[risolto][WinXP] disk knight.exe

[andw7]

Quote:

Originariamente inviato da Ippo 2001

AVG free per esperienza personale ti posso dire che non lo becca !!!

io uso avg free, appena inserito la chiavetta infetta l'ha rilevato e pulito. non ho nemmeno dovuto formattare la chiavetta

[DakmorNoland]

Ok ragazzi aggiornamento!

Allora intanto la mia amica si era sbagliata, il virus non era fra i file .doc nella chiavetta, ma si nascondeva in un .htm, insomma un file di quelli che crea internet explorer quando si salva una pagina web.

Cmq attento andw7 perchè AVG becca il virus ma solo in parte! Ora vi spiego:

Facendo una scansione della chiavetta AVG ha individuato "knight.exe" che ha identificato come Worm VB6, e lo ha rimosso! E ha anche rimosso il "knight.exe" che si era insediato in "C:\Windows".

Tuttavia la chiavetta risultava ancora infetta! Infatti AVG non vede il file "autorun" (non ricordo l'estensione), e mi dava la chiavetta pulita anche se non lo era! Infatti permaneva l'icona dello scudo tipo centro sicurezza di windows XP.

Per cui per una rimozione completa del virus dalla chiavetta vi consiglio di seguire il "Passo 1" che trovate qui http://surus.wordpress.com/2007/10/2...e-disk-knight/

Li viene spiegato come rimuovere anche il file "autorun" dalla chiavetta utilizzando il prompt dei comandi di Windows.

A questo punto però non è finita! Vi consiglio di seguire anche il "Passo 2" sempre nel link, simile a quello che aveva suggerito di fare Gle89 nel suo reply di riepilogo.

Così facendo rimuoverete completamente il virus dall'hard disk e dal registro.

Spero di essere stato chiaro ed esaustivo! Vi auguro di non beccarvi sto virus! E nel caso non fidatevi troppo del vostro antivirus!!!

EDIT: Ah dimenticavo una cosa!!! Gli antivirus vedono il file .htm infetto come pulito! Non vi fate ingannare! Infatti basta aprire il file perchè il virus si installi nuovamente su chiavetta e computer! Quindi l'unica cosa da fare è eliminare il file da cui avete preso il virus, perchè gli antivirus non lo vedono come infetto e non sono in grado di disinfettarlo!

[juninho85]

Quote:

Originariamente inviato da DakmorNoland

Il problema è che gli antivirus non lo vedono! Almeno Antivir aka Avira Personal Edition, non lo vede assolutamente! Peccato perchè pensavo fosse un buon antivirus, invece evidentemente come euristica fa schifo!

addiritura fa schifo come euristica oppobacco
un virus non fa testo

[The X]

In Conclusione, è proprio necessario Formattare la Pendrive OPPURE si riesce a ripulirla senza il formattone? Magari installando un bel NOD32?

TNK

[The X]

Quote:

Originariamente inviato da Gle89

[*]START - ESEGUI - digita msnconfig - premi invio - in alto clicca su avvio - togli la spunta dalla cassella denominata disk knight oppure knight.

Piccola nota.... il comando è msconfig e non msNconfig

[Gle89]

Quote:

Originariamente inviato da The X

Piccola nota.... il comando è msconfig e non msNconfig

Ho corretto la guida, mi si era aggiunta una N di troppo! Grazie

[Uranius]

Ciao. Anch'io sto provvedendo (grazie ai vostri consigli ) alla rimozione del "Cavaliere Nero". Cmq, se può essere utile, sono sicuro che la cosa sia cominciata quando ho - volontariamente, se anche un po' inconsapevolmente - messo sulla pennetta un "antivirus" di quelli che girano senza bisogno di essere installati nel sistema (lessico tecnico saltami addosso ). Ho idea che sia quello a rompere le scatole. (Io, se non mi sbaglio, c'ero arrivato da un link della newsletter di manuali.net, che però ho cancellato di recente.)
A presto

[ilpreve]

Chiedo scusa per l'incompetenza, ma non mi è chiara questa parte del procedimento:

" Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), copialo e incollalo qui tra i tag (code)….(/code) , le parentesi sostituiscile con quelle [] oppure tramite la funzione “gestisci allegati” oppure hostalo tramite www.zshare.net "

Potete illuminarmi?

[murack83pa]

Quote:

Originariamente inviato da ilpreve

Chiedo scusa per l'incompetenza, ma non mi è chiara questa parte del procedimento:

" Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), copialo e incollalo qui tra i tag (code)….(/code) , le parentesi sostituiscile con quelle [] oppure tramite la funzione “gestisci allegati” oppure hostalo tramite www.zshare.net "

Potete illuminarmi?

hai qualke problema nella risoluzione del problema?

quando, a termine della scansione con hijackthis, ti si apre la pagina di blocco note, la salvi sul tuo pc in format.txt e poi apri un nuovo post ed utilizza la funzione allegati, che trovi sotto, in opzioni aggiuntive

ovvero:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

[ilpreve]

Quote:

Originariamente inviato da murack83pa

hai qualke problema nella risoluzione del problema?

quando, a termine della scansione con hijackthis, ti si apre la pagina di blocco note, la salvi sul tuo pc in format.txt e poi apri un nuovo post ed utilizza la funzione allegati, che trovi sotto, in opzioni aggiuntive

ovvero:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

Stranamente nel log non c'è traccia di knight.exe, ma da qualche parte dev'esserci perchè non mi fa aprire due dei miei mp3, e se faccio tasto destro sulle loro icone nelle risorse del computer compare l'azione disk knight, che comunque mi porta alla finestra di dialogo "impossibile aprire" ecc. ecc.

[murack83pa]

Quote:

Originariamente inviato da ilpreve

Stranamente nel log non c'è traccia di knight.exe, ma da qualche parte dev'esserci perchè non mi fa aprire due dei miei mp3, e se faccio tasto destro sulle loro icone nelle risorse del computer compare l'azione disk knight, che comunque mi porta alla finestra di dialogo "impossibile aprire" ecc. ecc.

ciao,
segui questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1599603

sono molto importanti i punto 6 e 7

x la scansione online con bitdefender indicata nella guida, questo è il link:
http://www.bitdefender.com/scan8/ie.html

[ilpreve]

Quote:

Originariamente inviato da murack83pa

ciao,
segui questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1599603

sono molto importanti i punto 6 e 7

x la scansione online con bitdefender indicata nella guida, questo è il link:
http://www.bitdefender.com/scan8/ie.html

Farò qualche prova. Purtroppo non ho la possibilità di connettermi in rete direttamente col mio computer, cmq scarico regolarmente gli aggiornamenti di avg. Ora mi metto all'oprea. Per ora grazie mille

[misssugar]

Quote:

Originariamente inviato da Gle89

Bene, anche questa infezione è stata risolta, quindi MOD puoi mettere il tag nel titolo

Riassumo i sintomi e la procedura della disinfestazione:

Sintomi:

• si apre automaticamente un processo denominato disk knight.exe
  
• appare un'icona simile a quella dell'antivirus di windows nella barra accanto all'orologio
  
• si apre una pagina web con messaggio firmato da qualche scuola islamica

Procedura di disinfestazione:

• Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
  programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).
  
  
• apire il task manager con CTRL+ALT+CANT, in alto clicca su PROCESSI, scorri l'elenco e seleziona Knight.exe oppure disk knight.exe (se c'è) e termina il processo.
  
  
• ora vai in Pannello di Controllo->Installazione Applicazioni cerca (se c'è) Knight o disk knight.exe e rimuovilo.
  
  
• ora abilita questa opzione: Pannello di controllo - opzioni cartella - visualizzazione - visualizza file e cartelle nascosti e fai una ricerca con START - CERCA il file Knight e disk Knight e rimuovilo manualmente.
  
  
• adesso fai START - ESEGUI - digita regedit premi invio- in alto fai MODIFICA - TROVA e cerca Knight e disk Knight e elimina (se ci sono) eliminano tutte le chiavi di registro contente questi due nomi
  
  
• adesso Scarica l’ultima versione di VirIt:clicca qui per il download.
  Installalo, eseguilo, aspetta il termine del controllo della memoria, ed AGGIORNALO (è importante). Fai la scansione completa del sistema (salva il log allegalo qui)
  
  
• START - ESEGUI - digita msconfig - premi invio - in alto clicca su avvio - togli la spunta dalla cassella denominata disk knight oppure knight.
  
  Adesso riavvia il pc e per sicurezza:
  
  Scarica HIJACKTHIS: clicca qui per il download.
  Mettilo in una cartella in C: o in C:\Programmi.
  Aprilo e premi la prima opzione "do a system scan and save log" aspetta che ti dia il file .txt (blocco note), copialo e incollalo qui tra i tag (code)….(/code) , le parentesi sostituiscile con quelle [] oppure tramite la funzione “gestisci allegati” oppure hostalo tramite www.zshare.net

Ho seguito tutte le indicazioni e pare abbia risolto.
Per sicurezza, allego entrambi i log delle scansioni effettuate (prima con Virit, poi con Hijackthis).
Grazie

[murack83pa]

Quote:

Originariamente inviato da misssugar

Ho seguito tutte le indicazioni e pare abbia risolto.
Per sicurezza, allego entrambi i log delle scansioni effettuate (prima con Virit, poi con Hijackthis).
Grazie

sembri pulito...

devi aggiornare internet explorer (aggiornamento di sicurezza e gratuito, importante anche se nn usi IE):
DOWNLOAD

x sicurezza, fai una scansione online con bitdefender e posta qui il report a fine scansione (nn fare nulla nel frattempo):
http://www.bitdefender.com/scan8/ie.html

[misssugar]

Quote:

Originariamente inviato da murack83pa

sembri pulito...

devi aggiornare internet explorer (aggiornamento di sicurezza e gratuito, importante anche se nn usi IE):
DOWNLOAD

x sicurezza, fai una scansione online con bitdefender e posta qui il report a fine scansione (nn fare nulla nel frattempo):
http://www.bitdefender.com/scan8/ie.html

Eccolo...

Codice HTML:

http://teatime.altervista.org/bit.html

[murack83pa]

Quote:

Originariamente inviato da misssugar

Eccolo...

Codice HTML:

http://teatime.altervista.org/bit.html

ok, pulito sembri

tranne bearshare....

ciao ciao

[misssugar]

Quote:

Originariamente inviato da murack83pa

ok, pulito sembri

tranne bearshare....

ciao ciao

Quasi quasi lo disinstallo, ù_u.
Ciao, e grazie mille ancora *_*

[misssugar]

Quote:

Originariamente inviato da murack83pa

ok, pulito sembri

tranne bearshare....

ciao ciao

Scusa se rompo ancora :X
...ho spento e riacceso il pc e mi è ricomparso lo stesso problema di stamattina, il dialer internet connection e via dicendo.
Ho rifatto tutte le scansioni necessarie e ho seguito nuovamente la stessa procedura utilizzata stamattina e pare sia tutto a posto.
Unica cosa: nella scansione finale con bitdefender, questi sono i risultati...

Scan Info

Scanned Files
118908
Infected Files
6

Virus Detected

BehavesLike:Trojan.HangUp
1
Adware.180solutions.AO
2
Trojan.Muldrop.AWX
3

...c'è un modo per eliminare i virus definitivamente?

[xcdegasp]

è evidente che non hai una sufficente linea difensiva e/o inciampi negli stessi errori..
disattiva il rispristino di sistema e lascialo disabilitato, rifai la procedura descritta da Gle e poi rivaluta i software difensivi che usi

hai idea di come fai ad infettarti?

[ilpreve]

Alla fine pare che disk knight sia sparito, soprattutto grazie ad anti knight. La strana cosa è che ora non mi fa più l'autoplay, sia per le chiavi che per i lettori e gli hard disk esterni...anti knight l'ho messo in tutti gli hard disk e le chiavette, e ogni volta mi dice che ero infettato e ora sono a posto. Eppure avg non rileva più niente....