PDA

View Full Version : Abrir carpeta para ver archivos ... aiuto!


guidocx84
15-06-2008, 23:06
Ciao a tutti!
Innanzi tutto scusate il titolo del post ma volevo che chiunque facesse una ricerca su google trovasse questo thread poiché io ci ho provato senza risultati. Vi spiego il problema.

Sono riuscito ad isolare sul mio Ubuntu un virus che per linux non dovrebbe dar fastidio ma che sta infettando tutti i pc di amici e parenti con windows, propagandosi tramite pendrive. E' proprio così che sono riuscito ad isolarlo: inserendo la pendrive su linux ed abilitando la visualizzazione dei file nascosti ho rilevato la presenza di un file ed una cartella: il file si chiama autorun.inf e contiene le seguenti righe:

[autorun]

action= Abrir carpeta para ver archivos

icon=%SystemRoot%\system32\SHELL32.dll,7

shellexecute=\run\autorun.exe

open=.\run\autorun.exe

shell\open\Command=.\run\autorun.exe

Il messaggio in spagnolo che vedete (Abrir carpeta para ver archivos) mi si presenta ogni qualvolta collego la pendrive ad un pc windows (che automaticamente viene infettato) tra le scelte possibili dopo che win sfoglia il pendrive. Poi, terminato il proprio lavoro, quando si va a rimuovere il pendrive, compare un messaggio di errore che dice chè è impossibile rimuovere il pendrive perché in uso.

Su di esso, oltre al file autorun.inf, è presente anche una cartella di nome run che contiene 2 files: autorun.exe e Mswinsck.ocx.

Una volta infettato il pc windows, mi accorgo che nel task manager compaiono varie istanze di iexplore.exe (non uso mai internet explorer...uso sempre firefox). Eseguo msconfig e vedo che all'avvio è stato impostato iexplore.exe e lo disabilito. Scopro anche il path: C:/WINDOWS/SYSTEM32/DLLCACHE/iexplore.exe. E da qui lo elimino.

Il pen drive lo formatto tramite linux e sembra tutto essere a posto. In realtà però ho il dubbio di aver trovato solo una soluzione temporanea (l'ho forse disabilitato solo in parte?) Vorrei eliminarlo definitivamente.

Che cosa mi consigliate?

Sui pc a cui ho collegato il pendrive e su cui è presente NOD32, questo mi mette immediatamente il file in quarantena identificandolo come variante di Win32/IRCbot e uploadando il file su virustotal.com ecco i risultati.

http://www.virustotal.com/it/analisis/86c378470bbe7c4ab8826f568cbe3f7c

C'è un removal apposito? Cosa potrei fare? Non vorrei che il virus sia andato a modificarmi chiavi nel registro di sistema. Grazie mille a chiunque vorrà aiutarmi!

wjmat
16-06-2008, 07:18
Ciao benvenuto nel pronto soccorso di HU.
Comincia a guardare qui (http://www.hwupgrade.it/forum/showthread.php?t=1599603&highlight=chiavetta) la guida per la rimozione di virus su chiavetta usb e posta in quella discussione tutti i log richiesti secondo le modalità.

guidocx84
04-07-2008, 13:56
Allora...mi sono preso un po' di tempo perché pensavo di averlo debellato ma oggi ho avuto la riconferma che non è possibile debellare questo virus. Il problema è questo: ho seguito alla lettere tutto quello che diceva la guida per rimuovere i virus da pennina usb ed inizialmente ero riuscito a mettere i pc al sicuro cancellando a mano il file incriminato dalla cartella nascosta C:/WINDOWS/SYSTEM32/DLLCACHE/ (che tra l'altro per aprire si deve anche disabilitare l'opzione "nascondi i file protetti di sistema") e togliendo tramite MSCONFIG il processo IEXPLORE.EXE all'avvio del pc. Poi formattando le pennine (e attenzione....anche le SECURE DIGITAL erano infette) tramite Linux (così posso guardare in faccia il virus prima di toglierlo) avevo risolto. COME MI ACCORGO DI AVER RISOLTO? Semplice:
1. Quando inserisco la pennina, nell'elenco di opzioni disponibili non compare più abrir carpeta par ver archivos"
2. Quando vado a fare la rimozione sicura del pen drive, me la fa fare correttamente invece di darmi il solito errore (impossibile rimuovere perché è in uso).

Questa volta ero talmente convinto che non l'avrei più rivisto che non pensavo neanche più all'incompetenza informatica di mio padre. Infatti, in ogni pennina, comprese le sue, mi si era creato il file apposito che crea il programma FLASH DISINFECTOR ed ero sicuro che quelle pennine sarebbero state per sempre al sicuro.

Oggi, di ritorno per pranzo, mi si avvicina mesto mesto mio padre e mi dice:

"E' tornato"...e lì capisco a chi si riferisce...estorcendogli con la forza qualche informazione scopro che lui usa la sua pennina a lavoro su un pc utilizzato da altri colleghi con le loro pennine......ora la mia domanda è questa....che devo fare???? Devo fargli ripulire il pc di lavoro e tutte le pennine dei colleghi o c'è qualcosa di + veloce? E soprattutto, c'è una procedura definitiva per eliminare questo virus...perché la serie A VOLTE RITORNANO sta diventando troppo concreta per i miei gusti.... :muro: Meno male che sul pc di casa ho nod32 aggiornato: lui lo riconosce sempre e me lo mette in quarantena...nonostante che cmq la voce IEXPLORE.exe in MSCONFIG ricompaia (e l'ho già ridisabilitata)....

Come mai flash disinfector non ha funzionato??? Scusate la probabile incompetenza ma non so + come combatterlo....GRAZIE A CHIUNQUE VOGLIA AIUTARMI....

xcdegasp
04-07-2008, 15:19
a casa sulpc crei un utente limitato e userete d'ora innanzi sempre quell'utente per usare normalmente il pc!
quando dovrete installare un software che richiede d'essere un utente con privilegi più alti vi loggherete come admin, o qualche volta a settimana solo per aggiornare windows e programmi vari, ma dovrete abituarvi fin da subito all'account limitato.
non è così una tragedia e vedrai che no torneràmai più ;) garantito! :p

guidocx84
04-07-2008, 15:23
ora...siccome il problema dell'incompetenza riguarda solo mio padre....non è che potrei fare limitato solo il suo di account e tenermi il mio non limitato?...tanto io non ho pennine o pc invirussati....è lui che ci ha a che fare e non lo capisce. funzionerebbe lo stesso?

(non pensavo che l'account limitato impedisse l'inserimento di processi all'avvio...bell'idea!)

xcdegasp
05-07-2008, 18:04
usare un account limitato non significa macchiarsi il nome o perdere in qualche modo la stima/fiducia di qualcuno (non rende nemmeno sterili :D ) è semplicemente il buon senso e ilbuon uso nonchè la base nei concetti di sicurezza informatica :)

un esempio? linux di default impone l'uso del pc come account utenteossia limitato, idem negli ambienti unix.
il macOSx non lo uso e non lo conosco ma potrei ipotizzare con certezza che anche lui funziona con questo scema. :)

basta anche la sola navigazione per avere poi il pc uno straccio e venre a chiedere aiuto disperato nel forum...
se poi ti fermi un attimo a pensare, il 95% dell'uso quotidiano del pc non prevede disinstallazioni o installazioni quindi non èassolutamente necessario essereadmin per tutto il tempo :)

guidocx84
06-07-2008, 00:30
non l'avevo mai pensata da questo punto di vista....forse per il fatto che su linux si passa a root con un comando mentre su windows si deve cambiare account....però ora che mi ci fai pensare non è una cattiva idea...però non pensavo addirittura che fosse scontata! (cioè non pensavo fosse la soluzione base da adottare....forse perché di default windows ti indirizza ad una scelta di account del tipo administrator)...vabbè...grazie mille allora...proverò così!

ciao ;)

wjmat
06-07-2008, 11:59
Puoi provare a disabilitare la riproduzione automatica dei dispositivi ottici (CD/DVD) e rimovibili (chiavette usb/hard disk esterni)...

Per disabilitare la funzione di riproduzione automatica
Start → Esegui → digita gpedit.msc (invio) → Configurazione computer → Modelli amministrativi → Sistema → Nella finestra di destra scendi e doppio click su Disattiva riproduzione automatica → Seleziona Attivata → Nella tendina che si accende scegli Tutte le unità → OK

ciccioweb
29-12-2008, 10:16
Ho provato il nuovo AVG (http://www.avg.com/filedir/inst/avg_free_stf_eu_8_176a1400.exe)e trova il virus "Abrir carpeta para ver archivos", quindi con AVG si risolve il problema... :D

ciccioweb
28-02-2009, 11:47
Ho provato il nuovo AVG (http://www.avg.com/filedir/inst/avg_free_stf_eu_8_176a1400.exe)e trova il virus "Abrir carpeta para ver archivos", quindi con AVG si risolve il problema... :D
Inoltre le distribuzioni tipo Mandriva sono immuni e permettono di cancellare i file all'interno della penna USB che attaccano il virus...

xcdegasp
28-02-2009, 17:30
Inoltre le distribuzioni tipo Mandriva sono immuni e permettono di cancellare i file all'interno della penna USB che attaccano il virus...

mi spieghi perchè continui a rispondere a un utente che aveva l'infezione i primi giorni di luglio 2008 ? forse ha già risolto senza avg (gran antivirus che spesso cancella file indispensabili di windows) o mandriva che altro non è una distribuzione di linux ed è immune proprio perchè un altro sistema operativo non ti certo per altri motivi :D