virus su periferiche rimovibili

[turemao]

Salve ragazzi,
ho inserito la pendrive sul pc di un amico per passargli dei file arrivato a casa attacco la pennetta e parte l'autoplay fin qui tutto regolare,quando vado su risorse del pc e clicco per aprirla mi da "impossibile trovare il file di script MS32DLL.dll.vbs",per aprirla devo fare tasto destro apri.
Quando l'ho inserita c'era collegato l'hard disk portatile ed è stato infettato.
Quando tento di aprire l'hard disk mi da impossibile accedere e se faccio tasto destro c'è un programma con tre lettere A con dei simboli strani di sopra.
Ho fatto la scansione con avast,avg e asquared3 non hanno trovato nulla sia nella penna che nell'HD.Questo con WIN XP PRO SP2 con VISTA ULTIMATE funzionano regolarmente entrambe.
Ho abilitato i file nascosti e non c'è ne sono.
Per quanto riguarda la pennetta la posso formattare,invece per l'hd non posso formattare c'è 260 gb di dati,vorrei provare a ripristinare l'MBR per vedere se si è annidato li.
Secondo voi come posso eliminarlo?
Grazie anticipatamente per le risposte.

[71104]

non ho capito molto che tipo di messaggio è quello che ti appare quando tenti di aprire la cartella dell'hard disk, ma se ho intuito bene si tratta di un errore come se ti fosse negato l'accesso. prova a verificare di avere tutti i permessi necessari ad accedervi: loggati con un account amministrativo (come Administrator), clic destro sull'icona dell'hard disk, vai su Properties, Security, Advanced, Owner, (scusami, il mio Windows è in inglese ) e controlla che l'account amministrativo che stai usando sia uno dei proprietari (o che lo sia uno dei gruppi a cui esso appartiene); dopodiché vai su Permissions (sempre nella stessa finestra) e a quel punto puoi cambiare i permessi come vuoi. controlla che i permessi consentano pieno accesso all'account che usi normalmente (o ad uno dei gruppi a cui appartiene) per accedere all'hard disk. se non ti consentono accessi sufficienti allora impostali tu manualmente. fatto questo controllo riloggati con l'altro account e prova ad aprire la cartella: se ancora non ci riesci potrebbe essere che il virus ha nuovamente cambiato i permessi, e allora è fatta: lo puoi individuare immediatamente impostando un audit, senza troppi log di HJT

[xcdegasp]

la sezione corretta è "aiuto sono inmfetto! cosa faccio?"

imposta gestione risorse per mostrare tutti i file poi vai nella chiavetta usb e dovresti trovare 2 file che non c'entrano nulla..
[DRIVE LETTER]:\autorun.inf
[DRIVE LETTER]:\MS32DLL.dll.vbs

aggiunge queste cose nel tuo sistema operativo:
“MS32DLL” = “%Windir%\MS32DLL.dll.vbs” e modifica il registro per garantirsi l'esecuzione automatica:
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
(%Windir% è la directory del tuo windows esempio C:\WINDOWS)

è probabile che sia cambiato anche il titolo del tuo InternetExplorer:
“Window Title” = “Hacked by[REMOVED]” to the registry subkey:
HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main


basta che rimuovi quei due file nella chiavetta, rimuovi quel file nella cartella di windows, modifichi quelle due chiavi di registro (se non è già stato fatto da qualche tuo programma) e poi riavvii.

Essendo questo worm del 2006 ti consiglio caldamente di cambiare antivirus, magari in favore di Antivir se vuoi restare sui gratuiti

[turemao]

Grazie ragazzi adesso provo.