea della configurazione "PARANOIA" che mi ritrovo.

Fatto è che il file, se maligno, sembra non aver intaccatto il disco fisso ma sia sempre stato sulla chiavetta!

Grazie per le delucidazioni, e soprattutto per il (tanto) tempo che dedicate alla risoluzione dei nostri problemi. E' sempre molto apprezzato!

ciao

i nomi dei malware cambiano sempre a random è quindi impossibile per noi darti info su questo in particolare

avira era configurato come da guida? la trovi in firma

Vorrei contribuire con la mia esperienza...
Ho avuto sotto mano un pc con un virus sulla pen drive nella cartella recycled che non si riusciva a tolgliere e a cancellare perche' il disco risultava sempre e solo in sola lettura e protetto in scrittura.
Non si poteva formattare dato che non si riusciva a scriverci sopra e il problema si presentava anche alle altre pen drive collegate.
Effettivamente AVG aveva trovato un virus dentro il cestino e rimosso ma il drive rimaneva sempre con il sintomo dell' infezione mentre sul pc anche facendo passare numerosi tools anche quelli proposti non si ottenevano risultati.

Allorche' ho trovato su internet questo percorso nel registro che impone alla pen drive di funzionare in sola lettura:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

Qui troverete la chiave WriteProtect, se il valore di questa chiave viene impostato ad 1 la protezione sara' attiva mentre se impostata a 0 sara' possibile scrivere normalmente all’interno di tutte le pendrive collegate al PC.

Ad esempio un pc appena installato questa chiave non e' nemmeno presente nel registro....

Percio' come funziona il virus?
Si trova su una pennetta dentro alla directory recycled e s' installa per replicarsi probabilmente con un autorun.inf o qualcosa di simile ma intanto attiva la protezione dentro al registro per non scrivere piu' su se stessa in modo da non essere disinfettata dagli antivirus.

IMHO sarebbe utile metterla in prima pagina.

P.S. AVG 9.... non e' neanche capace di togliere correttamente i virus... ha sempre ripulito a pezzi lasciando sempre sporcizia in giro....
IMHO quest' ultima considerazione..

ciao

conosco la chiave di registro in questione, ma non mi ricordo fosse stata già usata per autoproteggersi...
ne terremo conto e se i tool della guida non riusciranno a ripulire le chiavette aggiungeremo una nota in guida

grazie
ciao

Ho suggerito appunto perche' ho seguito la vostra guida e ho fatto diverse ricerche sul forum senza a venirne a capo....
La conclusione l' ho dedotta perche' nei pc moderni le pen drive usb sono accessibili anche da DOS, per quelle formattate FAT/FAT32, perche' riconosciute all' avvio come unita' di storage come gli HD.
Mi pareva strano che sotto DOS la chiavetta era perfettamente utilizzabile e formattabile mentre in Windows qualsiasi unita' vista come unita' di archiviazione di massa aveva dei problemi in scrittura e il cestino non si poteva completamente svuotare.

Salve a tutti. Ieri e oggi dura lotta contro un trojan dai nomi diversi, di cui ho trovato pochissimi riferimenti sul web, che viene identificato da www.threatexpert.com come Trojan-Spy.Gampass o Mal/Taterf-A o Worm.Win23.Taterf, ma che agiva anch'esso con autorun.inf che si ricreava continuamente nei vari dischi sia fissi che rimovibili, e con il blocco della visualizzazione dei files nascosti, così che non potevo in nessun modo vedere i files incriminati e cancellarli. Ho provato anche da prompt di DOS, li vedevo, li cancellavo, ma si ricreavano al successivo accesso in modalità normale. Navigando ho trovato i riferimenti ad alcuni tools di rimozione, che riporto di seguito, e che pare mi abbiano risolto il problema nei 3 PC e nei 3 dischi che aveva infettato...

... tranne però nella partizione nascosta PQSERVICE del mio ACER Aspire 3004WLMi, da cui non ho assolutamente idea di come fare a rimuovere. Ho attivo Autorun Eater che ad ogni avvio mi trova l'autorun.inf e il file opdux.exe infettato, clicco per eliminare l'autorun.inf ma il programma mi dice che c'è stato un errore nell'eliminazione. E questo ad ogni riavvio.

Due domande:
1. come posso accedere alla partizione PQSERVICE per eliminare i files incriminati autorun.inf e opdux.exe? Ho provato ancora da Prompt di dos e da modalità provvisoria con prompt ma mi dice che il disco F: (su cui viene identificato da Autorun Eater) non esiste...
2. se non fosse possibile, devo preoccuparmi che i files siano ancora malevoli in quella posizione o no?

Intanto riporto la mia procedura di eliminazione nei computer e nei dischi standard.
Ho usato in sequenza:
1. Autorun Eater, si installa velocemente e ha riparato tutte le istanze di autorun.inf infette che ha trovato nei dischi, sia fissi che removibili, sostituendo il file con una cartella vuota in sola lettura, a protezione futura.
Inoltre con la voce "Registry fix" ha ripristinato i casini fatti in TaskManager, Regedit e Folder Options, ripulendo dalle referenze di autorun.inf il registro e ripristinando il servizio di Visualizzazione files nascosti che il malware invece mi disabilitava in continuazione per nascondersi.
2. Flash_Disinfector.exe mi ha ripulito le memorie flash e i dischi esterni dagli autorun infetti.
3. Malwarebytes' Anti-Malware aggiornato (collegamento temporaneo a internet ma non in rete con gli altri PC giusto il tempo di aggiornare il DB), scansione completa e rimozione di tutti i malware.
4. COMODO Internet Security aggiornato (collegamento temporaneo a internet ma non in rete con gli altri PC giusto il tempo di aggiornare il DB), per ulteriore scansione e protezione in tempo reale per bloccare le DLL dei temp.
5. ripetute le 3 azioni del "Registry fix" di Autorun Eater.
6. ricercato nel registro di sistema, manualmente, tutti i riferimenti ai files elencati di seguito, e cancellate le chiavi quando isolate o i loro contenuti quando in elenchi numerici sequenziali.
Dopo questi passaggi ora posso vedere finalmente i files nascosti e di sistema, e verificando attraverso il Prompt dei comandi i files presenti sui dischi (era l'unico modo con cui prima riuscivo a vedere i files subdoli e a
cancellarli in modalità provvisoria, peccato che poi si ricreavano...) non ne ho più trovato traccia.

I files incriminati sono i seguenti:

6ruaqx.exe si annidava nella root dei dischi, e si replicava da solo

opdux.exe anche questo si annidava nella root dei dischi, e si replicava da solo, inoltre era richiamato all'interno di autorun.inf, anch'esso autoreplicante.

autorun.inf si annidava nella root dei dischi, e si replicava da solo, richiamando al suo interno opdux.exe

herss.exe
cvasds0.dll
cvasds1.dll
si trovavano e autoreplicavano nella cartella Impostazioni locali/temp di ogni singolo utente che accedeva al computer infetto

Questi ultimi due files si vedevano ripetutamente richiamati dai normali programmi aperti nel PC durante l'infezione, venivano segnalati dal firewall Comodo, che però non li riconosceva come malevoli ma solo sospetti, e se bloccavo la chiamata a questi files dai progtammi normali tipo explorer.exe o iexplore.exe o altri non funzionava più nulla.
Come ulteriore verifica sto scaricando l'ultima versione di Kaspersky Virus Removal Tool 9.0.0.655, ultimo giro...per ora al 55% nono ha rilevato nulla...

Note di precedenti tentativi: non è stato rilevato nulla con BitDefender online scan e con Norton Internet Security. HijackThis che avevo già usato altre volte per vedere processi o chiavi sospette non mi ha dato idea di trovare nulla di strano; questi files non sono segnalati nelle scansioni fatte all'inizio. Spyware terminator analizzava il file opdux.exe ma lo classificava come Software sconosciuto dal nome cdoosoft e non veniva rimosso. Con le prime scansioni era come se il trojan interferisse con gli aggiornamenti di alcuni software di protezione e si facesse identificare erroneamente come sicuro. Una sorta di falso negativo :)

Spero che questo lungo racconto possa essere utile a qualcuno, e se avete qualche consiglio su come rimuovere l'ultimo rimasuglio del fastidioso trojan dalla partizione nascosta PQSERVICE del mio ACER ve ne sarei mille volte grata :)

Buona serata a tutti!
Valeria

Ho suggerito appunto perche' ho seguito la vostra guida e ho fatto diverse ricerche sul forum senza a venirne a capo....
La conclusione l' ho dedotta perche' nei pc moderni le pen drive usb sono accessibili anche da DOS, per quelle formattate FAT/FAT32, perche' riconosciute all' avvio come unita' di storage come gli HD.
Mi pareva strano che sotto DOS la chiavetta era perfettamente utilizzabile e formattabile mentre in Windows qualsiasi unita' vista come unita' di archiviazione di massa aveva dei problemi in scrittura e il cestino non si poteva completamente svuotare.

segnalo quindi questo tool per disattivare/attivare la scrittura/modifica sulle chiavette
http://www.gaijin.at/en/dlusbwp.php
dovrebbe evitare di andare a smanettare nel registo

Salve a tutti. Ieri e oggi dura lotta contro un trojan dai nomi diversi, di cui ho trovato pochissimi riferimenti sul web, che viene identificato da www.threatexpert.com come Trojan-Spy.Gampass o Mal/Taterf-A o Worm.Win23.Taterf, ma che agiva anch'esso con autorun.inf che si ricreava continuamente nei vari dischi sia fissi che rimovibili, e con il blocco della visualizzazione dei files nascosti, così che non potevo in nessun modo vedere i files incriminati e cancellarli. Ho provato anche da prompt di DOS, li vedevo, li cancellavo, ma si ricreavano al successivo accesso in modalità normale. Navigando ho trovato i riferimenti ad alcuni tools di rimozione, che riporto di seguito, e che pare mi abbiano risolto il problema nei 3 PC e nei 3 dischi che aveva infettato...

... tranne però nella partizione nascosta PQSERVICE del mio ACER Aspire 3004WLMi, da cui non ho assolutamente idea di come fare a rimuovere. Ho attivo Autorun Eater che ad ogni avvio mi trova l'autorun.inf e il file opdux.exe infettato, clicco per eliminare l'autorun.inf ma il programma mi dice che c'è stato un errore nell'eliminazione. E questo ad ogni riavvio.
.
.
.
.
.
ciao

aspettiamo l'esito della scnasione del kasp removal tool
poi è rimasto solo il problema della partizione di ripristino?

segnalo quindi questo tool per disattivare/attivare la scrittura/modifica sulle chiavette
http://www.gaijin.at/en/dlusbwp.php
dovrebbe evitare di andare a smanettare nel registo

Grazie mille. Ma con questo software è possibile solo leggere il contenuto del pen drive senza che qualche software ci scriva?

Io cmq vado sul sicuro, cerco dei pen drive che abbiano la protezione in hardware dalla scrittura tipo gli Imation Pen Drive "Swivel" (non saranno il massimo della velocità, però hanno il selettore che permette solo la lettura o la scrittura (come un floppy per intenderci). ;)

bye

Aggiornare la funzionalità AutoPlay in Windows (http://support.microsoft.com/kb/971029/it)

Aggiornare la funzionalità AutoPlay in Windows (http://support.microsoft.com/kb/971029/it)

ciao chill

si potrebbe mettere in guida no?

Grazie mille. Ma con questo software è possibile solo leggere il contenuto del pen drive senza che qualche software ci scriva?

Io cmq vado sul sicuro, cerco dei pen drive che abbiano la protezione in hardware dalla scrittura tipo gli Imation Pen Drive "Swivel" (non saranno il massimo della velocità, però hanno il selettore che permette solo la lettura o la scrittura (come un floppy per intenderci). ;)

bye

questo tool in questo caso serve per poter cancellare il malware che si autoprotegge impedendo la modifica nelle periferiche usb

ciao

aspettiamo l'esito della scnasione del kasp removal tool
poi è rimasto solo il problema della partizione di ripristino?

Kaspersky removal tool non ha rilevato nulla.
Rimane quindi solo il problema della partizione di ripristino... qualche idea di come poter risolvere?

Grazie :)
Valeria

Da risorse del PC guarda il tipo di file system (FAT32/NTFS). Questo lo vedi nella visualizzazione "dettagli" e cliccando con tasto dx sulla barra dove vi sono le colonne nomi, dimensioni, descrizione ecc. si apre un menu' contestuale.
Li devi mettere la spunta su file system.

Oppure nell' utility deframmentazione dove sono indicate le unita' c'e' indicato il file system se non ricordo male.

Se l' unita' e' NTFS il DOS non lo riconosce, occorre un tool esterno (es NTFS reader per DOS dal sito AVIRA accanto al download della versione windows free).

In alternativa dei usare un liveCD linux che ti permetta di sfogliare la partizione NTFS e di cancellare i file che non vanno bene.

il Kasper CD ha ad esempio questa possibilita'? (chiedo non so!).

Utilizzare un live CD windows non ha senso perche' in qualsiasi caso utilizza configurazioni e registri nati per "agganciare" cartelle di sistema reclycled(.bin) o autorun.inf con la conseguente impossibilita' di gestione della partizione che ti serve o dei file.
Con un altro tipo di OS invece tutte le cartelle e i file sono "sganciati" perche' il software e' progettato in modo completamente diverso.
Spero che abbiate inteso il mio ragionamento (forse contorto:confused: )

Da risorse del PC guarda il tipo di file system (FAT32/NTFS). Questo lo vedi nella visualizzazione "dettagli" e cliccando con tasto dx sulla barra dove vi sono le colonne nomi, dimensioni, descrizione ecc. si apre un menu' contestuale.
Li devi mettere la spunta su file system.

Oppure nell' utility deframmentazione dove sono indicate le unita' c'e' indicato il file system se non ricordo male.

Se l' unita' e' NTFS il DOS non lo riconosce, occorre un tool esterno (es NTFS reader per DOS dal sito AVIRA accanto al download della versione windows free).

In alternativa dei usare un liveCD linux che ti permetta di sfogliare la partizione NTFS e di cancellare i file che non vanno bene.

il Kasper CD ha ad esempio questa possibilita'? (chiedo non so!).

Utilizzare un live CD windows non ha senso perche' in qualsiasi caso utilizza configurazioni e registri nati per "agganciare" cartelle di sistema reclycled(.bin) o autorun.inf con la conseguente impossibilita' di gestione della partizione che ti serve o dei file.
Con un altro tipo di OS invece tutte le cartelle e i file sono "sganciati" perche' il software e' progettato in modo completamente diverso.
Spero che abbiate inteso il mio ragionamento (forse contorto:confused: )

Grazie dei suggerimenti :)
Ho provato a guardare con utilità deframmentazione, ma ci sono solo C: e D: in FAT32, poi dal system information Componenti Archiviazione Unità, mi vede solo le due partizioni C: e D: e il CD-Rom E:, posso vedere la partizione PQSERVICE da Gestione Computer Archiviazione Gestione disco, ma non si accede né si esplora....nulla...però vedo che è formattato FAT23 sono 2,93 GB.
mi manca solo provare con un LivdCD di Linux, ma va bene qualsiasi distro?
Oggi si è agiunto un problema sulla connessione wireless, che viene segnalata non connessa invece funziona a singhiozzo...

Grazie mille
Valeria

Allora e' una partizione nascosta...(hidden)
Ti ci vorrebbe un tool che ne permetta l' accesso / visibilita' almeno temporanea.... prova a cercare su google.

Per le distro linux su live CD non so cosa consigliarti perche' non ho mai approfondito la questione..... aspetta un consiglio da qualche altro utente o apri un thread nuovo.
In teoria ne basta una che abbia il tool per l' accesso alla partizione nascosta e un file manager per cancellare i(l) file dei(l) virus.


Per il problema con connessione wireless... Non vorrei dire ma assicurati che il pc non stia "pompando" in rete mandando in crisi i servizi di rete e la lan wireless....
Controlla se ci sono dei servizi in esecuzione "maligni".

per rendere visibile la partizione nascosta puoi usare uno dei programmi che ho in firma sotto "partizionare"

una volta visibile vediamo se si può operare direttamente da win

Grazie mille ragazzi!
Wjmat cercherò fra i tuoi software e vediamo se me la cavo...
L'autorun incrimato pare che tenti di partire solo quando accedo come anmministratore però, non quando uso l'utente limitato con cui lavoro solitamente in rete. La wireless si collega e si stacca però da entrambi gli account...pur rimanendo sempre l'icona come se fosse scollegata...proverò a disinstallare la rete wireless e rifarla da zero...
Allego le scansioni con HijackThis fatte da entrambi gli utenti sul PC incriminato con la partizione nascosta (molto ben nascosta!), a occhio non mi pare ci sia nulla di strano, ma mi rimetto ai vostri occhi più esperti....

mi ha fatto allegare solo un file al post precedente, scrivo questo per allegare il secondo log di HijackThis per un'occhiata esperta....
Grazie mille!
Valeria

Grazie mille ragazzi!
Wjmat cercherò fra i tuoi software e vediamo se me la cavo...
L'autorun incrimato pare che tenti di partire solo quando accedo come anmministratore però, non quando uso l'utente limitato con cui lavoro solitamente in rete. La wireless si collega e si stacca però da entrambi gli account...pur rimanendo sempre l'icona come se fosse scollegata...proverò a disinstallare la rete wireless e rifarla da zero...
Allego le scansioni con HijackThis fatte da entrambi gli utenti sul PC incriminato con la partizione nascosta (molto ben nascosta!), a occhio non mi pare ci sia nulla di strano, ma mi rimetto ai vostri occhi più esperti....

mi ha fatto allegare solo un file al post precedente, scrivo questo per allegare il secondo log di HijackThis per un'occhiata esperta....
Grazie mille!
Valeria

Per il controllo del log di HJT esiset un 3D dedicato

http://www.hwupgrade.it/forum/showthread.php?t=2089610

Ciao ragazzi,
il tutto è partito da una chiavetta infettata.
Appena messa nel pc il mio AVG mi rileva un trojan back door smallx.uj.
Provo in tutte le maniere ma niente, con nessun antivirus si riusciva a togliere.
Poi mi sono accorto che mi dava dei problemi simili a quelli citati in prima pagina (ad esempio quando provavo ad aprire C: o altra partizione, invece di darmi errore, l'antivir mi dava sempre la presenza della minaccia del trojan in c:\windows\sistem32\win.exe oppure non si riusciva ad aprire il ripristino di configurazione di sistema) ed allora ho seguito i vostri consigli.
Ma ciò non è bastato perchè successivamente alla eliminazione di tutti gli autorun al riavvio successivo, il pc mi segnalava l'assenza del file winjpg.jpg.
Alla fine leggendo qua e la su vari forum, qualcuno che si trovava nelle mia stessa situazione, è andato nell'editor del registro di sistema e manualmente ha eliminato tutte le voci corrispondenti al file winjpg.jpg. Visto che mi trovavo nelle stesse condizioni, ho fatto la stessa operazione.
Al riavvio nessun messaggio di errore, nessun virus, esplora risorse si è rimesso a funzionare perfettamente e "dulcis in fundo" ripristino di configurazione di sistema finalmente si è riaperto dopo 4 giorni di lotta.
Grazie ancora per tutto quello che fate per passione e indirettamente anche per noi!!!

Grazie ancora per tutto quello che fate per passione e indirettamente anche per noi!!!

Purtroppo anche per lavoro! :muro:

ciao a tutti, spero qualcuno possa rispondermi anche se il forum è un pò vecchio.L'altro ieri ho inserito una pennetta sul mio pc e nod32 mi ha subito rilevato e messo in quarantena il virus Autorun.inf infettato da Win32/peer....ecc. Ho comunque aperto la usb per copiare una cartella con delle foto e poi formattata subito. Fatto questo ho fatto diverse scansioni con spybot,nod32, kaspersky on line e non hanno trovato niente sul pc. Ho anche fatto una pulizia con ccleaner. Inoltre ho anche scansionato l'altro hd collegato dove stà installato xp. Non mi fido molto però di queste scansioni e vi chiedevo se c'è un modo per vedere effettivamente se questo fastidioso virus è presente sul mio pc. la penna usb l'avevo aperta da Vista.

grazie, ciao ciao

ciao a tutti, spero qualcuno possa rispondermi anche se il forum è un pò vecchio.L'altro ieri ho inserito una pennetta sul mio pc e nod32 mi ha subito rilevato e messo in quarantena il virus Autorun.inf infettato da Win32/peer....ecc. Ho comunque aperto la usb per copiare una cartella con delle foto e poi formattata subito. Fatto questo ho fatto diverse scansioni con spybot,nod32, kaspersky on line e non hanno trovato niente sul pc. Ho anche fatto una pulizia con ccleaner. Inoltre ho anche scansionato l'altro hd collegato dove stà installato xp. Non mi fido molto però di queste scansioni e vi chiedevo se c'è un modo per vedere effettivamente se questo fastidioso virus è presente sul mio pc. la penna usb l'avevo aperta da Vista.

grazie, ciao ciao

Apri risorse del computer > strumenti > opzioni cartella > visualizza file> togli il segno di spunta da "nascondi file protetti > poi per ogni partizione elimina i file autorun >riavvio
;)

Ho fatto come dici ma su tutte le partizioni non ci sono file autorun, a quanto pare nod32 ha impedito l'accesso al virus.

Ho fatto come dici ma su tutte le partizioni non ci sono file autorun, a quanto pare nod32 ha impedito l'accesso al virus.

se nod ha eliminato subito autorun.if l'infezione è stata bloccata
se la chiavetta l'hai già scansionata con un paio di antivirus residenti e non dovresti essere a posto

ok...la chiavetta l'hò subito formattata, tanto non conteneva file importanti

Ciao, avevo una chiavetta e appena inserita avira mi ha sengnalato la presenza di un virus: kido.... l'ho eliminato con antivir, riavviato xhe richiesto da avira, ho disattivato riproduzione automatica chiavette e ripristino config di sistema.
Per essere piu sicuro siccome ho file che mi servono volevo usare anche flash disinfector ma faccio doppio click e non succede nulla, cioè non mi va in esecuzione il programma.... xhe?? :muro:
Comunque dovrei essere ok da virus, faccio una scansione del sistema con avira per sicurezza... (?)

p.s. OS: vista business sp2 64 bit, comodo firewall 64 bit

Ciao, avevo una chiavetta e appena inserita avira mi ha sengnalato la presenza di un virus: kido.... l'ho eliminato con antivir, riavviato xhe richiesto da avira, ho disattivato riproduzione automatica chiavette e ripristino config di sistema.
Per essere piu sicuro siccome ho file che mi servono volevo usare anche flash disinfector ma faccio doppio click e non succede nulla, cioè non mi va in esecuzione il programma.... xhe?? :muro:
Comunque dovrei essere ok da virus, faccio una scansione del sistema con avira per sicurezza... (?)

p.s. OS: vista business sp2 64 bit, comodo firewall 64 bit

Bentrovato, per essere sicuro esegui la guida che è in prima pagina di questa discussione... ecco qua le istruzioni http://www.hwupgrade.it/forum/showpost.php?p=19573202&postcount=1
:D

ho seguito le istruzioni riportate al primo post, il problema è che quando eseguo flash disinfector non mi va in esecuzione, come se non succedesse nulla.... questo è il problema e non credo sia normale

ho seguito le istruzioni riportate al primo post, il problema è che quando eseguo flash disinfector non mi va in esecuzione, come se non succedesse nulla.... questo è il problema e non credo sia normale

ciao
disattiva antivirus e software di sicurezza perchè potrebbero interferire

Ok, comunque avira mi dovrebbe aver gia sistemato tutto giusto?!
Eseguivo flash disinfector solo per precauzione....

Niente provato disabilitando avira e comodo ma lancio flash e non succede nulla... non so cosa pensare :muro:

nella chiavetta deve formarsi una cartella autorun.inf nascosta e di sola lettura, se c'è FD ha funzionato

avevo letto ma non vedo nessuna cartella.... ma questo programma non va eseguito da dentro la memoria giusto? io credevo che lanciandolo mi avrebbe chiesto dove eseguire l'operazione invece niente... bah nn so che dire... :muro:

avevo letto ma non vedo nessuna cartella.... ma questo programma non va eseguito da dentro la memoria giusto? io credevo che lanciandolo mi avrebbe chiesto dove eseguire l'operazione invece niente... bah nn so che dire... :muro:

lanci il programma e quando richiesto inserisci la pendrive e premi ok

ok allora non so xche ma non mi va in esecuzione flash infatti non mi da nessuna istruzione a video.... non so che fare... va beh lascio perde :muro:

Molti hanno ricevuto una chiavetta usb che,essendo infetta,dopo averla inserita nel pc,ha infettato il pc.
Oppure molti di voi per accedere al disco fisso devono cliccarci col tasto destro>esplora ,pena l'accesso negato e una avviso di file mancante.

Come rimediare?


1) Disattivate ripristino configurazione di sistema:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok


2) Fate una scansione completa del computer con Kaspersky Virus Removal Tool (guida e link al download (http://www.hwupgrade.it/forum/showthread.php?t=1631690)) e antivir (DOWNLOAD (http://www.antivir-pe.com/freet/index.php?id=25&domain=free-av.com))

3) Abilitate la visualizzazione di files e cartelle nascosti di sistema in questo modo:

-aprite una qualsiasi cartella
-andate su "strumenti"
-andate su "opzioni cartella"
-andate su "visualizzazione"
-selezionate "visualizza cartelle e files nascosti"
-togliete la spunta da "nascondi files protetti di sistema(consigliato)" e cliccate su "sì"
-cliccate su OK

4) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)

5)Inserire la chiavetta TENENDO PREMUTO IL TASTO SHIFT (MAIUSC)

6)SE LA CHIAVETTA CONTIENE FILES DI VITALE IMPORTANZA:
Scaricare: http://download.bleepingcomputer.com//sUBs/Flash_Disinfector.exe

Doppio clic su Flash Disinfector.exe per eseguirlo e seguire le istruzioni.
Flash Disinfector creerà una cartella nascosta denominata autorun.inf in ogni partizione e ogni unità USB collegata è preferibile non eliminare questa cartella aiuterà a proteggere le unità da infezioni future.
(Grazie Chill-Out)

SE I FILES DENTRO LA CHIAVETTA NON VI SERVONO: formattare la chiavetta.



Se il problema persiste, caricate su uno dei server consigliati dalle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) un log di hijackthis (DOWNLOAD (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe)), postando il link del file. Aprite le partizioni dol tasto destro>esplora



GUIDA ALLA RIMOZIONE DI KNIGHT.EXE DALLE PENDRIVE E LETTORI MP3 (per chi infetto da questo particolare malware)

● inserire la pendrive o il lettore nella porta usb e tenere premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay
● scaricare ed installare DISK KNIGHT REMOVER:clicca qui per il download (http://www.plusexpert.cl/download/AntiKnight.rar)
● avviare DISK KNIGHT REMOVER
● premere un tasto per consetire, al Tool, di analizzare la pendrive o il lettore e rimuovere knight.exe
● conclusa l'esecuzione, chiudere DISK KNIGHT REMOVER ed eseguire una scansione della periferica, da BITDEFENDER ONLINE SCANNER:clicca qui per lo scan online

● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salvare ed allegare il Report che verrà rilasciato

● terminata la scansione, rimuovere la periferica dopo averla disattivata cliccando sull'icona con la freccia verde che compare nella traybar, accanto all'orologio.

(Grazie a Riverside)


ATTENZIONE. SE AVETE UN DISCO SEAGATE/MAXTOR comprato dopo agosto 2007,leggete questa news: http://www.hwupgrade.it/news/sicurezza/un-virus-nei-dischi-maxtor-personal-storage-3200_23213.html


Grazie! E' stato molto utile.

salve a tutti, leggendo questi post ho trovato molti indizi interessanti ma non sono riuscito ancora ad elimare un problema che mi perseguita da 2 giorni : il problema si chiama

cvasds0.dll[Spyware.Onlinegames] ed è situato all'interno della cartella c:\Impostazioni Locali\temp.

Il suddetto file è segnalato ad ogni avvio di windows da MalewareBytes, lo metto in quarantena perchè non lo posso cancellare direttamente, e non mi permette di vedere i file e cartelle nascosti (altrimenti andrei su temp e lo cancellerei manualmente) e neppure di avviare internet in quanto quando clicco su mozilla o ie non succede nulla. Non mi permette nemmeno di lanciare superantispyware.

L'unico ragno che ho cavato dal buco è che applicando una scansione completa con maleware, mi trova (assieme a nod32) dei file infetti (non però questo file). Tant'è però che riavviando il pc tutto torna alla normalità.

Ho lanciato quindi superantispyware che mi ha eliminato un pò di cose, sembrava tutto sistemato finche non sono andato su c:\ e mi è riapparso il messaggio di questo file da malewarebytes. Ora non posso praticamente più andare su c:\ senza che mi dia errore di internet explorer.

Non so proprio più cosa fare, avete per caso un consiglio su come eliminare questo file ? adesso sto provando a installare online armor in modo che quando rifaccio la scansione con maleware (la 3za in 2 giorni) lo metto su per proteggermi, ma non sono molto fiducioso perchè secondo me il file cmq resta anche dopo la scansione....

Vi ringrazio anticipatamente !

Marco

io ho seguito la guida ma in pratica adesso so eliminare il problema dalla chiavetta USB ma non riesco a rimuovere il virus dal PC che come ci collego una chiavetta USB me la infetta...

volevo sapere se qualcuno mi sa dire come risolvere anche con il PC senza formattarlo inoltre smanettando sono riuscito a leggere il contenuto del file autorun.inf che viene copiato sui dispositivi usb che attacco al PC assieme a una cartella chiamata makarena lo riporto di seguito:

[autorun
;dsafASLÊÔ×ËôûàöéàéàóàóÀÑÊôàñk?fskal?fasëÆÛëôàæäôûëüàæäôüàöÙÎÀÖÉàöóéàóàóà
open=MAKARENA///kosabuena.exe
;àûôàäëÔÖÓËÀÓËÀÔÙÆëîàçõóùæàôóàöóàó
icon=%SystemRoot%\system32\SHELL32.dll,4
;àûôàäÇÓÙÏËÀýæôëæûëîàùóëàæùôîüàæùóîÀÆôàóàô
action=Open folder*to view files using*Windows*Explorer
;àûôàëáöæÄÙÀËÕÖÓÙÀËôæëàóÙÏÎÀÆÔïóôïàóôà
Shell\open\command=MAKARENA///kosabuena.exe
;àôûàëÖÓÆëàæôëïàóëïøçõïäàýôëäàöôëàöóÔÀËôöàëÔÖËÀÖÙÇÎÏÀöôïàôöïàö
shell\open\command=MAKARENA///kosabuena.exe
;àûôàöÝÇïôëóÏÀËÔÓËïàóùËÎÏÀÔÓÙÆîàÇØÓÙÎïàôóïàôïàó
USEAUTOPLAY=1
:àôûàöäÇÏËÓÔëïÝÀÝÇÓäàÇÝÓÀëäùçõàóëüîàÔÝÆîàûõýùëîàûõùîàõùôûëîàöçõýïëõýöó

io ho seguito la guida ma in pratica adesso so eliminare il problema dalla chiavetta USB ma non riesco a rimuovere il virus dal PC che come ci collego una chiavetta USB me la infetta...

volevo sapere se qualcuno mi sa dire come risolvere anche con il PC senza formattarlo inoltre smanettando sono riuscito a leggere il contenuto del file autorun.inf che viene copiato sui dispositivi usb che attacco al PC assieme a una cartella chiamata makarena lo riporto di seguito:

[autorun
;dsafASLÊÔ×ËôûàöéàéàóàóÀÑÊôàñk?fskal?fasëÆÛëôàæäôûëüàæäôüàöÙÎÀÖÉàöóéàóàóà
open=MAKARENA///kosabuena.exe
;àûôàäëÔÖÓËÀÓËÀÔÙÆëîàçõóùæàôóàöóàó
icon=%SystemRoot%\system32\SHELL32.dll,4
;àûôàäÇÓÙÏËÀýæôëæûëîàùóëàæùôîüàæùóîÀÆôàóàô
action=Open folder*to view files using*Windows*Explorer
;àûôàëáöæÄÙÀËÕÖÓÙÀËôæëàóÙÏÎÀÆÔïóôïàóôà
Shell\open\command=MAKARENA///kosabuena.exe
;àôûàëÖÓÆëàæôëïàóëïøçõïäàýôëäàöôëàöóÔÀËôöàëÔÖËÀÖÙÇÎÏÀöôïàôöïàö
shell\open\command=MAKARENA///kosabuena.exe
;àûôàöÝÇïôëóÏÀËÔÓËïàóùËÎÏÀÔÓÙÆîàÇØÓÙÎïàôóïàôïàó
USEAUTOPLAY=1
:àôûàöäÇÏËÓÔëïÝÀÝÇÓäàÇÝÓÀëäùçõàóëüîàÔÝÆîàûõýùëîàûõùîàõùôûëîàöçõýïëõýöó

ciao

carica i log richiesti dalla guida

ciao

carica i log richiesti dalla guida

effettivamente non ha un gran senso, continuo qui allora... ma mi devo vedere se che sono i log richiesti dalla guida che adesso non ricordo, ho fatto tutto solo un paio di giorni fa ma visto che era una bella emergenza perché avevo la discussione della tesi ieri pomeriggio proprio non mi ricordo di questi log... ora vedo se risolvo, se dovessi avere altri problemi continuo a chiedere qui... ciao grazie di avermi risposto:)

ciao

carica i log richiesti dalla guida

scusa l'ignoranza ma per caricare i log che intendi ho letto la nelle regole di sezione ma non ho ben capito che si intende per log nel mio caso credo di aver capito che può bastare quel che ho fatto cioè ho copiato e incollato il contenuto del file .inf o sbaglio?

scusa tanto la mia ignoranza ma io sono laureato in biologia e il PC è solo un' hobby per me inoltre ne so parechio di hardware e overclock ma per il resto sono abbastanza ignorante direi:stordita:

ciao

carica i log richiesti dalla guida

non ho capito che devo fare:( , mi puoi spiegare meglio perpiacere?

non ho capito che devo fare:( , mi puoi spiegare meglio perpiacere?

è prevista una scansione che rilascia un log in formato testuale da caricare come da regole di sezione

è prevista una scansione che rilascia un log in formato testuale da caricare come da regole di sezione

spero di aver fatto bene, ecco il link: http://www.filedropper.com/hijackthisfiletesto1

spero di aver fatto bene, ecco il link: http://www.filedropper.com/hijackthisfiletesto1

al punto 2 della guida mi sembra sia indicata un'altra scansione :confused:

al punto 2 della guida mi sembra sia indicata un'altra scansione :confused:

2) Fate una scansione completa del computer con Kaspersky Virus Removal Tool (guida e link al download (http://www.hwupgrade.it/forum/showthread.php?t=1631690))

al punto 2 della guida mi sembra sia indicata un'altra scansione :confused:

2) Fate una scansione completa del computer con Kaspersky Virus Removal Tool (guida e link al download (http://www.hwupgrade.it/forum/showthread.php?t=1631690))

Se il problema persiste, caricate su uno dei server consigliati dalle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) un log di hijackthis (DOWNLOAD (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe)), postando il link del file. Aprite le partizioni dol tasto destro>esplora[/url]

io vi ho postato quelo che mi dice di fare alla fine del punto 6 perche seguendo la guida non risolvo anche perche Kaspersky Virus Removal Tool dopo tre ore e passa di scan mi ha detto che non c'era nulla sul mio PC, adesso il report di Kaspersky non lo ho più, che faccio lo rifaccio e ve lo posto come quello di hijackthis?

io vi ho postato quelo che mi dice di fare alla fine del punto 6 perche seguendo la guida non risolvo anche perche Kaspersky Virus Removal Tool dopo tre ore e passa di scan mi ha detto che non c'era nulla sul mio PC, adesso il report di Kaspersky non lo ho più, che faccio lo rifaccio e ve lo posto come quello di hijackthis?
che problema è rimasto?

che problema è rimasto?

in pratica ho ancora il problema iniziale, cioè quando metto una chiavetta usb nel PC anche se la chiavetta è appena formattata, quindi pulita, il PC mi copia dentro la chiavetta due file che sono: autorun.inf e la cartella MAKARENA(questa con icona a forma di cestino)...makarena effettivamente è un cestino se si copia qualche cosa sulla chiavetta e lo si cancela va a finire li dentro...invece autorun.inf contiene il seguente testo :

[autorun
;dsafASLÊÔ×ËôûàöéàéàóàóÀÑÊôàñk?fskal?fasëÆÛëôàæäôûëüàæäôüàöÙÎÀÖÉàöóéàóàóà
open=MAKARENA///kosabuena.exe
;àûôàäëÔÖÓËÀÓËÀÔÙÆëîàçõóùæàôóàöóàó
icon=%SystemRoot%\system32\SHELL32.dll,4
;àûôàäÇÓÙÏËÀýæôëæûëîàùóëàæùôîüàæùóîÀÆôàóàô
action=Open folder*to view files using*Windows*Explorer
;àûôàëáöæÄÙÀËÕÖÓÙÀËôæëàóÙÏÎÀÆÔïóôïàóôà
Shell\open\command=MAKARENA///kosabuena.exe
;àôûàëÖÓÆëàæôëïàóëïøçõïäàýôëäàöôëàöóÔÀËôöàëÔÖËÀÖÙÇÎÏÀöôïàôöïàö
shell\open\command=MAKARENA///kosabuena.exe
;àûôàöÝÇïôëóÏÀËÔÓËïàóùËÎÏÀÔÓÙÆîàÇØÓÙÎïàôóïàôïàó
USEAUTOPLAY=1
:àôûàöäÇÏËÓÔëïÝÀÝÇÓäàÇÝÓÀëäùçõàóëüîàÔÝÆîàûõýùëîàûõùîàõùôûëîàöçõýïëõýöó

ultima cosa, il contentuo del file autorun.inf si riescea leggere solo se quando si è connessa la chiavetta USB si è tentuto premuto il tasto shift e se dopo si è fatto girare il programma Flash_Disinfector altrimenti se si prova ad aprirlo winXP dice che non lo puo aprire perchè è in uso da altro utente o programma...

io non so se sta roba è un virus oppure no, so solo che gli antivirus non lo trovano ne quello della guida ne avast aggiornato e so che si trasmette tramite pennina USB e basta perche se trasferisco dati dal PC infettato e viceversa in un PC connesso con un cavetto eternet cros ho visto che non accade nulla mentre trasferendo dati con un'altra chiavetta che ho sul portatile di mia sorella sta roba si è attaccata sia sull'altra chiavetta che sul portatile...

seguendo la guida e usando Flash_Disinfector ho imparato a togliere sto coso dalle pennine USB senza perdere il contenuto perche dopo aver fatto girare il prog i due file sopracitati volendo si possono anche cancellare, cosa che invece senza aver fatto girare Flash_Disinfector non si riesce a fare...

la mia domanda in sunto è questa:
come facio a toglierlo dal PC senza formattare?

in pratica ho ancora il problema iniziale, cioè quando metto una chiavetta usb nel PC anche se la chiavetta è appena formattata, quindi pulita, il PC mi copia dentro la chiavetta due file che sono: autorun.inf e la cartella MAKARENA(questa con icona a forma di cestino)...makarena effettivamente è un cestino se si copia qualche cosa sulla chiavetta e lo si cancela va a finire li dentro...invece autorun.inf contiene il seguente testo :

ultima cosa, il contentuo del file autorun.inf si riescea leggere solo se quando si è connessa la chiavetta USB si è tentuto premuto il tasto shift e se dopo si è fatto girare il programma Flash_Disinfector altrimenti se si prova ad aprirlo winXP dice che non lo puo aprire perchè è in uso da altro utente o programma...

io non so se sta roba è un virus oppure no, so solo che gli antivirus non lo trovano ne quello della guida ne avast aggiornato e so che si trasmette tramite pennina USB e basta perche se trasferisco dati dal PC infettato e viceversa in un PC connesso con un cavetto eternet cros ho visto che non accade nulla mentre trasferendo dati con un'altra chiavetta che ho sul portatile di mia sorella sta roba si è attaccata sia sull'altra chiavetta che sul portatile...

seguendo la guida e usando Flash_Disinfector ho imparato a togliere sto coso dalle pennine USB senza perdere il contenuto perche dopo aver fatto girare il prog i due file sopracitati volendo si possono anche cancellare, cosa che invece senza aver fatto girare Flash_Disinfector non si riesce a fare...

la mia domanda in sunto è questa:
come facio a toglierlo dal PC senza formattare?

scansiona e carica i log di A-Squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8) e Malwarebytes' Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)

scansiona e carica i log di A-Squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8) e Malwarebytes' Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)

intanto ti metto il log di A-Squared free l'altro lo faccio scansionare appena ho tempo http://www.filedropper.com/a2scan100302-103606

comunque anche questo non ha trovato nulla, solo una versione anche vecchia di mesi dell'emulatore della PS2 che comunque ho messo in quarantena come mi chiedeva di fare, ma sono sicuro che non è quello il problema perche sulla chiavetta erano mesi che avevo tolto tutto per usarla solo per la roba della tesi, e è proprio dopo l'ennesimo trasferimento di file col PC della proff che è nato l'inghippo...

comunque appena posso scansiono anche con l'altro prog e faccio il log, grazie dell' interessamento ma ormai mi sto piegando all' idea di formattare che poi è pure parecchio che non deframmento, una bella formattata a PC e portatile e passa la paura mi sa:)

PS: inoltre l'emulatore della PS2 che ha trovato come minaccia sta pure salvato sul disco dove salvo i dati non sull' HD dove è istallato xp, quindi lo escluderei proprio

scansiona e carica i log di A-Squared (http://www.hwupgrade.it/forum/showpost.php?p=24033085&postcount=8) e Malwarebytes' Anti-Malware (http://www.hwupgrade.it/forum/showpost.php?p=24033097&postcount=9)

intanto ti metto il log di A-Squared free l'altro lo faccio scansionare appena ho tempo http://www.filedropper.com/a2scan100302-103606

comunque anche questo non ha trovato nulla, solo una versione anche vecchia di mesi dell'emulatore della PS2 che comunque ho messo in quarantena come mi chiedeva di fare, ma sono sicuro che non è quello il problema perche sulla chiavetta erano mesi che avevo tolto tutto per usarla solo per la roba della tesi, e è proprio dopo l'ennesimo trasferimento di file col PC della proff che è nato l'inghippo...

comunque appena posso scansiono anche con l'altro prog e faccio il log, grazie dell' interessamento ma ormai mi sto piegando all' idea di formattare che poi è pure parecchio che non deframmento, una bella formattata a PC e portatile e passa la paura mi sa:)

PS: inoltre l'emulatore della PS2 che ha trovato come minaccia sta pure salvato sul disco dove salvo i dati non sull' HD dove è istallato xp, quindi lo escluderei proprio




http://www.filedropper.com/mbam-log-2010-03-0215-47-14 ecco il link del log della scansione fatta con Malwarebytes' Anti-Malware, questo ha trovato qualche cosa, che adesso sta in quarantena, comunque ho riprovato a collegare una chiavetta USB formattata con il muletto che è l' unico PC sano e come la metta si copiano dentro i soliti due file, ora che faccio?

http://www.filedropper.com/mbam-log-2010-03-0215-47-14 ecco il link del log della scansione fatta con Malwarebytes' Anti-Malware, questo ha trovato qualche cosa, che adesso sta in quarantena, comunque ho riprovato a collegare una chiavetta USB formattata con il muletto che è l' unico PC sano e come la metta si copiano dentro i soliti due file, ora che faccio?
ricarica i log cortesemente su www.wikisend.com perchè non sono corretti i link

immunizza tutte le chiavette con flash disinfector

;31102127']Vista la vastità del problema (e le conseguenze, spesso dannose) segnalo questo semplice tool: Panda USB Vaccine (http://research.pandasecurity.com/Panda-USB-and-AutoRun-Vaccine/).
L'utilità del tool è palese (blocco del file autorun.inf dalla lettura, modifica, creazione o cancellazione).
Una volta vaccinate le periferiche esterne, si potrà procedere, indifferentemente, alle eventuali scansioni, senza correre rischi di infettare il computer in continuazione.

io ho provato ad istallare quel foftware ma non mi risolveva il problema... penso, visto che in molti ne parlano bene, che sia valido solamente in via preventiva

ricarica i log cortesemente su www.wikisend.com perchè non sono corretti i link

immunizza tutte le chiavette con flash disinfector

scusami ma non ho i file con me, adesso sono fuori casa, appena torno te li rimetto... le chiavette le ho sempre disinfettate con flash disinfector prima di tutte le prove anche perché senno nemmeno me le fa formattare

;31115986']Pensi bene: il tool non è in grado di rimuovere infezioni, il suo compito è quello di bloccare il file autorun.inf dalla lettura, modifica, creazione o cancellazione.
Come ho già detto, scarichi, installi, vaccini la pendrive (questo per evitare che la chiavetta infetti il pc) e fai tutte le scansioni che sono state indicate, per ripulire la pendrive (e il computer infetto, nel caso).

Risolvi il problema alla radice

http://www.hwupgrade.it/forum/showpost.php?p=29730412&postcount=317

Ciao a tutti, spero di riuscire a trovare qualcuno che mi aiuti. Ho un problema con una chiavetta da 8Gb Exagerate. Aveva un virus che è stato eliminato dal Kasperky l'anno scorso, poi non l'ho più utilizzata perchè ogni qualvolta che la inserisco mi appare il messaggio: "E' necessario formattare il disco nell' unità E: per poterlo utilizzare. Formattarlo?" Allora clicco su "Formatta Disco" , mi appare il classico riquadro con "Capacità", "File System", DImensioni unità di allocazione",ecc.,ecc.
Clicco "Avvia" per avviare la formattazione, ma mi rimane il riquadro in sospeso, la chiavetta non dà segni di vita, in pratica non riesce a formattare la chiavetta.
Ho provato il tentativo sia formattando in File system FAT32(impostazione predefinita) sia in FTNS, ma niente, succede lo stesso.
Ora come antivirus uso il NOD32 vers.4, e se vado a scansionare la chiavetta mi dice "E:\- errore nell'apertura di" e la scansione non parte.
Succede solo con questa chiavetta perchè le altre nello stesso portatile funzionano correttamente. Uso Windows 7. Forse si è danneggiato il file Autorun della chiavetta? A qualcuno è mai successo questo?Spero di risolvere perchè 8 Gb di chiavetta mi farebbero molto comodo.
Grazie a tutti.
Gianmaria

Ciao a tutti, spero di riuscire a trovare qualcuno che mi aiuti. Ho un problema con una chiavetta da 8Gb Exagerate. Aveva un virus che è stato eliminato dal Kasperky l'anno scorso, poi non l'ho più utilizzata perchè ogni qualvolta che la inserisco mi appare il messaggio: "E' necessario formattare il disco nell' unità E: per poterlo utilizzare. Formattarlo?" Allora clicco su "Formatta Disco" , mi appare il classico riquadro con "Capacità", "File System", DImensioni unità di allocazione",ecc.,ecc.
Clicco "Avvia" per avviare la formattazione, ma mi rimane il riquadro in sospeso, la chiavetta non dà segni di vita, in pratica non riesce a formattare la chiavetta.
Ho provato il tentativo sia formattando in File system FAT32(impostazione predefinita) sia in FTNS, ma niente, succede lo stesso.
Ora come antivirus uso il NOD32 vers.4, e se vado a scansionare la chiavetta mi dice "E:\- errore nell'apertura di" e la scansione non parte.
Succede solo con questa chiavetta perchè le altre nello stesso portatile funzionano correttamente. Uso Windows 7. Forse si è danneggiato il file Autorun della chiavetta? A qualcuno è mai successo questo?Spero di risolvere perchè 8 Gb di chiavetta mi farebbero molto comodo.
Grazie a tutti.
Gianmaria
ciao

nella tua chiavetta si potrebbe essersi corrotta la tabella delle partizioni, per il recupero vedi testdisk in firma

Ciao, ho seguito il tuo consiglio, ho scaricato Testdisk, ho fatto la scansione della pennetta in E: ma niente, mi dice che la struttura è ok, anche facendo "DEEP SEARCH". Forse con quel programma si può costruire la partizione ex novo? Ma non sò come fare. Altri consigli? In pratica non trova la partizione corrotta, alla fine della scansione dice "struttura ok",, ho seguito le istruzioni di Testdisk presenti sul forum..Che dite? Il fatto è che l'ho sempre tenuta benissimo, non è mai e dico mai caduta per terra, è vero che ce l'ho da più di un anno ma l'ho usata davvero pochissimo, poi l'anno scorso quel virus, però cancellato da Kaspersky..

Preciso che non mi interessano i dati all'interno anche perchè dentro c'era poca roba, quindi non consigliatemi software di recupero dati.. mi serve qualcosa di più tecnico e specifico..

Se ad esempio annullo il riquadro di quando mi dice di formattare, mi compare questo messaggio: Impossibile accedere a E:\ Il volume non contiene un file system riconosciuto. Controllare che siano caricati tutti i driver richiesti per il file system e che il volume non sia danneggiato".

Se ad esempio annullo il riquadro di quando mi dice di formattare, mi compare questo messaggio: Impossibile accedere a E:\ Il volume non contiene un file system riconosciuto. Controllare che siano caricati tutti i driver richiesti per il file system e che il volume non sia danneggiato".

puoi editare i tuoi post senza continuare a postarne di nuovi
per la formattazione la sezioni più appropriata in cui chiedere è Periferiche di Memorizzazione
http://www.hwupgrade.it/forum/forumdisplay.php?f=17
una volta formattata (se non è danneggiata) non ci saranno più nemmeno problemi di malware

;31119354']Certamente si, anche se è mia opnione che è esagerazione disabilitare l'autorun su tutte le periferiche (compresi lettori CD/DVD) .... che io sappia (potrò poi sbagliare) non ho mai sentito parlare di virus presi guardando un film su DVD oppure da un CD musicale (parlo sempre di roba originale).

Leggi bene ;)

cercando su google ho scoperto che il malware che ho sul PC di cui nei giorni scorsi vi ho parlato piu volte è originariamente stato creato per mac...a me è sembrato assurdo!
che voi sappiate è possibile perendersi su windows un virus scritto per il mac?
il virus in questione che non riesco a rimuovere dal PC si chiama MAKARENA se cercate su google troverete varie discussioni che ne parlano

cercando su google ho scoperto che il malware che ho sul PC di cui nei giorni scorsi vi ho parlato piu volte è originariamente stato creato per mac...a me è sembrato assurdo!
che voi sappiate è possibile perendersi su windows un virus scritto per il mac?
il virus in questione che non riesco a rimuovere dal PC si chiama MAKARENA se cercate su google troverete varie discussioni che ne parlano

non penso che ci si possa infettare con file scritti in altro linguaggio
visto che stiamo andando per le lunghe, facciamo una pulizia completa, quindi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log in un unico post e secondo le regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) (esempio1 (http://www.hwupgrade.it/forum/showpost.php?p=25836804&postcount=6) & esempio2 (http://www.hwupgrade.it/forum/showpost.php?p=30220144&postcount=48))
Qui (http://www.hwupgrade.it/forum/showpost.php?p=24315070&postcount=27) trovi ulteriori dettagli e consigli per una corretta esecuzione della procedura

ciao ragazzi. ho un problema.
ho prestato il pc ad un mio amico e appena me l'ha restituito ho inserito una penna usb...in pratica me la riconosce ma come nome da ip-black e all'interno trovo un'icona con la scritta ip-black e 2 altri file che pur cancellandoli si ripresentano perchè credo siano entrati nel pc.
faccio la scansione con antivirus ma non trova nulla.
cosa può essere e come posso eliminare?
grazie mille.
ho cercato su google ma non ottengo risultati.
come antivirus ho antivir

ciao ragazzi. ho un problema.
ho prestato il pc ad un mio amico e appena me l'ha restituito ho inserito una penna usb...in pratica me la riconosce ma come nome da ip-black e all'interno trovo un'icona con la scritta ip-black e 2 altri file che pur cancellandoli si ripresentano perchè credo siano entrati nel pc.
faccio la scansione con antivirus ma non trova nulla.
cosa può essere e come posso eliminare?
grazie mille.
ho cercato su google ma non ottengo risultati.
come antivirus ho antivir
aspettiamo i log richgiesti dal primo post e magari anche una scansione completa di antivir configurato come da guida
http://www.hwupgrade.it/forum/showthread.php?t=1514684

antivir l'ho settto come nella guida.
scusa l'ignoranza ma che sono i log?

antivir l'ho settto come nella guida.
scusa l'ignoranza ma che sono i log?

un file testuale che riporta l'esito della scansione

ok faccio subito. cmq non mi rileva nulla l'antivirus

Non mi si apre il Flash Disinfector su Win7.

Non mi si apre il Flash Disinfector su Win7.

nemmeno tasto dx esegui come admin?

Poco tempo fa avevo un virus sul pc, non so dire di preciso quale ma ho formattato il pc e sembra tutto normale, AVG non mi da infezioni a parte autorun.inf e h.cmd sul secondo hard disk che ha eliminato. Ora volevo sapere, siccome il virus ha infettato le mie periferiche USB (PSP, Nintendo, Penne...), come elimino da queste ultime autorun.inf e h.cmd senza essere infettato?

P.S. Quando dico autorun.inf e h.cmd intendo dire che questi sono i due file che sono infetti da worm e/o trojan.

Poco tempo fa avevo un virus sul pc, non so dire di preciso quale ma ho formattato il pc e sembra tutto normale, AVG non mi da infezioni a parte autorun.inf e h.cmd sul secondo hard disk che ha eliminato. Ora volevo sapere, siccome il virus ha infettato le mie periferiche USB (PSP, Nintendo, Penne...), come elimino da queste ultime autorun.inf e h.cmd senza essere infettato?

P.S. Quando dico autorun.inf e h.cmd intendo dire che questi sono i due file che sono infetti da worm e/o trojan.

riciao

seguiti i consigli del primo post?

Non ho capito bene, tengo premuto SHIFT per quanto tempo? E poi se non voglio formattare la chiavetta che devo fare, Flash Disinfector elimina autorun.inf e anche h.cmd? O si possono eliminare anche manualmente?

Scusa le tante domande ma non vorrei essere infettato di nuovo.

Non ho capito bene, tengo premuto SHIFT per quanto tempo? E poi se non voglio formattare la chiavetta che devo fare, Flash Disinfector elimina autorun.inf e anche h.cmd? O si possono eliminare anche manualmente?

Scusa le tante domande ma non vorrei essere infettato di nuovo.

Lo premi e lo mantieni premuto fino a quando la periferica non viene riconosciuta (pochi istanti).
Se desideri formattare la chiave è inutile far girare Flash Disinfector :)

No è il contrario, vorrei evitare di formattare, sulla penna ho file importanti (tesina). Faccio partire Flash Disinfector? Ma che fa? Cioè lo elimina autorun.inf e h.cmd?

No è il contrario, vorrei evitare di formattare, sulla penna ho file importanti (tesina). Faccio partire Flash Disinfector? Ma che fa? Cioè lo elimina autorun.inf e h.cmd?

Allora fai girare Flash Disinfector :)

Allora ragazzi ho collegato la psp con SHIFT e con Flash Disinfector ho eliminato autorun.inf mentre h.cmd me lo ha eliminato AVG.
Per sicurezza dopo ho fatto un paio di scansioni con Kaspersky Virus Removal Tool e questi sono i risultati (il report non me lo salva):

Prima Scansione Security level Reccommended
03/05/2010 17.05.22 Task started
03/05/2010 17.32.58 Detected: HEUR:Trojan-Downloader.Win32.Generic C:\WINDOWS\Installer\210f7.msi/Flash_Installer_Exe/data0000.cab/GetFlash.exe
03/05/2010 17.33.51 Deleted: HEUR:Trojan-Downloader.Win32.Generic C:\WINDOWS\Installer\210f7.msi
03/05/2010 17.40.00 Detected: HEUR:Trojan-Downloader.Win32.Generic D:\I386\APPS\APP24832\src\MSWORKS\WORKS8.MSI/Flash_Installer_Exe/data0000.cab/GetFlash.exe
03/05/2010 17.40.14 Deleted: HEUR:Trojan-Downloader.Win32.Generic D:\I386\APPS\APP24832\src\MSWORKS\WORKS8.MSI
03/05/2010 17.44.11 Detected: HEUR:Trojan-Downloader.Win32.Generic D:\System Volume Information\_restore{EB17C91D-6F24-4899-93E1-D643B10B0F84}\RP22\A0002741.MSI/Flash_Installer_Exe/data0000.cab/GetFlash.exe
03/05/2010 17.44.22 Deleted: HEUR:Trojan-Downloader.Win32.Generic D:\System Volume Information\_restore{EB17C91D-6F24-4899-93E1-D643B10B0F84}\RP22\A0002741.MSI
03/05/2010 17.44.52 Task completed


Seconda Scansione solo Disco D sempre Reccommended:
03/05/2010 17.47.56 Task started
03/05/2010 17.48.34 Task stopped


Terza Scansione solo Disco C sempre Reccommended:
03/05/2010 17.56.12 Task started
03/05/2010 18.06.21 Detected: HEUR:Trojan-Downloader.Win32.Generic C:\System Volume Information\_restore{EB17C91D-6F24-4899-93E1-D643B10B0F84}\RP22\A0002740.msi/Flash_Installer_Exe/data0000.cab/GetFlash.exe
03/05/2010 18.07.21 Deleted: HEUR:Trojan-Downloader.Win32.Generic C:\System Volume Information\_restore{EB17C91D-6F24-4899-93E1-D643B10B0F84}\RP22\A0002740.msi
03/05/2010 18.11.35 Task completed


Quarta Scansione solo C Security Level High:
03/05/2010 18.12.39 Task started
03/05/2010 18.16.27 Detected: http://www.viruslist.com/en/advisories/37690 C:\Programmi\Adobe\Reader 9.0\Reader\AcroRd32.exe
03/05/2010 18.16.36 Detected: http://www.viruslist.com/en/advisories/38551 C:\Programmi\Adobe\Reader 9.0\Reader\plug_ins\AcroForm.api
03/05/2010 18.25.38 Detected: http://www.viruslist.com/en/advisories/37255 C:\Programmi\Java\jre1.5.0_05\bin\java.exe
03/05/2010 18.25.48 Detected: http://www.viruslist.com/en/advisories/37255 C:\Programmi\Java\jre6\bin\java.exe
03/05/2010 18.37.12 Detected: http://www.viruslist.com/en/advisories/37255 C:\WINDOWS\system32\java.exe
03/05/2010 18.37.34 Detected: http://www.viruslist.com/en/advisories/23655 C:\WINDOWS\system32\msxml4.dll
03/05/2010 18.39.48 Detected: http://www.viruslist.com/en/advisories/38805 C:\Programmi\Microsoft Office\Office12\EXCEL.EXE
03/05/2010 18.39.49 Detected: http://www.viruslist.com/en/advisories/37690 C:\Programmi\Adobe\Reader 9.0\Reader\AcroRd32.exe
03/05/2010 18.39.59 Detected: http://www.viruslist.com/en/advisories/29320 C:\Programmi\Microsoft Office\Office12\OUTLOOK.EXE
03/05/2010 18.40.04 Detected: http://www.viruslist.com/en/advisories/32428 C:\Programmi\Microsoft Office\Office12\POWERPNT.EXE
03/05/2010 18.40.09 Detected: http://www.viruslist.com/en/advisories/35377 C:\Programmi\Microsoft Office\Office12\WINWORD.EXE
03/05/2010 18.40.43 Detected: http://www.viruslist.com/en/advisories/37255 C:\Programmi\Java\jre6\bin\java.exe
03/05/2010 18.41.14 Task completed


Che significano tutte quelle "Vulnerabilities"?
P.S. quando dico solo C o solo D intendo che ho scansionato:
Hidden Startup Objects
System Memory
Disk Boot Sectors
e poi nella prima sia C che D

Allora ragazzi ho collegato la psp con SHIFT e con Flash Disinfector ho eliminato autorun.inf mentre h.cmd me lo ha eliminato AVG.
Per sicurezza dopo ho fatto un paio di scansioni con Kaspersky Virus Removal Tool e questi sono i risultati (il report non me lo salva):

Che significano tutte quelle "Vulnerabilities"?
P.S. quando dico solo C o solo D intendo che ho scansionato:
Hidden Startup Objects
System Memory
Disk Boot Sectors
e poi nella prima sia C che D

disattiva il ripristino configurazione di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23) poi riattivalo o lascialo disattivato e usa erunt come alternativa per i backup del registro, vedi info nel trattamento in firma

Ciao a tutti sono nuovo di qui. Ho cercato in qualsiasi parte però non riesco a risolvere questo problemuccio. Anch'io ho un virus dentro il mio hard disk esterno. Il virus credo che sia onlinegames e non mi permette di vedere i file nascosti! Sono riuscito a cancellarlo dal mio computer portatile infatti riesco a vedere tranquillamente i file nascosti pero nel disco esterno no!!! E non percio' non riesco a finire la procedura descritta prima. :muro:
Voi avete qualche idea??? Grazie mille per l'aiuto!

Ciao a tutti sono nuovo di qui. Ho cercato in qualsiasi parte però non riesco a risolvere questo problemuccio. Anch'io ho un virus dentro il mio hard disk esterno. Il virus credo che sia onlinegames e non mi permette di vedere i file nascosti! Sono riuscito a cancellarlo dal mio computer portatile infatti riesco a vedere tranquillamente i file nascosti pero nel disco esterno no!!! E non percio' non riesco a finire la procedura descritta prima. :muro:
Voi avete qualche idea??? Grazie mille per l'aiuto!

Poi ho VISTA e non riesco a far partire l'installazione di flash disinfector! Cosa devo fare?

ho provato ad eliminare il file autorun.inf dal prompt dei comandi cmd pero mi dice accesso negato come si puo fare a cancellarlo??
Aiutatemiiiii!! THANX

ho provato ad eliminare il file autorun.inf dal prompt dei comandi cmd pero mi dice accesso negato come si puo fare a cancellarlo??
Aiutatemiiiii!! THANX

Eliminato con perlovga removal tool pero niente non riesco ancora a vedere le cartelle nascoste sono andato anche su regedit ma niente li e' tutto a posto.
Qualche idea?????????????

Molti hanno ricevuto una chiavetta usb che,essendo infetta,dopo averla inserita nel pc,ha infettato il pc.
Oppure molti di voi per accedere al disco fisso devono cliccarci col tasto destro>esplora ,pena l'accesso negato e una avviso di file mancante.

Come rimediare?


1) Disattivate ripristino configurazione di sistema:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok


2) Fate una scansione completa del computer con Kaspersky Virus Removal Tool (guida e link al download (http://www.hwupgrade.it/forum/showthread.php?t=1631690)) e antivir (DOWNLOAD (http://www.antivir-pe.com/freet/index.php?id=25&domain=free-av.com))

3) Abilitate la visualizzazione di files e cartelle nascosti di sistema in questo modo:

-aprite una qualsiasi cartella
-andate su "strumenti"
-andate su "opzioni cartella"
-andate su "visualizzazione"
-selezionate "visualizza cartelle e files nascosti"
-togliete la spunta da "nascondi files protetti di sistema(consigliato)" e cliccate su "sì"
-cliccate su OK

4) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)

5)Inserire la chiavetta TENENDO PREMUTO IL TASTO SHIFT (MAIUSC)

6)SE LA CHIAVETTA CONTIENE FILES DI VITALE IMPORTANZA:
Scaricare: http://download.bleepingcomputer.com//sUBs/Flash_Disinfector.exe

Doppio clic su Flash Disinfector.exe per eseguirlo e seguire le istruzioni.
Flash Disinfector creerà una cartella nascosta denominata autorun.inf in ogni partizione e ogni unità USB collegata è preferibile non eliminare questa cartella aiuterà a proteggere le unità da infezioni future.
(Grazie Chill-Out)

SE I FILES DENTRO LA CHIAVETTA NON VI SERVONO: formattare la chiavetta.



Se il problema persiste, caricate su uno dei server consigliati dalle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) un log di hijackthis (DOWNLOAD (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe)), postando il link del file. Aprite le partizioni dol tasto destro>esplora



GUIDA ALLA RIMOZIONE DI KNIGHT.EXE DALLE PENDRIVE E LETTORI MP3 (per chi infetto da questo particolare malware)

● inserire la pendrive o il lettore nella porta usb e tenere premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay
● scaricare ed installare DISK KNIGHT REMOVER:clicca qui per il download (http://www.plusexpert.cl/download/AntiKnight.rar)
● avviare DISK KNIGHT REMOVER
● premere un tasto per consetire, al Tool, di analizzare la pendrive o il lettore e rimuovere knight.exe
● conclusa l'esecuzione, chiudere DISK KNIGHT REMOVER ed eseguire una scansione della periferica, da BITDEFENDER ONLINE SCANNER:clicca qui per lo scan online

● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salvare ed allegare il Report che verrà rilasciato

● terminata la scansione, rimuovere la periferica dopo averla disattivata cliccando sull'icona con la freccia verde che compare nella traybar, accanto all'orologio.

(Grazie a Riverside)


ATTENZIONE. SE AVETE UN DISCO SEAGATE/MAXTOR comprato dopo agosto 2007,leggete questa news: http://www.hwupgrade.it/news/sicurezza/un-virus-nei-dischi-maxtor-personal-storage-3200_23213.html

Piccola nota informativa:
http://www.hwupgrade.it/forum/showpost.php?p=32012331&postcount=635

Salve, ogni volta che accedo al mio pc mi dice che è stato ripristinato dopo un grave errore dovuto a processlist.exe
Il pc sembra funzionare bene però non ne vuole sapere di collegarsi ad internet e per aprire le cartelle di sistema, ovvero C, D, E devo fare esplora altrimenti non mi si apre..cosa devo fare? sono abbastanza disperta.
ora vi scrivo da un altro pc che si puo connettere.
Vi rangrazio per una vostra eventuale risposta

segui le indicazioni riportate nel primo messaggio di quuesto thhread :)

Salve a tutti, ho seguito le istruzioni dle primo post e tutto quello che c'è in rete ma non riesco a risolvere il mio problema che vado ad esporvi.

Ieri inserendo una chiave usb ho notato la presenza del file autorun.inf, se provo a cancellarlo non mi riesce in quanto mi appare una finestra di errore che recita: "Impossibile eliminare autorun. accesso negato. Controllare che il disco non sia pieno".... ecc ecc, se provo ad aprirlo non me lo fa aprire. Prima era solo su una USB ora è passato anche suu un'altra pen drive ed apparentemente non è presente nè in C: ne nel mio hard disk esterno.

In sintesi ho seguitop tutte le guide e le istruzioni che ho trovato, ho installato ed eseguito: ikill, USB cop, Spybot, Scan Spyware ed infine anche Panda USB Vaccine.

Preciso che come SO ho WinXP Pro, come antivirus ho Avira Antivir Pro sempre on guard, ma non mi rileva alcun virus in nessuna periferica, nonostante lo abbia eseguito più volte.

In pratica Spybot e Scan Spyware mi rilevano qualcosa ma non nelle penne usb, che comunque elimino, mentre ikill e USB cop non eliminano il file autorun in quanto mi dicono che l'accesso è negato.

Inoltre, ho provato anche a formattare una penna usb, ma quando la vado ad inserire nuovamente ho sempre il file autorun.inf.

Infine utilizzando Panda USB Vaccine, anche dopo aver formattato la penna, mi dice che la stessa è vaccinata ma quando la tolgo e la reinserisco mi appare sempre il maledetto autorun.inf.

Cosa debbo fare oltre che andare a Lourdes?......AIUTO!

Salve a tutti, ho seguito le istruzioni dle primo post e tutto quello che c'è in rete ma non riesco a risolvere il mio problema che vado ad esporvi.

Ieri inserendo una chiave usb ho notato la presenza del file autorun.inf, se provo a cancellarlo non mi riesce in quanto mi appare una finestra di errore che recita: "Impossibile eliminare autorun. accesso negato. Controllare che il disco non sia pieno".... ecc ecc, se provo ad aprirlo non me lo fa aprire. Prima era solo su una USB ora è passato anche suu un'altra pen drive ed apparentemente non è presente nè in C: ne nel mio hard disk esterno.

In sintesi ho seguitop tutte le guide e le istruzioni che ho trovato, ho installato ed eseguito: ikill, USB cop, Spybot, Scan Spyware ed infine anche Panda USB Vaccine.

Preciso che come SO ho WinXP Pro, come antivirus ho Avira Antivir Pro sempre on guard, ma non mi rileva alcun virus in nessuna periferica, nonostante lo abbia eseguito più volte.

In pratica Spybot e Scan Spyware mi rilevano qualcosa ma non nelle penne usb, che comunque elimino, mentre ikill e USB cop non eliminano il file autorun in quanto mi dicono che l'accesso è negato.

Inoltre, ho provato anche a formattare una penna usb, ma quando la vado ad inserire nuovamente ho sempre il file autorun.inf.

Infine utilizzando Panda USB Vaccine, anche dopo aver formattato la penna, mi dice che la stessa è vaccinata ma quando la tolgo e la reinserisco mi appare sempre il maledetto autorun.inf.

Cosa debbo fare oltre che andare a Lourdes?......AIUTO!

Perchè non alleghi i log dei tool indicati in prima pagina, invece di postare nel 3D dedicato al controllo del log di HJT?

Perchè non alleghi i log dei tool indicati in prima pagina, invece di postare nel 3D dedicato al controllo del log di HJT?

Scusa l'ignoranza, ma non ho capito cosa devo fare!
Il log di HJT l'ho postato, cosa ho sbagliato?

Scusa l'ignoranza, ma non ho capito cosa devo fare!
Il log di HJT l'ho postato, cosa ho sbagliato?

Quqnto qui indicato http://www.hwupgrade.it/forum/showpost.php?p=19573202&postcount=1

Quqnto qui indicato http://www.hwupgrade.it/forum/showpost.php?p=19573202&postcount=1

mi riscuso per l'ignoranza ma io ho eseguito tutto quello che viene detto nella prima pagina...ho fatto anche altro ma ho sempre lo stesso problema, come indicato nel post.
Mi potresti spiegare meglio se sbaglio qlsa?

mi riscuso per l'ignoranza ma io ho eseguito tutto quello che viene detto nella prima pagina...ho fatto anche altro ma ho sempre lo stesso problema, come indicato nel post.
Mi potresti spiegare meglio se sbaglio qlsa?

2) Fate una scansione completa del computer con Kaspersky Virus Removal Tool

ed allega il log premurandoti di inserire la chiavetta prima di lanciare la scansione

PS: la presenza del file autorun.inf nella chiavetta non è sempre indice di infezione

ed allega il log premurandoti di inserire la chiavetta prima di lanciare la scansione

PS: la presenza del file autorun.inf nella chiavetta non è sempre indice di infezione

Scusami ma avendo fatto la scansione con avira non avevo capito che dovevo farla anche con kaspersky.
Cmq dopo oltre 14 ore di scansione, con tutte le chiavi ed hd esterno collegati, nelle quali sono stati rilevati diversi virus ti allego il file.

Spero che almeno adesso ho azzeccato la cosa giusta.....
Grazie.

p.s.: so che la presenza del file autorun.inf nella chiavetta non è sempre indice di infezione, ma è strano che non iesco ad eliminarli....oppure no?

p.s.: so che la presenza del file autorun.inf nella chiavetta non è sempre indice di infezione, ma è strano che non iesco ad eliminarli....oppure no?

Hai usato Panda USB Vaccine :)

Hai usato Panda USB Vaccine :)

Si usato .... ma non cambia nulla.
In sostanza formatto la chiave usb, la vaccino, dopo di che riavvio il SO e stacco e riattacco la chiave ed ecco che mi compare sempre il maledetto file autorun.inf.....che fare?

p.s.: premetto che non mi sembra che mi sia mai apparso tale file (nascosto), e quando appariva riuscivo a cancellarlo.

mi spieghi perchè il log di hijackthis llo hai pubblicato nell'altro thread? :D

mi spieghi perchè il log di hijackthis llo hai pubblicato nell'altro thread? :D

Semplice....non ci sto capendo nulla :cry:

Scusatemi se sto incasinando le cose. Io ho pubblicato prima su questo thread, poi mi sono ricordato di hijackthis ed ho pubblicato di là. Ma non sono due cose differenti?

Cmq i miei problemi persistono mi sai dare qualche consiglio considerando che a quanto pare sono scarsetto in materia :)

Semplice....non ci sto capendo nulla :cry:

Scusatemi se sto incasinando le cose. Io ho pubblicato prima su questo thread, poi mi sono ricordato di hijackthis ed ho pubblicato di là. Ma non sono due cose differenti?

Cmq i miei problemi persistono mi sai dare qualche consiglio considerando che a quanto pare sono scarsetto in materia :)

autorun.inf nella chiavetta l'ha creato Panda USB Vaccine

e che il pc sia infetto è assodato a questo punto perchè non seguire la guida dei fallsi antivirus con la chiavetta inserita nel pc e vediamo che succede? :p

e che il pc sia infetto è assodato a questo punto perchè non seguire la guida dei fallsi antivirus con la chiavetta inserita nel pc e vediamo che succede? :p

Ti prego scendi al mio livello .... altrimenti non capisco.
Perchè dici che il pc è sicuramente infetto?.....quale guida debbo seguire?....se ti riferisci a questa: http://www.hwupgrade.it/forum/showthread.php?t=1599737 la sto seguendo. Debbo postare qui i file log?

Ti prego scendi al mio livello .... altrimenti non capisco.
Perchè dici che il pc è sicuramente infetto?.....quale guida debbo seguire?....se ti riferisci a questa: http://www.hwupgrade.it/forum/showthread.php?t=1599737 la sto seguendo. Debbo postare qui i file log?

quella è la guida per i casi più gravi, tu devi seguire questa: http://www.hwupgrade.it/forum/showpost.php?p=23463793&postcount=3

dal log hijackthis lo si evince tu stesso dici di avere problemi, se ancora speri di non essere infetto puoi chiedere il parere allo zodiaco :p

Ciao!

mi ritrovo su una pennsusb un autorun :( e una cartella di nome stojan con all'interno un file: kristal.exe. Che pare essere un virus... ma non trovo informazioni..

Come lo rimuovo dal PC?
Lo porto sul mac e lo cancello... poi dinuovo sul PC dove lavoro...e risalta fuori sulla penna...e chissà dove altro.
Help!!

Grazie

ciao!

Anch'io sono stato infetto con un virus che si duplicava tramite pennette di pc in pc, ora sono riuscito a risolverlo, però quando collego una qualsiasi pennetta che era stata infetta, da Task Manager vedo che parte il tuo stesso processo "kristal.exe" , però sembra innocuo e infatti Avira non mi rileva niente.
Ho anche fatto il test con HijackThis ma mi dice solo processo sconosciuto!

Ciao!

mi ritrovo su una pennsusb un autorun :( e una cartella di nome stojan con all'interno un file: kristal.exe. Che pare essere un virus... ma non trovo informazioni..

Come lo rimuovo dal PC?
Lo porto sul mac e lo cancello... poi dinuovo sul PC dove lavoro...e risalta fuori sulla penna...e chissà dove altro.
Help!!

Grazie

ciao!
ciao
guida del primo post e ripulire e immunizzare un dispositivo USB (http://www.hwupgrade.it/forum/showpost.php?p=25768256&postcount=47)

Avevo anche io il problema che quando inserivo una chiavetta usb oppure un lettore di schede l'antivirus mi segnalava il file "xhv.vbs" e comunque anche se lo cancellavo poi tornava dopo alcuni secondi, ho risolto seguendo un post su un problema simile al mio su un'altro forum;
ora lascio il link, se questo contravviene alle regole del forum cancellatelo: http://agp-worldofinformation.forumcommunity.net/?t=33954868

Alcune parti della procedura non le ho usate perchè il virus non era lo stesso ma comunque essendo simile ha funzionato.

ho provato a seguire la guida ma non cambia...

ho avast e ho fatto uno scan completo

però quando inserisco la chiavetta mi continua a trovare il virus H:\OLJA\karlewsa.exe

dentro la chiavetta c'è un autorun che non si cancella.. ho provato a formattare da gestione disco ma ricompare, non so più come gestirla...

ps. qui il log

ho provato a seguire la guida ma non cambia...

ho avast e ho fatto uno scan completo

però quando inserisco la chiavetta mi continua a trovare il virus H:\OLJA\karlewsa.exe

dentro la chiavetta c'è un autorun che non si cancella.. ho provato a formattare da gestione disco ma ricompare, non so più come gestirla...

ps. qui il log

Ciao, hai fatto girare il Kaspersky Virus Removal Tool? Se si, allega il log.

ho risolto con uno scan all'avvio con avast tenendo dentro la chiavetta, grazie

ho risolto con uno scan all'avvio con avast tenendo dentro la chiavetta, grazie

Ottimo

Posto il log di Kaspersky Removal Tool come mi è stato detto qui:
http://www.hwupgrade.it/forum/showthread.php?t=2271519

Scansione automatica: processo completato 14915 giorni fa (eventi: , oggetti: 1231857, ora: 02.36.07)
01/11/2010 22.24.53 Attività avviata
01/11/2010 22.33.56 Rilevato: not-a-virus:AdWare.Win32.AdMedia.hj I:\PROGRAMI\130+ Photoshop Plugins [GeneGeter.com].iso/Photoshop/Plug-ins/Knoll Light Factory v3.0/LightFactory.8bf
01/11/2010 22.33.56 Non disinfettato: not-a-virus:AdWare.Win32.AdMedia.hj I:\PROGRAMI\130+ Photoshop Plugins [GeneGeter.com].iso/Photoshop/Plug-ins/Knoll Light Factory v3.0/LightFactory.8bf Rimandato
01/11/2010 22.33.59 Rilevato: not-a-virus:AdWare.Win32.AdMedia.kd I:\PROGRAMI\130+ Photoshop Plugins [GeneGeter.com].iso/Photoshop/Plug-ins/Nik Software - 5/ColorEfex Pro v3.101/ColorEfexPro3Cpl-rev3.101EN.exe/data0010
01/11/2010 22.33.59 Non disinfettato: not-a-virus:AdWare.Win32.AdMedia.kd I:\PROGRAMI\130+ Photoshop Plugins [GeneGeter.com].iso/Photoshop/Plug-ins/Nik Software - 5/ColorEfex Pro v3.101/ColorEfexPro3Cpl-rev3.101EN.exe/data0010 Rimandato
01/11/2010 23.11.36 Rilevato: Trojan.Win32.Genome.eqii I:\PROGRAMI\Album Design 2\AlbumDesign2.iso/Album_Design_2_UNIKEY.exe;1/data0000
01/11/2010 23.11.36 Non disinfettato: Trojan.Win32.Genome.eqii I:\PROGRAMI\Album Design 2\AlbumDesign2.iso/Album_Design_2_UNIKEY.exe;1/data0000 Rimandato
02/11/2010 0.37.02 Rilevato: Virus.Win32.Induc.a I:\Disco rimovibile\Picget Photoshine v2.0.800 (Full version) + Key [RH]\PG.PS.2.0.800.(Full)_[RH].rar/Picget Photoshine v2.0.800 (Full version)/Photoshine.2.0.800_(Full).exe/data0000
02/11/2010 0.37.02 Non disinfettato: Virus.Win32.Induc.a I:\Disco rimovibile\Picget Photoshine v2.0.800 (Full version) + Key [RH]\PG.PS.2.0.800.(Full)_[RH].rar/Picget Photoshine v2.0.800 (Full version)/Photoshine.2.0.800_(Full).exe/data0000 Rimandato
02/11/2010 1.01.01 Attività completata

Questo è il log scansionando solo l'hard disk esterno + memoria di sistema, settori di avvio del disco, oggetti di avvio nascosti (praticamente quelli che seleziona di default il removal tool.
Il pc non è infetto, ho installato il sistema operativo qualche settimana fa.
Il problema dei file nascosti rimane.
Questo è il log di hijackthis: http://www.mediafire.com/?8bxhen2871zbun5

Posto il log di Kaspersky Removal Tool come mi è stato detto qui:
http://www.hwupgrade.it/forum/showthread.php?t=2271519

Scansione automatica: processo completato 14915 giorni fa (eventi: , oggetti: 1231857, ora: 02.36.07)
01/11/2010 22.24.53 Attività avviata
01/11/2010 22.33.56 Rilevato: not-a-virus:AdWare.Win32.AdMedia.hj I:\PROGRAMI\130+ Photoshop Plugins [GeneGeter.com].iso/Photoshop/Plug-ins/Knoll Light Factory v3.0/LightFactory.8bf
01/11/2010 22.33.56 Non disinfettato: not-a-virus:AdWare.Win32.AdMedia.hj I:\PROGRAMI\130+ Photoshop Plugins [GeneGeter.com].iso/Photoshop/Plug-ins/Knoll Light Factory v3.0/LightFactory.8bf Rimandato
01/11/2010 22.33.59 Rilevato: not-a-virus:AdWare.Win32.AdMedia.kd I:\PROGRAMI\130+ Photoshop Plugins [GeneGeter.com].iso/Photoshop/Plug-ins/Nik Software - 5/ColorEfex Pro v3.101/ColorEfexPro3Cpl-rev3.101EN.exe/data0010
01/11/2010 22.33.59 Non disinfettato: not-a-virus:AdWare.Win32.AdMedia.kd I:\PROGRAMI\130+ Photoshop Plugins [GeneGeter.com].iso/Photoshop/Plug-ins/Nik Software - 5/ColorEfex Pro v3.101/ColorEfexPro3Cpl-rev3.101EN.exe/data0010 Rimandato
01/11/2010 23.11.36 Rilevato: Trojan.Win32.Genome.eqii I:\PROGRAMI\Album Design 2\AlbumDesign2.iso/Album_Design_2_UNIKEY.exe;1/data0000
01/11/2010 23.11.36 Non disinfettato: Trojan.Win32.Genome.eqii I:\PROGRAMI\Album Design 2\AlbumDesign2.iso/Album_Design_2_UNIKEY.exe;1/data0000 Rimandato
02/11/2010 0.37.02 Rilevato: Virus.Win32.Induc.a I:\Disco rimovibile\Picget Photoshine v2.0.800 (Full version) + Key [RH]\PG.PS.2.0.800.(Full)_[RH].rar/Picget Photoshine v2.0.800 (Full version)/Photoshine.2.0.800_(Full).exe/data0000
02/11/2010 0.37.02 Non disinfettato: Virus.Win32.Induc.a I:\Disco rimovibile\Picget Photoshine v2.0.800 (Full version) + Key [RH]\PG.PS.2.0.800.(Full)_[RH].rar/Picget Photoshine v2.0.800 (Full version)/Photoshine.2.0.800_(Full).exe/data0000 Rimandato
02/11/2010 1.01.01 Attività completata

Questo è il log scansionando solo l'hard disk esterno + memoria di sistema, settori di avvio del disco, oggetti di avvio nascosti (praticamente quelli che seleziona di default il removal tool.
Il pc non è infetto, ho installato il sistema operativo qualche settimana fa.
Il problema dei file nascosti rimane.
Questo è il log di hijackthis: http://www.mediafire.com/?8bxhen2871zbun5
up raga, scusate ma devo riconsegnare il disco :(

Scusate ma invece per il mio problema nessuno mi sa dare una mano?:rolleyes:
(pag.21)

up raga, scusate ma devo riconsegnare il disco :(

Avrei bisogno di vedere il log completo, inoltre sarebbe stato opportuno controllare anche il PC e non solo l'HDD esterno.

Scusate ma invece per il mio problema nessuno mi sa dare una mano?:rolleyes:
(pag.21)

Ciao, segui la guida in prima pagina.

Avrei bisogno di vedere il log completo, inoltre sarebbe stato opportuno controllare anche il PC e non solo l'HDD esterno.

Ecco la scansione completa, o meglio l'ho dovuta fermare al 97% dopo più di 6 ore di scansione, avevo necessità di riavviare il pc.
Non capisco come mai controllare anche il mio pc, il disco esterno aveva questo problema anche prima di collegarlo al mio pc.
Comunque ecco il log:

http://www.mediafire.com/?ra64mnvgqkae3cv

Ecco la scansione completa, o meglio l'ho dovuta fermare al 97% dopo più di 6 ore di scansione, avevo necessità di riavviare il pc.
Non capisco come mai controllare anche il mio pc, il disco esterno aveva questo problema anche prima di collegarlo al mio pc.
Comunque ecco il log:

http://www.mediafire.com/?ra64mnvgqkae3cv

Perchè mi sembra strano che il problema sia riconducibile solo all'HDD esterno.

Perchè mi sembra strano che il problema sia riconducibile solo all'HDD esterno.

Lo so che ti sembra strano ma è così, perchè lo faceva già al suo pc (infetto adesso formattato, adesso gli sto facendo fare anche a lui la scansione con kaspersky removal tool a tutto risorse del computer, inoltre lo stesso problema ce l'ha anche ad un altro disco esterno che è a casa sua) e quindi quando l'ho attaccato al mio ha continuato ad avere sto problema.
Il problema quindi c'era e cè, il mio pc non c'entra se lo vado ad attaccare su un qualsiasi altro pc il problema continua ad esserci.
Non so, vuoi uno screen di come si presenta il problema?

@edit
Ti ho mandato un mp con lo screen

Sono riuscito a risolvere il problema dopo un pò di sbatti sul web! :winner:

Praticamente il virus in questione oltre a creare un collegamento delle cartelle presenti sul disco che li rimanda a file .scr nel computer infetto, modifica gli attributi delle cartelle rendendoli di sistema e invisibili.
Aprendo quindi il disco, vedremo solamente i collegamenti che ci reindirizzano a sti file .scr.

http://img513.imageshack.us/img513/3892/crashlandhddesterno.th.jpg (http://img513.imageshack.us/i/crashlandhddesterno.jpg/)

Se andiamo invece ad abilitare la visulizzazione dei file nascosti, vedremo tutte le nostre cartelle.
Bene, cosa fare?
Inanzitutto verificare che non ci sia nessun autorun.inf se cè rimuoverlo, poi fare una scansione con Kaspersky Removal Tool.
Una volta fatto questo ed eliminate eventuali infezioni presenti sul disco, eliminare manualmente tutti i collegamenti doppioni "inutili".
Adesso rimane il problema dei file nascosti che non vogliono ritornare visibili, visto che l'opzione è disabilitata!
Procuriamoci il programma Attribute Changer 6, selezioniamo tutte le cartelle nascoste presenti sul disco>tasto dx>cambia attributi>deseleziamo sistema e nascosto.
Bene, adesso tutte le nostre cartelle sono dinuovo visibili come prima.:D

.

Riporto in questo theread il mio problema....

ciao a tutti..ho un problema assurdo.
ho un hdd esterno da 500gb con varie partizioni..da un giorno all'altro se provo ad aprire qualunque di queste la cartella si presenta come nell' immagine 1 (tutti collegamenti).
e se provo ad aprirlo mi viene furoi l errore nell immagine 2 (penso sia un virus).
va detto che ieri se aprivo un collegamento mi riusciva ad aprire i files.
che succede???

per le immagini guardate qui:
http://www.hwupgrade.it/forum/showthread.php?p=36399531&posted=1#post36399531

Ho provato a seguire la guida scansionando con avira, vi allego il LOG.
E' l unica cosa che riesco a fare dei punti della guida:
1 ) Disattivate ripristino configurazione di sistema:
non posso il mio windows xp non ce l ha


2) Fate una scansione completa del computer con Kaspersky Virus Removal Tool e antivir
3) Abilitate la visualizzazione di files e cartelle nascosti di sistema in questo modo
l ho fatto ma all interno delle partizione dell hard disk esterno (è un maxtor 3200 ma non sembra essere il problema che è stato postato) non ci sono file nascosti



4) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)
non c è nessun file autorun in nessuna partizione


Come si procede?
grazie

Ciao a tutti...Anch'io ho il problema del virus su chiavetta...ho usato Flash Disinfector ma niente...ho fatto la scansione con Avira e mi ha trovato WORM/Phorpiex.B.56
Ho fatto ripara tutti i file....dopodichè sono andata a vedere nella chiavetta se era cambiato qualcosa... le cartelle sono ancora collegamenti e non riesco quindi ad aprirle...Vorrei evitare di formattare la pennetta perchè ci sono dei documenti importanti per me :( Non so proprio più cosa fare :muro: qualcuno di voi è stato infettato dal mio stesso virus?
Guarda te fare un favore a un'amica :incazzed:

Ciao a tutti...Anch'io ho il problema del virus su chiavetta...ho usato Flash Disinfector ma niente...ho fatto la scansione con Avira e mi ha trovato WORM/Phorpiex.B.56
Ho fatto ripara tutti i file....dopodichè sono andata a vedere nella chiavetta se era cambiato qualcosa... le cartelle sono ancora collegamenti e non riesco quindi ad aprirle...Vorrei evitare di formattare la pennetta perchè ci sono dei documenti importanti per me :( Non so proprio più cosa fare :muro: qualcuno di voi è stato infettato dal mio stesso virus?
Guarda te fare un favore a un'amica :incazzed:

http://www.hwupgrade.it/forum/showpost.php?p=33552931&postcount=430