Salve gente, sono marco e ho un problema (banale, ma sempre vero...). Non so nemmeno se si tratti di un virus e se ho sbagliato sezione mi dispiace davvero. Un mio amico ha un problema sul pc. le cartelle "misticamente" (così dice lui, ma ci credo poco) sono diventate file.exe... Mi ha chiesto una mano e gli ho offerto il mio hd esterno per copiare un po' di roba e formattare. Ora le cartelle del mio hd che sono state aperte quando era sul suo pc, sono diventate exe! e c'è di più: ho collegato l'hd al mio portatile e ho copiato alcuni file nella cartella windows/sistem32 (è un po' strano, ma storo lì i miei dati) e prova ad indovinare? Sia windows, sia sistem32 sono diventati degli exe.
Questi strani exe hanno ancora il loro contenuto se ci clicco, ma se faccio tasto detro proprietà mi dice che sono degli exe da 37 kb... Capirai quanto è facile cercare qualcosa sui forum mettendo cose tipo "cartelle diventano eseguibili...". Il pc del mio amico non ha nemmeno una connessione internet, quindi non so nemmeno se sia un virus, specie perché se fosse un virus ci sarebbero dei file magari nascosti sul mio hd esterno, che invece non ci sono... Qualche idea su cosa sia e/o cosa devo fare? Di per sè non sembra essere un gravissimo danno, solo che il contenuto di quelle cartelle non è selezionabile da sorgenti esterne tipo la creazione di una playlist o qualsiasi upload di file. Insomma, quando dovrei interagire mediante schema ad albero, chiaramente, non me le vede come cartelle ma come file...

Ciao benvenuto nel pronto soccorso di HU.
prima assicuriamoci che tu sia pulito quindi segui la guida alla disinfezione per infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità (http://www.hwupgrade.it/forum/showthread.php?t=1779308) e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

log di Malwarebytes Anti-Malware aggiornato ad oggi
log di A-squared scansione deep aggiornato ad oggi
log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
log di Dr.Web CureIT scaricato ed aggiornato ad oggi
log di ESET SysInspector
log di HiJackThis
log di Gmer
log di PrevxCSI


Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già parzialmente ripulito, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.


Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa (http://www.hwupgrade.it/forum/showthread.php?t=1779308) è una brevissima guida alla pubblicazione dei log
Questo (http://www.hwupgrade.it/forum/showpost.php?p=23619723&postcount=5) è un esempio preciso ed ordinato di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, (http://fileqube.com/) wikisend.com (http://wikisend.com/), mediafire.com (http://www.mediafire.com/index.php)
caricamento immagini fileqube (http://fileqube.com/)

Ecco tutti quanti i log in ordine. Solo sysinspector manca all'appello perché mi crasha appena inizia a caricare l'interfaccia... Spero vada bene lo stesso

1 - http://www.fileqube.com/shared/ZCjprS89163
2 - http://www.fileqube.com/shared/QAFgFGgq89169
3 - http://www.fileqube.com/shared/ycmpb89174
4 - www.hwupgrade.helloweb.euParserLoglogoutput-1283788675.txt
6 - http://www.fileqube.com/shared/hGvrp89178
7 - http://www.fileqube.com/shared/vybOnm89179
8/a - http://www.fileqube.com/shared/NgNQMm89149
8/b - http://www.fileqube.com/shared/SuLxo89158


Si sono verificate delle cose molto "divertenti"... Quelle cartelle che sono diventate .exe sono state viste come trojan e eliminate. Ho eliminato sia C:\Windows, sia C:\Windows\system32, ho riavviato e ovviamente il pc ANDAVA... Ho controllato e quelle cartelle non c'erano più. Ho poi aperto blocco note e trovato la destinazione del suo collegamento: ero in una cartella fantasma.... salendo al piano superiore a partire da system32 sono arrivato in windows e system32 non c'era più, sempre facendo livello superiore sono arrivato in C:\ e ovviamente windows non c'era più... Tutto questo mi fa pensare a qualcosa che ha "infettato" explorer.exe o cmq il gestore di cartelle e file e allora ho scaricato total commander: stessa cosa, niente windows e system32... Idee?

Fai start -> esegui -> digita cmd (invio)
Nella finestra di dos incolla:
attrib -s -h /s /d C:\Windows
e batti invio
attrib -s -h /s /d C:\Windows\system32
e batti invio

Confermaci di aver disabilitato il ripristino configurazione sistema e di aver fatto pulizia con ATF Cleaner

Successivamente da Start - Esegui - digita regedit e naviga fino alla seguente chiave di registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

clicca su Winlogon nel pannello di destra in corrispondenza del valore Shell dimmi cosa trovi in teoria dovresti vedere solo Explorer.exe <<-- esattamente così

Confermata disattivazione e pulizia file inutili. Vedo esattamente Explorer.exe
Per quanto riguarda il comando da dos, c'è un modo per applicarlo indistintamente a tutte le cartelle oppure devo cercare quelle che sono diventate exe manualmente?

malwarebytes segnalava solo 2 exe, vedi se ne trovi degli altri
sono tornate visibili le cartelle?

con malwarebytes dovresti riscansionare ed eliminare quei 2 file che prima hai lasciato

quelle due cartelle sono diventate exe perché hocopiato in system32 dei file contenuti nell'hd esterno che era venuto a contatto con il pc del mio amico. Il solo fatto di cliccare su una cartella l'ha fatta diventare exe e quindi oltre ad avere mezzo hd esterno di cartelle exe ho anche tutto il suocomputer così. Nel frattemo ho anche provato a caricargli una versione di linux e mi vedeva le due cose distintamente, cartella e file.exe, ma non potevo cancellare gli exe perché me li vedeva di sistema.
Se faccio una scansione con malawarebytes sia sull'hd esterno, sia sul suo pc, mi troverà sicuramente tutte le cartelle exe e dovrò usare il comando attrib per ciascuna per farle riapparire, quindi vi chiedevo se posso usare il comando attrib per tutte le cartelle assieme, anziché una per volta, perché potrebbero essere proprio tante...

su pc sono solo 2 mi pare no?
fai la scansione del disco esterno e vediamo cosa dice, se sono molte ci possiamo creare un file .bat per automatizzare il tutto ;)

Questo sì che è strano... Effettuata scansione con mal e allegato il log... Non ha trovato nessun virus, ma ci sono almeno 6 cartelle .exe

nell'attesa ho applicato il comando attrib -s -h /s /d E:\* (dove E ovviamente è il mio hd esterno) e mi ha separato le cartelle dagli exe, non avendomi trovato niente con la scansione, se li rimuovo manualmente spariscono davvero oppure no?

ok niente da fare... il signorino sembra essere ancora lì. ho lavorato un po' con l'hd esterno e poi la cartella windows è ridiventata file. quindi è sicuro che se è un virus sta sull'hd esterno... solo che non mi trova niente malawarebytes... Rifaccio tutta la procedura di disinfezione?

fai la scansione con kasp sul disco esterno

appena finisco un'altra scansione con malawarebytes, faccio con kaspersky. Cmq mi puoi dire quali attributi ridà quel comando alle cartelle e come dirgli di applicarlo anche alle sottocartelle?

mi pare di capire che i file .exe li puoi eliminare in quanto sono solo file infetti
il virus applica gli attributi di "nascosto" e "file di sistema" per non farti più vedere le cartelle

con attrib è meglio non scherzare, in win ci sono cartelle di sistema nascoste che è meglio lasciare tali, sul disco magari si non so se va con *.*

vediamo se kasp rimuove il virus e i suoi file.exe, poi ripristiniamo le cartelle che non si vedono

avviata scansione con kasp di disco fisso, hd esterno e chiavetta (infettata pure quella...). Cmq è strano che malawarebytes prima mi trovasse i virus e ora no... speriamo nel buon vecchio kasp. Grazie intanto!

avviata scansione con kasp di disco fisso, hd esterno e chiavetta (infettata pure quella...). Cmq è strano che malawarebytes prima mi trovasse i virus e ora no... speriamo nel buon vecchio kasp. Grazie intanto!
conta che mbam non è nemmeno un antivirus ;)
secondo ha fatto già molto

vediamo dopo kasp che succede

Verifiva i valori delle seguenti chiavi di registro:

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"

dopodichè ripeti come indicato la scansione col Kav accertati però che il tool sia ggiornato alle ultime definizioni

ok chiavi di registro controllate e sono a posto. Fatta scansione con kav e sistemato tutto. ora il pc sembra essere ok! Ho anche debellato l'infezione dal pc del mio amico. Farò altre scansioni in questi giorni cmq perché anche se ho selezionato di mostrare la finestra nelle operazioni di spostamento, da quando ho questo virus, mi mostra solo il bordo... devo disattivare e riattivare l'opzione per sistemare le cose... quindi altre scansioni.
Intanto vi ringrazio davvero tanto per la pazienza, la competenza, la serietà e l'aiuto datomi!
A presto!

ok chiavi di registro controllate e sono a posto. Fatta scansione con kav e sistemato tutto. ora il pc sembra essere ok! Ho anche debellato l'infezione dal pc del mio amico. Farò altre scansioni in questi giorni cmq perché anche se ho selezionato di mostrare la finestra nelle operazioni di spostamento, da quando ho questo virus, mi mostra solo il bordo... devo disattivare e riattivare l'opzione per sistemare le cose... quindi altre scansioni.
Intanto vi ringrazio davvero tanto per la pazienza, la competenza, la serietà e l'aiuto datomi!
A presto!
di nulla, facci sapere come va a finire ;)

ok a distanza di un po' di tempo, sembra tutto a posto! Grazie ancora di tutto!

Salve, avendo un problema simile al nostro amico sono stato indirizzato a questo thread.

Prima di buttarmi nella procedura però, ho provato qualche programmino consigliato qua e là nelle vostre procedure di disinfestazione, con l'aiuto di vari programmi.
Ho disattivato l'autorun e installato Autorun Eater, dopodichè ho usato Prevx per cercare le minaccie (che AVG e Spybot non trovavano) dopo aver reso visibili files di sistema e nascosti da Strumenti/opzioni cartella...

Alcuni erano impossibili da cancellare, ma con Unlocker 1.87 sono riuscito a eliminarli del tutto. Vi era anche una voce di registro da startup, nominata "28qualcosa che non ricordo" segnata tra le minaccie, quella l'ho cancellata con l'editor di startup di Spybot.
Ho controllato con Prevx anche le chiavette e il disco fisso esterno, dove ho trovato la cartella Recycler che riappare ancora (ma è normale? Da alcune parti dicono che nei dischi fissi è normale, corrisponde al cestino) nella quale c'erano files infetti, rimossi con il File Shredder di Spybot anche se invisibili (ho trascinato la cartella nello Shredder, così facendo la svuota del suo contenuto senza cancellarla).
Non so se sia dovuto all'assenza di autorun, ma ora come ora le mie chiavette sono libere da virus (secondo i 3 programmi sopra elencati, Prevx Spybot e Avg) e non riappaiono più i fastidiosi Exe di prima.

La chiavetta madre del problema, di una mia amica, l'ho già ridata indietro, ora le passerò questi programmi nel tentativo di rimettere tutto a posto...

Salve, avendo un problema simile al nostro amico sono stato indirizzato a questo thread.

Prima di buttarmi nella procedura però, ho provato qualche programmino consigliato qua e là nelle vostre procedure di disinfestazione, con l'aiuto di vari programmi.
Ho disattivato l'autorun e installato Autorun Eater, dopodichè ho usato Prevx per cercare le minaccie (che AVG e Spybot non trovavano) dopo aver reso visibili files di sistema e nascosti da Strumenti/opzioni cartella...

Alcuni erano impossibili da cancellare, ma con Unlocker 1.87 sono riuscito a eliminarli del tutto. Vi era anche una voce di registro da startup, nominata "28qualcosa che non ricordo" segnata tra le minaccie, quella l'ho cancellata con l'editor di startup di Spybot.
Ho controllato con Prevx anche le chiavette e il disco fisso esterno, dove ho trovato la cartella Recycler che riappare ancora (ma è normale? Da alcune parti dicono che nei dischi fissi è normale, corrisponde al cestino) nella quale c'erano files infetti, rimossi con il File Shredder di Spybot anche se invisibili (ho trascinato la cartella nello Shredder, così facendo la svuota del suo contenuto senza cancellarla).
Non so se sia dovuto all'assenza di autorun, ma ora come ora le mie chiavette sono libere da virus (secondo i 3 programmi sopra elencati, Prevx Spybot e Avg) e non riappaiono più i fastidiosi Exe di prima.

La chiavetta madre del problema, di una mia amica, l'ho già ridata indietro, ora le passerò questi programmi nel tentativo di rimettere tutto a posto...
come complicarsi la vita :rolleyes:

come complicarsi la vita :rolleyes:

Beh più o meno... A fare tutti gli scanner della lista qui proposta avrei dovuto scaricare almeno 8 programmi tra antivirus, antimalware, alcuni anche poco intuitivi a mio parere (Hijackthis è efficace, ma mi fa paura, e Gmer mi ha dato qualche problema la prima volta che l'ho usato, sarà che non sono esperto): non mi sarebbero certo bastate solo 2 orette scarse, come invece ho fatto con questa procedura molto spartana!
Poi è chiaro, voi dovete proporre la versione più sicura, io volevo solo far notare che la cosa si può risolvere in altri modi.
Sono certo che gente più esperta di me, incrociando le 2 modalità, potrebbe stilare un tipo di disinfezione più efficace della mia e meno difficile di quella proposta.

Mi sembrava solo giusto scriverlo...

se sei pratico con windows puoi benissimo basarti con il solo log di sysinspector che è la fotografia veramente completa del pc e da questo ricavare subito tutte le kiavi e files da correggere o cancellare, tempo della scansione 5min, max 10min.

hijacjthis è un log di alcune porzioni di windows mentre gmer è utile per identificare a colpo d'occhio i servizi manomessi.

nel caso specifico bastava una passata di malwarebytes e per essere sicuri con a-squared e il gioco era bello che concluso, stesso tempo ma senza sbattimenti, però apprezzo il tuo sistema di dinfezione anche se comunque secondo me lo hai complicato più del previsto :)

quello che mi preoccupa di più è che il tuo antivirs non ha bloccato un infezione risalente a un anno fa e pertanto hai dovuto rimboccarti le maniche... :muro: