[WINXP Sp3] Cartelle che diventano file.exe

[Brutalis]

Salve gente, sono marco e ho un problema (banale, ma sempre vero...). Non so nemmeno se si tratti di un virus e se ho sbagliato sezione mi dispiace davvero. Un mio amico ha un problema sul pc. le cartelle "misticamente" (così dice lui, ma ci credo poco) sono diventate file.exe... Mi ha chiesto una mano e gli ho offerto il mio hd esterno per copiare un po' di roba e formattare. Ora le cartelle del mio hd che sono state aperte quando era sul suo pc, sono diventate exe! e c'è di più: ho collegato l'hd al mio portatile e ho copiato alcuni file nella cartella windows/sistem32 (è un po' strano, ma storo lì i miei dati) e prova ad indovinare? Sia windows, sia sistem32 sono diventati degli exe.
Questi strani exe hanno ancora il loro contenuto se ci clicco, ma se faccio tasto detro proprietà mi dice che sono degli exe da 37 kb... Capirai quanto è facile cercare qualcosa sui forum mettendo cose tipo "cartelle diventano eseguibili...". Il pc del mio amico non ha nemmeno una connessione internet, quindi non so nemmeno se sia un virus, specie perché se fosse un virus ci sarebbero dei file magari nascosti sul mio hd esterno, che invece non ci sono... Qualche idea su cosa sia e/o cosa devo fare? Di per sè non sembra essere un gravissimo danno, solo che il contenuto di quelle cartelle non è selezionabile da sorgenti esterne tipo la creazione di una playlist o qualsiasi upload di file. Insomma, quando dovrei interagire mediante schema ad albero, chiaramente, non me le vede come cartelle ma come file...

[wjmat]

Ciao benvenuto nel pronto soccorso di HU.
prima assicuriamoci che tu sia pulito quindi segui la guida alla disinfezione per infetti ed esegui tutte le scansioni ed il caricamento dei relativi log nelle modalità e nell'ordine indicato.

Ricapitolando, dopo aver disabilitato il ripristino di sistema, fatto la pulizia dei file inutili con ATFCleaner, vogliamo necessariamente in ordine (altrimenti dovrai comunque rifarli):

1. log di Malwarebytes Anti-Malware aggiornato ad oggi
2. log di A-squared scansione deep aggiornato ad oggi
3. log di Kaspersky Virus Removal Tool scaricato oggi oppure di F-Secure OnLine
4. log di Dr.Web CureIT scaricato ed aggiornato ad oggi
5. log di ESET SysInspector
6. log di HiJackThis
7. log di Gmer
8. log di PrevxCSI

Con la pulizia files inutili, e le scansioni vere e proprie di antispyware (1 e 2) ed antivirus (3 e 4) avrai un pc già parzialmente ripulito, con le restanti scansioni veloci noi avremo le informazioni necessarie per i restanti interventi.


Tranne che per eseguire gli aggiornamenti e fare le scansioni che richiedano la connessione ad internet è sempre consigliato rimanere sconnessi e non usare il pc per altre operazioni.
Le scansioni falle in ordine e non contemporaneamente, rischi che i programmi non svolgano a dovere il loro compito, e comunque affaticando maggiormente il sistema non guadagneresti comunque tempo...

Questa è una brevissima guida alla pubblicazione dei log
Questo è un esempio preciso ed ordinato di come vorremmo tu caricassi i log

link utili per il caricamento log ed immagini
caricamento log fileqube.com, wikisend.com, mediafire.com
caricamento immagini fileqube

[Brutalis]

Ecco tutti quanti i log in ordine. Solo sysinspector manca all'appello perché mi crasha appena inizia a caricare l'interfaccia... Spero vada bene lo stesso

1 - http://www.fileqube.com/shared/ZCjprS89163
2 - http://www.fileqube.com/shared/QAFgFGgq89169
3 - http://www.fileqube.com/shared/ycmpb89174
4 - www.hwupgrade.helloweb.euParserLoglogoutput-1283788675.txt
6 - http://www.fileqube.com/shared/hGvrp89178
7 - http://www.fileqube.com/shared/vybOnm89179
8/a - http://www.fileqube.com/shared/NgNQMm89149
8/b - http://www.fileqube.com/shared/SuLxo89158


Si sono verificate delle cose molto "divertenti"... Quelle cartelle che sono diventate .exe sono state viste come trojan e eliminate. Ho eliminato sia C:\Windows, sia C:\Windows\system32, ho riavviato e ovviamente il pc ANDAVA... Ho controllato e quelle cartelle non c'erano più. Ho poi aperto blocco note e trovato la destinazione del suo collegamento: ero in una cartella fantasma.... salendo al piano superiore a partire da system32 sono arrivato in windows e system32 non c'era più, sempre facendo livello superiore sono arrivato in C:\ e ovviamente windows non c'era più... Tutto questo mi fa pensare a qualcosa che ha "infettato" explorer.exe o cmq il gestore di cartelle e file e allora ho scaricato total commander: stessa cosa, niente windows e system32... Idee?

[wjmat]

Fai start -> esegui -> digita cmd (invio)
Nella finestra di dos incolla:

Codice:

attrib -s -h /s /d C:\Windows

e batti invio

Codice:

attrib -s -h /s /d C:\Windows\system32

e batti invio

[Chill-Out]

Confermaci di aver disabilitato il ripristino configurazione sistema e di aver fatto pulizia con ATF Cleaner

Successivamente da Start - Esegui - digita regedit e naviga fino alla seguente chiave di registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

clicca su Winlogon nel pannello di destra in corrispondenza del valore Shell dimmi cosa trovi in teoria dovresti vedere solo Explorer.exe <<-- esattamente così

[Brutalis]

Confermata disattivazione e pulizia file inutili. Vedo esattamente Explorer.exe
Per quanto riguarda il comando da dos, c'è un modo per applicarlo indistintamente a tutte le cartelle oppure devo cercare quelle che sono diventate exe manualmente?

[wjmat]

malwarebytes segnalava solo 2 exe, vedi se ne trovi degli altri
sono tornate visibili le cartelle?

con malwarebytes dovresti riscansionare ed eliminare quei 2 file che prima hai lasciato

[Brutalis]

quelle due cartelle sono diventate exe perché hocopiato in system32 dei file contenuti nell'hd esterno che era venuto a contatto con il pc del mio amico. Il solo fatto di cliccare su una cartella l'ha fatta diventare exe e quindi oltre ad avere mezzo hd esterno di cartelle exe ho anche tutto il suocomputer così. Nel frattemo ho anche provato a caricargli una versione di linux e mi vedeva le due cose distintamente, cartella e file.exe, ma non potevo cancellare gli exe perché me li vedeva di sistema.
Se faccio una scansione con malawarebytes sia sull'hd esterno, sia sul suo pc, mi troverà sicuramente tutte le cartelle exe e dovrò usare il comando attrib per ciascuna per farle riapparire, quindi vi chiedevo se posso usare il comando attrib per tutte le cartelle assieme, anziché una per volta, perché potrebbero essere proprio tante...

[wjmat]

su pc sono solo 2 mi pare no?
fai la scansione del disco esterno e vediamo cosa dice, se sono molte ci possiamo creare un file .bat per automatizzare il tutto

[Brutalis]

Questo sì che è strano... Effettuata scansione con mal e allegato il log... Non ha trovato nessun virus, ma ci sono almeno 6 cartelle .exe

[Brutalis]

nell'attesa ho applicato il comando attrib -s -h /s /d E:\* (dove E ovviamente è il mio hd esterno) e mi ha separato le cartelle dagli exe, non avendomi trovato niente con la scansione, se li rimuovo manualmente spariscono davvero oppure no?

[Brutalis]

ok niente da fare... il signorino sembra essere ancora lì. ho lavorato un po' con l'hd esterno e poi la cartella windows è ridiventata file. quindi è sicuro che se è un virus sta sull'hd esterno... solo che non mi trova niente malawarebytes... Rifaccio tutta la procedura di disinfezione?

[wjmat]

fai la scansione con kasp sul disco esterno

[Brutalis]

appena finisco un'altra scansione con malawarebytes, faccio con kaspersky. Cmq mi puoi dire quali attributi ridà quel comando alle cartelle e come dirgli di applicarlo anche alle sottocartelle?

[wjmat]

mi pare di capire che i file .exe li puoi eliminare in quanto sono solo file infetti
il virus applica gli attributi di "nascosto" e "file di sistema" per non farti più vedere le cartelle

con attrib è meglio non scherzare, in win ci sono cartelle di sistema nascoste che è meglio lasciare tali, sul disco magari si non so se va con *.*

vediamo se kasp rimuove il virus e i suoi file.exe, poi ripristiniamo le cartelle che non si vedono

[Brutalis]

avviata scansione con kasp di disco fisso, hd esterno e chiavetta (infettata pure quella...). Cmq è strano che malawarebytes prima mi trovasse i virus e ora no... speriamo nel buon vecchio kasp. Grazie intanto!

[wjmat]

Quote:

Originariamente inviato da Brutalis

avviata scansione con kasp di disco fisso, hd esterno e chiavetta (infettata pure quella...). Cmq è strano che malawarebytes prima mi trovasse i virus e ora no... speriamo nel buon vecchio kasp. Grazie intanto!

conta che mbam non è nemmeno un antivirus
secondo ha fatto già molto

vediamo dopo kasp che succede

[Chill-Out]

Verifiva i valori delle seguenti chiavi di registro:

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"

dopodichè ripeti come indicato la scansione col Kav accertati però che il tool sia ggiornato alle ultime definizioni

[Brutalis]

ok chiavi di registro controllate e sono a posto. Fatta scansione con kav e sistemato tutto. ora il pc sembra essere ok! Ho anche debellato l'infezione dal pc del mio amico. Farò altre scansioni in questi giorni cmq perché anche se ho selezionato di mostrare la finestra nelle operazioni di spostamento, da quando ho questo virus, mi mostra solo il bordo... devo disattivare e riattivare l'opzione per sistemare le cose... quindi altre scansioni.
Intanto vi ringrazio davvero tanto per la pazienza, la competenza, la serietà e l'aiuto datomi!
A presto!

[wjmat]

Quote:

Originariamente inviato da Brutalis

ok chiavi di registro controllate e sono a posto. Fatta scansione con kav e sistemato tutto. ora il pc sembra essere ok! Ho anche debellato l'infezione dal pc del mio amico. Farò altre scansioni in questi giorni cmq perché anche se ho selezionato di mostrare la finestra nelle operazioni di spostamento, da quando ho questo virus, mi mostra solo il bordo... devo disattivare e riattivare l'opzione per sistemare le cose... quindi altre scansioni.
Intanto vi ringrazio davvero tanto per la pazienza, la competenza, la serietà e l'aiuto datomi!
A presto!

di nulla, facci sapere come va a finire