Ciao ragazzi! Ho a che fare con una rete informatica, una dozzina di PC tutti con XP SP2 (purtroppo non posso aggiornarli perché non ho i privilegi di amministrazione) ho notato che sul mio PC di casa è comparsa una strana icona relativa ad un collegamento Nouveau dossier.lnk anche cancellandolo ricompare al prossimo riavvio (comportamento mooooolto strano). A questo punto ho iniziato a sentire puzza di bruciato, controllo la pendrive e noto un collegamento identico, un file di autorun e un file che si chiamasatan.vbe. Cancellandoli si ricrea immediatamente un file che si chiama HUMOUR.vbe che lascia subito il posto ai 3 file di prima.:mad:
A questo punto ho iniziato ad informarmi ma in rete ho trovato molto poco. L'antivirus non rileva nulla (AVG, BitDefender, Immunet Protect, Malwarebytes, Kingsoft AV, Digital Patrol e nemmeno USB Resident Shield). Allora ho provato a rimuoverlo manualmente. Credo di esserci riuscito ma non ne ho la certezza.
Il virus fa una copia di sè in 3 posti:

C:\Users\Nomeutente\Documents\s4t4n\s4t4n.vbe
C:\Users\Nomeutente\Documents\Window\HUMOUR.vbe
C:\Users\Nomeutente\Documents\Window\system.exe
System file [Not Delete] (mi prende pure per scemo) nella cartella di EsecuzioneAutomatica

Le cartelle s4t4n e Windows sono nascoste e non si possono vedere nemmeno abilitando la visualizzazione di files e cartelle nascoste....:confused: :confused: come diavolo avranno fatto!?! Ho pensato che siano riusciti a copiarle nel link sottoforma di immagine, secondo voi è plausibile?
Cancellando tali files (anche senza bisogno della modalità provvisoria) si riesce a disinfettare il PC, almeno credo. I files effettivamente non si ripresentano al riavvio e le chiavette collegate non sembrano infettarsi ma
1)vorrei capire cosa fa effettivamente questo virus
2)vorrei capire se ho effettivamente disinfettato il PC (non vorrei che avesse sporcato il registro...)
3)vorrei fare uno script che mi premunisca da tale infezione (e non basta disabilitare l'autorun dato che io ho W7 e l'autorun è disabilitato per default)

Se può servire ho isolato i files infetti in una cartella rar a cui ho tolto l'estensione...da lì non si muoveranno mai ;) posso uplodarla per chi volesse giocarci su VBox (cosa che io farò domani pomeriggio)
grazie mille!!

Si dovrebbe trattare del worm NATAS, qui (http://about-threats.trendmicro.com/malware.aspx?language=au&name=VBS_NATAS.A) trovi ulteriori informazioni, nella sezione in basso anche sulla rimozione manuale, è necessario metter mano al registro.

Se non ti senti tranquillo puoi procedere con la guida alla disinfenzione posta in rilievo nel forum.

Ok, ti ringrazio per la dritta, una settimana a navigare in rete e mi sono lasciato sfuggire questo link...:doh:
Il bello è che ho capito come faceva il maledetto a nascondere le cartelle, quella voce "ShowSuperHidden" mi ha fatto gridare EUREKA!!!
Quello che non capisco è che alcune di quelle voci di registro non sono state create/modificate dal worm. E' vero anche il fatto che, nelle mie ricerche ho notato che il worm (Cinera.A secondo alcune fonti) ha vari alias ma quello di "satan.vbe" non è documentato da nessuna parte, immagino che sia una variante.
Quindi al mio script dovrò aggiungere la modifica delle chiavi di registro, me lo consigliate?
E' possibile poi fare qualcosa per prevenire questo inconveniente? Ripeto, non ho privilegi di amministratore sui PC in questione (quindi niente regedit, a meno che non riesca a farlo da dos) però potrei far girare qualcosa in background che impedisca al virus di copiarsi dalle pendrive infette, no?