Chiedo consiglio su cosa fare, una mia compagna di università mi ha passato una chiavetta sul mio pc fisso. Appena collegata questa ha esitato ad aprirsi e successivamente è partito automaticamente il processo "disk knight". L'icona di questo virus (presumo trojan) è come quella dell'antivirus di windows, è apparsa nella barra, e successivamente è apparso un messaggio firmato da qualche scuola islamica. Si apre una pagina web.

Ho immediatamente chiuso explorer, successivamente formattato la sua chiavetta.

Ma il problema rimane sul mio pc fisso. Ho cercato in rete e avevo trovato una guida che diceva di rimuovere il file knight.exe dalla cartella windows e di cancellare alcuni file dal registro di sistema.
La prima operazione non è però possibile in quanto mi dice che il file è in uso.

Alla scansione con ad-aware free e avg free nulla...ma lui è lì...knight.exe nella cartella windows...e non si può cancellare...

Me l'aveva beccato subito all'inizio avg, ma in pratica me l'ha solo segnalato...

Chiedo consigli certi!;)

Intanto facciamo cosi:

Scarica HIJACKTHIS: clicca qui per il download (httphttp://filehippo.com/download/file/25c22612a33445fd6675fe56efed6cf652193cdd6856c4b16449ccb8203cbc63/).
Mettilo in una cartella in C: o in C:\Programmi.
Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), copialo e incollalo qui tra i tag (code)….(/code) , le parentesi sostituiscile con quelle [] oppure tramite la funzione “gestisci allegati” oppure hostalo tramite www.zshare.net

Chiedo consiglio su cosa fare, una mia compagna di università mi ha passato una chiavetta sul mio pc fisso ........

Prima di eseguire HThis:

Disattiva il Ripristino configurazione di sistema ovvero procedi in questa maniera:
● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

Il Ripristino configurazione di sistema deve essere tenuto disabilitato fino al completamento della intera procedura.

Edit, Glenda è arrivata prima.

Tutti i log e/o report che verranno richiesti:
● se il relativo txt generato è al max 20 kb, deve essere allegato alla discussione, utilizzando l'apposita funzione Gestisci Allegati;
● se superiore a 20 kb, deve essere allegato utlizzando il tag code dall'editor del messaggio;
● in alternativa sempre se superiore a 20 kb, hostato su Zshare clicca qui per raggiungere ZShare (http://www.zshare.net/), pubblicando, nella discussione, il link che verrà rilasciato per il download.

ecco qui...aspetto news:(

Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).

Ora apri di nuovo HiJackThis con la seconda opzione “do a system scan” e seleziona le voci che ti riporterò qui sotto, mettendo il segno di spunta verde alla sinistra di ogni voce. Alla fine premi “Fix Checked”in fondo e dai la conferma. Chiudi pure HiJackThis.

ecco la voce:

O4 - HKLM\..\Run: [Disk Knight] C:\WINDOWS\Knight.exe


adesso fai CTRL+ALT+CANT, in alto clicca su PROCESSI, scorri l'elenco e seleziona Knight.exe (se c'è) e termina il processo.

ora vai in Pannello di Controllo->Installazione Applicazioni cerca (se c'è) Knight e rimuovilo

ora abilita questa opzione: Pannello di controllo - opzioni cartella - visualizzazione - visualizza file e cartelle nascosti e togli il segno di attivazione da Nascondi i file protetti e di sistema (consigliato) poi fai una ricerca con START - CERCA il file Knight e disk Knight e rimuovilo con FileAssassin (http://www.malwarebytes.org/fileassassin.php)

adesso fai START - ESEGUI - digita regedit premi invio- in alto fai MODIFICA - TROVA e cerca Knight e autorun.inf e disk Knight ed elimina (se ci sono) tutte le chiavi di registro contenti questi tre nomi e relativi files

C:\Windows\Knight.exe
X:\Knight.exe
X:\autorun.inf


adesso Scarica l’ultima versione di VirIt:clicca qui per il download (http://www.tgsoft.it/italy/download.htm).
Installalo, eseguilo, aspetta il termine del controllo della memoria, ed AGGIORNALO (è importante). Fai la scansione completa del sistema (salva il log allegalo qui)

e alla fine riavvia il pc e allega un nuovo log di HJT :D

Ti aspettiamo !

ok...finita appena adesso la scansione...

trovato nulla...

ora posto HJ...

ditemi voi...:)

1)e questo? C:\Programmi\Grisoft\AVG Anti-Rootkit Free\KtlUT9jd.exe cosa è ?

fammi un piacere vai su VIRUSTOTAL (da google) e con sfoglia trova quel percorso in neretto e vediamo se è infetto o no. quindi facci sapere.

2) fixa queste voci con HJT

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programmi\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Global Startup: Scanner File Utility.lnk = ?


3)esegui queste scansioni per sicurezza:

CCLEANER: clicca qui per il download (http://download.piriform.com/ccsetup141.exe)
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le quelle comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Problemi, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

ASQUARED FREE: clicca qui per il download (http://download5.emsisoft.com/a2FreeSetup.exe)
una volta installato, scarica gli aggiornamenti e poi, esegui una scansione del sistema in modalità Deep Scan e rimuovi tutto ciò che viene rilevato con esclusione dei riferimenti a Software, MIrc, fotocamere digitali e/o scanner eventualmente installati.

Alla fine fammi sapere cosa ti ha detto VIRUSTOTAL e un nuovo log di HJT e dovremmo aver finito. :D

glenda...si vede che sei una donna...PIGNOLONA!:D

Cmq...scusami...ma sto andando ko...e sono ancora in ufficio..

farò tutto quello che mi hai detto...ma tra domani e venerdì ok...

ti faccio sapere e se riuscirai mi darai un responso...

al momento grazie mille!

BEne, aspettiamo tue notizie :D

glenda...si vede che sei una donna...
Era ora che qualcuno se ne accorgesse :D

Era ora che qualcuno se ne accorgesse :D

eh si, finalmente :D :D :D

fatto tutto...

cc cleaner ha pulito un pò di roba...

a squared nn ha rilevato nulla...

quindi spero nn ci sia + nulla.

In ogni caso ecco il solito txt di Hijack e quello di a-squared

Fatemi sapere...ma spero di essere uscito dal tunnel!:D

Vi ringrazio, specialmente Glenda, per l'aiuto...;)

chiccolino81 i log sono pulitissimi, quindi puoi ritenerti disinfestato :D

E un altro caso è stato risolto ;)

MI-TI-CO!:sofico:

ok,ma anche se uno lo toglie poi come è possibile proteggersi dal riprendere questo tipo di file? che danni può creare?

ti installi un hips che appena inserisci la chiavetta ti avverte del tentativo di esecuzione e ti fa decidere se consentire o bloccare :)

Bene, anche questa infezione è stata risolta, quindi MOD puoi mettere il tag nel titolo

Riassumo i sintomi e la procedura della disinfestazione:

Sintomi:

si apre automaticamente un processo denominato disk knight.exe

appare un'icona simile a quella dell'antivirus di windows nella barra accanto all'orologio

si apre una pagina web con messaggio firmato da qualche scuola islamica


Procedura di disinfestazione:

Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).


Disattiva l'autoplay delle pennine usb se avete XP HOME

- Start -- Esegui -- digita regedit
- Portatevi sulla seguente chiave di registro sulla parte sinistra dello schermo
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer]
- MOdifica (se esiste) o crea (modifica -- nuovo)=> Valore DWORD, denominandolo come segue: NoDriveTypeAutoRun
- Assegnagli il valore su base Decimale 181
- Chiudi e riavvia il pc e la modifica è attiva!

se avete XP PROFESSIONAL:
- Start -- Esegui --- digita GPEDIT.MSC
- Dal menu di sinistra fate questo percorso Configurazione Computer --Modelli Amministrativi -- Sistema- Sulla parte destra Scorrete l'elenco finché trovate la voce "Disattiva Riproduzione Automatica" e selezionatela con un doppio click del mouse;
- Dalla finestra successiva selezionate la voce "Attivata";
- Confermate il tutto e chiudete il pannello di amministrazione.
- La modifica è attiva!


apire il task manager con CTRL+ALT+CANT, in alto clicca su PROCESSI, scorri l'elenco e seleziona Knight.exe oppure disk knight.exe (se c'è) e termina il processo.


ora vai in Pannello di Controllo->Installazione Applicazioni cerca (se c'è) Knight o disk knight.exe e rimuovilo.


ora abilita questa opzione: Pannello di controllo - opzioni cartella - visualizzazione - visualizza file e cartelle nascosti ;
invece TOGLI il segno di spunta anche a Nascondi i file protetti e di sistema (consigliato);
ora con START - CERCA i file (prima nel pc e poi nella penna usb)
Knight
disk Knight
autorun.inf

se vengono trovati ELIMINATELI.


adesso fai START - ESEGUI - digita regedit premi invio- in alto fai MODIFICA - TROVA e cerca Knight e disk Knight e elimina (se ci sono) eliminano tutte le chiavi di registro contente questi due nomi (attenzione controllate bene i nomi se sono anche di una lettera differente o in più NON cancellateli)


adesso Scarica l’ultima versione di VirIt:clicca qui per il download (http://www.tgsoft.it/italy/download.htm).
Installalo, eseguilo, aspetta il termine del controllo della memoria, ed AGGIORNALO (è importante). Fai la scansione completa del sistema (salva il log allegalo qui)


START - ESEGUI - digita msconfig - premi invio - in alto clicca su avvio - togli la spunta dalla cassella denominata disk knight oppure knight.


Adesso scarica il tool AntiKnight (http://www.plusexpert.cl/download/AntiKnight.rar) e scompattatelo in una cartella nel vostro pc, adesso cliccate su AntiKnight.exe, vi si aprirà una finestra e cliccate su il solo bottone presente e sarete ancora più sicuri di aver debellato il virus!
Inoltre ora copiate la cartella anche in tutte le penne usb o lettore mp3 infettati da tali virus e ripetete l'operazione di cui sopra!

Adesso riavvia il pc e per sicurezza:

Scarica HIJACKTHIS: clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip).
Mettilo in una cartella in C: o in C:\Programmi.
Aprilo e premi la prima opzione "Do a system scan and save log" aspetta che ti dia il file .txt (blocco note), pubblicalo inviandolo su uno deis erver consigliati dalle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e nel thread (= discussione) inserisci il solo link al download.

ottimo lavoro nipotina :)

linkato :)

Salve a tutti, un mio collega di corso ha preso il suddetto virus tramite usb passatagli dalla prof di chimca :rolleyes:, o provato in tutti i modi di disabilitare il ripristino configurazione sistema ma mi da un errore di rundll32, se provo ad aprire il regedit mi apre la scelta dei programmi e come se non bastasse antivir non parte più provato anche da modalità provvisoria ma mida gli stessi errori....consigli?

Allora prova in questo modo prima di disabilitare il ripristinio fai cosi:

apire il task manager con CTRL+ALT+CANT, in alto clicca su PROCESSI, scorri l'elenco e seleziona Knight.exe oppure disk knight.exe (se c'è) e termina il processo.

poi prova a disabilitarlo. Puoi postare un immagine dell errore? altrimenti scrivi precisamente che errore è!

vai da start -> esegui:
digita: services.msc
batti invio

cerca il servizio relativo al ripristino di sistema stoppalo e disabilitalo :)

Allora prova in questo modo prima di disabilitare il ripristinio fai cosi:

apire il task manager con CTRL+ALT+CANT, in alto clicca su PROCESSI, scorri l'elenco e seleziona Knight.exe oppure disk knight.exe (se c'è) e termina il processo.

poi prova a disabilitarlo. Puoi postare un immagine dell errore? altrimenti scrivi precisamente che errore è!

Da task manager non c'è nessun processo knight o similia...

Adesso non sono sul pc del mio collega comunque l'errore era tipo: impossibile trovare rundll32.exe me lo da anche per installazione applicazioni e via dicendo....

vai da start -> esegui:
digita: services.msc
batti invio

cerca il servizio relativo al ripristino di sistema stoppalo e disabilitalo :)

Già provato, per qualunque .exe mi parte la finestra Apri Con e da li non posso fare nulla :( :(

Allora fai cosi che risolvi al sicuro:

scarica questo file
http://www.zshare.net/download/51086342b45557/

poi ci clicchi col tasto destro>unisci cosi ora potrai disabilitare il riprisitinio e seguire la guida.

In fondo aspettiamo il LOG di HJT

Salve a tutti, un mio collega di corso ha preso il suddetto virus tramite usb passatagli dalla prof di chimca :rolleyes:, o provato in tutti i modi di disabilitare il ripristino configurazione sistema ma mi da un errore di rundll32, se provo ad aprire il regedit mi apre la scelta dei programmi e come se non bastasse antivir non parte più provato anche da modalità provvisoria ma mida gli stessi errori....consigli?

siamo sicuri che il problema sia riferito solo a questo: Knight.exe

siamo sicuri che il problema sia riferito solo a questo: Knight.exe

Chill, sicuramente NON è dovuto solo a questo ma cerchiamo di risolvere una cosa per volta, altrimenti l'utente non ci capisce più nulla:rolleyes:

siamo sicuri che il problema sia riferito solo a questo: Knight.exe

Tutto è iniziato da quando abbiamo infilato la pen drive....

Comunque domani vado da questo mio amico e proverò a fare tutto quello che mi avete suggerito.. grazie a tutti.

Naturalmente la PEN DRIVE incriminata va FORMATTATA!

Aspettiamo i log, :D

Naturalmente la PEN DRIVE incriminata va FORMATTATA!

Aspettiamo i log, :D

Hehehe fatto dopo 0.3 sec dopo il pasticcio

Tutto è iniziato da quando abbiamo infilato la pen drive....

Comunque domani vado da questo mio amico e proverò a fare tutto quello che mi avete suggerito.. grazie a tutti.

Complimenti alla Prof. di Chimica gli ha fatto proprio una bella formula :asd:

Complimenti alla Prof. di Chimica gli ha fatto proprio una bella formula :asd:

questa non l'ho capita...

questa non l'ho capita...

Salve a tutti, un mio collega di corso ha preso il suddetto virus tramite usb passatagli dalla prof di chimca :read:

Grazie a tutti, stamattina in 20 min abbiamo risolto.

Ma possibile che per eliminare questa schifezza di programma nessuno faccia nulla, intendo i vari software antivirus.

Tutti quelli che conosco hanno nella propria chiavetta questa schifezza, appena lo elimino dopo pochi giorni vengo riinfettato... :muro:


Ho disattivato l'autoplay della chiavetta, ma non c'è nulla da fare appena inserisco nell' usb una qualunque chiavetta, questo si installa automaticamente nel mio Pc !!!

Tra le altre cose, dopo mi tocca pure formattare la chiavetta. :muro:

nemodark se tutte le volte che attacchi la chiavetta ad un pc questo si infetta vuol dire che la chiavetta è infetta... quindi...

Attacca ogni chiavetta ad un solito pc e FORMATTALE TUTTE.

poi esegui da cima a fondo (non saltare nemmeno un passaggio) questa guida:


Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).


apire il task manager con CTRL+ALT+CANT, in alto clicca su PROCESSI, scorri l'elenco e seleziona Knight.exe oppure disk knight.exe (se c'è) e termina il processo.


ora vai in Pannello di Controllo->Installazione Applicazioni cerca (se c'è) Knight o disk knight.exe e rimuovilo.


ora abilita questa opzione: Pannello di controllo - opzioni cartella - visualizzazione - visualizza file e cartelle nascosti e fai una ricerca con START - CERCA il file Knight e disk Knight e rimuovilo manualmente.


adesso fai START - ESEGUI - digita regedit premi invio- in alto fai MODIFICA - TROVA e cerca Knight e disk Knight e elimina (se ci sono) eliminano tutte le chiavi di registro contente questi due nomi


adesso Scarica l’ultima versione di VirIt:clicca qui per il download (http://www.tgsoft.it/italy/download.htm).
Installalo, eseguilo, aspetta il termine del controllo della memoria, ed AGGIORNALO (è importante). Fai la scansione completa del sistema (salva il log allegalo qui)


START - ESEGUI - digita msnconfig - premi invio - in alto clicca su avvio - togli la spunta dalla cassella denominata disk knight oppure knight.

Adesso riavvia il pc e per sicurezza:

Scarica HIJACKTHIS: clicca qui per il download (httphttp://filehippo.com/download/file/25c22612a33445fd6675fe56efed6cf652193cdd6856c4b16449ccb8203cbc63/).
Mettilo in una cartella in C: o in C:\Programmi.
Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), copialo e incollalo qui tra i tag (code)….(/code) , le parentesi sostituiscile con quelle [] oppure tramite la funzione “gestisci allegati” oppure hostalo tramite www.zshare.net

Credo che lui si riferisca al fatto che sto "virus" stia girando dappertutto e nonostante la sua penna usb sia pulita dove l'attacca l'attacca becca sto benedetto coso!

Credo che lui si riferisca al fatto che sto "virus" stia girando dappertutto e nonostante la sua penna usb sia pulita dove l'attacca l'attacca becca sto benedetto coso!

forse è il caso che se usate un pc infetto di non ricollegarci la chiavetta o proteggere da password il profilo di Avira-Antivir :)

Ragazzi sto virus è un vero macello!

L'ho levato l'altra settimana ad una mia amica senza nemmeno leggere qua, alla fine non è che ci voglia un genio, le ho pulito registro, hard disk, chiavetta! Tutto manualmente! Non ci è nemmeno voluto molto...

Il problema è che gli antivirus non lo vedono! Almeno Antivir aka Avira Personal Edition, non lo vede assolutamente! Peccato perchè pensavo fosse un buon antivirus, invece evidentemente come euristica fa schifo!

Invece pare che AVG lo becchi sto maledetto Disk Knight! Cioè non so se individui i file infetti, e se riesce a sistemarli, però per lo meno dovrebbe impedire al virus di installarsi su pc quando si inserisce la chiavetta!

Ripeto per ora solo voci che mi hanno riferito!

Cmq sta mia amica si è ribeccata Disk Knight, la cosa pazzesca è che lo ha beccato da un documento .doc (word) all'apertura, però li avevo controllati tutti i documenti word l'altra volta! Li ho aperti uno ad uno e niente! Poi non capisco come se n'è di nuovo saltato fuori! Assurda sta cosa!

Tra poco torno dalla sfortunata armato di AVG e vediamo se riesco a sistemare definitivamente il problema, poi vi aggiorno. :)

Ragazzi sto virus è un vero macello!

L'ho levato l'altra settimana ad una mia amica senza nemmeno leggere qua, alla fine non è che ci voglia un genio, le ho pulito registro, hard disk, chiavetta! Tutto manualmente! Non ci è nemmeno voluto molto...

Il problema è che gli antivirus non lo vedono! Almeno Antivir aka Avira Personal Edition, non lo vede assolutamente! Peccato perchè pensavo fosse un buon antivirus, invece evidentemente come euristica fa schifo!

Invece pare che AVG lo becchi sto maledetto Disk Knight! Cioè non so se individui i file infetti, e se riesce a sistemarli, però per lo meno dovrebbe impedire al virus di installarsi su pc quando si inserisce la chiavetta!

Ripeto per ora solo voci che mi hanno riferito!

Cmq sta mia amica si è ribeccata Disk Knight, la cosa pazzesca è che lo ha beccato da un documento .doc (word) all'apertura, però li avevo controllati tutti i documenti word l'altra volta! Li ho aperti uno ad uno e niente! Poi non capisco come se n'è di nuovo saltato fuori! Assurda sta cosa!

Tra poco torno dalla sfortunata armato di AVG e vediamo se riesco a sistemare definitivamente il problema, poi vi aggiorno. :)

AVG free per esperienza personale ti posso dire che non lo becca !!!

AVG free per esperienza personale ti posso dire che non lo becca !!!

io uso avg free, appena inserito la chiavetta infetta l'ha rilevato e pulito. non ho nemmeno dovuto formattare la chiavetta :)

Ok ragazzi aggiornamento! :D

Allora intanto la mia amica si era sbagliata, il virus non era fra i file .doc nella chiavetta, ma si nascondeva in un .htm, insomma un file di quelli che crea internet explorer quando si salva una pagina web.

Cmq attento andw7 perchè AVG becca il virus ma solo in parte! Ora vi spiego:

Facendo una scansione della chiavetta AVG ha individuato "knight.exe" che ha identificato come Worm VB6, e lo ha rimosso! E ha anche rimosso il "knight.exe" che si era insediato in "C:\Windows".

Tuttavia la chiavetta risultava ancora infetta! Infatti AVG non vede il file "autorun" (non ricordo l'estensione), e mi dava la chiavetta pulita anche se non lo era! Infatti permaneva l'icona dello scudo tipo centro sicurezza di windows XP.

Per cui per una rimozione completa del virus dalla chiavetta vi consiglio di seguire il "Passo 1" che trovate qui http://surus.wordpress.com/2007/10/27/eliminare-definitivamente-disk-knight/

Li viene spiegato come rimuovere anche il file "autorun" dalla chiavetta utilizzando il prompt dei comandi di Windows.

A questo punto però non è finita! Vi consiglio di seguire anche il "Passo 2" sempre nel link, simile a quello che aveva suggerito di fare Gle89 nel suo reply di riepilogo.

Così facendo rimuoverete completamente il virus dall'hard disk e dal registro.

Spero di essere stato chiaro ed esaustivo! Vi auguro di non beccarvi sto virus! E nel caso non fidatevi troppo del vostro antivirus!!! ;)

EDIT: Ah dimenticavo una cosa!!! Gli antivirus vedono il file .htm infetto come pulito! Non vi fate ingannare! Infatti basta aprire il file perchè il virus si installi nuovamente su chiavetta e computer! Quindi l'unica cosa da fare è eliminare il file da cui avete preso il virus, perchè gli antivirus non lo vedono come infetto e non sono in grado di disinfettarlo!

Il problema è che gli antivirus non lo vedono! Almeno Antivir aka Avira Personal Edition, non lo vede assolutamente! Peccato perchè pensavo fosse un buon antivirus, invece evidentemente come euristica fa schifo!

addiritura fa schifo come euristica oppobacco:O
un virus non fa testo

In Conclusione, è proprio necessario Formattare la Pendrive OPPURE si riesce a ripulirla senza il formattone? Magari installando un bel NOD32?

TNK

START - ESEGUI - digita msnconfig - premi invio - in alto clicca su avvio - togli la spunta dalla cassella denominata disk knight oppure knight.

Piccola nota.... il comando è msconfig e non msNconfig ;)

Piccola nota.... il comando è msconfig e non msNconfig ;)

Ho corretto la guida, mi si era aggiunta una N di troppo! Grazie:cool:

Ciao. Anch'io sto provvedendo (grazie ai vostri consigli ;) ) alla rimozione del "Cavaliere Nero". Cmq, se può essere utile, sono sicuro che la cosa sia cominciata quando ho - volontariamente, se anche un po' inconsapevolmente - messo sulla pennetta un "antivirus" di quelli che girano senza bisogno di essere installati nel sistema (lessico tecnico saltami addosso :Prrr: ). Ho idea che sia quello a rompere le scatole. (Io, se non mi sbaglio, c'ero arrivato da un link della newsletter di manuali.net, che però ho cancellato di recente.)
A presto :)

Chiedo scusa per l'incompetenza, ma non mi è chiara questa parte del procedimento:

" Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), copialo e incollalo qui tra i tag (code)….(/code) , le parentesi sostituiscile con quelle [] oppure tramite la funzione “gestisci allegati” oppure hostalo tramite www.zshare.net "

Potete illuminarmi?

Chiedo scusa per l'incompetenza, ma non mi è chiara questa parte del procedimento:

" Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), copialo e incollalo qui tra i tag (code)….(/code) , le parentesi sostituiscile con quelle [] oppure tramite la funzione “gestisci allegati” oppure hostalo tramite www.zshare.net "

Potete illuminarmi?
hai qualke problema nella risoluzione del problema?

quando, a termine della scansione con hijackthis, ti si apre la pagina di blocco note, la salvi sul tuo pc in format.txt e poi apri un nuovo post ed utilizza la funzione allegati, che trovi sotto, in opzioni aggiuntive

ovvero:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

hai qualke problema nella risoluzione del problema?

quando, a termine della scansione con hijackthis, ti si apre la pagina di blocco note, la salvi sul tuo pc in format.txt e poi apri un nuovo post ed utilizza la funzione allegati, che trovi sotto, in opzioni aggiuntive

ovvero:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:
1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp (http://www.fileup.itadib.com/index.php), pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

Stranamente nel log non c'è traccia di knight.exe, ma da qualche parte dev'esserci perchè non mi fa aprire due dei miei mp3, e se faccio tasto destro sulle loro icone nelle risorse del computer compare l'azione disk knight, che comunque mi porta alla finestra di dialogo "impossibile aprire" ecc. ecc.

Stranamente nel log non c'è traccia di knight.exe, ma da qualche parte dev'esserci perchè non mi fa aprire due dei miei mp3, e se faccio tasto destro sulle loro icone nelle risorse del computer compare l'azione disk knight, che comunque mi porta alla finestra di dialogo "impossibile aprire" ecc. ecc.

ciao,
segui questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1599603

sono molto importanti i punto 6 e 7

x la scansione online con bitdefender indicata nella guida, questo è il link:
http://www.bitdefender.com/scan8/ie.html

ciao,
segui questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1599603

sono molto importanti i punto 6 e 7

x la scansione online con bitdefender indicata nella guida, questo è il link:
http://www.bitdefender.com/scan8/ie.html

Farò qualche prova. Purtroppo non ho la possibilità di connettermi in rete direttamente col mio computer, cmq scarico regolarmente gli aggiornamenti di avg. Ora mi metto all'oprea. Per ora grazie mille

Bene, anche questa infezione è stata risolta, quindi MOD puoi mettere il tag nel titolo

Riassumo i sintomi e la procedura della disinfestazione:

Sintomi:

si apre automaticamente un processo denominato disk knight.exe

appare un'icona simile a quella dell'antivirus di windows nella barra accanto all'orologio

si apre una pagina web con messaggio firmato da qualche scuola islamica


Procedura di disinfestazione:

Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).


apire il task manager con CTRL+ALT+CANT, in alto clicca su PROCESSI, scorri l'elenco e seleziona Knight.exe oppure disk knight.exe (se c'è) e termina il processo.


ora vai in Pannello di Controllo->Installazione Applicazioni cerca (se c'è) Knight o disk knight.exe e rimuovilo.


ora abilita questa opzione: Pannello di controllo - opzioni cartella - visualizzazione - visualizza file e cartelle nascosti e fai una ricerca con START - CERCA il file Knight e disk Knight e rimuovilo manualmente.


adesso fai START - ESEGUI - digita regedit premi invio- in alto fai MODIFICA - TROVA e cerca Knight e disk Knight e elimina (se ci sono) eliminano tutte le chiavi di registro contente questi due nomi


adesso Scarica l’ultima versione di VirIt:clicca qui per il download (http://www.tgsoft.it/italy/download.htm).
Installalo, eseguilo, aspetta il termine del controllo della memoria, ed AGGIORNALO (è importante). Fai la scansione completa del sistema (salva il log allegalo qui)


START - ESEGUI - digita msconfig - premi invio - in alto clicca su avvio - togli la spunta dalla cassella denominata disk knight oppure knight.

Adesso riavvia il pc e per sicurezza:

Scarica HIJACKTHIS: clicca qui per il download (httphttp://filehippo.com/download/file/25c22612a33445fd6675fe56efed6cf652193cdd6856c4b16449ccb8203cbc63/).
Mettilo in una cartella in C: o in C:\Programmi.
Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), copialo e incollalo qui tra i tag (code)….(/code) , le parentesi sostituiscile con quelle [] oppure tramite la funzione “gestisci allegati” oppure hostalo tramite www.zshare.net


Ho seguito tutte le indicazioni e pare abbia risolto.
Per sicurezza, allego entrambi i log delle scansioni effettuate (prima con Virit, poi con Hijackthis).
Grazie :D

Ho seguito tutte le indicazioni e pare abbia risolto.
Per sicurezza, allego entrambi i log delle scansioni effettuate (prima con Virit, poi con Hijackthis).
Grazie :D

sembri pulito...

devi aggiornare internet explorer (aggiornamento di sicurezza e gratuito, importante anche se nn usi IE):
DOWNLOAD (http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=it)

x sicurezza, fai una scansione online con bitdefender e posta qui il report a fine scansione (nn fare nulla nel frattempo):
http://www.bitdefender.com/scan8/ie.html

sembri pulito...

devi aggiornare internet explorer (aggiornamento di sicurezza e gratuito, importante anche se nn usi IE):
DOWNLOAD (http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=it)

x sicurezza, fai una scansione online con bitdefender e posta qui il report a fine scansione (nn fare nulla nel frattempo):
http://www.bitdefender.com/scan8/ie.html

Eccolo...

http://teatime.altervista.org/bit.html

Eccolo...

http://teatime.altervista.org/bit.html

ok, pulito sembri

tranne bearshare....:rolleyes:

ciao ciao

ok, pulito sembri

tranne bearshare....:rolleyes:

ciao ciao

Quasi quasi lo disinstallo, ù_u.
Ciao, e grazie mille ancora *_*

ok, pulito sembri

tranne bearshare....:rolleyes:

ciao ciao

Scusa se rompo ancora :X
...ho spento e riacceso il pc e mi è ricomparso lo stesso problema di stamattina, il dialer internet connection e via dicendo.
Ho rifatto tutte le scansioni necessarie e ho seguito nuovamente la stessa procedura utilizzata stamattina e pare sia tutto a posto.
Unica cosa: nella scansione finale con bitdefender, questi sono i risultati...

Scan Info

Scanned Files
118908
Infected Files
6

Virus Detected

BehavesLike:Trojan.HangUp
1
Adware.180solutions.AO
2
Trojan.Muldrop.AWX
3

...c'è un modo per eliminare i virus definitivamente?

è evidente che non hai una sufficente linea difensiva e/o inciampi negli stessi errori..
disattiva il rispristino di sistema e lascialo disabilitato, rifai la procedura descritta da Gle e poi rivaluta i software difensivi che usi :)

hai idea di come fai ad infettarti?

Alla fine pare che disk knight sia sparito, soprattutto grazie ad anti knight. La strana cosa è che ora non mi fa più l'autoplay, sia per le chiavi che per i lettori e gli hard disk esterni...anti knight l'ho messo in tutti gli hard disk e le chiavette, e ogni volta mi dice che ero infettato e ora sono a posto. Eppure avg non rileva più niente....

Non so come, ma il cavaliere mi si è reintrufolato nel computer.

ecco il log: http://www.zshare.net/download/12669776cdb1936c/

nell'elenco dei processi non c'è, ho tolto tutto quello che ho trovato in regedit e msconfig ma ogni volta che metto una chiavetta nuova ricompare. In più non fa più l'autoplay
che fastidio...

Non so come, ma il cavaliere mi si è reintrufolato nel computer.

ecco il log: http://www.zshare.net/download/12669776cdb1936c/

nell'elenco dei processi non c'è, ho tolto tutto quello che ho trovato in regedit e msconfig ma ogni volta che metto una chiavetta nuova ricompare. In più non fa più l'autoplay
che fastidio...

Esegui HijackThis clicca su Do a sytem scan only - metti il segno du spunta nella casella bianca asx delle sottoindicate voci e clicca su Fix checked

O4 - HKLM\..\Run: [MATH DOES FIRST MODE] C:\Documents and Settings\All Users\Dati applicazioni\live 64 math does\Delete win.exe
O4 - HKCU\..\Run: [FACE DELETE] C:\DOCUME~1\Nonsono\DATIAP~1\DrawCopy\bendamenball.exe

elimina anche le relative cartelle:

C:\Documents and Settings\All Users\Dati applicazioni\live 64 math does
C:\Documents and Settings\Nonsono\Dati applicazioni\DrawCopy

Hai seguito queste istruzioni se si allega il log di VirIt
http://www.hwupgrade.it/forum/showpost.php?p=19629985

Esegui HijackThis clicca su Do a sytem scan only - metti il segno du spunta nella casella bianca asx delle sottoindicate voci e clicca su Fix checked

O4 - HKLM\..\Run: [MATH DOES FIRST MODE] C:\Documents and Settings\All Users\Dati applicazioni\live 64 math does\Delete win.exe
O4 - HKCU\..\Run: [FACE DELETE] C:\DOCUME~1\Nonsono\DATIAP~1\DrawCopy\bendamenball.exe

elimina anche le relative cartelle:

C:\Documents and Settings\All Users\Dati applicazioni\live 64 math does
C:\Documents and Settings\Nonsono\Dati applicazioni\DrawCopy

Hai seguito queste istruzioni se si allega il log di VirIt
http://www.hwupgrade.it/forum/showpost.php?p=19629985



Fatto tutto, le cartelle nella directory di "dati applicazioni" non c'erano...

Fatto tutto, le cartelle nella directory di "dati applicazioni" non c'erano...

Devi abilitare la visualizzazione delle Cartelle e file nascosti ==>> clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Applica - OK

Allega un nuovo log di HijackThis e fammi il punto della situazione, thx.

chill, ma virit è particolarmente indicato per questo tipo di infezione o può essere rimpiazzato da quelli in guida?

Devi abilitare la visualizzazione delle Cartelle e file nascosti ==>> clicca su una cartella qualsiasi Strumenti - Opzioni cartella - Visualizzazione - metti il segno di spunta su Visualizza cartelle e file nascosti - Applica - OK

Allega un nuovo log di HijackThis e fammi il punto della situazione, thx.

Log in arrivo. Thx a te

Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi 1\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - AppInit_DLLs: avgrsstx.dll

Log in arrivo. Thx a te

il log è pulito, ma hai programmi da aggiornare assolutamente... vai al link http://secunia.com/software_inspector/ e scansiona online il pc, ti segnalerà il software altamente critico obsoleto che è presente nel tuo pc :)

la O20 è relativa ad AVG quindi la si può lasciare, mentre le O4 fixandole si disabilita lo startup di quei programmi :)

io lascerei fuori dai fix realplayer così si garantisce l'aggiornamento almeno di quel programma, ma si può benissimo fare manualmente :)

avevo trovato questo...
http://www.prevx.com/filenames/X756762159698296214-0/AVGRSSTX.DLL.html

Diciamo che se puoi rinunciare a RealPlayer è ancora meglio, dicci come và il PC?

Diciamo che se puoi rinunciare a RealPlayer è ancora meglio, dicci come và il PC?

In sostanza realplayer mi serviva per vedere futurama e i simpson me li hanno passati in un formato che mpclassic non legge. ora elimino quanto prescrittomi

In sostanza realplayer mi serviva per vedere futurama e i simpson me li hanno passati in un formato che mpclassic non legge. ora elimino quanto prescrittomi

Non fixare questa voce

O20 - AppInit_DLLs: avgrsstx.dll

ma in sostanza il PC come và?

In sostanza realplayer mi serviva per vedere futurama e i simpson me li hanno passati in un formato che mpclassic non legge. ora elimino quanto prescrittomi

installa allora Real Alternative (http://www.codecguide.com/)

@ wjmat:
per toglierci i dubbi potremmo fargli fare una scansione con PrevxCSI :)

Lancia HiJackThis ► clicca Do a scan only ► metti la spunta a fianco delle righe che ti segnalo qui sotto ► clicca su Fix Checked ► Riavvia e nuovo log
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programmi 1\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - AppInit_DLLs: avgrsstx.dll


Intendi riavviare hijackthis o il computer proprio?

Riallega un nuovo log di HJT, il Pc come và ( è la terza volta che telo chiedo :D )

Non fixare questa voce

O20 - AppInit_DLLs: avgrsstx.dll

ma in sostanza il PC come và?

Il pc va bene, soliti rallentamenti quando maneggio troppi programmi insieme.
Stranezze: dopo lo startup mi si apre sempre il percorso C:Programmi, ma penso sia un problema ereditato dall'utility sony ericsson per trasferire i file (questa cosa sicuramente anteriore all'avvento di disk knight);
asus liveupdate dice di non riuscire a terminare la procedura per spazio insufficiente, ma sul C: ho 30 GB liberi;
Al momento non mi viene in mente altro

Nuovo log

Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
da cui aggiornamento di java
rimozione di avg in favore di antivir
rimozione virit
sfoltimento startup...con autorun puoi disattivare tutti i programmi inutili, se poi vedi che ti servono li riattivi

cosa sono questi?
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe

Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.
da cui aggiornamento di java
rimozione di avg in favore di antivir
rimozione virit
sfoltimento startup...con autorun puoi disattivare tutti i programmi inutili, se poi vedi che ti servono li riattivi

cosa sono questi?
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
C:\Programmi\Brother\Brmfcmon\BrMfcWnd.exe

il secondo un'utility x una stampante, suppongo, che uso poco ma cmq ce l'ho; l'altro non ne ho idea

l'altro parrebbe un componente di windows... probabilmente hai installato un tool di componenti aggiuntivi :)

l'altro parrebbe un componente di windows... probabilmente hai installato un tool di componenti aggiuntivi :)

Ma devo eliminarli entrambi?

Allego un log HJT, per vedere se posso riattivare il ripristino config. di sistema

Ma devo eliminarli entrambi?

no :D

Dai un'occhiata al trattamento di prevenzione / post disinfezione (http://www.hwupgrade.it/forum/showthread.php?t=1726383), ti aiuta a verificare la configurazione di sicurezza del tuo pc ed eliminare eventuali residui inutili dei programmi utilizzati nelle guide.

Hai ancora virit da rimuovere

Mi è venuta in mente un'altra anomalia: non mi tiene in memoria le impostazioni risparmio energia (tipo io voglio che non si spenga mai e ad ogni startup torna sul profilo che sospende dopo 20 minuti)

....ora abilita questa opzione: Pannello di controllo - opzioni cartella - visualizzazione - visualizza file e cartelle nascosti e fai una ricerca con START - CERCA il file Knight e disk Knight e rimuovilo manualmente.


C'è una variante del Disk Knight, per il quale è necessario togliere il segno di spunta anche a Nascondi i file protetti e di sistema (consigliato) per vedere i file dell'infezione.
Il file da rimuovere, consiglio l'uso di FileASSASSIN, sono:

C:\Windows\Knight.exe
X:\Knight.exe
X:\autorun.inf

Dove X e la lettera che indica la penna usb.
Poi con HiJackThis si può rimuovere la voce O4 di avvio automatico del virus.

P.S. AVG 8 fino a ieri non rilevava l'infezione. Mentre gran parte degli altri antivirus (analisi su virusscan.jotti.org) lo individuavano.

C'è una variante del Disk Knight, per il quale è necessario togliere il segno di spunta anche a Nascondi i file protetti e di sistema (consigliato) per vedere i file dell'infezione.
Il file da rimuovere, consiglio l'uso di FileASSASSIN, sono:

C:\Windows\Knight.exe
X:\Knight.exe
X:\autorun.inf

Dove X e la lettera che indica la penna usb.
Poi con HiJackThis si può rimuovere la voce O4 di avvio automatico del virus.

P.S. AVG 8 fino a ieri non rilevava l'infezione. Mentre gran parte degli altri antivirus (analisi su virusscan.jotti.org) lo individuavano.
grazie per la segnalazione ;)
magari ne prendo spunto per rifare meglio questa guida, qui mi sembra un pò spezzettata, così ne approfitto anche per uniformare i tool

aggiornato :)

Salve a tutti,

sono un neofita di computer e neoiscritto a questo forum. Grazie ai vostri post sono riuscito a disinfettare il mio PC da Disk Knight, ma...
non riesco più a vedere le cartelle nascoste. Credo si tratti di un problema ereditato da Disk Knight, infatti, prima dell'infezione vedevo tranquillamente le cartelle nascoste. Adesso, invece, facendo il percorso:

START - PANNELLO CONTROLLO - OPZIONI CARTELLA - VISUALIZZAZIONE - VISUALIZZA CARTELLE E FILE NASCOSTI - APPLICA - OK

non accade assolutamente nulla. Le cartelle nascoste non si visualizzano e facendo di nuovo la procedura trovo ancora selezionato: NON VISUALIZZARE CARTELLLE E FILE NASCOSTI...

Avete qualche suggerimento da darmi per ripristinare il corretto funzionamento del mio computer?

Grazie

Salve a tutti,

sono un neofita di computer e neoiscritto a questo forum. Grazie ai vostri post sono riuscito a disinfettare il mio PC da Disk Knight, ma...
non riesco più a vedere le cartelle nascoste. Credo si tratti di un problema ereditato da Disk Knight, infatti, prima dell'infezione vedevo tranquillamente le cartelle nascoste. Adesso, invece, facendo il percorso:

START - PANNELLO CONTROLLO - OPZIONI CARTELLA - VISUALIZZAZIONE - VISUALIZZA CARTELLE E FILE NASCOSTI - APPLICA - OK

non accade assolutamente nulla. Le cartelle nascoste non si visualizzano e facendo di nuovo la procedura trovo ancora selezionato: NON VISUALIZZARE CARTELLLE E FILE NASCOSTI...

Avete qualche suggerimento da darmi per ripristinare il corretto funzionamento del mio computer?

Grazie

Scarica questo file sul Desktop - Tasto dx del mouse - Unisci e riavvia il Pc
http://www.mediafire.com/?ml8tcwgjc0y per Win Vista
http://www.mediafire.com/?r36byildf1y per Win XP

Scarica questo file sul Desktop - Tasto dx del mouse - Unisci e riavvia il Pc
http://www.mediafire.com/?ml8tcwgjc0y per Win Vista
http://www.mediafire.com/?r36byildf1y per Win XP

Ti ringrazio per la cortesia, ma scusa la mia ignoranza... non ho capito a cosa devo unire questo file del bocco note...

Ti ringrazio per la cortesia, ma scusa la mia ignoranza... non ho capito a cosa devo unire questo file del bocco note...

Semplicemente quello che ti ho scritto, l'estensione del file è .reg, lo scarichi sul Desktop ci clicchi sopra col tasto dx del mouse, sulla finestrella che ti appre clicca su Unisci, confermi e riavvii il PC

Bene, anche questa infezione è stata risolta, quindi MOD puoi mettere il tag nel titolo

Riassumo i sintomi e la procedura della disinfestazione:

Sintomi:

si apre automaticamente un processo denominato disk knight.exe

appare un'icona simile a quella dell'antivirus di windows nella barra accanto all'orologio

si apre una pagina web con messaggio firmato da qualche scuola islamica


Procedura di disinfestazione:

Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).


Disattiva l'autoplay delle pennine usb se avete XP HOME

- Start -- Esegui -- digita regedit
- Portatevi sulla seguente chiave di registro sulla parte sinistra dello schermo
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer]
- MOdifica (se esiste) o crea (modifica -- nuovo)=> Valore DWORD, denominandolo come segue: NoDriveTypeAutoRun
- Assegnagli il valore su base Decimale 181
- Chiudi e riavvia il pc e la modifica è attiva!

se avete XP PROFESSIONAL:
- Start -- Esegui --- digita GPEDIT.MSC
- Dal menu di sinistra fate questo percorso Configurazione Computer --Modelli Amministrativi -- Sistema- Sulla parte destra Scorrete l'elenco finché trovate la voce "Disattiva Riproduzione Automatica" e selezionatela con un doppio click del mouse;
- Dalla finestra successiva selezionate la voce "Attivata";
- Confermate il tutto e chiudete il pannello di amministrazione.
- La modifica è attiva!


apire il task manager con CTRL+ALT+CANT, in alto clicca su PROCESSI, scorri l'elenco e seleziona Knight.exe oppure disk knight.exe (se c'è) e termina il processo.


ora vai in Pannello di Controllo->Installazione Applicazioni cerca (se c'è) Knight o disk knight.exe e rimuovilo.


ora abilita questa opzione: Pannello di controllo - opzioni cartella - visualizzazione - visualizza file e cartelle nascosti ;
invece TOGLI il segno di spunta anche a Nascondi i file protetti e di sistema (consigliato);
ora con START - CERCA i file (prima nel pc e poi nella penna usb)
Knight
disk Knight
autorun.inf

se vengono trovati ELIMINATELI.


adesso fai START - ESEGUI - digita regedit premi invio- in alto fai MODIFICA - TROVA e cerca Knight e disk Knight e elimina (se ci sono) eliminano tutte le chiavi di registro contente questi due nomi (attenzione controllate bene i nomi se sono anche di una lettera differente o in più NON cancellateli)


adesso Scarica l’ultima versione di VirIt:clicca qui per il download (http://www.tgsoft.it/italy/download.htm).
Installalo, eseguilo, aspetta il termine del controllo della memoria, ed AGGIORNALO (è importante). Fai la scansione completa del sistema (salva il log allegalo qui)


START - ESEGUI - digita msconfig - premi invio - in alto clicca su avvio - togli la spunta dalla cassella denominata disk knight oppure knight.


Adesso scarica il tool AntiKnight (http://www.plusexpert.cl/download/AntiKnight.rar) e scompattatelo in una cartella nel vostro pc, adesso cliccate su AntiKnight.exe, vi si aprirà una finestra e cliccate su il solo bottone presente e sarete ancora più sicuri di aver debellato il virus!
Inoltre ora copiate la cartella anche in tutte le penne usb o lettore mp3 infettati da tali virus e ripetete l'operazione di cui sopra!

Adesso riavvia il pc e per sicurezza:

Scarica HIJACKTHIS: clicca qui per il download (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip).
Mettilo in una cartella in C: o in C:\Programmi.
Aprilo e premi la prima opzione "Do a system scan and save log" aspetta che ti dia il file .txt (blocco note), pubblicalo inviandolo su uno deis erver consigliati dalle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e nel thread (= discussione) inserisci il solo link al download.


Piccola nota informativa:
http://www.hwupgrade.it/forum/showpost.php?p=32012331&postcount=635