Molti hanno ricevuto una chiavetta usb che,essendo infetta,dopo averla inserita nel pc,ha infettato il pc.
Oppure molti di voi per accedere al disco fisso devono cliccarci col tasto destro>esplora ,pena l'accesso negato e una avviso di file mancante.

Come rimediare?


1) Disattivate ripristino configurazione di sistema:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok


2) Fate una scansione completa del computer con Kaspersky Virus Removal Tool (guida e link al download (http://www.hwupgrade.it/forum/showthread.php?t=1631690)) e antivir (DOWNLOAD (http://www.antivir-pe.com/freet/index.php?id=25&domain=free-av.com))

3) Abilitate la visualizzazione di files e cartelle nascosti di sistema in questo modo:

-aprite una qualsiasi cartella
-andate su "strumenti"
-andate su "opzioni cartella"
-andate su "visualizzazione"
-selezionate "visualizza cartelle e files nascosti"
-togliete la spunta da "nascondi files protetti di sistema(consigliato)" e cliccate su "sì"
-cliccate su OK

4) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)

5)Inserire la chiavetta TENENDO PREMUTO IL TASTO SHIFT (MAIUSC)

6)SE LA CHIAVETTA CONTIENE FILES DI VITALE IMPORTANZA:
Scaricare: http://download.bleepingcomputer.com//sUBs/Flash_Disinfector.exe

Doppio clic su Flash Disinfector.exe per eseguirlo e seguire le istruzioni.
Flash Disinfector creerà una cartella nascosta denominata autorun.inf in ogni partizione e ogni unità USB collegata è preferibile non eliminare questa cartella aiuterà a proteggere le unità da infezioni future.
(Grazie Chill-Out)

SE I FILES DENTRO LA CHIAVETTA NON VI SERVONO: formattare la chiavetta.



Se il problema persiste, caricate su uno dei server consigliati dalle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) un log di hijackthis (DOWNLOAD (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe)), postando il link del file. Aprite le partizioni dol tasto destro>esplora



GUIDA ALLA RIMOZIONE DI KNIGHT.EXE DALLE PENDRIVE E LETTORI MP3 (per chi infetto da questo particolare malware)

● inserire la pendrive o il lettore nella porta usb e tenere premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay
● scaricare ed installare DISK KNIGHT REMOVER:clicca qui per il download (http://www.plusexpert.cl/download/AntiKnight.rar)
● avviare DISK KNIGHT REMOVER
● premere un tasto per consetire, al Tool, di analizzare la pendrive o il lettore e rimuovere knight.exe
● conclusa l'esecuzione, chiudere DISK KNIGHT REMOVER ed eseguire una scansione della periferica, da BITDEFENDER ONLINE SCANNER:clicca qui per lo scan online

● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salvare ed allegare il Report che verrà rilasciato

● terminata la scansione, rimuovere la periferica dopo averla disattivata cliccando sull'icona con la freccia verde che compare nella traybar, accanto all'orologio.

(Grazie a Riverside)


ATTENZIONE. SE AVETE UN DISCO SEAGATE/MAXTOR comprato dopo agosto 2007,leggete questa news: http://www.hwupgrade.it/news/sicurezza/un-virus-nei-dischi-maxtor-personal-storage-3200_23213.html

Bugs che dire sei impagabile ;)

metto in rilievo, ottimo lavoro!

grazie

complimentoni ... clap clap

Porto alla lettura anche questa news:
http://www.taipeitimes.com/News/taiwan/archives/2007/11/11/2003387202

la news in italiano e pubblicata da hwupgrade:
Un virus nei dischi Maxtor Personal Storage 3200 (http://www.hwupgrade.it/news/sicurezza/un-virus-nei-dischi-maxtor-personal-storage-3200_23213.html)

e consiglio di impostare il firewall affinchè siano vietate tutte le comunicazioni verso i due seguenti siti:
www.nice8.org (hxxp://www.nice8.org)
www.we168.org (hxxp://www.we168.org)
(evitate di clickarci sopra perchè sono volutamente non funzionanti!)

Bugs che dire sei impagabile ;)

Ed infatti mi sembra (scusate la battuta seguente) che non lo paga nessuno....anche se lui presumo accetterebbe volentieri qualcosa....;) :D

Ciao Ho usato la tua guida e mi e' stata utile, grazie.

Una domanda stupida: io uso avast! e pensavo fosse uno dei migliori antivirus in giro, ma non mi ha beccato ne' ufo ne' un altro trojan che kaspersky ha trovato. Ecco il log:

eliminato: Trojan program Trojan-Clicker.HTML.IFrame.ab File: C:\Documents and Settings\Andrea\Impostazioni locali\Temporary Internet Files\Content.IE5\SES54Z2T\link[1].htm

Cosa ne pensi di Avast? consiglieresti piuttoto kaspersky?

Grazie. Andrea

Molti hanno ricevuto una chiavetta usb che,essendo infetta,dopo averla inserita nel pc,ha infettato il pc.
Oppure molti di voi per accedere al disco fisso devono cliccarci col tasto destro>esplora ,pena l'accesso negato e una avviso di file mancante.

Come rimediare?


1) Disattivate ripristino configurazione di sistema:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

2) Formattate la chiavetta

3) Fate una scansione completa del computer con kaspersky (DOWNLOAD (http://www.kasperskystore.it/eval.html)) e antivir (DOWNLOAD (http://www.antivir-pe.com/freet/index.php?id=25&domain=free-av.com))

4) Abilitate la visualizzazione di files e cartelle nascosti di sistema in questo modo:

-aprite una qualsiasi cartella
-andate su "strumenti"
-andate su "opzioni cartella"
-andate su "visualizzazione"
-selezionate "visualizza cartelle e files nascosti"
-togliete la spunta da "nascondi files protetti di sistema(consigliato)" e cliccate su "sì"
-cliccate su OK

5) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)


Se il problema persiste,caricate su http://www.zshare.net/ un log di hijackthis (DOWNLOAD (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe)), postando il link del file.

ATTENZIONE. SE AVETE UN DISCO SEAGATE/MAXTOR comprato dopo agosto 2007,leggete questa news: http://www.hwupgrade.it/news/sicurezza/un-virus-nei-dischi-maxtor-personal-storage-3200_23213.html

Cosa ne pensi di Avast? consiglieresti piuttoto kaspersky?
Se ti dice cosa pensa (e pensiamo) di Avast SIVirus, ci resti male.

Ti presento il migliore antivirus free attualmente sulla piazza:
ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho (leggi, attentamente, i primi tre post), ed altre cose importanti ed interessanti in relazione ad Antivir.
Se necessiti di informazioni o spiegazioni, posta, in quella discussione.

Se ti dice cosa pensa (e pensiamo) di Avast SIVirus, ci resti male.

Ti presento il migliore antivirus free attualmente sulla piazza:
ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho (leggi, attentamente, i primi tre post), ed altre cose importanti ed interessanti in relazione ad Antivir.
Se necessiti di informazioni o spiegazioni, posta, in quella discussione.

concordo

Grazie! ho dato un'occhiata a quel thread e installare antivir e' stato facile.

Peraltro apparentemente non va in conflitto con Kaspersky, che per il momento ho lasciato attivo.

Grazie di nuovo. Andrea

Se ti dice cosa pensa (e pensiamo) di Avast SIVirus, ci resti male.

Ti presento il migliore antivirus free attualmente sulla piazza:
ANTIVIR PERSONAL EDITION FREE: clicca qui per il download (http://www.free-av.com/down/windows/antivir_workstation_win7u_en_h.exe)
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.
qui trovi la Guida di configurazione per Antivir (http://www.hwupgrade.it/forum/showthread.php?t=1514684) pubblicata da Juninho (leggi, attentamente, i primi tre post), ed altre cose importanti ed interessanti in relazione ad Antivir.
Se necessiti di informazioni o spiegazioni, posta, in quella discussione.

Peraltro apparentemente non va in conflitto con Kaspersky, che per il momento ho lasciato attivo.
Non ti servono due antivirus (e quel termine apparentemente che hai utlizzato, dovrebbe farti capire la ragione.
Quindi, disinstalla Kaspersky (due antivirus, oltre a creare conflitti, rallentano, decisamente, la macchina).

*

ho preso questo virus, ma il problema è che non riesco ad applicare la funzione che mi permette di visualizzare i file nascosti, non me lo fa fare, sarà una variante di questo virus?? Quindi non posso eliminare il file autorun.inf.
E poi, io riesco ad aprire il disco C solo con la funzione sfoglia. come posso fare?

ho preso questo virus, ma il problema è che non riesco ad applicare la funzione che mi permette di visualizzare i file nascosti, non me lo fa fare, sarà una variante di questo virus?? Quindi non posso eliminare il file autorun.inf.
E poi, io riesco ad aprire il disco C solo con la funzione sfoglia. come posso fare?

che antivirus hai?

che antivirus hai?

avire antivir (quello con l ombrello :))

avire antivir (quello con l ombrello :))

molto strano.....io pure l'ho e mi ha evitato piu volte di infettarmi e sono sicuro che lo riconosce questo virus....

fai il punto 7) e vediamo come va.....

posta anche un log di hijackthis.....

che sistema operativo usi?

vai su start>esegui> digita:

cmd
e clicca su ok.

digita:

del C:\autorun.inf

e premi invio.

sennò esiste un tool proprio per questo genere di infezioni:

cercare perlovga removal tool su softpedia.

si esegue il tool da modalità provvisoria e tutto magicamente si sistema.

tempo dell'operazione: 1 sec


bisogna ripetere però l'operazione per ogni floppy, hd, chiavetta infetta ;)

niente da fare :( ho dovuto formattare. adesso però ho eseguito il punto 7) almeno spero di prevenire.

Anch'io ho questo virus sulla pennetta USB.:(
Ho AVG free e me lo segnala ogni volta che accedo alla pennetta.:mad:
Chiaramente non posso accedere direttamente alla pennetta, ma solo tramite click con il destro ed esplora/apri.

Il fatto è che nella mia pennetta ci sono dati abbastanza importanti riguardo una tesina dell'università...
Prima di formattarla copio tutti i dati nel desktop, o prima provo ad eliminare il virus?

Un'altra cosa, ho fatto l'hijack sul pc, l'ho postato sul sito e non ho riscontrato applicazioni "malevole", può essere che il pc sia sano, mentre la pennetta è infetta?:confused:

edit: ho fatto tutti i passaggi, ora è tutto OK, grazie Bugs:)

anche io vorrei saperlo

anche io vorrei saperlo

La risposta è qui: http://www.hwupgrade.it/forum/showpost.php?p=21449885&postcount=21

nello specifico: edit: ho fatto tutti i passaggi, ora è tutto OK, grazie Bugs

Ho un Hard Disk esterno, dove da qualche tempo non riesco a modificare, spostare, rinominare, nessuno dei file presenti al suo interno, di conseguenza neppure formattare (cosa che tra l'altro, cercherei di evitare). Questo mi impedisce di neutralizzare i virus che stanno prolificando dentro quell'insidiosa scatoletta.

Per evitare di chiedere aiuto, ho provato da solo a rimuovere gli eventuali malware, ma nelle varie procedure da voi consigliate, buona parte delle spiegazione includevano la disattivazione del ripristino configurazione di sistema, voce che io non ho nelle proprietà del sistema.

Questa situazione è una conseguenza del virus bagle che sono riuscito (almeno quello) a neutralizzare, grazie alle vostre guide.

Come programmi di prevenzione uso Spybot, CCleaner e Kaspersky, quest'ultimo continua a segnalarmi virus (con un simpaticissimo rumore di maiale sgozzato) presenti nella mia unità K.

questo è il log creato con HiJackThis:

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.36.03, on 10/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\DNA\btdna.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\sistray.exe
C:\Programmi\a-squared Free\a2service.exe
C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\PrevxCSI\PrevxCSI.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Nettuno\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [eejbstbp] C:\pfrnpjgi.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programmi\DNA\btdna.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrevxCSI.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?0d72538dbc0e4252ba68b284bd7a128b
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?0d72538dbc0e4252ba68b284bd7a128b
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181125656750
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: usbmon - C:\WINDOWS\system32\usbmons.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programmi\a-squared Free\a2service.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7024 bytes

Vi ringrazio in anticipo dell'eventuale aiuto.

hai già seguito la procedura indicata nel primo messaggio di questa guida?
http://www.hwupgrade.it/forum/showpost.php?p=19573202&postcount=1

1) Disattivate ripristino configurazione di sistema:

Per evitare di chiedere aiuto, ho provato da solo a rimuovere gli eventuali malware, ma nelle varie procedure da voi consigliate, buona parte delle spiegazione includevano la disattivazione del ripristino configurazione di sistema, voce che io non ho nelle proprietà del sistema.

Si, ho provato dal primo punto, ma mi è piuttosto difficile :D

2) Formattate la chiavetta

è protetto da scrittura, è proprio questo il mio problema..

3) Fate una scansione completa del computer con kaspersky (DOWNLOAD) e antivir (DOWNLOAD)

fatto, i virus li vedo, ma perlappunto, non li rimuovo perchè protetto da scrittura.

4) Abilitate la visualizzazione di files e cartelle nascosti di sistema in questo modo:

fatto, e vedo i file infetti

5) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)

ed è esattamente il file infetto (o almeno, è in K:\) ma solito problema..

mi fermo qui, il problema è ovvio...

1) Disattivate ripristino configurazione di sistema:

Per evitare di chiedere aiuto, ho provato da solo a rimuovere gli
eventuali malware, ma nelle varie procedure da voi consigliate, buona parte
delle spiegazione includevano la disattivazione del ripristino configurazione di
sistema, voce che io non ho nelle proprietà del sistema.

Si, ho provato dal primo punto, ma mi è piuttosto difficile :D

2) Formattate la chiavetta

è protetto da scrittura, è proprio questo il mio problema..

3) Fate una scansione completa del computer con kaspersky (DOWNLOAD) e antivir (DOWNLOAD)

fatto, i virus li vedo, ma perlappunto, non li rimuovo perchè protetto da scrittura.

4) Abilitate la visualizzazione di files e cartelle nascosti di sistema in questo modo:

fatto, e vedo i file infetti

5) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)

ed è esattamente il file infetto (o almeno, è in K:\) ma solito problema..

mi fermo qui, il problema è ovvio...

hai il Vista?

no, xp, se vuoi ti mando uno screenshoot delle risorse di sistema, ma c'è poco da vedere, semplicemente manca la linguetta più lunga.

no, xp, se vuoi ti mando uno screenshoot delle risorse di sistema, ma c'è poco da vedere, semplicemente manca la linguetta più lunga.

Allega un log del Kaspersky così vediamo con chi abbiamo a che fare

Kaspersky mi ha trovato questo, e ad richiesta di eliminazione, mi risponde che il disco è protetto da scrittura, sia la penna usb (I), sia l'HD esterno (K)

rilevato: Trojan program Trojan.Win32.Agent.amp File: I:\autorun.inf
rilevato: virus Worm.Win32.Delf.aj File: I:\RECYCLER\RECYCLER\autorun.exe//UPX
rilevato: Trojan program Trojan.Win32.VB.aqt File: I:\Recycled\ctfmon.exe
rilevato: Trojan program Trojan.Win32.Agent.amp File: K:\autorun.inf
rilevato: Trojan program Trojan-Dropper.Win32.Microjoin.h File: K:\ex incoming\Diablo II Lord Of Destruction 1.11b Patch & NoCD Crack.rar/Diablo II Lord Of Destruction 1.11b Patch & NoCD Crack\D2Loader-1.11b.exe
rilevato: Trojan program Trojan-Dropper.Win32.Microjoin.h File: K:\ex incoming\Diablo II Lord Of Destruction 1.11b Patch & NoCD Crack.rar/Diablo II Lord Of Destruction 1.11b Patch & NoCD Crack\LODPatch_111b.exe
rilevato: adware not-a-virus:AdWare.Win32.NavExcel.d File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0007/NHInstall.exe
rilevato: adware not-a-virus:AdWare.Win32.NavExcel.d File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0007/v2.0.2.cab/NHUninstaller.exe
rilevato: adware not-a-virus:AdWare.Win32.NavExcel.d File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0007/v2.0.2.cab/NHelper.dll
rilevato: adware not-a-virus:AdWare.Win32.NavExcel.b File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0007/v2.0.2.cab/NHUpdater.exe
rilevato: adware not-a-virus:AdWare.Win32.BargainBuddy.a File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0008//data0002
rilevato: adware not-a-virus:AdWare.Win32.BargainBuddy.a File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0008//data0003
rilevato: adware not-a-virus:AdWare.Win32.Exact.a File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0009//WiseSFXDropper//WISE0011.BIN
rilevato: adware not-a-virus:AdWare.Win32.Exact.a File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0009//WiseSFXDropper//WISE0013.BIN
rilevato: adware not-a-virus:AdWare.Win32.SaveNow.t File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0010//data0001.cab/Save.exe
rilevato: adware not-a-virus:AdWare.Win32.SaveNow.af File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0010//data0001.cab/SaveUninst.exe
rilevato: adware not-a-virus:AdWare.Win32.SaveNow.ak File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0010//data0002.cab/Weather.exe
rilevato: adware not-a-virus:AdWare.Win32.SaveNow.f File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0010//data0002.cab/Uninst.exe
rilevato: adware not-a-virus:AdWare.Win32.SaveNow.v File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0010//data0003.cab/Sync.exe
rilevato: adware not-a-virus:AdWare.Win32.SaveNow.v File: K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0010//data0003.cab/Uninst.exe
rilevato: Trojan program Trojan.Win32.VB.aqt File: K:\Recycled\ctfmon.exe

Devi fare una scansione completa del sistema, perchè mi sembra improbabile che Kav rilevi autorun.inf e Recycled\ctfmon.exe solo sulla chiavetta e disco esterno, per favore il log allegalo secondo questa modalità

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.

beh, i virus su C, li ho già tolti di mezzo, per questo motivo rileva solamente quelli su chiave e HD esterno.

Io ho fatto copia-incolla del rapporto che mi dà Kaspersky al termine della scansione delle unità C:\, K:\, I:\, non riesco a trovare nessun file su blocco note e simili..

beh, i virus su C, li ho già tolti di mezzo, per questo motivo rileva solamente quelli su chiave e HD esterno.

Io ho fatto copia-incolla del rapporto che mi dà Kaspersky al termine della scansione delle unità C:\, K:\, I:\, non riesco a trovare nessun file su blocco note e simili..

Sinceramente io non ne sono sicuro che sia come dici, comunque:

Scarica Avenger da qui http://swandog46.geekstogo.com/avenger2/download.php e per il momento limitati a scompattarlo sul Desktop

Riavvia il PC in modalità provvisoria F8

Clicca su una cartella qualsiasi clicca su Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta in Visualizza cartelle e file nascosti - togli il segno di spunta da Nascondi i file protetti di sistema - Applica e OK

Clicca su Start - Tutti i programmi - Avvio se presente il file ctfmon.exe clicca col tasto dx del mouse ed eliminalo

Adesso in Avenger inserisci questo script copi ed incolli all'interno del box bianco e clicchi su Execute, ovviamente I e K devono essere presenti

Files to delete:
I:\autorun.inf
I:\RECYCLER\RECYCLER\autorun.exe//UPX
I:\Recycled\ctfmon.exe
K:\autorun.inf
K:\ex incoming\Diablo II Lord Of Destruction 1.11b Patch & NoCD Crack.rar/Diablo II Lord Of Destruction 1.11b Patch & NoCD Crack\D2Loader-1.11b.exe
K:\ex incoming\Diablo II Lord Of Destruction 1.11b Patch & NoCD Crack.rar/Diablo II Lord Of Destruction 1.11b Patch & NoCD Crack\LODPatch_111b.exe
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0007/NHInstall.exe
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0007/v2.0.2.cab/NHUninstaller.exe
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0007/v2.0.2.cab/NHelper.dll
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0007/v2.0.2.cab/NHUpdater.exe
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0008//data0002
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0008//data0003
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0009//WiseSFXDropper//WISE0011.BIN
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0009//WiseSFXDropper//WISE0013.BIN
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0010//data0001.cab/Save.exe
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0010//data0001.cab/SaveUninst.exe
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0010//data0002.cab/Weather.exe
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0010//data0002.cab/Uninst.exe
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0010//data0003.cab/Sync.exe
K:\pocket pc\[PocketPC] GameBoy_Advance_Emulator + 14 GBA_roms (Dodger).ZIP/kazaa-download-accelerator.exe//data0010//data0003.cab/Uninst.exe
K:\Recycled\ctfmon.exe

Poi fai girare anche questo tool http://www.softpedia.com/progDownload/PRT-Perlovga-Removal-Tool-Download-69660.html

Questo è il risultato.. vorrei specificare che dopo il riavvio del sistema, mi ha dato qualche messaggio di errore che non sono riuscito a segnare, ma dovrebbe essere appunto di avenger..

Questo è il risultato.. vorrei specificare che dopo il riavvio del sistema, mi ha dato qualche messaggio di errore che non sono riuscito a segnare, ma dovrebbe essere appunto di avenger..

Poi fai girare anche questo tool http://www.softpedia.com/progDownload/PRT-Perlovga-Removal-Tool-Download-69660.html

Lo sto usando, e mi ha trovato R-Media Malware, che però non posso rimuovere, visto che avrei bisogno della versione PRO, che non ho.. posso fare altro?

Lo sto usando, e mi ha trovato R-Media Malware, che però non posso rimuovere, visto che avrei bisogno della versione PRO, che non ho.. posso fare altro?

Mah.....prova il punto 7 della Guida in prima pagina

Mah.....prova il punto 7 della Guida in prima pagina

Magari ho qualche problema io, mi dà "page not found"...

avenger nn dovrebbe girare nella stessa partizione in cui c sono i file da rimuovere o spostare?

Magari ho qualche problema io, mi dà "page not found"...

No purtroppo da page not found e non riesco più a trovarlo sui loro server, comunque io continuo a pensare che anche il PC è infetto

Ti assicuro che su Kaspersky, in C non mi trova niente...

Che altro posso fare?

Prova con Hijackthis clicca su Open the Misc Tool section - Delete file on reebot e provi a cancellarli uno ad uno prendendoli dalli Script che ti ho indicato.

Edit: Flash Disinfector è di nuovo disponibile

Fatto, anche in modalità provvisoria, non succede niente... che cavolo di virus è? :(

http://forum.html.it/forum/showthread.php?threadid=875203

http://www.wininizio.it/forum/index.php?showtopic=13408&st=0

http://forum.html.it/forum/showthread.php?threadid=875203

http://www.wininizio.it/forum/index.php?showtopic=13408&st=0

Bugs, hai fatto bingo...
Il secondo link mi ha rimosso la protezione, e ho tolto tutti i virus, sono filnalmente pulito... grazie mille, senza di voi non saprei come risolvere..

GRAZIE ANCORA! :rolleyes:

Salve a tutti! Spero di non essere off topic qui...
Io avevo avuto tempo fa problemi con Disk Knight (preso e ripreso dai portatili dell'università), ma avevo trovato varie procedure in internet ed ero riuscita ad eliminarlo (o almeno credo: a questo punto non lo so più, cmq so che Antivir e Avast! lo trovavano e anche AVG AntiSpyware, a differenza di AVG AntiVirus), anche con il software AntiKnight; non ho capito però se una pennina da 1GB mi è morta a causa di quel maledetto "cavaliere" o se doveva morire e ciccia (in pratica, ora non salva più i dati: li metto dentro ma poi non ricompaiono, perlomeno non nei computer di altre persone, mentre nel mio a volte sì e a volte no, e poi non si apre più automaticamente quando la si inserisce e io non ho disattivato l'opzione, per esempio con TweakUI, e ho provato la pennina su 4-5 computer)... mi rompe 'sta cosa...
Adesso, con un'altra pennina (stavolta di marca, Kingston, e da 2GB) e sempre dai portatili dell'università mi sono cuccata un tal UFO.exe e autorun.inf allegato (e mi pare c'entri anche ctfmon qualcosa...). AntiVir (uso quello) lo trova e mette qualcosa in quarantena, ma i problemi persistono e il virus pure: si trasmette al PC e alle successive pennine inserite e non mi consente di aprire la pennina col doppio click (mi chiede di scegliere con che programma aprirla) o col tasto destro e poi Esplora, ma la posso gestire con Total Commander (per fortuna! sennò come farei?).
Vorrei sapere se qualcuno è in gradi di dirmi passo passo come toglierlo di mezzo definitivamente (non voglio perdere una pennina dietro l'altra e all'università è indispensabile averla, in pratica :cry: ) sai dalla pennina che dal mio PC (ed eventuali altri, tipo quelli universitari).
Come software di sicurezza ho installati AntiVir e AVG AntiSpyware (versione free), poi vari gestori del registro tipo CCleaner e ho due hdd (devo scansionare entrambi o basta quello col sistema operativo? che non è Vista, per inciso).
Per favore, qualcuno mi aiuti perché sta diventando disastroso usare 'ste benedette pennine, oltre che dispendioso se mi muoiono ogni volta che si cuccano un virus... :mc:
Mi sapete anche dire se le pennine U3, tipo quelle Sandisk, sono immuni al contagio di questi virus iperprolifici (si moltiplicano come funghi!!)? Se lo fossero, allora potrei usare quelle per l'università...
Ultima cosa: può essere che la mia pennina da 1GB sia morta, anziché per virus, per il fatto che in un portatile dell'università era sparita l'icona per togliere le periferiche USB in tutta sicurezza (chissà perchè, poi: non è mai più stata ritrovata!) e quindi la ho estratta più volte senza nessuna manovra se non quella fisica?
Grazie a tutti e scusate se ho scritto tanto, ma volevo essere il più chiara possibile... sono sull'orlo della disperazione... :help:

Proprio nessuno che mi sappia aiutare...? :cry:

segui la guida in prima pagina, le penne usb le devi formattare tutte, nessuna esclusa

poi procedi con gli altri passi della guida, utilizzando entrambi i programmi indicati

infine fai una scansione online con bitdefedender:
http://www.bitdefender.com/scan8/ie.html

leggiti bene la guida, è facile da capire...

devi solo seguire nel dettaglio quella guida ;)

ciao

Il mio computer dovrebbe essere disinfettato, o eseguito la guida alla disinfezione... e con hijack dovrei averli tolti.. ben tre spunte..

Ma ho le pen drive ed un iPod infetti con ufo.exe... l'ho visto che c'era quando li ho usati su un altro pc e poi spesso non riesco ad aprirli... anche risorse del compute ci mette molto a trovare le risorse... impiega molto a cercare con le torcia...

La mia domanda é: devo per forza formattare perchè ho dei dati che non posso perdere nella penna e nell'ipod usato come disco?grazie lore.

se vuoi puoi salvare tutto (anche se reinfettando il pc) e poi ripulire il pc e formattare chiavette e l'ipod

Vista(con Norton) blocca questo "ufo"o si fa a sua volta contaggiare?
Passato sulla pen drive dal pc di mia sorella, in fase di autoplay mi chiedeva se dar via all'applicazione "ufo.exe" e da li ho scoperto che l'altro pc(con XP) e lo stesso di mia sorella(con Xp) sono contaggiati..
Sto cercando di scaricare avira..Avg non è sufficiente(scaricato nemmeno farlo apposta questa mattina)?
Tra avira e kaspe, volendo la versione a pagamento, quale tra i due?

ho fatto tutta la procedura elencata ma ho sempre tutti e due gli hd interni che non si aprono ne cliccandoci due volte e ne facendo eslora, riensco ad entrarci soltando da un programma facendo file apri... qualcuno sa aiutarmi?

Mi dice apri con su ogni hd.

http://forum.html.it/forum/showthread.php?threadid=875203

http://www.wininizio.it/forum/index.php?showtopic=13408&st=0

Salve a tutti
Sono nuovo anzi nuovissimo
Mi sono imbattuto nella vostra utilissima discussione ed avendo il problema anch'io del ufo.exe ho seguito alla lettera la guida proposta.
Sembra tutto ok
Ho formattato le chievette come descritto
Fatto scansione con bit online, ccclenear

Unico problema come faccio a ripristinare configurazioni di sistema??? :( :( :(
Risorse del computer e Internet explor non si aprono più con il click destro del mouse. :confused: :confused:
Ha eseguito anche la procedura di

Disattiva il Ripristino configurazione di sistema e scarica ed installa MSNFIX TOOL: clicca qui per il download

● scompatta il file Zip che hai, precedentemente, posizionato sul Desktop (verrà creata una cartella)
● lancia MSNFix File batch
● digita I per impostare la lingua, e, premi invio
● digita R per cercare il malware
● digita N per eliminare ciò che trova
● digita A per creare il log da pubblicare
● digita R per ripulire il registro ed uscire
● digita Q per terminare MSNFix

elencata sempre in questo forum da Riveside

Mi si apre una finestra velocissima, di media grandezza a fondo nero, dove riesco a leggere a malapena
C:/WINDOW/SYSTEM32/rundll32.exe
e poi nulla più, scompare subito.:mbe: :mbe:

Ho un pc aspire 5100 con turion 64x2 con xp


Chi mi aiuta???:help: :help: :help: :help: :help:

Buona pasquetta a tutti, speriamo che regga il tempo

Grazie per ora




aggiunta info:


Quando apro pannello di controllo, ad ogni tentativo di apertura di icona mi appare sempre la stessa mascherina improvvisa.
Lo fà anche a schermo vuoto nel tentativo di reimpostare ad esempio screensaver o sfondo o altro

Premetto che non sono una cima anzi sono più una depressione

Occhio Bugs il link che scarica flash disinfector porta a un eseguibile con virus, ecco il mio log con avira-antivir: http://www.fileup.itadib.com/download.php?id=owla6WrZSqpyyRkZmgXq

niente falso positivo di av-antivir

@xcdegasp

come mai pensi che il mio problema puo' essere risolito seguendo la soluzione postata nel 1° post ???

Problema mmc.exe gestione periferiche (http://www.hwupgrade.it/forum/showthread.php?p=21966041)

@xcdegasp

come mai pensi che il mio problema puo' essere risolito seguendo la soluzione postata nel 1° post ???

Problema mmc.exe gestione periferiche (http://www.hwupgrade.it/forum/showthread.php?p=21966041)

Impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie.
non era riferito ad un tuo intento di accedere ad un'unità removibile o unità disco?

nono, il problema era dovuto al fatto che non mi fa accedere a Gestione Periferiche da Pannello di Controllo -> Sistema -> Hardware :(

nono, il problema era dovuto al fatto che non mi fa accedere a Gestione Periferiche da Pannello di Controllo -> Sistema -> Hardware :(

ok allora avevo frainteso.. però il sospetto che sia un virus rimane giusto?
se si segui la Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione (ovviamente in un nuovo thread essendo questa la sezione corretta)..

se dici che non è un virus ad averlo creato quel problema allora l'area corretta è quella windows :)
mi spiace per il fraintendimento iniziale ed averti fatto buttare via un po' di tempo :(

non ti preoccupare forse il problema è dovuto all'incompatibilità delle ultime versioni di KAV e Outpost, infatti disattivando entrambi ( ora sto navigando solo con il firewall di Win ) non mi da quel problema, almeno spero :)

EDIT: niente è tornato il problema :/

non ti preoccupare forse il problema è dovuto all'incompatibilità delle ultime versioni di KAV e Outpost, infatti disattivando entrambi ( ora sto navigando solo con il firewall di Win ) non mi da quel problema, almeno spero :)

EDIT: niente è tornato il problema :/

Segui la Guida alla disinfezione ;)

5) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)



di autorun.inf ce ne sono diversi....devo cancellare solo quelli delle partizioni, o anche quelli che si trovano nelle dir dei vari programmi ???


tnx

ho un disco esterno maxtor che mi ha dato questo problema...

lì ho tutti i dati....posso salvarli prima di formattare o potrebbero essere compromessi?
se è così è un gran bel casino!

altra cosa...il punto 6...manca il link per la scansione online...ma devo farlo per forza?

curiosità...posso averlo preso collegando l'hard disk in un pc infetto o è un file che ho sull'HD stesso?

grazie per l'aiuto!

ho un disco esterno maxtor che mi ha dato questo problema...

lì ho tutti i dati....posso salvarli prima di formattare o potrebbero essere compromessi?
se è così è un gran bel casino!

altra cosa...il punto 6...manca il link per la scansione online...ma devo farlo per forza?

Segui la Guida per disinfettare l' HD, ovviamente prima di salvare i dati, al punto 6 il link esiste ed è funzionante

curiosità...posso averlo preso collegando l'hard disk in un pc infetto o è un file che ho sull'HD stesso?

entrambe le opzioni

● conclusa l'esecuzione, chiudere DISK KNIGHT REMOVER ed eseguire una scansione della periferica, da BITDEFENDER ONLINE SCANNER:clicca qui per lo scan online

mi riferisvo a questo link del punto 6...


altra cosa...devo seguire la guida PRIMA di salvare i dati...ma la guida dice di formattare...così li perdo....
non posso portarli sul pc, disinfettare pc e chiavetta e poi rimetterli?

grazie ancora e scusate...ma son niubba!
:(

mi riferisvo a questo link del punto 6...

http://www.bitdefender.co.uk/scan_uk/scan8/ie.html


altra cosa...devo seguire la guida PRIMA di salvare i dati...ma la guida dice di formattare...così li perdo....
non posso portarli sul pc, disinfettare pc e chiavetta e poi rimetterli?

segui la Guida dal punto 6 in poi

ATTENZIONE. SE AVETE UN DISCO SEAGATE/MAXTOR comprato dopo agosto 2007,leggete questa news: http://www.hwupgrade.it/news/sicurezza/un-virus-nei-dischi-maxtor-personal-storage-3200_23213.html

http://www.bitdefender.co.uk/scan_uk/scan8/ie.html




segui la Guida dal punto 6 in poi

ATTENZIONE. SE AVETE UN DISCO SEAGATE/MAXTOR comprato dopo agosto 2007,leggete questa news: http://www.hwupgrade.it/news/sicurezza/un-virus-nei-dischi-maxtor-personal-storage-3200_23213.html

grazie, gentilissimo!:)
ci provo!!!
ho letto qel link ma non mi da quel virus...sinceramente non ricordo se l'ho preso prima o dopo quella data...provo con la vostra guida...nel caso non dovessi risolvere le provo tutte poi :)

Anche io sn infetto da ufo.exe e nn riesco ad eliminarlo seguendo la guida!!
Kaspersky istallato nella versione di prova mi trova sempre dei virus ma nn li elimina, mi fa bloccare il processo!
Mi aiutate per favore ho qst pc infetto isieme al portatile a 2 pennini usb e all'hd esterno!
Praticamente tutto

Anche io sn infetto da ufo.exe e nn riesco ad eliminarlo seguendo la guida!!
Kaspersky istallato nella versione di prova mi trova sempre dei virus ma nn li elimina, mi fa bloccare il processo!
Mi aiutate per favore ho qst pc infetto isieme al portatile a 2 pennini usb e all'hd esterno!
Praticamente tutto

Allega il log del Kaspersky

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.40.21, on 21/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
c:\windows\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\File comuni\Logitech\LComMgr\Communications_Helper.exe
C:\Programmi\Logitech\QuickCam10\QuickCam10.exe
C:\Programmi\File comuni\Logitech\LComMgr\LVComSX.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Logishrd\LQCVFX\COCIManager.exe
C:\Programmi\Skype\Plugin Manager\skypePM.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programmi\File comuni\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programmi\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programmi\File comuni\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Aggiungi ad Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmi\File comuni\Logitech\SrvLnch\SrvLnch.exe

--
End of file - 5092 bytes

Ciao, i log non vanno copiati ed incollati ma allegati, inoltre ti avevo chiesto il log del Kaspersky non quello di HijackThis

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

Ogni singolo log, esclusivamente in formato txt , deve essere hostato su Wikisend, clicca qui per raggiungere Wikisend (http://wikisend.com/)

scusa ma nn sn tanto bravo a usare il pc!
Potresti aiutarmi?

CARICA CORRETTAMENTE I LOG SECONDO QUESTE REGOLE
Se i log o le immagini (.JPG) non superano i 24Kb allegali tramite il comando Gestisci allegati nelle Opzioni aggiuntive
Clicca su Gestisci allegati -> si aprirà una finestra -> Click su Sfoglia -> seleziona il file da caricare -> Click su Carica -> sotto allegati correnti vedrai il tuo log caricato -> Chiudi la finestra

Altrimenti caricali su [wikisend.com] (http://wikisend.com/) o su [mediafire.com] (http://www.mediafire.com/index.php).
Una volta sul sito -> clicca su sfoglia -> seleziona il file da caricare -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure sotto "Sharing URL" nel secondo e lo incolli nella risposta della discussione.

come prendo il log di kaspersky? nel portatile ho avast e nn va lo stesso!!!
1.bmp (http://wikisend.com/download/564188/1.bmp)
qst è quello che mi spunta nel portatile

Per le immagini consiglio innanzitutto di salvarle in JPG, essendo più leggere e caricarle su fileqube.com (http://fileqube.com) che permette di visualizzarle direttamente online.

scusate mi aiutate o mi correggiete solo mi miei errori da incompetente del pc??

Disabilita subito la riproduzione automatica dei dispositivi...

Per disabilitare la funzione di riproduzione automatica
Start ► Esegui ► digita gpedit.msc (invio) ► Configurazione computer ► Modelli amministrativi ► Sistema ► Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica ► Seleziona Attivata ► Nella tendina che si accende scegli Tutte le unità ► OK

così eviterai di reinfettarti quando sarai pulito e dovrai ripulire chiavette e disco esterno

A me le trial non piacciono...disistallala e idem per avast che è scarso.... installa Avira AntiVir Personal - FREE che puoi scaricare da [ qui ] (http://www.free-av.com/en/download/1/avira_antivir_personal__free_antivirus.html) e configurarlo seguendo questa guida (http://www.hwupgrade.it/forum/showthread.php?t=1514684)
Poi fai una scansione completa e ci carichi il log

Faccio start >esegui> gpedit.msc e mi dice che qst file nn esiste!

Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll



Prima di riavviare scarica Avenger da qui (http://swandog46.geekstogo.com/avenger.zip)
Lancialo -> Clicca Ok -> Incolla TUTTO il codice, che ti ho segnalato qui sotto, nel riquadro bianco del programma -> Clicca su Execute
Attendi riavvio del pc. Se non si riavvia da solo fallo manualmente.
Al riavvio verrà salvato un log di Avenger. Postalo per vedere se la procedura ha funzionato.

Files to delete:
C:\WINDOWS\SYSTEM32\fsmgmt.dll

ho fatto quello che hai scritto! ed ho allegato il log! (Spero)

NB: ripristino configurazione sistema disattivato

Successivamente procedi così:

da Start - Esegui - digita regedit - ok

naviga fino alla seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

la selezioni e nel pannello di destra alla voce Userinit doppio click ed elimini C:\WINDOWS\system32\secpol.exe, - OK

NB: devi eliminare solo ed esclusivamente questo valore C:\WINDOWS\system32\secpol.exe,

questo deve rimanere così C:\WINDOWS\system32\userinit.exe, virgola compresa

In Avenger inserisci questo Script

Files to delete:
C:\WINDOWS\system32\secpol.exe

dopo il riavvio allega il log di Avenger ed un nuovo log di HijackThis

doppio

Molti hanno ricevuto una chiavetta usb che,essendo infetta,dopo averla inserita nel pc,ha infettato il pc.
Oppure molti di voi per accedere al disco fisso devono cliccarci col tasto destro>esplora ,pena l'accesso negato e una avviso di file mancante.

Come rimediare?


1) Disattivate ripristino configurazione di sistema:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

2) Formattate la chiavetta

3) Fate una scansione completa del computer con kaspersky (DOWNLOAD (http://www.kasperskystore.it/eval.html)) e antivir (DOWNLOAD (http://www.antivir-pe.com/freet/index.php?id=25&domain=free-av.com))

4) Abilitate la visualizzazione di files e cartelle nascosti di sistema in questo modo:

-aprite una qualsiasi cartella
-andate su "strumenti"
-andate su "opzioni cartella"
-andate su "visualizzazione"
-selezionate "visualizza cartelle e files nascosti"
-togliete la spunta da "nascondi files protetti di sistema(consigliato)" e cliccate su "sì"
-cliccate su OK

5) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)

6) GUIDA ALLA RIMOZIONE DI KNIGHT.EXE DALLE PENDRIVE E LETTORI MP3

● inserire la pendrive o il lettore nella porta usb e tenere premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay
● scaricare ed installare DISK KNIGHT REMOVER:clicca qui per il download (http://www.plusexpert.cl/download/AntiKnight.rar)
● avviare DISK KNIGHT REMOVER
● premere un tasto per consetire, al Tool, di analizzare la pendrive o il lettore e rimuovere knight.exe
● conclusa l'esecuzione, chiudere DISK KNIGHT REMOVER ed eseguire una scansione della periferica, da BITDEFENDER ONLINE SCANNER:clicca qui per lo scan online

● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salvare ed allegare il Report che verrà rilasciato

● terminata la scansione, rimuovere la periferica dopo averla disattivata cliccando sull'icona con la freccia verde che compare nella traybar, accanto all'orologio.

(Grazie a Riverside)

7)Scaricare: http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Doppio clic su Flash Disinfector.exe per eseguirlo e seguire le istruzioni.
Attendere fino a che non ha finito la scansione e quindi uscire dal programma Il tool può chiedere di inserire la chiavetta usb e/o altre unità removibili cmpreso il telefono cellulare ovviamente consentire per portare a termine la disinfezione
Flash Disinfector creerà una cartella nascosta denominata autorun.inf in ogni partizione e ogni unità USB collegata è preferibile non eliminare questa cartella aiuterà a proteggere le unità da infezioni future.
(Grazie Chill-Out)

Se il problema persiste,caricate su http://www.zshare.net/ un log di hijackthis (DOWNLOAD (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe)), postando il link del file. Aprite le partizioni dol tasto destro>esplora

ATTENZIONE. SE AVETE UN DISCO SEAGATE/MAXTOR comprato dopo agosto 2007,leggete questa news: http://www.hwupgrade.it/news/sicurezza/un-virus-nei-dischi-maxtor-personal-storage-3200_23213.html











Ciao!!



Un tale chiamato Suhadi_Sadono mi ha appena inviato questo messaggio:


È capitato anche a me per colpa di un virus, la partizione si era trasformata in RAW. Ho recuperato tutti i dati con GetDataBack recovery NTFS.






Che VIRUS potrebbe essere secondo te che causa questo problema?

Io non ho usato nessuna penna drive!

Io non sono riuscito ad individuarlo...

Ho NOD 32 vers 3 come AV: ho fatto una scansione ma niente sembra tutto OK!

Ho provato a fare una scansione con A-SQUARED ma non ha trovato nulla!


La partizione D dell'HD da una settimana non funziona più perché mi appare un messaggio che mi dice che il disco nell'unità D non è formattato...


Ma come è possibile?

Sono andato in PROPRIETA' DISCO da PANNELLO di CONTROLLO e la partizione D risulta integra, solo che non mi indica il FILE SYSTEM (prima era FAT32) e risulta appunto RAW


Ora ho letto l' ottimo tuo THREAD indicatomi nel FORUM e vorrei provare a risolvere il problema seguendo le tue istruzioni but....

E' proprio necessario che faccia una scansione con kaspersky e antivir?

Non vorrei che NOD 32 vers 3 andasse in conflitto con NOD32...

Inoltre non avendo l'ADSL a casa (ci credi??) per me 30 MB da scaricare sono un pacco mostruoso.


DOMANDA:

Non mi converrebbe, anziché seguire le istruzioni presenti in questo thre recuperare i DATI persi con GET DATA BACK o EASY RECOVERY PROFESSIONAL o STELLAR PHOENIX e poi formattare l'UNITA' D?

La partizione D era FAT 32...dunque mi conviene usare GETDATABACK recovery FAT32?

Lo avevo provato tempo fa, dopo che fui costretto a FORMATTARE improvvisamente il PC causa CRASH, ma non riuscì a recuperare quasi nulla...

Per quello pensavo che STELLAR PHOENIX o EASY RECOVERY PROFESSIONAL fossero meglio!!




I dati tecnici del mio PC sono in soldoni questi:




Ho SERVICE PACK 3 aggiornato pochi giorni fa...



HARD DISK:


-Maxtor 6E040L0
-WDC WD400BB-00DEA0



Quanto alla scheda madre purtroppo ho preso il PC usato da un amico....


Allora ho scaricato CPU-Z che mi ha dato come risultato questi dati:


Motherboard:


manifacturer: MSI

model: MS-6195

chipset: AMD - AMD-751 - Rev. A5

southbridge: AMD -AMD-756



E per quanto riguarda il BIOS:



BIOS: American Megatrends Inc

Version: A6195KMS V 1.3



Tieni conto che il PC di casa è piuttosto datato...




Attendo tue notizie.

se i files da recuperare sono tanti può essere meglio provare prima a sistemare il problema gratuitamente... dato che i software che hai segnalato sono tanto validi quanto a pagamento ;)

se i files da recuperare sono tanti può essere meglio provare prima a sistemare il problema gratuitamente... dato che i software che hai segnalato sono tanto validi quanto a pagamento ;)




Ciao!!

Ok però li posso usare in versione TRIAL.... no??


Che alternative FREE mi consigli?

E soprattutto come individuare questo fantomatico VIRUS per evitare di riavere lo stesso problema in futuri?

Devo per forza scaricare KASPERSKY (che free non è) e ANTIVIR per individuarlo e eliminarlo?

Dunque mi consigli di non seguire le istruzioni presenti in questo thread e procedere subito al recupero DATI per poi riformattare l'unità D?

Ciao!!

Ciao!!

Ok però li posso usare in versione TRIAL.... no??


Che alternative FREE mi consigli?

E soprattutto come individuare questo fantomatico VIRUS per evitare di riavere lo stesso problema in futuri?

Devo per forza scaricare KASPERSKY (che free non è) e ANTIVIR per individuarlo e eliminarlo?

Dunque mi consigli di non seguire le istruzioni presenti in questo thread e procedere subito al recupero DATI per poi riformattare l'unità D?

Ciao!!

esistono ottimi programmi di ripristino dati free se non si tratta di ambiti commerciali/aziendali quindi puoi evitare le trial :)
per avere una lista abbastanza completa di programmi free/opensource:
http://www.hwupgrade.it/forum/showthread.php?t=668898

;) Salve, vorrei sapere se qualcuno ha sentito parlare di SONG.exe ed UFO.exe
Compaiono tante volte sulla mia chiavetta USB quando viene inserita e scompaiono subito dopo. Norton 2008 non li vede e non trovo da nessuna parte info in merito. Rimane solo il file autorun.inf che ho eliminato più volte.
Ho anche formattato la penna mille volte, ma quando la reinserisco ricompare.
Ho avuto dei problemi col portatile che ho risolto leggendo anche questo forum (presumo ancora che sia infetto) ma rimane il fatto che se faccio una ricerca sul pc non trovo niente con questi nomi, come so se hanno già fatto dei danni?
Qualcuno sa qualcosa?

Grazie!!!

probabilmente la inserisci in un pc infetto che la infetta nuovamente :)

Se ti dice cosa pensa (e pensiamo) di Avast SIVirus, ci resti male.

Ti presento il migliore antivirus free attualmente sulla piazza:
ANTIVIR PERSONAL EDITION FREE:

L'Avira Antivirus non scansiona la posta pop3/smtp, quindi magari anche l'Avast potrebbe andar bene, magari in accoppiata con un piccolo firewall free.

byezzz

L'Avira Antivirus non scansiona la posta pop3/smtp, quindi magari anche l'Avast potrebbe andar bene, magari in accoppiata con un piccolo firewall free.

byezzz
sicuro che non lo faccia???

sicuro che non lo faccia???

http://www.free-av.de/en/products/1/avira_antivir_personal__free_antivirus.html

così dicono qui.


byezzz

http://www.free-av.de/en/products/1/avira_antivir_personal__free_antivirus.html

così dicono qui.


byezzz

nelle impostazioni c'è qualcosa relativo alla mail ma devo ancora capire cosa sia....

comunque avast risulta pessimo in molto confronti fatti da siti autorevole, e non penso che il fatto delle mail sia così preponderante nella scelta del software ;)

Grazie bugs, leggendo la guida in prima pagina ho risolto un problemino che mi affliggeva da tempo.

P.S.
Ti dedico il mio millesimo post :sofico: !

Ciao
penso di essere stato infettato da ufo.exe me l'ha rilevato solamente una volta Avg 8.0 adesso ogni volta che inserisco una chiavetta e clikko 2 volte sull'icona mi chiede di selezionare un programma da elenco per aprire la chiavetta....
seguo la procedura anche io?

segui la guida del primo post

Al posto di antivir nn posso usare avg???
Ti allego il file di hijackthis

Al posto di antivir nn posso usare avg???
Ti allego il file di hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.19.27, on 28/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\EPSON\ESM2\eEBSVC.exe
C:\xampp\apache\bin\apache.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\xampp\filezillaftp\filezillaserver.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\xampp\apache\bin\apache.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192202012093
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A21B3B00-04B1-421D-BB06-99D446BD3406}: NameServer = 85.37.17.7 85.38.28.95
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\EPSON\ESM2\eEBSVC.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6253 bytes

sarebbe meglio che tu caricassi tutti i log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)


Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab


gli altri log?
sei libero di usare qualsiasi antivirus, noi consigliamo...

@ Sturpaie:
leggere le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1589984)

Ragazzi un aiuto per favore: ne stò uscendo matto...

ho seguito la guida, ora nel pc non vengono più creati file autorun.inf nelle unità, ma continua a crearmeli in qualsiasi penna usb io inserisca, con questo contenuto: [autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
shell\open\default=1

all'avvio di windows vedo una finestrella del tipo "applicazione impostazioni personalizzate..." e dentro la scritta recycler e qualcos'altro (è troppo veloce)...

avast ovviamente si limita a trovare il file nelle pennette e rimuoverlo, ma anche una scansione completa con antivir non ha dato risultati, stessa cosa per trend micro online scan.

ho provato anche Flash_Disinfector ma si limita a creare la cartella con lo stesso nome, in realtà non risolve il problema nel pc.

l'analisi di un log di highackthis non ha evidenziato nulla di anomalo, così come una scansione con prevxcsi e avenger.

non so cos'altro provare... :(

Devi formattare la chiavetta usb ma PRIMA di inserirle nel tuo pc devi DISATTIVARE l'autoplay altrimenti è inutile.

Se mi dici quale sistema operativo hai( XP home o Professional? oppure Vista?) ti posso aiutare a disattivarlo,cosi puoi inserire le penne e formattarle senza avere più problemi.

Sempre ammesso che ora tu non ri-abbia il pc infetto!

P.S. sostituisci Avast con il miglior ANTIVIR (nella mia firma trovi il download e la guida)

Devi formattare la chiavetta usb ma PRIMA di inserirle nel tuo pc devi DISATTIVARE l'autoplay altrimenti è inutile.

Se mi dici quale sistema operativo hai( XP home o Professional? oppure Vista?) ti posso aiutare a disattivarlo,cosi puoi inserire le penne e formattarle senza avere più problemi.

Sempre ammesso che ora tu non ri-abbia il pc infetto!

P.S. sostituisci Avast con il miglior ANTIVIR (nella mia firma trovi il download e la guida)

ehm... le varie guide e siti che ne parlano in rete le ho lette praticamente tutte e qualcosa me ne intendo: il SO è win xp home e l'autorun l'ho già disattivato per tutte le unità impostando la chiave di registro [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer] a "181"

il problema è che il pc non sembra infetto o almeno, nei drive del pc non si presenta più il problema dell'autorun.inf mentre se inserisco una pennetta, su questa viene subito creato il file, prontamente rilevato e tolto da qualsiasi AV ma subito dopo si ricrea, quindi ci deve ancora essere qualche task attivo nel pc che fa si che questo succeda... ma non capisco quale...

p.s. antivir, come ho scritto sopra, l'ho provato, ma non ha trovato nulla. e in più, rispetto ad avast rompe un tantino le scatole con messaggi pubblicitari...

p.s. in ogni penna usb viene creato, oltre al file autorun.inf col contenuto sopra descritto, una cartella recycler con dentro un file con icona del cestino (appunto, recycler) col nome scritto nel file .inf: S-1-5-21-1482476501-1644491937-682003330-1013: è normale che ci sia anche in una penna usb? viene creata in ogni unità?

E' spoolsv.exe che ti crea problemi. Si trova nella cartella del cestino e quindi non è stato eliminato definitivamente.
Abilita la visualizzazione dei file di sistema (Pannello di Controllo, Opzioni Cartella) e fallo analizzare su www.virustotal.com e poi riporta qui il link dei risultati.
Non so se puoi risolvere semplicemente svuotando il cestino. Altrimenti puoi provare a rimuoverlo con FileAssassin (http://www.malwarebytes.org/fileassassin.php). Lo avvii, clicca su ... per trovare il file e metti il segno di spunta a Delete File.

p.s. in ogni penna usb viene creato, oltre al file autorun.inf col contenuto sopra descritto, una cartella recycler con dentro un file con icona del cestino (appunto, recycler) col nome scritto nel file .inf: S-1-5-21-1482476501-1644491937-682003330-1013: è normale che ci sia anche in una penna usb? viene creata in ogni unità?

Segui la Guida da come descrivi il problema il Pc sembra infetto ed il worm crea una copia di stesso sulla chiave USB all'inserimento della stessa

E' spoolsv.exe che ti crea problemi. Si trova nella cartella del cestino e quindi non è stato eliminato definitivamente.
Abilita la visualizzazione dei file di sistema (Pannello di Controllo, Opzioni Cartella) e fallo analizzare su www.virustotal.com e poi riporta qui il link dei risultati.
Non so se puoi risolvere semplicemente svuotando il cestino. Altrimenti puoi provare a rimuoverlo con FileAssassin (http://www.malwarebytes.org/fileassassin.php). Lo avvii, clicca su ... per trovare il file e metti il segno di spunta a Delete File.

nella cartella del cestino non c'è assolutamente nulla. la visualizzazione di cartelle e file nascosti di sistema è abilitata.
quel spoolsv.exe che vedi sembrerebbe dovesse essere nella cartella recycler che crea in ogni penna usb. cmq non c'è nemmeno lì.

per sicurezza ho fatto analizzare dal sito che hai consigliato il file spoolsv.exe in esecuzione, ma risulta essere quello originale di win xp.


Segui la Guida da come descrivi il problema il Pc sembra infetto ed il worm crea una copia di stesso sulla chiave USB all'inserimento della stessa

ho già seguito la guida...
però il pc rimane infetto e infatti continua a replicarsi su ogni penna che inserisco... ma non capisco quale sia il processo col malware...

p.s. ho eseguito anche spybot e spydoctor... entrambi hanno trovato dell'altro e rimosso ma il problema rimane...

p.s. qui il log di hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10.20.13, on 21/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Lectra\Modaservice\modaserv.exe
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\Programmi\Spyware Doctor\swdsvc.exe
C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmi\Spyware Doctor\SDTrayApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\taskmgr.exe
H:\PhoneConnectorVMC.exe
C:\Programmi\vodafone\vmclite\vmc.exe
C:\Documents and Settings\GROSSI ANGELA\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [SDTray] C:\Programmi\Spyware Doctor\SDTrayApp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Point&&Go - C:\Programmi\File comuni\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Garzanti Linguistica - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\File comuni\Garzanti\Dizionari Garzanti 2005\IEExtension.dll
O9 - Extra 'Tools' menuitem: Garzanti Linguistica - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programmi\File comuni\Garzanti\Dizionari Garzanti 2005\IEExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Unknown owner - C:\Programmi\PrevxCSI\prevxcsi.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Modaservice - Unknown owner - C:\Programmi\Lectra\Modaservice\modaserv.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe

--
End of file - 9193 bytes


purtroppo c'è un bordello di roba... ma anche da un'analisi di quel sito che analizza i log online, sembra tutto ok...

pps: trend micro office scan lo rileva come "MAL_OTORUN1"...

Visto che hai scritto di aver gia eseguito la guida e altre svariate scansioni, il tuo problema secondo me è qui:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

Esegui SDFIX, che è sicuramente in grado di individuare il malware in quella posizione, essendo nel suo database.

http://www.downloads.andymanchesta.com/RemovalTools/SDFix.exe

Una volta scaricato,doppio click su SDFix.exe per lanciare l'installazione
Clicca su Install, finita l'installazione riavvia il sistema in modalità provvisoria
In modalità provvisoria fai un doppio click sul file RunThis.bat, seleziona Y e premi Invio.
Al riavvio SDFix salva il log e poi postalo qui.

NB: quando fai girare SDFix come consigliato da NUZ ricorda di:

mettere il segno di spunta su Visualizza cartelle e file nascosti
togliere il segno di spunta da Nascondi i file protetti di sistema e Nascondi le estensioni per i tipi di file conusciuti

Applica e OK

Visto che hai scritto di aver gia eseguito la guida e altre svariate scansioni, il tuo problema secondo me è qui:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

Esegui SDFIX, che è sicuramente in grado di individuare il malware in quella posizione, essendo nel suo database.

http://www.downloads.andymanchesta.com/RemovalTools/SDFix.exe

Una volta scaricato,doppio click su SDFix.exe per lanciare l'installazione
Clicca su Install, finita l'installazione riavvia il sistema in modalità provvisoria
In modalità provvisoria fai un doppio click sul file RunThis.bat, seleziona Y e premi Invio.
Al riavvio SDFix salva il log e poi postalo qui.


anzitutto grazie a te e a tutti gli altri ;)
sembra che tu avessi ragione :ave: era proprio lì il problema... però da SO non riuscivo a vederlo assolutamente.
SDFIX entra di diritto nei tool più utili della mia lista! :D
ecco il report:



SDFix: Version 1.218
Run by ANGELA on 21/08/2008 at 11.10

Microsoft Windows XP [Versione 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 11:16:53
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programmi\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:29,dd,01,67,66,1f,74,0b,6c,e3,df,be,de,72,2b,9a,69,e8,ae,f7,94,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ec,60,47,7e,dd,56,50,44,cc,83,97,8d,b0,b6,5f,c2,22,..
"khjeh"=hex:97,dc,1e,08,bb,54,d1,31,ad,25,37,61,54,1d,18,02,fa,42,38,25,09,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ac,f4,3e,58,37,68,d9,ae,65,af,c2,1d,a9,78,a2,42,d4,c9,17,45,d5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programmi\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:29,dd,01,67,66,1f,74,0b,6c,e3,df,be,de,72,2b,9a,69,e8,ae,f7,94,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ec,60,47,7e,dd,56,50,44,cc,83,97,8d,b0,b6,5f,c2,22,..
"khjeh"=hex:97,dc,1e,08,bb,54,d1,31,ad,25,37,61,54,1d,18,02,fa,42,38,25,09,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ac,f4,3e,58,37,68,d9,ae,65,af,c2,1d,a9,78,a2,42,d4,c9,17,45,d5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programmi\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:29,dd,01,67,66,1f,74,0b,6c,e3,df,be,de,72,2b,9a,69,e8,ae,f7,94,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,ec,60,47,7e,dd,56,50,44,cc,83,97,8d,b0,b6,5f,c2,22,..
"khjeh"=hex:97,dc,1e,08,bb,54,d1,31,ad,25,37,61,54,1d,18,02,fa,42,38,25,09,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ac,f4,3e,58,37,68,d9,ae,65,af,c2,1d,a9,78,a2,42,d4,c9,17,45,d5,..

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2191a186-6eb4-11dd-bbba-00163655349e}]
"BaseClass"="Drive"
"_AutorunStatus"=hex:01,01,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,..
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56cdaafc-3798-11db-b8e7-806d6172696f}]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56cdaafd-3798-11db-b8e7-806d6172696f}]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{56cdaafe-3798-11db-b8e7-806d6172696f}]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{689ade4b-6e22-11dd-bbb8-00163655349e}]
"BaseClass"="Drive"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bf921052-ffc2-11dc-baf6-00163655349e}]
"BaseClass"="Drive"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"="C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"
"C:\\Programmi\\Messenger\\msmsgs.exe"="C:\\Programmi\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programmi\\Kodak\\KODAK Software Updater\\7288971\\Program\\backWeb-7288971.exe"="C:\\Programmi\\Kodak\\KODAK Software Updater\\7288971\\Program\\backWeb-7288971.exe:*:Disabled:backWeb-7288971"
"C:\\WINDOWS\\AdobeR.exe"="C:\\WINDOWS\\AdobeR.exe:*:Disabled:AdobeR"
"F:\\AdobeR.exe"="F:\\AdobeR.exe:*:Disabled:AdobeR"
"C:\\Programmi\\eMule\\emule.exe"="C:\\Programmi\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programmi\\iTunes\\iTunes.exe"="C:\\Programmi\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programmi\\AdunanzA\\eMule_AdnzA.exe"="C:\\Programmi\\AdunanzA\\eMule_AdnzA.exe:*:Enabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programmi\\Bonjour\\mDNSResponder.exe"="C:\\Programmi\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programmi\\Lectra\\ModarisV5R1\\bin\\ModarisV5R1.exe"="C:\\Programmi\\Lectra\\ModarisV5R1\\bin\\ModarisV5R1.exe:*:Enabled:ModarisV5R1"
"C:\\Programmi\\Skype\\Phone\\Skype.exe"="C:\\Programmi\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programmi\\MSN Messenger\\msnmsgr.exe"="C:\\Programmi\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programmi\\MSN Messenger\\livecall.exe"="C:\\Programmi\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programmi\\Internet Explorer\\iexplore.exe"="C:\\Programmi\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programmi\\MSN Messenger\\msnmsgr.exe"="C:\\Programmi\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programmi\\MSN Messenger\\livecall.exe"="C:\\Programmi\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Programmi\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe"
Mon 7 Jul 2008 2,156,368 A.SHR --- "C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe"
Wed 19 Apr 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTIBUN4.dll"
Wed 19 Apr 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTICDMK7.dll"
Wed 19 Apr 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTIFCD3.dll"
Wed 19 Apr 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTIMP3.dll"
Wed 19 Apr 2006 1,024 A..HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Tue 26 Sep 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\df3d775e7b42b8dc342b507906f4e30c\BIT1.tmp"
Wed 7 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eed0eb90e3e924174e431be388f7b127\BIT6.tmp"

Finished!


ora infatti sembra non fare più nulla alle pennette.

(LOL le faccine :D)

Bene :) sarebbe opportuno ripetere la scansione con SDFix con i parametri qui indicati http://www.hwupgrade.it/forum/showpost.php?p=23755660&postcount=110

Bene :) sarebbe opportuno ripetere la scansione con SDFix con i parametri qui indicati http://www.hwupgrade.it/forum/showpost.php?p=23755660&postcount=110

avevo già impostato quei parametri. ;)
è per questo che non mi capacito di come mai non riuscissi a vedere quell'eseguibile di m... :boh:

avevo già impostato quei parametri. ;)
è per questo che non mi capacito di come mai non riuscissi a vedere quell'eseguibile di m... :boh:

L'impostazione dei suddetti parametri non è riferita c:\RECYCLER bensì alla eventuale presenza di C:\autorun.inf per quanto riguarda C:\RECYCLER nello specifico oltre ad essere nascosta è legata all'identificatore di protezione per ogni utente ;)

@ RiccardoS:
a me sembra che non hai letto le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598), ed è il caso che tu lo faccia quanto prima ;)
grazie :)


@ agli altri:
sapete che non dovete dare assistenza a chi non le rispetta... come le regole valgono per voi così anche per gli altri, nessuna eccezione.
in considerazione del fatto che fare eccezioni porta a caos come verificato a luglio.
grazie della collaborazione

@ RiccardoS:
a me sembra che non hai letto le Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598), ed è il caso che tu lo faccia quanto prima ;)
grazie :)

mhhh... veramente le ho lette, e vedendo questa:

Prima di aprire un thread è necessario assicurarsi che non ne esista già uno aperto uguale alla propria problematica usando l'apposita funzione Cerca e selezionando la sezione in cui limitare la ricerca;

ho pensato fosse meglio continuare in questo thread...

se ti riferisci ai log corposi, me ne scuso. ;)

infatti ti ho ripreso per un altro motivo,ossia per i log pubblicati! :)
più il thread risulterà scorrevole epiù noi saremmo agevolati a darti assistenza, è nel tuo inetresse :)

Ciao scusate,
come si disattiva l'autoplay?
grazie

Per disabilitare la funzione di riproduzione automatica su XP
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Sistema → Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

Per disabilitare la funzione di riproduzione automatica su Vista
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Componenti di Windows → Criteri Autoplay → Nella finestra di destra doppio click su Disattiva Autoplay → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

Nella guida da seguire nel primo post non si dice di disattivare l'autoplay
per eliminare il virus ufo.exe giusto?

Nella guida da seguire nel primo post non si dice di disattivare l'autoplay
per eliminare il virus ufo.exe giusto?
non mi sembra, ma non costa nulla disattivarlo ;)

Per disabilitare la funzione di riproduzione automatica su XP
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Sistema → Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

un appunto: questo funziona solo su sp professional.
per xp home o installi i powertoys o modifichi a mano il registro. cercando un attimo sulla rete si trovano le chiavi giuste con cui smanettare. ;)

alrimenti ogni volta che inserisci una chiavetta usb o cd/dvd tieni premuto il tasto per le maiuscole temporanee :)

Faccio un appunto per quel maledetto autorun.inf
Il virus crea file, come noto, su hard disk in formato "nascosto" e "file di sistema"
Allora si va in opzioni cartella --> visualizzazione e si mette la spunta per vedere quei file che altrimenti sarebbero invisibili
Fin qui ok
Ma poi in realtà i file di sistema non sono visibili
Infatti il virus modifica una chiave di registro, si chiama ShowSuperHidden che non mi ricordo dove cavolo stia, aggiungendo uno spazio vuoto dopo il nome della chiave così da rendere inutilizabile quella voce.
Poi crea un'altra ShowSuperHidden con altri valori
Ogni modifica fatta da opzioni cartella non funziona
Io a volte uso winrar per vedere tutti i file presenti in una directory senza stare a cambiare le ozioni cartella
Ah, mi riferisco sempre a windows xp
Ciao

probabilmente lo spazio a cui ti riferisci è nel nome della chiave rendendola così non utilizzabile dal sistema operativo..
la chiave è la seguente:
HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Explorer\Advanced
ShowSuperHidden : esedecimale

richiamata da:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
ValueName : Dword : ShowSuperHidden

altra alberatura da contollare che non abbia chiavi al suo interno tranne la default:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden

:)

Esatto
Io infatti mi ero ritrovato il nome ShowSuperHidden"spaziobianco" invece che ShowSuperHidden semplice

Stessa cosa mi era capitata sul nome Hidden (Hidden sostituito da Hidden"spaziobianco")

Esatto
Io infatti mi ero ritrovato il nome ShowSuperHidden"spaziobianco" invece che ShowSuperHidden semplice

Stessa cosa mi era capitata sul nome Hidden (Hidden sostituito da Hidden"spaziobianco")

cmq ottimo consiglio, lo integro in una nuova guida :)

Grazie a tutti per la disponibilità.
Ho seguito la guida iniziale.
Adesso quando inserisco una chiavetta nn mi chiede più come voglio aprire i file.
Il problema che avevo prima era che per visualizzare il contenuto della chiavetta dovevo fare tasto destro sull'icone ed esplora adesso invece me lo apre anke con doppio click ma nn parto l'autorun...
Suggerimenti?

Il problema che avevo prima era che per visualizzare il contenuto della chiavetta dovevo fare tasto destro sull'icone ed esplora adesso invece me lo apre anke con doppio click ma nn parto l'autorun...
Suggerimenti?

Ciao,

dipende che sistema operativo hai:


Attiva l'autoplay delle pennine usb se avete XP HOME

- Start -- Esegui -- digita regedit
- Portatevi sulla seguente chiave di registro sulla parte sinistra dello schermo
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer]
- MOdifica (se esiste) o crea (modifica -- nuovo)=> Valore DWORD, denominandolo come segue: NoDriveTypeAutoRun
- Assegnagli il valore su base Decimale 145
- Chiudi e riavvia il pc e la modifica è attiva!


se avete XP PROFESSIONAL:
- Start -- Esegui --- digita GPEDIT.MSC
- Dal menu di sinistra fate questo percorso Configurazione Computer --Modelli Amministrativi -- Sistema- Sulla parte destra Scorrete l'elenco finché trovate la voce "Disattiva Riproduzione Automatica" e selezionatela con un doppio click del mouse;
- Dalla finestra successiva selezionate la voce "Attivata";
- Confermate il tutto e chiudete il pannello di amministrazione.
- La modifica è attiva!



Inoltre se metti un cd l'autorun funziona o no?

Grazie a tutti per la disponibilità.
Ho seguito la guida iniziale.
Adesso quando inserisco una chiavetta nn mi chiede più come voglio aprire i file.
Il problema che avevo prima era che per visualizzare il contenuto della chiavetta dovevo fare tasto destro sull'icone ed esplora adesso invece me lo apre anke con doppio click ma nn parto l'autorun...
Suggerimenti?

Dicci quali punti della guida hai eseguito

Tutti i punti ho seguito.
L'autorun non parte nemmeno per i cd.

Tutti i punti ho seguito.
L'autorun non parte nemmeno per i cd.

Ho xp home

Ho xp home

Ok ma il tuo problema iniziale qual'era, inoltre dimmi se l'autoplay non parte anche quando inserisci un Cd

Ciao,

dipende che sistema operativo hai:


Attiva l'autoplay delle pennine usb se avete XP HOME

- Start -- Esegui -- digita regedit
- Portatevi sulla seguente chiave di registro sulla parte sinistra dello schermo
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer]
- MOdifica (se esiste) o crea (modifica -- nuovo)=> Valore DWORD, denominandolo come segue: NoDriveTypeAutoRun
- Assegnagli il valore su base Decimale 145
- Chiudi e riavvia il pc e la modifica è attiva!


se avete XP PROFESSIONAL:
- Start -- Esegui --- digita GPEDIT.MSC
- Dal menu di sinistra fate questo percorso Configurazione Computer --Modelli Amministrativi -- Sistema- Sulla parte destra Scorrete l'elenco finché trovate la voce "Disattiva Riproduzione Automatica" e selezionatela con un doppio click del mouse;
- Dalla finestra successiva selezionate la voce "Attivata";
- Confermate il tutto e chiudete il pannello di amministrazione.
- La modifica è attiva!



Inoltre se metti un cd l'autorun funziona o no?

ho xp home....
Esiste già una voce con
nome NoDriveTypeAutoRun
tipo REG_DWORD
dati 0x00000024 (36)

è questa che devo modificare?

Ok ma il tuo problema iniziale qual'era, inoltre dimmi se l'autoplay non parte anche quando inserisci un Cd

Il mio problema era questo...
Quando inserivo una chiavetta la prima volta usciva il menù dal quale scegliere
l'operazione che volevo eseguire : Visualizza file o cartelle,nessuna operazione,ecc.... se chiudevo e andavo ad aprire con doppio click la chiavetta mi diceva con quale applicazione volevo aprirla allora per visualizzare i file dovevo fare con il tasto dx del mouse esplora...
Avg mi ha trovato un virus chiamato ufo.exe allora ho seguito la guida....
ma adesso nn fa più l'autorun nemmeno coi CD
grazie per l'attenzione siete grandi

Il mio problema era questo...
Quando inserivo una chiavetta la prima volta usciva il menù dal quale scegliere
l'operazione che volevo eseguire : Visualizza file o cartelle,nessuna operazione,ecc.... se chiudevo e andavo ad aprire con doppio click la chiavetta mi diceva con quale applicazione volevo aprirla allora per visualizzare i file dovevo fare con il tasto dx del mouse esplora...
Avg mi ha trovato un virus chiamato ufo.exe allora ho seguito la guida....
ma adesso nn fa più l'autorun nemmeno coi CD
grazie per l'attenzione siete grandi

Fai girare questo tool

http://www.microsoft.com/downloads/details.aspx?FamilyID=c680a7b6-e8fa-45c4-a171-1b389cfacdad&displaylang=en

NB: il sistema operativo deve essere regolarmente licenziato

eventualmente il suggerimento di Gle sopra :)

Fai girare questo tool

http://www.microsoft.com/downloads/details.aspx?FamilyID=c680a7b6-e8fa-45c4-a171-1b389cfacdad&displaylang=en

NB: il sistema operativo deve essere regolarmente licenziato

eventualmente il suggerimento di Gle sopra :)

Devo installare windows genuine advantage?

Devo installare windows genuine advantage?

si serve per verificare che il tuo xp è originale

Io ho fatto adesso l'autoplay dei cd va quello delle chiavette non ancora

Io ho fatto adesso l'autoplay dei cd va quello delle chiavette non ancora

ti allego il log

Io ho fatto adesso l'autoplay dei cd va quello delle chiavette non ancora

Start - Esegui - digita nel box bianco regedit

si aprirà l'Editor del Registro di sistema naviga fino alle seguenti chiavi (1 per volta) e dimmi quali sono i tui parametri

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000001

[HKEY_CURRENT_USER \Software\Microsoft\Windows\Curre ntVersion\Policies\ Explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\ urrentVersion\Winlogon]
"allocatecdroms"="0"

Start - Esegui - digita nel box bianco regedit

si aprirà l'Editor del Registro di sistema naviga fino alle seguenti chiavi (1 per volta) e dimmi quali sono i tui parametri

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000001

[HKEY_CURRENT_USER \Software\Microsoft\Windows\Curre ntVersion\Policies\ Explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\ urrentVersion\Winlogon]
"allocatecdroms"="0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=REG_dword:00000001 (1)

[HKEY_CURRENT_USER \Software\Microsoft\Windows\Curre ntVersion\Policies\ Explorer]
"NoDriveTypeAutoRun"=REG_dword:0x00000000 (0)

[HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\ urrentVersion\Winlogon]
"allocatecdroms"=REG_SZ:"0"

[HKEY_CURRENT_USER \Software\Microsoft\Windows\Curre ntVersion\Policies\ Explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER \Software\Microsoft\Windows\Curre ntVersion\Policies\ Explorer]
"NoDriveTypeAutoRun"=REG_dword:0x00000000 (0)

modifica il valore, chiudi l'Editor e riavvia il Pc

[HKEY_CURRENT_USER \Software\Microsoft\Windows\Curre ntVersion\Policies\ Explorer]
"NoDriveTypeAutoRun"=REG_dword:0x00000000 (0)

modifica il valore, chiudi l'Editor e riavvia il Pc

Grazie mille....
Adesso va anche quello delle chiavette
Ti ringrazio...
Se il problema torna stai sicuro che mi rifaccio vivo!!!
Grazie di tutto buonanotte

Grazie mille....
Adesso va anche quello delle chiavette
Ti ringrazio...
Se il problema torna stai sicuro che mi rifaccio vivo!!!
Grazie di tutto buonanotte

Prego di nulla, notte ;)

Ciao ragazzi il mio problema e un po diverso..
io dopo che ho inserito quella maledetta penna il mio pc nn mi da piu ne task menager ne esegui ne pront ..quindi molte cose che voi dite io nn riesco a farle..nn mi installa nemmeno gli antivirus..insomma nn mi fa fare un tubo..e nn riesco nemmeno a formattare la penna..o eliminare il virus autorun.inf
si insomma un casino
che pizza

Ciao ragazzi il mio problema e un po diverso..
io dopo che ho inserito quella maledetta penna il mio pc nn mi da piu ne task menager ne esegui ne pront ..quindi molte cose che voi dite io nn riesco a farle..nn mi installa nemmeno gli antivirus..insomma nn mi fa fare un tubo..e nn riesco nemmeno a formattare la penna..o eliminare il virus autorun.inf
si insomma un casino
che pizza

Ciao allega un log del tool indicato al Punto 3 di questa Guida (http://www.hwupgrade.it/forum/showthread.php?t=1562611)

Il log va allegato nel rispetto delle regole di sezione che ho in firma, grazie. :)

piccole modifiche...

Ragazzi nn riuscivo a fare nulla cosi stamane ero nera ed ho formattato
però il problema rimane la chiavetta usb dato che ho tutti i doc del lavoro e nn posso assolutamente perdere
come posso fare?
Sono imbranata ma capisco al volo le cose da fare se qualcuno me le spiega:)
grazie e scusate se rompo

ciao
devi seguire la guida del primo post

Ciao ragazzi, praticamente mi succede questo:

Ho formattato di recente il mio portatile, mi serviva farlo per cambiare sistema operativo, prima di farlo avevo il virus delle pennette. Allora, una pennetta non era mia ma di mio padre, che dopo averla messa nel pio pc, l'ha messa nel suo che così si è infettato. Ora, ogni volta che me la da, mi da il problema che da risorse non posso aprirla ed invece dell'icona di disco removibile (ho windows XP sp2) mi da una cartella inapribile, a meno che non vado su esegui e faccio D:. Allora, le altre mie chiavette partono sempre, quindi non hanno il virus, ma quella di mio padre, ogni volta devo firmattarla. se la reinserisc nel mio la apre tranquillamente, ma se la do a lui e poi la apro il, stesso problema. Dunque, il virus io ce l'ho di nuovo o no?? E' una cosa fastidiosissima e non mi va che il pc appea formattato e ripulito mi si infetta nuovamente... vorrei capire se devo fare qualcosa nel mio pc o solo in quello di mio padre...

Possibile che io il virus non l'ho preso??

Vi chiedo di darmi una mano se potete...

Grazie a tutti

Gabriele

Ciao ragazzi, praticamente mi succede questo:

Ho formattato di recente il mio portatile, mi serviva farlo per cambiare sistema operativo, prima di farlo avevo il virus delle pennette. Allora, una pennetta non era mia ma di mio padre, che dopo averla messa nel pio pc, l'ha messa nel suo che così si è infettato. Ora, ogni volta che me la da, mi da il problema che da risorse non posso aprirla ed invece dell'icona di disco removibile (ho windows XP sp2) mi da una cartella inapribile, a meno che non vado su esegui e faccio D:. Allora, le altre mie chiavette partono sempre, quindi non hanno il virus, ma quella di mio padre, ogni volta devo firmattarla. se la reinserisc nel mio la apre tranquillamente, ma se la do a lui e poi la apro il, stesso problema. Dunque, il virus io ce l'ho di nuovo o no?? E' una cosa fastidiosissima e non mi va che il pc appea formattato e ripulito mi si infetta nuovamente... vorrei capire se devo fare qualcosa nel mio pc o solo in quello di mio padre...

Possibile che io il virus non l'ho preso??

Vi chiedo di darmi una mano se potete...

Grazie a tutti

Gabriele
ciao

per pulire pc e chiavette


inserisci tutte le chiavette infette nel pc tenendo premuto il tasto Shift (quello con la freccia in su situato tra Ctrl e Cap Lock) prima dell'inserimento
disattiva il ripristino configurazione di sistema (http://www.hwupgrade.it/forum/showpost.php?p=24113221&postcount=23)
fai pulizia con ATFCleaner (http://www.hwupgrade.it/forum/showpost.php?p=24033021&postcount=2)
fai una scansione completa con Cureit (http://www.hwupgrade.it/forum/showpost.php?p=24033048&postcount=5)
abilita la visualizzazione dei files nascosti e di sistema (http://www.hwupgrade.it/forum/showpost.php?p=25063497&postcount=39)
accedi a tutti i dischi, partizioni e chiavette e cancella tutti i file autorun.inf se ne trovi


al termine carica il log di cureit "filtrato"seguendo il punto 4 delle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

Allora, ho fatto la scansione della pennetta con Norton IS 2009 (so tutto, ebbene si lo uso lo stesso perchè mi trovo bene) e mi ha trovato il Virus: IRCBOT, lo ha tolto ed ora tutto va bene, ma non capisco perchè norton non lo fa in auto dato che nelle impostazioni lo scan delle pennette è attivato... cmq, è pericoloso tenere visibili i fille di sistema se il mio pc lo uso solo io e non sono prorpio il tipo che si mette a cancellare file a vanvera??

Grazie a tutti ;-)

su che pc è installato norton?
i file di sistema è meglio lasciarli nascosti

E' un portatile con AMD 3000+ (1600 Mhz), 512 di RAM, tutto sommato, dopo un'ottimizzazione di servizi, esecuzione automatica etc, il pc è sufficientemente fluido anche con piu applicazioni aperte tipo azureus, dreamweaver, corel... poi dal 2007 al 2009 c'è stato un bel passo avanti in quanto a leggerezza... cmq so che molti lo odiano etc, io oramai lo conosco ed in diversi anni l'unico virus mi è entrato solo il mese scorso col 2007 a causa di un DVD di mio fratello che gli aveva prestato un amico...e lo uso dal 2005 il Norton.

salve a tutti
Ringrazio wjmat per avermi indicato questo thread.
Anche a me quando inserisco un hd esterno avira mi segnala un problema sul file 1RFW8HJR.COM, che viene lanciato dall'autorun.
Ho lanciato flash_disinfector ma nel hd portatile non crea nessuna cartella autorun.inf, mentre lo crea nei dischi di sistema, e mi rimane l'autorun.inf originale.
Chi non ha problemi con gli hd portatili con windows xp mi potrebbe gentilmente spedire il suo file autorun.inf e l'applicazione che lancia l'autorun?in modo da provare a sostituirlo a mano? grazie 1000.

PS:Il pc è pulito.

salve a tutti
Ringrazio wjmat per avermi indicato questo thread.
Anche a me quando inserisco un hd esterno avira mi segnala un problema sul file 1RFW8HJR.COM, che viene lanciato dall'autorun.
Ho lanciato flash_disinfector ma nel hd portatile non crea nessuna cartella autorun.inf, mentre lo crea nei dischi di sistema, e mi rimane l'autorun.inf originale.
Chi non ha problemi con gli hd portatili con windows xp mi potrebbe gentilmente spedire il suo file autorun.inf e l'applicazione che lancia l'autorun?in modo da provare a sostituirlo a mano? grazie 1000.

PS:Il pc è pulito.

Hai abilitato la visualizzazione dei files nascosti?

si e ho levato nascondi file di sistema.
Non so se c'entra qualcosa ma flash disinfector viene visto da avira come non sicuro quindi per farlo girare devo disabilitare avira.

si e ho levato nascondi file di sistema.
Non so se c'entra qualcosa ma flash disinfector viene visto da avira come non sicuro quindi per farlo girare devo disabilitare avira.

Si è normale che Avira rilevi la minaccia, mi sembra strano che sull'HD non abbia creato: "Flash Disinfector creerà una cartella nascosta denominata autorun.inf in ogni partizione e ogni unità USB collegata è preferibile non eliminare questa cartella aiuterà a proteggere le unità da infezioni future."

Provo di nuovo ma non credo che cambi nulla.....

Provo di nuovo ma non credo che cambi nulla.....

L'importante è che tu sia pulito, eventualmente ogni volta che inserisci una chiavetta o supporto removibile USB: "inserire la pendrive o il lettore nella porta usb e tenere premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay"

no non è cambiato nulla non crea la cartella.
PS:non è una pennetta ma un hd maxtor non credo dovrebbe cambiare nulla.
il file autorun risulta ha dentro:

;7wAKK9o
[AutoRun]
;aKp0clSLa7aDpsaA3FkKsiAoLikn0djkKJlwfq1ike42kllr3l4aK3swLdZ4f2lwZ2odkAw03ALLD5wsq07wd31Koe
open=1rfw8hjr.com
;3as2f3OSkq0kFw1ald4ifkioL7il6j4Sjo0s3HD22IKJ2i7aao92relkLfskawwak42Kds03Xk8o4osSfiKsDks90aiqZDpA1sLAdcS4e0wiLsq703LAaeZ4C4
shell\open\Command=1rfw8hjr.com
;8w9s932Ioakd43aips5AdiDKewsqwarfjkkZL7iw
shell\open\Default=1
;2Lewdii9wdLa42DjeK2iDZaliookda5iJn3dak8aJO42SjAasqKdo34LJa2wLC3537jak0
shell\explore\Command=1rfw8hjr.com
;o2qJs9A3rDZeiiaq2osqdDweSl5k8nqsiokLsik431

può servire?
ma negli hd portatili è necessario l'autorun.inf? che succede se lo cancello direttamente?

no non è cambiato nulla non crea la cartella.
PS:non è una pennetta ma un hd maxtor non credo dovrebbe cambiare nulla.
il file autorun risulta ha dentro:

;7wAKK9o
[AutoRun]
;aKp0clSLa7aDpsaA3FkKsiAoLikn0djkKJlwfq1ike42kllr3l4aK3swLdZ4f2lwZ2odkAw03ALLD5wsq07wd31Koe
open=1rfw8hjr.com
;3as2f3OSkq0kFw1ald4ifkioL7il6j4Sjo0s3HD22IKJ2i7aao92relkLfskawwak42Kds03Xk8o4osSfiKsDks90aiqZDpA1sLAdcS4e0wiLsq703LAaeZ4C4
shell\open\Command=1rfw8hjr.com
;8w9s932Ioakd43aips5AdiDKewsqwarfjkkZL7iw
shell\open\Default=1
;2Lewdii9wdLa42DjeK2iDZaliookda5iJn3dak8aJO42SjAasqKdo34LJa2wLC3537jak0
shell\explore\Command=1rfw8hjr.com
;o2qJs9A3rDZeiiaq2osqdDweSl5k8nqsiokLsik431

può servire?

Quello è da eliminare

GRAZIIIIIIIIIIIIEEEEEEEEEEEEEEEEEEE 1000

ho cancellato direttamente i file autorun.inf e il file 1rfw8hjr.com e sembra andare tutto bene.
Per evitare altri spiacevoli incovenienti posso spostare la cartella autorun.inf creata da flash_disinfector dentro l'hd portatile in modo da evitare che si ricrei il lfile maligno? o dite che non funziona?


PS: Fatto girare di nuovo Flash_disinfector e ora ha creato la cartella

Grazie ancora sei troppo gentile

GRAZIIIIIIIIIIIIEEEEEEEEEEEEEEEEEEE 1000

ho cancellato direttamente i file autorun.inf e il file 1rfw8hjr.com e sembra andare tutto bene.
Per evitare altri spiacevoli incovenienti posso spostare la cartella autorun.inf creata da flash_disinfector dentro l'hd portatile in modo da evitare che si ricrei il lfile maligno? o dite che non funziona?

Fai girare ancora Flash Disinfector

salve a tutti ragazzi,
come un picio... mi sono becchato anche io stò maledetto virus/spyware boot.com agli hard disk...:mad: :cry:
i programmi che abitualmente uso per la protezione del pc (Vista 32b)sono:
Avira Antivir (quello a pagamento, non il Personal), Spybot con il tea timer attivo in bg ,Ccleaner per fare un pò di pulizzia, e naturalmente c'è il Defender di serie di Windows.
ogni volta che tentavo di aprire l'hard disc esterno mi si apriva una finestra di >Esplora risorse (come quando fai doppio click sull'icona del cd, che però è vuoto, e ti dice 'inserire un disco ...') ....

appena tentavo una pèulizia con Ccleaner mi si apriva l'avviso di Antivir che c'era il virus (si era annidiato anche nella cartella Temp di Windows , e ne ccleaner ne Antivir riuscivano a cancellarlo...

cmq anche se non riuscivo a disinfettare, grazie ai vari allarmi dei programmi suddetti ho individuato i file autorun.inf e resycled (cartella con dentro il maledetto boot.com) in tutti gli hard disk (interni ed esterni) ho (precedentemente avevo killato un paio di processi dal task manager (boot.com ed un'altro strano che aveva un nome tipo D2.exe o qualcosa del genere)cancellato i detti file da tutti gli hard disk, mentre la cartella Temp che conteneva diversi file anomali (tra cui quel D2...) non riuscivo a ripulirla, ma alla fine con il tritatutto di spybot sono riuscito a cancellare i file che cerano dentro.
ulteriore scansione con Antivir + spybot (senza avvisi) e pulizia con Ccleaner.

1)il buon Windows Defender però mi segnala come pericoloso (grave) un certo kdxwb.exe nella cartella system32, ma non lo riesce a cancellare/riparare,
è un file legato al maledetto boot.com o comunque nocivo? se si vedo di cancellarlo a mano
2)com'è che antivir , che sicuramente è il meglio sulla piazza, mi ha fatto entrare il bastardo e non è riuscito a rimuoverlo?(mi dava solo l'avviso pre cancellazione manuale, ma non riusciva ad eliminarlo)
3)hgo tentato una scansione online con housecall della microtrend, ma non riesco ad andare avanti, mi dà un errore (che ora non ricordo però... non sono un novizio della cosa e il servizio l'ho usato moltissime volte...)
4) il virus boot.com potrebbe essersi annidiato in altri posti o stò tranquillo?

per sicurezza ho scaricato i 2 tool Flash disinfector e prt che staseerà a casa eseguirò sul pc, inoltre ho scaricato anche HijackThis, stasera lo eseguo e vi posto il log, che di sicuro ci capite più di me e mi date un parere...
buona giornata a tutti, a stasera.
grazie per eventuale supporto

salve a tutti ragazzi,
come un picio... mi sono becchato anche io stò maledetto virus/spyware boot.com agli hard disk...:mad: :cry:
i programmi che abitualmente uso per la protezione del pc (Vista 32b)sono:
Avira Antivir (quello a pagamento, non il Personal), Spybot con il tea timer attivo in bg ,Ccleaner per fare un pò di pulizzia, e naturalmente c'è il Defender di serie di Windows.
ogni volta che tentavo di aprire l'hard disc esterno mi si apriva una finestra di >Esplora risorse (come quando fai doppio click sull'icona del cd, che però è vuoto, e ti dice 'inserire un disco ...') ....

appena tentavo una pèulizia con Ccleaner mi si apriva l'avviso di Antivir che c'era il virus (si era annidiato anche nella cartella Temp di Windows , e ne ccleaner ne Antivir riuscivano a cancellarlo...

cmq anche se non riuscivo a disinfettare, grazie ai vari allarmi dei programmi suddetti ho individuato i file autorun.inf e resycled (cartella con dentro il maledetto boot.com) in tutti gli hard disk (interni ed esterni) ho (precedentemente avevo killato un paio di processi dal task manager (boot.com ed un'altro strano che aveva un nome tipo D2.exe o qualcosa del genere)cancellato i detti file da tutti gli hard disk, mentre la cartella Temp che conteneva diversi file anomali (tra cui quel D2...) non riuscivo a ripulirla, ma alla fine con il tritatutto di spybot sono riuscito a cancellare i file che cerano dentro.
ulteriore scansione con Antivir + spybot (senza avvisi) e pulizia con Ccleaner.

1)il buon Windows Defender però mi segnala come pericoloso (grave) un certo kdxwb.exe nella cartella system32, ma non lo riesce a cancellare/riparare,
è un file legato al maledetto boot.com o comunque nocivo? se si vedo di cancellarlo a mano
2)com'è che antivir , che sicuramente è il meglio sulla piazza, mi ha fatto entrare il bastardo e non è riuscito a rimuoverlo?(mi dava solo l'avviso pre cancellazione manuale, ma non riusciva ad eliminarlo)
3)hgo tentato una scansione online con housecall della microtrend, ma non riesco ad andare avanti, mi dà un errore (che ora non ricordo però... non sono un novizio della cosa e il servizio l'ho usato moltissime volte...)
4) il virus boot.com potrebbe essersi annidiato in altri posti o stò tranquillo?

per sicurezza ho scaricato i 2 tool Flash disinfector e prt che staseerà a casa eseguirò sul pc, inoltre ho scaricato anche HijackThis, stasera lo eseguo e vi posto il log, che di sicuro ci capite più di me e mi date un parere...
buona giornata a tutti, a stasera.
grazie per eventuale supporto
ciao
segui la guida del primo post e carica secondo le modalità i log richiesti, poi vedremo se c'è dell'altro

ciao
segui la guida del primo post e carica secondo le modalità i log richiesti, poi vedremo se c'è dell'altro

per ora sono riuscito 'al volo' in pausa pranzo a fare un giro di Defender in mod. provvisoria, ed è finalmente riuscito a correggermi quell'infezione che dicevo prima...
dopo provo anche antivir e spybot in provvisoria, faccio una scan con Hij e posto il log...
grazie ancora

per ora sono riuscito 'al volo' in pausa pranzo a fare un giro di Defender in mod. provvisoria, ed è finalmente riuscito a correggermi quell'infezione che dicevo prima...
dopo provo anche antivir e spybot in provvisoria, faccio una scan con Hij e posto il log...
grazie ancora
lascia perdere defender e spybot
metti al sicuro il pc con i consigli che trovi nel trattamento in firma e scansiona con gli antispyware consigliati
antivir configuralo come da guida e fai una bella scansione completa

lascia perdere defender e spybot
metti al sicuro il pc con i consigli che trovi nel trattamento in firma e scansiona con gli antispyware consigliati
antivir configuralo come da guida e fai una bella scansione completa

va bene... anche se ci vorrà un pò più di tempo seguirò la guida...
ne vale sicuramente la pena.
vi faccio sapere quando finisco.
peace

ragazzi dopo quella pulitina di oggi ho scaricato il tool di kaspersky e l'ho fatto girare in modalità provvisoria e con Ripristino Config. disattivato

ecco il LOG (http://www.mediafire.com/?gz1agyxujht)

ha trovato un qualche malware nell'exe di Bearshare... ma io non l'ho mai usato... l'avevo in una cartella del disco usb presa dal vecchio notebook... ma stà li da 1 anno e non penso proprio fosse la legato al boot.com

poi ho fatto un uno scan con hijackthis:
ecco il
log (http://www.mediafire.com/?ncthn1mznzy)

a me sembra pulito...


non sò se è collegato ma da ieri sera non riesco a fare questi 2 aggiornamenti:

Aggiornamento per Windows Vista (KB959130)
Aggiornamento per Windows Vista (KB957321)
questo è l'errore di W.update :

Errore 80072efd di Windows Update
(è qualcosa legato al firewall che blocca i siti microzozz, secondo la guida di Vista, ma non ho mai avuto problemi del genere(inoltre io uso quello di Windows... figurati se non fà passare WUpdate, seeeeeeeee:D )

ho provato anche a scaricarli a mano, ma arrivato alla procedura di convalida autenticità del software di Windows... non succede nulla, mentre ricordo che usciva la barra giallina sotto quella degli indirizzi... e scricavi il 'controller' di Windows... insomma nada:confused:

grazie ancora

se vai al link sotto con IE sei genuino?
http://www.microsoft.com/genuine/downloads/Validate.aspx


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O17 - HKLM\System\CCS\Services\Tcpip\..\{244C70DF-2565-42C8-AE80-B873490A88FA}: NameServer = 85.255.112.105;85.255.112.224
O17 - HKLM\System\CCS\Services\Tcpip\..\{85D082A6-AC4F-44FB-8E01-649CACCC506B}: NameServer = 85.255.112.105;85.255.112.224
O17 - HKLM\System\CCS\Services\Tcpip\..\{C929B0ED-54DF-4BA9-A1A5-0F8B449E78D1}: NameServer = 85.255.112.105;85.255.112.224
O16 - tutte le voci se ce ne sono

se vai al link sotto con IE sei genuino?
http://www.microsoft.com/genuine/downloads/Validate.aspx


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O17 - HKLM\System\CCS\Services\Tcpip\..\{244C70DF-2565-42C8-AE80-B873490A88FA}: NameServer = 85.255.112.105;85.255.112.224
O17 - HKLM\System\CCS\Services\Tcpip\..\{85D082A6-AC4F-44FB-8E01-649CACCC506B}: NameServer = 85.255.112.105;85.255.112.224
O17 - HKLM\System\CCS\Services\Tcpip\..\{C929B0ED-54DF-4BA9-A1A5-0F8B449E78D1}: NameServer = 85.255.112.105;85.255.112.224
O16 - tutte le voci se ce ne sono



ok poi ti faccio sapere... a stasera.
naturalmente grazie per il supporto!:)

se vai al link sotto con IE sei genuino?
http://www.microsoft.com/genuine/downloads/Validate.aspx


Lancia HiJackThis
Clicca Do a scan only
Metti la spunta a fianco delle righe che ti segnalo qui sotto
Clicca su Fix Checked
Riavvia il pc
Lancia HiJackThis
Do a system scan and save a logfile
Carica il nuovo log secondo le modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308)

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O17 - HKLM\System\CCS\Services\Tcpip\..\{244C70DF-2565-42C8-AE80-B873490A88FA}: NameServer = 85.255.112.105;85.255.112.224
O17 - HKLM\System\CCS\Services\Tcpip\..\{85D082A6-AC4F-44FB-8E01-649CACCC506B}: NameServer = 85.255.112.105;85.255.112.224
O17 - HKLM\System\CCS\Services\Tcpip\..\{C929B0ED-54DF-4BA9-A1A5-0F8B449E78D1}: NameServer = 85.255.112.105;85.255.112.224
O16 - tutte le voci se ce ne sono


cancellate le voci che mi dicevi con Hij...
ecco il LOG (http://rapidshare.com/files/167902692/hijackthis.log.html)

p.s. non ho cancellato il defender, ma cosa sono quegli ip che mi hai fatto fixare?
il controllo della genuinità lo faccio stasera che ho internet... ma comunque il mio Vista è sicuramente originale, l'ho fatto un sacco di volte quel controllo...
cmq stasera provo al tuo link.
un'altra cosa, non riesco a scaricare il tool di kaspersky da nessuna parte! jmi si aprono sempre pagine bianche col classico errore di I.E.(stesso anche con firefox)... neanche dai link postati QUI (http://www.hwupgrade.it/forum/showthread.php?t=1631690) sul forum, solo l'ultimo me lo permette ma la versione di K. è del 12/11 quindi non aggiornatissima.
ho fatto un giro di Hij anche al pc del lavoro(da dove molto probabilmente mi sono beccato il virus!:-() ed anche lì c'è quell'indirizzo ip strano(uno solo però), ma Hij qui non riesce ad eliminarmelo...
grazie.

L'importante è che tu sia pulito, eventualmente ogni volta che inserisci una chiavetta o supporto removibile USB: "inserire la pendrive o il lettore nella porta usb e tenere premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay"

ma stà cosa con Vista non funziona? ho provato ma mi parte sempre l'autoplay:(

ma stà cosa con Vista non funziona? ho provato ma mi parte sempre l'autoplay:(

Vista
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Componenti di Windows → Criteri Autoplay → Nella finestra di destra doppio click su Disattiva Autoplay → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

cancellate le voci che mi dicevi con Hij...
ecco il LOG (http://rapidshare.com/files/167902692/hijackthis.log.html)

p.s. non ho cancellato il defender, ma cosa sono quegli ip che mi hai fatto fixare?
il controllo della genuinità lo faccio stasera che ho internet... ma comunque il mio Vista è sicuramente originale, l'ho fatto un sacco di volte quel controllo...
cmq stasera provo al tuo link.
un'altra cosa, non riesco a scaricare il tool di kaspersky da nessuna parte! jmi si aprono sempre pagine bianche col classico errore di I.E.(stesso anche con firefox)... neanche dai link postati QUI (http://www.hwupgrade.it/forum/showthread.php?t=1631690) sul forum, solo l'ultimo me lo permette ma la versione di K. è del 12/11 quindi non aggiornatissima.
ho fatto un giro di Hij anche al pc del lavoro(da dove molto probabilmente mi sono beccato il virus!:-() ed anche lì c'è quell'indirizzo ip strano(uno solo però), ma Hij qui non riesce ad eliminarmelo...
grazie.

salve ragazzi
la situazione sul pc di casa sembra risolta... anche se aspetto le vostre impressioni sui log postati nel messaggio che quoto (sono riuscito a fare il controllo di genuinità e gli aggiornamenti Vista)
al lavoro invece l'ultima versione del tool Karpersky non mi riesce a disinfettare una schifezza trovata, mi dà queste info sulla cosa:

28/11/2008 14.42.16 File: C:\WINDOWS\system32\kdkyp.exe detected new variant of new threat 'Hidden.Object'
28/11/2008 14.42.56 File: C:\WINDOWS\system32\kdkyp.exe backed up
28/11/2008 14.42.56 File: C:\WINDOWS\system32\kdkyp.exe delete upon reboot failed

e poi me lo mette in quarantena.
anche Hij mi trova questa voce:
HKLM\..\Run: [C:\WINDOWS\system32\kdkyp.exe] C:\WINDOWS\system32\kdkyp.exe

ma non riesce a fixarla, neanche con ccleaner riesco a disabilitare/cancellare l'autostart.

inoltre ogni volta che accendo il pc arriva alla schermata dell'utente e si riavvia, per farlo partire devo premere f8 per le funzioni di avvio avanzato e avviare 'l'ultima configurazione sicuramente funzionante'.

ma questo .exe è un file di Windows infetto, o proprio il virus?

grazie ancora per tutto (anche a Chill!;-))

EDIT: EVVAIIIIIIIIIIIII!!!!!!!!!!!!!!
ragazzi sarà pure inferiore ad altri (almeno a quanto mi avete detto qui!) ma il caro e vecchio Spybot mi ha sistemato tutti i problemi sul pc del lavoro!!!
niente più riavvio! deletato sia l'autostart che la voce di registro di quel file maledetto (non ci erano riusciti ne Karpersky, ne HiJackthis.) che si è rivelato essere un Keylogger
grande!!!!
grazie comunque per l'aiuto

Ho infettato la memory card sd della fotocamera, il virus si chiama HOST.exe.
Mi ha creato tre files della dimensione di 2 GB l'uno in fondo alle foto, anche se la SD è solo di 256 MB. Per questo motivo non posso effettuare la formattazione.

Ho seguito le vostre istruzioni all'inizio di questo thread, però non posso eseguire alcuna procedura perchè la SD risulta protetta da scrittura.

Come posso fare a togliere la protezione per poter cancellare il file autorun.inf???

Grazie a chiunque possa darmi un consiglio.

Ho infettato la memory card sd della fotocamera, il virus si chiama HOST.exe.
Mi ha creato tre files della dimensione di 2 GB l'uno in fondo alle foto, anche se la SD è solo di 256 MB. Per questo motivo non posso effettuare la formattazione.

Ho seguito le vostre istruzioni all'inizio di questo thread, però non posso eseguire alcuna procedura perchè la SD risulta protetta da scrittura.

Come posso fare a togliere la protezione per poter cancellare il file autorun.inf???

Grazie a chiunque possa darmi un consiglio.

Suggerimento banalissimo, ma hai fatto scorrere il cursore sulla SD?

Hai ragione Chillout, ero così presa dal virus che ho ignorato la soluzione più ovvia e stupida! Mi si era mossa la levetta per sbaglio.:D

Però ora ho un altro problema.. la SD non riesco a formattarla perchè i files che ha creato il trojan non si eliminano in nessun modo (quei tre da due giga l'uno), ma fa niente,tanto l'ho comprata nuova e le foto le ho salvate con copia e incolla...

Il problema è che non capisco come sia potuto entrare questo virus, e adesso ho paura a trasportare le foto nuove, fatte con la nuova memory card ancora nel mio pc. Infetterò anche quella?

Inoltre, ho appena acquistato il pc nuovo: rischio di mettergli dentro il virus se copio e incollo le foto salvate dalla SD infetta sul nuovo hard disk???

non capisco da dove sia entrato, perchè il virus si trovava solo nella SD, nel pc AVG non ha rilevato nulla. Ho fatto passare hijack e dal log non mi sembra che ci siano anomalie gravi....

Non vorrei buttare via anche la nuova SD o peggio infettare il pc appena assemblato nuovo di pacca!!!!

Grazie Chillout!!!

Bene :)

Dando per scontato che il PC dove è stata utilizzata la SD è pulito e per evitare che si infetti insieme al nuovo, utilizza questo piccolo accorgimento:

● inserire la pendrive o il lettore nella porta usb e tenere premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay

Dopodichè procedi col Punto 6 come indicato in Guida

Sera,
sono incappato anche io in questo virus, credo.
Perchè inserendo la pennina, antivira mi dava un avviso di spy.486 se non erro.. su autorun.inf, ho seguito la procedura in questa guida e per salvare i dati ho usato il flashdisinfector, soltanto che fra i file nascosti non vedo nessuna cartella autorun.inf, all'inserimento della penna antivira tace, ma l'autoplay sulla penna non è più attivo, anche se da pannello di contorllo tasto destro, autoplay, risulta che dovrebbe chiedere cosa fare. Ma ciò non accade. Ho provato anche a modificare l'impostazione di autoplay, dare applica, e poi rimettere chiedi cosa fare, ma niente, la schermata non compare. E' normale? Resta solo da salvare i dati e formattare?

grazie
ciao

Salve a tutti,
ho un problema che probabilmente si chiama win31.dll (che però è uno script :muro: ). Non me ne sono mai curata perchè tengo sempre visibili i file nascosti e le estensioni e quindi sono abituata a vedere file con nomi strani nel hd. Però questo qui mi ha fatto molto strano poichè aveva 2 estensioni :doh:
Mi sono accorta che tutte le unità dovevano aprirsi con destro->esplora, e cancellando autorun.inf poi si ricreava. Mio fratello oggi mi ha detto che a scuola l'antivir gli ha rilevato un virus nella chiavetta/mp3 e allora ho provato ad aprirlo con blocco note e...TA-DAN! Ora..ho provato a rimuovere ogni file win31.dll.vbs da unità e cartelle di sistema, ho trovato il file wscript.exe che se la passeggiava nel task manager e l'ho killato, ho eseguito msconfig e bloccato l'avvio in esecuzione automatica dello stesso eseguibile, e ora? mi persiste la scritta Autoplay nel menu tasto destro delle varie unità, e leggendo i vari post ho scoperto un altro programma trojan di nome cfgmng.exe che anche lui se la girava tranquillo... Ora vi chiedo un consiglio su come comportarmi perchè non ho installato nessun antivirus nel pc, ho la connessione 56k quindi nada scaricamenti di programmi pesanti.... :cry:
Mi date una dritta please??

Sera,
sono incappato anche io in questo virus, credo.
Perchè inserendo la pennina, antivira mi dava un avviso di spy.486 se non erro.. su autorun.inf, ho seguito la procedura in questa guida e per salvare i dati ho usato il flashdisinfector, soltanto che fra i file nascosti non vedo nessuna cartella autorun.inf, all'inserimento della penna antivira tace, ma l'autoplay sulla penna non è più attivo, anche se da pannello di contorllo tasto destro, autoplay, risulta che dovrebbe chiedere cosa fare. Ma ciò non accade. Ho provato anche a modificare l'impostazione di autoplay, dare applica, e poi rimettere chiedi cosa fare, ma niente, la schermata non compare. E' normale? Resta solo da salvare i dati e formattare?

grazie
ciao

Il problema si presenta solo ed esclusivamente con quella chiavetta?

Salve a tutti,
ho un problema che probabilmente si chiama win31.dll (che però è uno script :muro: ). Non me ne sono mai curata perchè tengo sempre visibili i file nascosti e le estensioni e quindi sono abituata a vedere file con nomi strani nel hd. Però questo qui mi ha fatto molto strano poichè aveva 2 estensioni :doh:
Mi sono accorta che tutte le unità dovevano aprirsi con destro->esplora, e cancellando autorun.inf poi si ricreava. Mio fratello oggi mi ha detto che a scuola l'antivir gli ha rilevato un virus nella chiavetta/mp3 e allora ho provato ad aprirlo con blocco note e...TA-DAN! Ora..ho provato a rimuovere ogni file win31.dll.vbs da unità e cartelle di sistema, ho trovato il file wscript.exe che se la passeggiava nel task manager e l'ho killato, ho eseguito msconfig e bloccato l'avvio in esecuzione automatica dello stesso eseguibile, e ora? mi persiste la scritta Autoplay nel menu tasto destro delle varie unità, e leggendo i vari post ho scoperto un altro programma trojan di nome cfgmng.exe che anche lui se la girava tranquillo... Ora vi chiedo un consiglio su come comportarmi perchè non ho installato nessun antivirus nel pc, ho la connessione 56k quindi nada scaricamenti di programmi pesanti.... :cry:
Mi date una dritta please??

Mi rendo conto che la connesione 56K è castrante ma sarebbe opportuno seguire Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) in funzione del fatto che non hai AV e sul tuo Pc c'è un Keystroke logger

Ho un grosso problema :(

Ho commesso l'ingenuità di non rinnovare Kaspersky dopo la scadenza della licenza senza installare nient'altro sul serverino che uso per fare prove con software, scaricare ecc. e ho scoperto (dopo) che era stato infettato con un Trojan che usa proprio la tecnica dell'autorun.inf
E dovevo capire che c'era qualcosa che non andava visto che nel trasferimento file UVNC mi segnalava la presenza su una partizione del disco secondario di file come "9.cmd,.bat,m9ma.exe" :muro:

Ho comprato recentemente un HD portatile dove ho travasato dati che avevo da da un altro disco (dovendo portare l'altro HD in assistenza) e che poi ho usato per spostarli a loro volta sul mio notebook e altri computer della casa.
Insomma non li ho controllati tutti ancora, ma il notebook, il server e l'HD portatile sono certamente infetti :muro:
AVG ha riconosciuto nel computer "portatore" tre dll incriminate:
Le altre due non le trovo + nel report ma una è certamente questa:
gasretyw0.dll
Prima di capitare in questo thread ho cercato su Google e mi sono imbattuto in questo (http://www.myantispyware.com/2008/05/26/how-to-remove-trojans-that-uses-autoruninf-file/) tentativo di soluzione. Secondo voi è valido?

Lo chiedo perché nella procedura elencata in questo thread io non riesco a visualizzare i file nascosti.
Spunto, applico ma poi la situazione resta la medesima e la voce spuntata in realtà è sempre quella di "non visualizzare" come se io non riuscissi ad applicare il cambiamento.

La situazione attuale quindi è la seguente:
Server: infettato. Non riesco a completare la scansione di AVG perché si ferma alle 3 dll presenti in System32 che si sono legate a loro volta a processi residenti di Windows (tipo Explorer.exe) e quindi ogni qualvolta io tenti di eliminarle mi da l'accesso negato.
Ed AVG continua a bombardarmi di richieste per farci qualcosa, operazione sempre poi negata...insomma un circolo vizioso.
Una soluzione da quanto ho letto nelle varie procedure sarebbe quella di riavviare in modalità provvisoria ed operare da lì. (altrimenti mi rassegno a staccare il disco, disinfettarlo come esterno e alla peggio formattarlo).
Il disco C: presenta il problema dell'impossibilità di vedere i file e della richiesta di apertura da parte di un X applicativo. Per sfogliarlo l'Esplora Risorse è l'unico modo salvo applicazioni di terze parti come appunto UVNC.

Notebook:
Due partizioni. AVG ha completato la scansione su entrambe e debellato a quanto sembra il malware sparso in giro.
Per sicurezza sto effettuando anche una scansione con il Removal Tool di Kaspersky. Ho eliminato temporanei ecc. e fatto una scansione con HijackThis il cui log è il seguente:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:32:15, on 23/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\SupportAppMH\cdrom_mon.exe
C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programmi\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe
C:\Programmi\Live Mesh\Remote Desktop\wlcrasvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\MCE Standby Tool\MST.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\Programmi\SpeedswitchXP\SpeedswitchXP.exe
C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Documents and Settings\DioBrando\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe
C:\DOCUME~1\DIOBRA~1\IMPOST~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\File comuni\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\Opera\Opera.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\Programmi\HijackThis 2.0.2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programmi\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programmi\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\WINDOWS\PLFSet.dll,PLFDefSetting
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MCE Standby Tool] "C:\Programmi\MCE Standby Tool\MST.exe" tray
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programmi\SpeedswitchXP\SpeedswitchXP.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\DioBrando\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [MoeMonitor.exe] "C:\Documents and Settings\DioBrando\Impostazioni locali\Dati applicazioni\Microsoft\Live Mesh\Bin\Servicing\0.9.3424.14\MoeMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {0AD401E5-2D78-45B1-B875-07B0F9ED3937} - C:\Programmi\nStuff\Web Development Helper\WebDevHelper.dll
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: wlcrdplauncher - C:\Programmi\Live Mesh\Remote Desktop\wlcrdplauncher.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autorun CDROM Monitor - Unknown owner - C:\WINDOWS\system32\SupportAppMH\cdrom_mon.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programmi\File comuni\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programmi\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel Corporation - C:\Programmi\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 9501 bytes

Non che ci capisca molto (alcune voci mi sono veramente oscure) ma ho visto ora che esiste un thread dedicato dove si spiegano le varie voci e ci darò un occhio (comunque se riuscite ad anticiparmi qualcosa che non va ve ne sarei grato).

Le partizioni di XP e del disco di storage presentano entrambe lo stesso problema, quello dell'Esplora Risorse.
Devo valutare se anche quella di Vista (con cui assieme ad XP condivide la partizione di storage) è rimasta colpita o meno.
Se però apro qualche archivio compresso WinRAR si dimostra di una velocità imbarazzante nel fare operazioni di estrazione...per cui suppongo che ci siano strascichi di altro tipo.

[U]Disco esterno: stesso problema con l'Esplora Risorse, per il resto le infezioni dovrebbero essere state debellate anche se quando provo ad attaccarlo AVG mi avvisa del virus su F:/Autorun.inf (ovviamente).

Da notare che io a questo pc ho attaccato pure Nokia N95 e PSP (alè)


Le domande sono due:
1) Come risolvo tutte ste grane e magari in che ordine (visto che poi c'è il rischio di infettare, non stando attendi, di nuovo il resto provando a disinfestare sto caz di trojan)
2) Mi potete assicurare al 110% che rimuovendo il file autorun.inf poi le partizioni non si danneggino e quindi non ci sia pericolo per i miei dati??
Perché sommati stiamo parlando di più di un Tera di roba, anni della mia vita (foto e quant'altro ma soprattutto documenti importanti).
Per cui, pur con il rischio anzi la quasi sicurezza di infettare di nuovo il portatile, potrei comunque trasferire lì i dati che ritengo più importanti e masterizzarli intanto con un po' di travasi (e rotture di ca...)


Un'ultima domanda...io non ho ben capito la funzione della cartella nascosta creata ad hoc con il file autorun.inf
Serve a fornire una copia del file "sano" nel momento del bisogno oppure dentro ci metto i file che sono certo siano a posto in modo da far diventare quella stessa cartella una sorta di sandbox rispetto al resto dell'unità e pericoli di infezione annessi?

Ho scritto un papiro ma comprendetemi, sono ore che ci sto dietro e diverse (buttate nel cesso :muro: ) me ne attendono...mi infetto una volta ogni lustro ma porcogiuda ogni volta è un calvario :muro: :cry:

Il problema si presenta solo ed esclusivamente con quella chiavetta?

non so.. non ho modo di provare con un altra al momento!

non so.. non ho modo di provare con un altra al momento!

Ok, ma l'autoplay funziona se inserisci un CD/DVD? Mi serve per capire se il problema è legato solo a quella chiavetta nello specifico

edit doppio post

qualcuno potrebbe rispondere, cortesemente, ai miei quesiti poco sopra?
Altrimenti creo un thread direttamente nella sezione e buonanotte. MAgari è crossposting ma onestamente mi interessa fino a lì, dato che ho due macchine ferme praticamente da due giorni ed io col pc tra le altre cose ci lavoro. Per cui ho bisogno di sapere, in tempi celeri, come procedere sia in merito ad es. al risolvere la cosa dei file nascosti sia la sequenza giusta per essere al 100% sicuro di non perdere i dati che ho immagazzinato.

Grazie

edit doppio post

Ok, ma l'autoplay funziona se inserisci un CD/DVD? Mi serve per capire se il problema è legato solo a quella chiavetta nello specifico

no, niente autoplay manco i cd, direi che è il problema è più generale

no, niente autoplay manco i cd, direi che è il problema è più generale

Fai girare questo tool

http://www.microsoft.com/downloads/details.aspx?FamilyID=c680a7b6-e8fa-45c4-a171-1b389cfacdad&displaylang=en

NB: il sistema operativo deve essere regolarmente licenziato

thx it works!
Per lo meno il cd/dvd, perchè oggi purtroppo la chiavetta non ce l'ho dietro, ma credo che con questo si risolva tutto anche per quella.

Grazie mille.
ciao

thx it works!
Per lo meno il cd/dvd, perchè oggi purtroppo la chiavetta non ce l'ho dietro, ma credo che con questo si risolva tutto anche per quella.

Grazie mille.
ciao

Bene ;)

Fai girare questo tool

http://www.microsoft.com/downloads/details.aspx?FamilyID=c680a7b6-e8fa-45c4-a171-1b389cfacdad&displaylang=en

NB: il sistema operativo deve essere regolarmente licenziato

Il mio è regolarmente licenziato ma scaricato il tool direttamente da MS ed eseguito l'exe, mi da questo errore:
"Codice non disponibile. Impossibile ottenere il codice di convalida. Probabilmente si sono verificati problemi tecnici oppure si sta eseguendo SO non supportato. Bla Bla codice errore 0x80072ee7

XPSP2 per la cronaca. Che faccio?

Il mio è regolarmente licenziato ma scaricato il tool direttamente da MS ed eseguito l'exe, mi da questo errore:
"Codice non disponibile. Impossibile ottenere il codice di convalida. Probabilmente si sono verificati problemi tecnici oppure si sta eseguendo SO non supportato. Bla Bla codice errore 0x80072ee7

XPSP2 per la cronaca. Che faccio?

Il mio suggerimento era per pinguino81 http://www.hwupgrade.it/forum/showpost.php?p=26006256&postcount=193

Per quanto concerne il tuo problema nello specifico io seguirei la Guida alla disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1599737) al termine della stessa i log andranno allegati come da Regole di sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) in una nuova discussione che andrai ad aprire qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125

Ciao

...
e ora? mi persiste la scritta Autoplay nel menu tasto destro delle varie unità, e leggendo i vari post ho scoperto un altro programma trojan di nome cfgmng.exe che anche lui se la girava tranquillo... Ora vi chiedo un consiglio su come comportarmi perchè non ho installato nessun antivirus nel pc, ho la connessione 56k quindi nada scaricamenti di programmi pesanti.... :cry:
Mi date una dritta please??

Per quanto rigurda l'autoplay è dovuto alla presenza del file autorun.inf sulla root dei vari hard disk e eventuali chiavette. Toglilo se non lo avevi in precedenza. Non è facile vederlo. Devi abilitare la visualizzazione non solo dei file nascosti ma anche dei file di sistema.
Viene spesso utilizzato per la propagazione dei virus.
Rimane il consiglio comunque di installare un antivirus.

quando norton internet security ha rilevato il virus, lo ha eliminato..solo che quando ho riavviato il pc, mi son trovato le impostazioni dell'utente, diverse! pensavo che i miei dati in documenti fossero spariti, in realtà ci sono ancora e nella lista applicazioni mancano anche alcuni programmi :confused:
ho seguito passo passo la guida, però non è cambiato nulla!! help!
cosa devo fare?

quando norton internet security ha rilevato il virus, lo ha eliminato..solo che quando ho riavviato il pc, mi son trovato le impostazioni dell'utente, diverse! pensavo che i miei dati in documenti fossero spariti, in realtà ci sono ancora e nella lista applicazioni mancano anche alcuni programmi :confused:
ho seguito passo passo la guida, però non è cambiato nulla!! help!
cosa devo fare?

niente già risolto! ho riavviato adesso ed è ritornato come prima...valà
grazie lo stesso!

Il mio problema è questo:
su un pc è stato preso il famoso ctfmon.exe, precisando che il virus me lo dava quando accedevo a due cartelle di rete presenti sul server.

Ora, ho eliminato le cartelle recycled e gli autorun.inf sulle suddette cartelle di rete.

Gli altri pc che accedono alle medesime cartelle non hanno problemi, ma da questo posso accedere solo tramite l'esplora risorse.

Da risorse del computer ottengo infatti Accesso negato, e cliccando col destro la prima voce è il famoso open(0)

Sul pc (con VISTA) è sempre stato presente Antivir PE, ora sto eseguendo una scansione ma credo non trovi nulla. Ho letto le guide a riguardo ma il problema non lo riesco a risolvere.

Come posso fare?

Il mio problema è questo:
su un pc è stato preso il famoso ctfmon.exe, precisando che il virus me lo dava quando accedevo a due cartelle di rete presenti sul server.

Ora, ho eliminato le cartelle recycled e gli autorun.inf sulle suddette cartelle di rete.

Gli altri pc che accedono alle medesime cartelle non hanno problemi, ma da questo posso accedere solo tramite l'esplora risorse.

Da risorse del computer ottengo infatti Accesso negato, e cliccando col destro la prima voce è il famoso open(0)

Sul pc (con VISTA) è sempre stato presente Antivir PE, ora sto eseguendo una scansione ma credo non trovi nulla. Ho letto le guide a riguardo ma il problema non lo riesco a risolvere.

Come posso fare?
comincia a caricare il log della scansione completa con il tool kaspersky

Il tool non me lo installa:

mi da un errore in quanto non trova fssync.dll, può essere VISTA o il file del setup? Ho provato altri mirror ma ci sta mettendo una vita..

Il tool non me lo installa:

mi da un errore in quanto non trova fssync.dll, può essere VISTA o il file del setup? Ho provato altri mirror ma ci sta mettendo una vita..

Era il setup che dava problemi, ho riprovato con un'altro link e ha funzionato.

Il report è questo:

Scan
----
Scanned: 263072
Detected: 0
Untreated: 0
Start time: 03/02/2009 8.44.33
Duration: 01.43.20
Finish time: 03/02/2009 10.27.53


Detected
--------
Status Object
------ ------


Events
------
Time Name Status Reason
---- ---- ------ ------
03/02/2009 8.44.37 Running module: sched.exe\sched.exe ok scanned
03/02/2009 8.44.37 File: C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe ok scanned


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----

Fai girare questo tool http://files.filefront.com/aesetup23exe/;12479842;/fileinfo.html

Fai girare questo tool http://files.filefront.com/aesetup23exe/;12479842;/fileinfo.html

Giusto per sapere che installo sul pc, a cosa servirebbe?

E soprattutto come funziona? L'ho installato e ora ho un "cono" nella tray-bar..dice Scan Started, fa tutto da solo?

Giusto per sapere che installo sul pc, a cosa servirebbe?

E soprattutto come funziona? L'ho installato e ora ho un "cono" nella tray-bar..dice Scan Started, fa tutto da solo?

http://img179.imageshack.us/img179/5679/traymenuni2.jpg

Scan Drive:

Previene e rimuove eventuale autorun.inf

..cut..

Scan Drive:

Previene e rimuove eventuale autorun.inf

Ma il comando Scan Drive è relativo unicamente per A: e B: , ovvero le unità floppy che non ci sono..

Hai detto che previene, quindi lo devo tenere sempre?

Perchè ora il problema delle due unità di rete persiste..

Ma il comando Scan Drive è relativo unicamente per A: e B: , ovvero le unità floppy che non ci sono..

Hai detto che previene, quindi lo devo tenere sempre?

Perchè ora il problema delle due unità di rete persiste..

Dunque il tool in questione monitora i tempo reale l'eventuale presenza di autorun.inf sul PC in caso di rilevazione sospetta il tool chiede se eliminare il file, inoltre consente scansioni manuali su i Drive. Molto utile se si fà uso di supporti removibili USB, serve a prevenire eventuali infezioni.
Se il tool in questione non ha ancora rilevato nulla evidentemente gli autorun.inf sono stati eliminati

Fai girare questo tool http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza

Ok, provo lo faccio partire dopo.

Secondo te quali programmi devo chiudere per fare la scansione?

http://img4.imageshack.us/img4/4290/immaginevk4.th.jpg (http://img4.imageshack.us/my.php?image=immaginevk4.jpg)

Antivir, il Tea-timer di spybot (che poi serve a qualcosa? :mbe: ), altro?

Ok, provo lo faccio partire dopo.

Secondo te quali programmi devo chiudere per fare la scansione?

http://img4.imageshack.us/img4/4290/immaginevk4.th.jpg (http://img4.imageshack.us/my.php?image=immaginevk4.jpg)

Antivir, il Tea-timer di spybot (che poi serve a qualcosa? :mbe: ), altro?

SpyBot lo puoi anche disinstallare ci solo valide alternative, per quanto concerne Combo devi spegnere temporaneamente tutti i software di sicurezza, quali AV - Antispy etc......

Combofix mi dice che è solo per win2k e xp, sul pc in esame c'è vista.

Dicevi che ci sono alternative a spybot, c'è qualcosa consigliato?

Combofix mi dice che è solo per win2k e xp, sul pc in esame c'è vista.

Dicevi che ci sono alternative a spybot, c'è qualcosa consigliato?

Funziona anche su Vista, tasto dx del mouse Esegui come amministratore

Ciao
Fino a ieri avevo 2 Pendrive USB infette.
Infatti appena le connettevo al pc il Kaspersky Anti virus mi rilevava un Worm:

http://img144.imageshack.us/img144/3628/pends2.jpg (http://img144.imageshack.us/my.php?image=pends2.jpg)
http://img144.imageshack.us/img144/pends2.jpg/1/w363.png (http://g.imageshack.us/img144/pends2.jpg/1/)

E poi mi diceva di aver eliminato il file rilevato.


Ma ovviamente la cosa ripeteva ogni qualvolta che le pendrive le riconnettevo.


Quindi ho seguito la guida per filo e per segno (una delle 2 chiavette l'ho formattata)
E con entrambe ho utilizzato FlashDisinfector.

Ora nelle chiavi mi trovo i file nascosti autorun.inf recycled e la cartella recycler.
Li devo lasciare li?

Grazie!

Ciao
Fino a ieri avevo 2 Pendrive USB infette.
Infatti appena le connettevo al pc il Kaspersky Anti virus mi rilevava un Worm:

http://img144.imageshack.us/img144/3628/pends2.jpg (http://img144.imageshack.us/my.php?image=pends2.jpg)
http://img144.imageshack.us/img144/pends2.jpg/1/w363.png (http://g.imageshack.us/img144/pends2.jpg/1/)

E poi mi diceva di aver eliminato il file rilevato.


Ma ovviamente la cosa ripeteva ogni qualvolta che le pendrive le riconnettevo.


Quindi ho seguito la guida per filo e per segno (una delle 2 chiavette l'ho formattata)
E con entrambe ho utilizzato FlashDisinfector.

Ora nelle chiavi mi trovo i file nascosti autorun.inf recycled e la cartella recycler.
Li devo lasciare li?

Grazie!

Flash Disinfector creerà una cartella nascosta denominata autorun.inf in ogni partizione e ogni unità USB collegata è preferibile non eliminare questa cartella aiuterà a proteggere le unità da infezioni future.

Il resto è da eliminare

Funziona anche su Vista, tasto dx del mouse Esegui come amministratore

Mi da proprio errore dicendo che funziona solo con 2000 e XP:
http://img22.imageshack.us/img22/9003/immagine2dk3.th.jpg (http://img22.imageshack.us/my.php?image=immagine2dk3.jpg)

Inoltre controllando combofix.exe con Antivir mi ha rilevato questo:
http://img102.imageshack.us/img102/1196/immagine3cu0.th.jpg (http://img102.imageshack.us/my.php?image=immagine3cu0.jpg)

è normale?

Si è normale che Avira lo rilevi, ma che versione di Vista hai? :)

Business 64bit..

Business 64bit..

Già ho guardato i log a ritroso, su Vista 64 non funge

Quindi come posso fare per risolvere il problema dell' Open(0) ?

Quindi come posso fare per risolvere il problema dell' Open(0) ?

Abilita la visualizzazione dei files nascosti, controlla ed elimina i seguenti files:

autorun.inf
recycled\ctfmon.exe -->> verifica anche in esecuzione automatica

Era il setup che dava problemi, ho riprovato con un'altro link e ha funzionato.



per la cronaca....
il kasp removal tool è quindi compatibile anche con vista 64?

Abilita la visualizzazione dei files nascosti, controlla ed elimina i seguenti files:

autorun.inf
recycled\ctfmon.exe -->> verifica anche in esecuzione automatica

E' stata la prima cosa che ho fatto.
Esecuzione automatica in vista è qui?
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup


per la cronaca....
il kasp removal tool è quindi compatibile anche con vista 64?
Si, confermo: nel post del programma ci sono 4 link, l'ultimo mi ha dato problemi mentre con quello scaricato dal primo (che è diretto a kasp) funziona

Come non detto, ho capito come funziona la ricerca in vista: autorun.inf e recycled non c'è nulla, ma di ctfmon.exe ha trovato questo:
http://img18.imageshack.us/img18/1281/immagine4qf8.th.jpg (http://img18.imageshack.us/my.php?image=immagine4qf8.jpg)
Essendoci Office2007 sul pc, questi sono file buoni o no?

Si, confermo: nel post del programma ci sono 4 link, l'ultimo mi ha dato problemi mentre con quello scaricato dal primo (che è diretto a kasp) funziona

bene, non mi risultava lo fosse...

ciao ragazzi..ho rinscontrato un problema con la chiavetta..ieri,all'inserimento dopo tanto tempo,avira mi ha dato questo messsaggio:
http://www.fileqube.com/file/TnFWFlrrN171565
ho fatto girare,forse ignorantemente,malwarebytes ma non ha trovato nulla..ho fatto una scansione in modalità provvisoria con avira e anch'esso con esito negativo..forse sto formulando una domanda della quale so già la risposta..devo seguire la guida a inizio post?:D

ciao ragazzi..ho rinscontrato un problema con la chiavetta..ieri,all'inserimento dopo tanto tempo,avira mi ha dato questo messsaggio:
http://www.fileqube.com/file/TnFWFlrrN171565
ho fatto girare,forse ignorantemente,malwarebytes ma non ha trovato nulla..ho fatto una scansione in modalità provvisoria con avira e anch'esso con esito negativo..forse sto formulando una domanda della quale so già la risposta..devo seguire la guida a inizio post?:D

ciao

direi di seguire il primo post ;)

scusate ma nel leggere la guida mi son sorti alcuni dubbi..
2) Fate una scansione completa del computer con Kaspersky Virus Removal Tool (guida e link al download) e antivir (DOWNLOAD)
-nel caso in cui kaspersky e antivir rilevino qualcosa,come devo procedere?
-antivir,se non erro,è una antivirus,del quale io già dispongo..non è che sia un tool di avira e devo scaricarlo lo stesso,vero?
-le scansioni vanno fatte in modalità provvisoria oppure normalmente?
4) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)
-per cercarlo,devo usare l'opzione cerca in ogni partizione e digitare "autorun.inf " e poi eliminarlo?

lo so che possono sembrare domande banali, ma d'altronde mi reputo ancora ignorante su queste procedure..grazie :)

Ciao a tutti, ho letto la guida e nonostante abbia seguito passo passo tutto non riesco a risolvere il problema. Nella mia chiavetta USB continua a riprodursi il worm (Worm.Win32.AutoRun.zfe) che mi rileva F-Secure e nonostante lo elimini e formatti continua a riprodursi. Come posso risolvere? Sto impazzendo :mad: :mad: Grazie

Dimenticavo il log che mi da Hijackthis

scusate ma nel leggere la guida mi son sorti alcuni dubbi..
2) Fate una scansione completa del computer con Kaspersky Virus Removal Tool (guida e link al download) e antivir (DOWNLOAD)
-nel caso in cui kaspersky e antivir rilevino qualcosa,come devo procedere?
-antivir,se non erro,è una antivirus,del quale io già dispongo..non è che sia un tool di avira e devo scaricarlo lo stesso,vero?
-le scansioni vanno fatte in modalità provvisoria oppure normalmente?
4) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)
-per cercarlo,devo usare l'opzione cerca in ogni partizione e digitare "autorun.inf " e poi eliminarlo?

lo so che possono sembrare domande banali, ma d'altronde mi reputo ancora ignorante su queste procedure..grazie :)

1 Scansiona solo con il Kaspersky Removal Tool in modalità normale

Eseguire una scansione

* Doppio click sul file scaricato e procedere con l'installazione;
* Al termine si aprirà il tool;
* Lascia spuntati System Memory, Startup Objects, Disk boot sector;
* Spunta Risorse del Computer;
* Clicca su Scan;
* A fine scansione in caso di rilevazione di infezioni cliccate su Neutralize all, si apriranno dei popup dove scegliere se Cancellare o Disinfettare l'oggetto;
* Metti la spunta su Apply to all e clicca su Delete;
* Clicca su Reports... , poi su Save to file e salva;
* Esci dal programma e clicca su Si se desideri disinstallare subito il tool o su No se vuoi prima chiedere assistenza nel forum;

2 Esatto con la funzione Cerca

Abilitate la visualizzazione di files e cartelle nascosti di sistema in questo modo:

-aprite una qualsiasi cartella
-andate su "strumenti"
-andate su "opzioni cartella"
-andate su "visualizzazione"
-selezionate "visualizza cartelle e files nascosti"
-togliete la spunta da "nascondi files protetti di sistema(consigliato)" e cliccate su "sì"
-cliccate su OK

4) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)

Ciao a tutti, ho letto la guida e nonostante abbia seguito passo passo tutto non riesco a risolvere il problema. Nella mia chiavetta USB continua a riprodursi il worm (Worm.Win32.AutoRun.zfe) che mi rileva F-Secure e nonostante lo elimini e formatti continua a riprodursi. Come posso risolvere? Sto impazzendo :mad: :mad: Grazie

Dimenticavo il log che mi da Hijackthis

Allega il log della scansione col Kaspersky Removal Tool come indicato in Guida

1 Scansiona solo con il Kaspersky Removal Tool in modalità normale



2 Esatto con la funzione Cerca

kaspersky non mi ha trovato nulla... Riguardo l'autorun.inf ho trovato, in una sola partizione ,questo file,che però non termina in .inf:
http://www.fileqube.com/file/kwuDaTqFy172328
lo elimino?

kaspersky non mi ha trovato nulla... Riguardo l'autorun.inf ho trovato, in una sola partizione ,questo file,che però non termina in .inf:
http://www.fileqube.com/file/kwuDaTqFy172328
lo elimino?

Segui il Punto 5 e 6 della Guida in prima pagina

Segui il Punto 5 e 6 della Guida in prima pagina

tutto ok chill-out..ho formattato e il problema non persiste più..per incrementare la mia conoscenza,ti chiedo se cortesemenete puoi dare un esauriente risposta ai miei dubbi..
-avira mi ha segnalato il virus..kaspersky e la ricerca del file autotun.inf hanno smentito che ero infetto..allora mi sorge il dubbio più ovvio,credo..trattasi di falso positivo?
-perchè l'autorun,del quale ti ho allegato immagine nel mio reply precedente,non andava eliminato?

ti ringrazio,come sempre,per la tua gentile disponibilità..ti devo lasciare..tanto per cambiare,devo postare un altro problemino!non è mai finita! :mc: grazie ;)

chill..scusami se insisto,ma puoi pazientemente rispondere alle mie ultime domande?faccio la parte del rompiscatole :p

tutto ok chill-out..ho formattato e il problema non persiste più..per incrementare la mia conoscenza,ti chiedo se cortesemenete puoi dare un esauriente risposta ai miei dubbi..
-avira mi ha segnalato il virus..kaspersky e la ricerca del file autotun.inf hanno smentito che ero infetto..allora mi sorge il dubbio più ovvio,credo..trattasi di falso positivo?
-perchè l'autorun,del quale ti ho allegato immagine nel mio reply precedente,non andava eliminato?

ti ringrazio,come sempre,per la tua gentile disponibilità..ti devo lasciare..tanto per cambiare,devo postare un altro problemino!non è mai finita! :mc: grazie ;)

chill..scusami se insisto,ma puoi pazientemente rispondere alle mie ultime domande?faccio la parte del rompiscatole :p

-avira mi ha segnalato il virus..kaspersky e la ricerca del file autotun.inf hanno smentito che ero infetto..allora mi sorge il dubbio più ovvio,credo..trattasi di falso positivo?

Al momento della rilevazione non era un Falso Positivo

-perchè l'autorun,del quale ti ho allegato immagine nel mio reply precedente,non andava eliminato?

Contiene le istruzioni di un software della Sony

Ciao :)

..cut..

6)SE LA CHIAVETTA CONTIENE FILES DI VITALE IMPORTANZA:
Scaricare: http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Doppio clic su Flash Disinfector.exe per eseguirlo e seguire le istruzioni.
Flash Disinfector creerà una cartella nascosta denominata autorun.inf in ogni partizione e ogni unità USB collegata è preferibile non eliminare questa cartella aiuterà a proteggere le unità da infezioni future.
(Grazie Chill-Out)

SE I FILES DENTRO LA CHIAVETTA NON VI SERVONO: formattare la chiavetta.

..cut..


Ho una chiavetta su cui è finito il ctfmon, cmq tutto risolto. Leggendo in prima pagina dice di usare Flash Disinfector che crea una cartella nascosta che potrebbe impedire nuovamente di prendere il virus, ma il link non funziona. Ho provato con google ma mi fa scaricare un prg PREVXCSI che sembra fare una scansione e basta..

E' possibile proteggere la chiavetta in qualche modo? Anche a formattare non ho problemi..

[QUOTE=Bugs Bunny;19573202]Molti hanno ricevuto una chiavetta usb che,essendo infetta,dopo averla inserita nel pc,ha infettato il pc.
Oppure molti di voi per accedere al disco fisso devono cliccarci col tasto destro>esplora ,pena l'accesso negato e una avviso di file mancante.

Come rimediare?

Mi aggiungo anche io a quelli che non hanno risolto il problema. In particolare ho notato che "autorun.inf" fa riferimento al file in oggetto, sito in RECYCLER che mi appare vuoto.
A parte quello nella chiavetta (che compare ogno volta anche dopo la formattazione della usb) non riesco a trovare nessun altro autorun.inf.
Che faccio?

Ragazzi mi serve il vostro aiuto perchè un mio amico tecnico mi ha detto che ho preso un virus. (abit an8 sly fatal1ty cpu san diego hd da 320 1 gb ram geforce 6800GT asus e lettore multicard)
Rilevo il pc di un mio amico e dopo aver salvato i suoi file su un hd esterno procedo a formattazione e installazione.
Tutto ok installo xp etc con avira che ho imparato ad apprezzare qui ma mi sorge il problema che sulle porte usb del pc l'unità esterna (chiavetta usb o disco) non me lo vede dicendo di aprire l'unità con un programma (estrao ed inserisco ok - chiudo ed apro stesso roblema)
Penso che sia un problema del lettore multicard che ha l'ingresso usb o altro, provo dietro sulla scheda madre stesso problema ecc. ecc. ecc.
Passo al mio pc con dfi ultra d, san diego hd scsi 15.000rpm e mi sorge lo stesso problema, chiamo al mio aico tecnico e mi dice che ho reso un virus che non ricorda il nome e che non AVIRA ma solo NORTON rileva e rimuove. Quindi devo dedurre che facedo il backup al mio amico salvando i dati sulle mie unità ho di nuovo infettato il pc con i data salvati che ho inserito e mi sono infettato anche io sia sul mio pc che sulle unit esterne due chiavette usb e due hd dove ho i programmi Mi aiutate a capire
Sto scaricando la versione fre di NORTON faccio bene

[QUOTE=Bugs Bunny;19573202]Molti hanno ricevuto una chiavetta usb che,essendo infetta,dopo averla inserita nel pc,ha infettato il pc.
Oppure molti di voi per accedere al disco fisso devono cliccarci col tasto destro>esplora ,pena l'accesso negato e una avviso di file mancante.

Come rimediare?

Mi aggiungo anche io a quelli che non hanno risolto il problema. In particolare ho notato che "autorun.inf" fa riferimento al file in oggetto, sito in RECYCLER che mi appare vuoto.
A parte quello nella chiavetta (che compare ogno volta anche dopo la formattazione della usb) non riesco a trovare nessun altro autorun.inf.
Che faccio?

Ragazzi mi serve il vostro aiuto perchè un mio amico tecnico mi ha detto che ho preso un virus. (abit an8 sly fatal1ty cpu san diego hd da 320 1 gb ram geforce 6800GT asus e lettore multicard)
Rilevo il pc di un mio amico e dopo aver salvato i suoi file su un hd esterno procedo a formattazione e installazione.
Tutto ok installo xp etc con avira che ho imparato ad apprezzare qui ma mi sorge il problema che sulle porte usb del pc l'unità esterna (chiavetta usb o disco) non me lo vede dicendo di aprire l'unità con un programma (estrao ed inserisco ok - chiudo ed apro stesso roblema)
Penso che sia un problema del lettore multicard che ha l'ingresso usb o altro, provo dietro sulla scheda madre stesso problema ecc. ecc. ecc.
Passo al mio pc con dfi ultra d, san diego hd scsi 15.000rpm e mi sorge lo stesso problema, chiamo al mio aico tecnico e mi dice che ho reso un virus che non ricorda il nome e che non AVIRA ma solo NORTON rileva e rimuove. Quindi devo dedurre che facedo il backup al mio amico salvando i dati sulle mie unità ho di nuovo infettato il pc con i data salvati che ho inserito e mi sono infettato anche io sia sul mio pc che sulle unit esterne due chiavette usb e due hd dove ho i programmi Mi aiutate a capire
Sto scaricando la versione fre di NORTON faccio bene

Seguite la Guida in prima pagina ed allegate il log del Kav Removal Tool :)

mi sono beccato il virus pure io:muro:
sentite, ma se salvo i dati della pennina nel pc e poi formatto la pennina e rimetto i file all'interno mi rinfetto la pennina??

mi sono beccato il virus pure io:muro:
sentite, ma se salvo i dati della pennina nel pc e poi formatto la pennina e rimetto i file all'interno mi rinfetto la pennina??

Cosi infetti il PC e successivamente di nuova la pennina, diventa un circolo vizioso :)

Cosi infetti il PC e successivamente di nuova la pennina, diventa un circolo vizioso :)

e se invece copio tutti i file nel pc, formatto la pennina, faccio una scansione di tutto il pc e rimetto i file nella pennina??
così dovrei aver eliminato tracce di virus giusto??

come antivirus avevo avast, ora ho messo antivir per fare una scansione completa del pc.

volevo spiegarvi un po cosa è successo, in questo modo potrei sapere meglio cosa fare
siccome il virus molto probabilmente l'ho preso da un'altro pc che dovevo formattare, in cui non c'era antivirus, io ho messo la mia pennina e molto probabilmente me lo sono beccato così...

ora volevo chiedervi una cosa, siccome poi la pennina l'ho rimessa nel mio pc avast ha rilevato il virus, questo secondo voi può essere andato nel mio pc??
perche cmq sia avast l'ha rilevato ed eliminato!
inoltre come ho letto il virus va a posizionarsi sulla cartella system32, ma in questa ho gia fatto una scansione con antivir e non ha trovato niente, secondo voi puù essere che nel pc il virus non si sia trasferito??

Avast ha rilevato ed eliminato ciò che ha riconusciuto, quindi non possiamo escludere che il PC non sia infetto

Avast ha rilevato ed eliminato ciò che ha riconusciuto, quindi non possiamo escludere che il PC non sia infetto

scansione completa con antivir effettuata, posso ritetenere il pc pulito da questo ufo ora????

scansione completa con antivir effettuata, posso ritetenere il pc pulito da questo ufo ora????

Dovresti essere pulito, adesso devi controllare la pennina con Antivir quindi inseriscila nel PC tenendo e mantendo premuto il tasto SHIFT (freccia in alto onde evitare l'esecuzione in Autoplay)

Dovresti essere pulito, adesso devi controllare la pennina con Antivir quindi inseriscila nel PC tenendo e mantendo premuto il tasto SHIFT (freccia in alto onde evitare l'esecuzione in Autoplay)

ho direttamente formattato la pennina e fatta la scansione, quindi non dovrebbe esserci più nulla, giusto??

ho direttamente formattato la pennina e fatta la scansione, quindi non dovrebbe esserci più nulla, giusto??

Se formatti no

Se formatti no

perfetto, grazie mille!!

un'ultima cosa, questo virus ufo.exe, ho letto che crea un file secpol che si trova all'interno dellla cartella system32, però questo file esiste su tutti i pc, quindi dovrebbe esercene anche un'altro che indica il virus esatto??

http://www.prevx.com/filenames/2296455117801830125-X1/UFO.EXE.html