[risolto][WinXP] disk knight.exe

[chiccolino81]

Chiedo consiglio su cosa fare, una mia compagna di università mi ha passato una chiavetta sul mio pc fisso. Appena collegata questa ha esitato ad aprirsi e successivamente è partito automaticamente il processo "disk knight". L'icona di questo virus (presumo trojan) è come quella dell'antivirus di windows, è apparsa nella barra, e successivamente è apparso un messaggio firmato da qualche scuola islamica. Si apre una pagina web.

Ho immediatamente chiuso explorer, successivamente formattato la sua chiavetta.

Ma il problema rimane sul mio pc fisso. Ho cercato in rete e avevo trovato una guida che diceva di rimuovere il file knight.exe dalla cartella windows e di cancellare alcuni file dal registro di sistema.
La prima operazione non è però possibile in quanto mi dice che il file è in uso.

Alla scansione con ad-aware free e avg free nulla...ma lui è lì...knight.exe nella cartella windows...e non si può cancellare...

Me l'aveva beccato subito all'inizio avg, ma in pratica me l'ha solo segnalato...

Chiedo consigli certi!

[Gle89]

Intanto facciamo cosi:

Scarica HIJACKTHIS: clicca qui per il download.
Mettilo in una cartella in C: o in C:\Programmi.
Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), copialo e incollalo qui tra i tag (code)….(/code) , le parentesi sostituiscile con quelle [] oppure tramite la funzione “gestisci allegati” oppure hostalo tramite www.zshare.net

[Riverside]

Quote:

Originariamente inviato da chiccolino81

Chiedo consiglio su cosa fare, una mia compagna di università mi ha passato una chiavetta sul mio pc fisso ........

Prima di eseguire HThis:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della intera procedura.

Edit, Glenda è arrivata prima.

Tutti i log e/o report che verranno richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, deve essere allegato utlizzando il tag code dall'editor del messaggio;
● in alternativa sempre se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare, pubblicando, nella discussione, il link che verrà rilasciato per il download.

[chiccolino81]

ecco qui...aspetto news

[Gle89]

Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).

Ora apri di nuovo HiJackThis con la seconda opzione “do a system scan” e seleziona le voci che ti riporterò qui sotto, mettendo il segno di spunta verde alla sinistra di ogni voce. Alla fine premi “Fix Checked”in fondo e dai la conferma. Chiudi pure HiJackThis.

ecco la voce:

Quote:

O4 - HKLM\..\Run: [Disk Knight] C:\WINDOWS\Knight.exe

adesso fai CTRL+ALT+CANT, in alto clicca su PROCESSI, scorri l'elenco e seleziona Knight.exe (se c'è) e termina il processo.

ora vai in Pannello di Controllo->Installazione Applicazioni cerca (se c'è) Knight e rimuovilo

ora abilita questa opzione: Pannello di controllo - opzioni cartella - visualizzazione - visualizza file e cartelle nascosti e togli il segno di attivazione da Nascondi i file protetti e di sistema (consigliato) poi fai una ricerca con START - CERCA il file Knight e disk Knight e rimuovilo con FileAssassin

adesso fai START - ESEGUI - digita regedit premi invio- in alto fai MODIFICA - TROVA e cerca Knight e autorun.inf e disk Knight ed elimina (se ci sono) tutte le chiavi di registro contenti questi tre nomi e relativi files

Quote:

Originariamente inviato da esempio

C:\Windows\Knight.exe
X:\Knight.exe
X:\autorun.inf

adesso Scarica l’ultima versione di VirIt:clicca qui per il download.
Installalo, eseguilo, aspetta il termine del controllo della memoria, ed AGGIORNALO (è importante). Fai la scansione completa del sistema (salva il log allegalo qui)

e alla fine riavvia il pc e allega un nuovo log di HJT

Ti aspettiamo !

[chiccolino81]

ok...finita appena adesso la scansione...

trovato nulla...

ora posto HJ...

ditemi voi...

[Gle89]

1)e questo? C:\Programmi\Grisoft\AVG Anti-Rootkit Free\KtlUT9jd.exe cosa è ?

fammi un piacere vai su VIRUSTOTAL (da google) e con sfoglia trova quel percorso in neretto e vediamo se è infetto o no. quindi facci sapere.

2) fixa queste voci con HJT

Quote:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Scanner File Utility.lnk = ?

3)esegui queste scansioni per sicurezza:

CCLEANER: clicca qui per il download
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

ASQUARED FREE: clicca qui per il download
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

Alla fine fammi sapere cosa ti ha detto VIRUSTOTAL e un nuovo log di HJT e dovremmo aver finito.

[chiccolino81]

glenda...si vede che sei una donna...PIGNOLONA!

Cmq...scusami...ma sto andando ko...e sono ancora in ufficio..

farò tutto quello che mi hai detto...ma tra domani e venerdì ok...

ti faccio sapere e se riuscirai mi darai un responso...

al momento grazie mille!

[Gle89]

BEne, aspettiamo tue notizie

[Riverside]

Quote:

Originariamente inviato da chiccolino81

glenda...si vede che sei una donna...

Era ora che qualcuno se ne accorgesse

[Gle89]

Quote:

Originariamente inviato da Riverside

Era ora che qualcuno se ne accorgesse

eh si, finalmente

[chiccolino81]

fatto tutto...

cc cleaner ha pulito un pò di roba...

a squared nn ha rilevato nulla...

quindi spero nn ci sia + nulla.

In ogni caso ecco il solito txt di Hijack e quello di a-squared

Fatemi sapere...ma spero di essere uscito dal tunnel!

Vi ringrazio, specialmente Glenda, per l'aiuto...

[Gle89]

chiccolino81 i log sono pulitissimi, quindi puoi ritenerti disinfestato

E un altro caso è stato risolto

[chiccolino81]

MI-TI-CO!

[mar840]

ok,ma anche se uno lo toglie poi come è possibile proteggersi dal riprendere questo tipo di file? che danni può creare?

[Bugs Bunny]

ti installi un hips che appena inserisci la chiavetta ti avverte del tentativo di esecuzione e ti fa decidere se consentire o bloccare

[Gle89]

Bene, anche questa infezione è stata risolta, quindi MOD puoi mettere il tag nel titolo

Riassumo i sintomi e la procedura della disinfestazione:

Sintomi:

• si apre automaticamente un processo denominato disk knight.exe
  
• appare un'icona simile a quella dell'antivirus di windows nella barra accanto all'orologio
  
• si apre una pagina web con messaggio firmato da qualche scuola islamica

Procedura di disinfestazione:

• Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
  programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).
  
  
• Disattiva l'autoplay delle pennine usb se avete XP HOME
  
  - Start -- Esegui -- digita regedit
  - Portatevi sulla seguente chiave di registro sulla parte sinistra dello schermo
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer]
  - MOdifica (se esiste) o crea (modifica -- nuovo)=> Valore DWORD, denominandolo come segue: NoDriveTypeAutoRun
  - Assegnagli il valore su base Decimale 181
  - Chiudi e riavvia il pc e la modifica è attiva!
  
  se avete XP PROFESSIONAL:
  - Start -- Esegui --- digita GPEDIT.MSC
  - Dal menu di sinistra fate questo percorso Configurazione Computer --Modelli Amministrativi -- Sistema- Sulla parte destra Scorrete l'elenco finché trovate la voce "Disattiva Riproduzione Automatica" e selezionatela con un doppio click del mouse;
  - Dalla finestra successiva selezionate la voce "Attivata";
  - Confermate il tutto e chiudete il pannello di amministrazione.
  - La modifica è attiva!
  
  
• apire il task manager con CTRL+ALT+CANT, in alto clicca su PROCESSI, scorri l'elenco e seleziona Knight.exe oppure disk knight.exe (se c'è) e termina il processo.
  
  
• ora vai in Pannello di Controllo->Installazione Applicazioni cerca (se c'è) Knight o disk knight.exe e rimuovilo.
  
  
• ora abilita questa opzione: Pannello di controllo - opzioni cartella - visualizzazione - visualizza file e cartelle nascosti ;
  invece TOGLI il segno di spunta anche a Nascondi i file protetti e di sistema (consigliato);
  ora con START - CERCA i file (prima nel pc e poi nella penna usb)
  Knight
  disk Knight
  autorun.inf
  
  se vengono trovati ELIMINATELI.
  
  
• adesso fai START - ESEGUI - digita regedit premi invio- in alto fai MODIFICA - TROVA e cerca Knight e disk Knight e elimina (se ci sono) eliminano tutte le chiavi di registro contente questi due nomi (attenzione controllate bene i nomi se sono anche di una lettera differente o in più NON cancellateli)
  
  
• adesso Scarica l’ultima versione di VirIt:clicca qui per il download.
  Installalo, eseguilo, aspetta il termine del controllo della memoria, ed AGGIORNALO (è importante). Fai la scansione completa del sistema (salva il log allegalo qui)
  
  
• START - ESEGUI - digita msconfig - premi invio - in alto clicca su avvio - togli la spunta dalla cassella denominata disk knight oppure knight.
  
  
• Adesso scarica il tool AntiKnight e scompattatelo in una cartella nel vostro pc, adesso cliccate su AntiKnight.exe, vi si aprirà una finestra e cliccate su il solo bottone presente e sarete ancora più sicuri di aver debellato il virus!
  Inoltre ora copiate la cartella anche in tutte le penne usb o lettore mp3 infettati da tali virus e ripetete l'operazione di cui sopra!
  
  Adesso riavvia il pc e per sicurezza:
  
  Scarica HIJACKTHIS: clicca qui per il download.
  Mettilo in una cartella in C: o in C:\Programmi.
  Aprilo e premi la prima opzione "Do a system scan and save log" aspetta che ti dia il file .txt (blocco note), pubblicalo inviandolo su uno deis erver consigliati dalle Regole di Sezione e nel thread (= discussione) inserisci il solo link al download.

[xcdegasp]

ottimo lavoro nipotina

[xcdegasp]

linkato

[Vash_85]

Salve a tutti, un mio collega di corso ha preso il suddetto virus tramite usb passatagli dalla prof di chimca , o provato in tutti i modi di disabilitare il ripristino configurazione sistema ma mi da un errore di rundll32, se provo ad aprire il regedit mi apre la scelta dei programmi e come se non bastasse antivir non parte più provato anche da modalità provvisoria ma mida gli stessi errori....consigli?