[Guida alla disinfezione]Virus su chiavetta - Errore all'apertura del disco fisso

[Tuccio86]

ho fatto quello che hai scritto! ed ho allegato il log! (Spero)

[Chill-Out]

NB: ripristino configurazione sistema disattivato

Successivamente procedi così:

da Start - Esegui - digita regedit - ok

naviga fino alla seguente chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

la selezioni e nel pannello di destra alla voce Userinit doppio click ed elimini C:\WINDOWS\system32\secpol.exe, - OK

NB: devi eliminare solo ed esclusivamente questo valore C:\WINDOWS\system32\secpol.exe,

questo deve rimanere così C:\WINDOWS\system32\userinit.exe, virgola compresa

In Avenger inserisci questo Script

Quote:

Files to delete:
C:\WINDOWS\system32\secpol.exe

dopo il riavvio allega il log di Avenger ed un nuovo log di HijackThis

[wjmat]

doppio

[Joe69]

Quote:

Originariamente inviato da Bugs Bunny

Molti hanno ricevuto una chiavetta usb che,essendo infetta,dopo averla inserita nel pc,ha infettato il pc.
Oppure molti di voi per accedere al disco fisso devono cliccarci col tasto destro>esplora ,pena l'accesso negato e una avviso di file mancante.

Come rimediare?


1) Disattivate ripristino configurazione di sistema:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

2) Formattate la chiavetta

3) Fate una scansione completa del computer con kaspersky (DOWNLOAD) e antivir (DOWNLOAD)

4) Abilitate la visualizzazione di files e cartelle nascosti di sistema in questo modo:

-aprite una qualsiasi cartella
-andate su "strumenti"
-andate su "opzioni cartella"
-andate su "visualizzazione"
-selezionate "visualizza cartelle e files nascosti"
-togliete la spunta da "nascondi files protetti di sistema(consigliato)" e cliccate su "sì"
-cliccate su OK

5) andate in ogni partizione e cancellate il file chiamato autorun.inf (es C:\autorun.inf)

6) GUIDA ALLA RIMOZIONE DI KNIGHT.EXE DALLE PENDRIVE E LETTORI MP3

● inserire la pendrive o il lettore nella porta usb e tenere premuto il tasto SHIFT (è il tasto con la freccetta verso l'alto) per impedire l'esecuzione in Autoplay
● scaricare ed installare DISK KNIGHT REMOVER:clicca qui per il download
● avviare DISK KNIGHT REMOVER
● premere un tasto per consetire, al Tool, di analizzare la pendrive o il lettore e rimuovere knight.exe
● conclusa l'esecuzione, chiudere DISK KNIGHT REMOVER ed eseguire una scansione della periferica, da BITDEFENDER ONLINE SCANNER:clicca qui per lo scan online

● una volta aperta la pagina, clicca I AGREE
● ti farà scaricare ed installare un Activex: segui la procedura guidata.
salvare ed allegare il Report che verrà rilasciato

● terminata la scansione, rimuovere la periferica dopo averla disattivata cliccando sull'icona con la freccia verde che compare nella traybar, accanto all'orologio.

(Grazie a Riverside)

7)Scaricare: http://www.techsupportforum.com/sect...isinfector.exe

Doppio clic su Flash Disinfector.exe per eseguirlo e seguire le istruzioni.
Attendere fino a che non ha finito la scansione e quindi uscire dal programma Il tool può chiedere di inserire la chiavetta usb e/o altre unità removibili cmpreso il telefono cellulare ovviamente consentire per portare a termine la disinfezione
Flash Disinfector creerà una cartella nascosta denominata autorun.inf in ogni partizione e ogni unità USB collegata è preferibile non eliminare questa cartella aiuterà a proteggere le unità da infezioni future.
(Grazie Chill-Out)

Se il problema persiste,caricate su http://www.zshare.net/ un log di hijackthis (DOWNLOAD), postando il link del file. Aprite le partizioni dol tasto destro>esplora

ATTENZIONE. SE AVETE UN DISCO SEAGATE/MAXTOR comprato dopo agosto 2007,leggete questa news: http://www.hwupgrade.it/news/sicurez...200_23213.html

Ciao!!



Un tale chiamato Suhadi_Sadono mi ha appena inviato questo messaggio:


È capitato anche a me per colpa di un virus, la partizione si era trasformata in RAW. Ho recuperato tutti i dati con GetDataBack recovery NTFS.






Che VIRUS potrebbe essere secondo te che causa questo problema?

Io non ho usato nessuna penna drive!

Io non sono riuscito ad individuarlo...

Ho NOD 32 vers 3 come AV: ho fatto una scansione ma niente sembra tutto OK!

Ho provato a fare una scansione con A-SQUARED ma non ha trovato nulla!


La partizione D dell'HD da una settimana non funziona più perché mi appare un messaggio che mi dice che il disco nell'unità D non è formattato...


Ma come è possibile?

Sono andato in PROPRIETA' DISCO da PANNELLO di CONTROLLO e la partizione D risulta integra, solo che non mi indica il FILE SYSTEM (prima era FAT32) e risulta appunto RAW


Ora ho letto l' ottimo tuo THREAD indicatomi nel FORUM e vorrei provare a risolvere il problema seguendo le tue istruzioni but....

E' proprio necessario che faccia una scansione con kaspersky e antivir?

Non vorrei che NOD 32 vers 3 andasse in conflitto con NOD32...

Inoltre non avendo l'ADSL a casa (ci credi??) per me 30 MB da scaricare sono un pacco mostruoso.


DOMANDA:

Non mi converrebbe, anziché seguire le istruzioni presenti in questo thre recuperare i DATI persi con GET DATA BACK o EASY RECOVERY PROFESSIONAL o STELLAR PHOENIX e poi formattare l'UNITA' D?

La partizione D era FAT 32...dunque mi conviene usare GETDATABACK recovery FAT32?

Lo avevo provato tempo fa, dopo che fui costretto a FORMATTARE improvvisamente il PC causa CRASH, ma non riuscì a recuperare quasi nulla...

Per quello pensavo che STELLAR PHOENIX o EASY RECOVERY PROFESSIONAL fossero meglio!!




I dati tecnici del mio PC sono in soldoni questi:




Ho SERVICE PACK 3 aggiornato pochi giorni fa...



HARD DISK:


-Maxtor 6E040L0
-WDC WD400BB-00DEA0



Quanto alla scheda madre purtroppo ho preso il PC usato da un amico....


Allora ho scaricato CPU-Z che mi ha dato come risultato questi dati:


Motherboard:


manifacturer: MSI

model: MS-6195

chipset: AMD - AMD-751 - Rev. A5

southbridge: AMD -AMD-756



E per quanto riguarda il BIOS:



BIOS: American Megatrends Inc

Version: A6195KMS V 1.3



Tieni conto che il PC di casa è piuttosto datato...




Attendo tue notizie.

[wjmat]

se i files da recuperare sono tanti può essere meglio provare prima a sistemare il problema gratuitamente... dato che i software che hai segnalato sono tanto validi quanto a pagamento

[Joe69]

Quote:

Originariamente inviato da wjmat

se i files da recuperare sono tanti può essere meglio provare prima a sistemare il problema gratuitamente... dato che i software che hai segnalato sono tanto validi quanto a pagamento

Ciao!!

Ok però li posso usare in versione TRIAL.... no??


Che alternative FREE mi consigli?

E soprattutto come individuare questo fantomatico VIRUS per evitare di riavere lo stesso problema in futuri?

Devo per forza scaricare KASPERSKY (che free non è) e ANTIVIR per individuarlo e eliminarlo?

Dunque mi consigli di non seguire le istruzioni presenti in questo thread e procedere subito al recupero DATI per poi riformattare l'unità D?

Ciao!!

[xcdegasp]

Quote:

Originariamente inviato da Joe69

Ciao!!

Ok però li posso usare in versione TRIAL.... no??


Che alternative FREE mi consigli?

E soprattutto come individuare questo fantomatico VIRUS per evitare di riavere lo stesso problema in futuri?

Devo per forza scaricare KASPERSKY (che free non è) e ANTIVIR per individuarlo e eliminarlo?

Dunque mi consigli di non seguire le istruzioni presenti in questo thread e procedere subito al recupero DATI per poi riformattare l'unità D?

Ciao!!

esistono ottimi programmi di ripristino dati free se non si tratta di ambiti commerciali/aziendali quindi puoi evitare le trial
per avere una lista abbastanza completa di programmi free/opensource:
http://www.hwupgrade.it/forum/showthread.php?t=668898

[flavio_IT]

Salve, vorrei sapere se qualcuno ha sentito parlare di SONG.exe ed UFO.exe
Compaiono tante volte sulla mia chiavetta USB quando viene inserita e scompaiono subito dopo. Norton 2008 non li vede e non trovo da nessuna parte info in merito. Rimane solo il file autorun.inf che ho eliminato più volte.
Ho anche formattato la penna mille volte, ma quando la reinserisco ricompare.
Ho avuto dei problemi col portatile che ho risolto leggendo anche questo forum (presumo ancora che sia infetto) ma rimane il fatto che se faccio una ricerca sul pc non trovo niente con questi nomi, come so se hanno già fatto dei danni?
Qualcuno sa qualcosa?

Grazie!!!

[xcdegasp]

probabilmente la inserisci in un pc infetto che la infetta nuovamente

[FiorDiLatte]

Quote:

Originariamente inviato da Riverside

Se ti dice cosa pensa (e pensiamo) di Avast SIVirus, ci resti male.

Ti presento il migliore antivirus free attualmente sulla piazza:
ANTIVIR PERSONAL EDITION FREE:

L'Avira Antivirus non scansiona la posta pop3/smtp, quindi magari anche l'Avast potrebbe andar bene, magari in accoppiata con un piccolo firewall free.

byezzz

[wjmat]

Quote:

Originariamente inviato da FiorDiLatte

L'Avira Antivirus non scansiona la posta pop3/smtp, quindi magari anche l'Avast potrebbe andar bene, magari in accoppiata con un piccolo firewall free.

byezzz

sicuro che non lo faccia???

[FiorDiLatte]

Quote:

Originariamente inviato da wjmat

sicuro che non lo faccia???

http://www.free-av.de/en/products/1/...antivirus.html

così dicono qui.


byezzz

[wjmat]

Quote:

Originariamente inviato da FiorDiLatte

http://www.free-av.de/en/products/1/...antivirus.html

così dicono qui.


byezzz

nelle impostazioni c'è qualcosa relativo alla mail ma devo ancora capire cosa sia....

comunque avast risulta pessimo in molto confronti fatti da siti autorevole, e non penso che il fatto delle mail sia così preponderante nella scelta del software

[Lanfi]

Grazie bugs, leggendo la guida in prima pagina ho risolto un problemino che mi affliggeva da tempo.

P.S.
Ti dedico il mio millesimo post !

[Sturpaie]

Ciao
penso di essere stato infettato da ufo.exe me l'ha rilevato solamente una volta Avg 8.0 adesso ogni volta che inserisco una chiavetta e clikko 2 volte sull'icona mi chiede di selezionare un programma da elenco per aprire la chiavetta....
seguo la procedura anche io?

[wjmat]

segui la guida del primo post

[Sturpaie]

Al posto di antivir nn posso usare avg???
Ti allego il file di hijackthis

[Sturpaie]

Quote:

Originariamente inviato da Sturpaie

Al posto di antivir nn posso usare avg???
Ti allego il file di hijackthis

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.19.27, on 28/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\EPSON\ESM2\eEBSVC.exe
C:\xampp\apache\bin\apache.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\xampp\filezillaftp\filezillaserver.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\xampp\apache\bin\apache.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programmi\AVG\AVG8\avgssie.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1192202012093
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A21B3B00-04B1-421D-BB06-99D446BD3406}: NameServer = 85.37.17.7 85.38.28.95
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programmi\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\EPSON\ESM2\eEBSVC.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6253 bytes

[wjmat]

sarebbe meglio che tu caricassi tutti i log secondo le modalità


Lancia HiJackThis → clicca Do a scan only → metti la spunta a fianco delle righe che ti segnalo qui sotto → clicca su Fix Checked → Riavvia il pc
Lancia HiJackThis → Do a system scan and save a logfile → Carica il nuovo log
_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/.../GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab

gli altri log?
sei libero di usare qualsiasi antivirus, noi consigliamo...

[xcdegasp]

@ Sturpaie:
leggere le Regole di Sezione