Ho un pc che infetta le pennette... ora che faccio ?

[DjDiabolik]

Ciao ragazzi........ vi faccio questa domanda:
Ho un pc che come ci collego la mia pennetta USB mi lascia qualche traccia indesiderata al suo interno.

In pratica quando poi la riporto e la riuso nel pc da cui vi sto scrivendo c'è AVIRA che mi avverte che la pennetta contiene l'autorun.inf infettato da un Virus.
Ovviamente da avira gli do di cancellare il file e la pennetta torna ad essere visibile...... senza il minimo problema, sono sicuro sia un pc perchè ho provato 2 volte e compare lo stesso identico problema.

A questo punto vi chiedo:
- Posso escludere che il pc da cui sto postando sia rimasto infetto ?? Credo di si ?

Ma la domanda principale è:
Come pulisco questo pc che mi infetta la pennetta ?!?! Colcolate che questo pc non è connesso ad internet........ quindi dovrei usare eventualmente tools in offline, e inoltre questo pc si trova in un negozio e visto che non è connesso ad internet è sprotetto da antivirus.

Io avevo pensato di copiare Combofix sulla stessa pennetta.... poi lanciarlo ma non vorrei che faccia casini.

Che mi consigliate ?

[bdoriano]

Ciao DjDiabolik,

prima di usare ComboFix, è meglio dare un'occhiata con un altro tool di sola scansione.

fai questa scansione:

• Scarica OTL:
  clicca qui per scaricarlo e copialo su una chiavetta.
  
• Inserisci la chiavetta sul pc con la probabile infezione e copia OTL sul desktop.
  
• Avvia OTL
  
• in Output, assicurati che sia selezionato Minimal Output
  
• metti il segno di spunta a
  Scan All Users
  LOP Check
  Purity Check
  
• in Standard Registry, assicurati che sia selezionato All
  
• in Extra Registry, assicurati che sia selezionato Use SafeList
  
• clicca il bottone Run Scan
  
• verranno generati 2 logs:
  OTListIt.txt (aperto)
  Extra.txt (minimizzato)
  
• Salva i 2 logs generati sulla chiavetta e copiali sul pc con connessione a internet attiva
  
• Carica i logs uno dei servizi di hosting indicati in questa discussione e posta qui i forum links che ti verranno assegnati

[siuseppe]

Quote:

Originariamente inviato da DjDiabolik

Ciao ragazzi........ vi faccio questa domanda:
Ho un pc che come ci collego la mia pennetta USB mi lascia qualche traccia indesiderata al suo interno.

In pratica quando poi la riporto e la riuso nel pc da cui vi sto scrivendo c'è AVIRA che mi avverte che la pennetta contiene l'autorun.inf infettato da un Virus.
Ovviamente da avira gli do di cancellare il file e la pennetta torna ad essere visibile...... senza il minimo problema, sono sicuro sia un pc perchè ho provato 2 volte e compare lo stesso identico problema.

A questo punto vi chiedo:
- Posso escludere che il pc da cui sto postando sia rimasto infetto ?? Credo di si ?

Ma la domanda principale è:
Come pulisco questo pc che mi infetta la pennetta ?!?! Colcolate che questo pc non è connesso ad internet........ quindi dovrei usare eventualmente tools in offline, e inoltre questo pc si trova in un negozio e visto che non è connesso ad internet è sprotetto da antivirus.

Io avevo pensato di copiare Combofix sulla stessa pennetta.... poi lanciarlo ma non vorrei che faccia casini.

Che mi consigliate ?

Mi era capitato anche a me un virus del genere qualche anno fa. Ogni volta pulivo la chiavetta formattandola e poi ricollegandola al pc si infettava.
Quindi il pc era infetto.
Non so se è lo stesso virus, ma io ho fatto così:
1. ho tolto l'autorun da windows (è su questo che il virus si basa per diffondersi) in modo che inserendo la chiavetta non aprisse già la cartella della stessa.
2. formattato la chiavetta e tolta senza più inserirla.
3. poi scansione del pc con avg e aveva trovato qualcosa su delle cartelle temp di windows.
4. avg non era riuscito ad eliminare la minaccia allora ho usato Dr. Web e questo ha funzionato. L'infezione era in una cartella temp ma non mi ricordo dove
5. tolta la minaccia il pc era pulito e la chiavetta perfettamente funzionante anche con autorun
6. unica cosa è che sei hai una chiavetta infetta e la inserisci nel pc con autorun si infetta di nuovo il pc.
Da allora mai più usato autorun.

Non so se è lo stesso virus. ultima cosa. mi ricordo che il virus quando appariva la schermata dell'autorun scriveva qualcosa di strano come nome della chiavetta e anche l'icona non era giusta.

[bdoriano]

Per disabilitare l'autorun, può seguire le istruzioni di questa kb Microsoft (visto che non ha segnalato quale versione di Windows è installata sul pc infetto):
http://support.microsoft.com/kb/967715/it

Per utilizzare DrWeb CureIT (ma, personalmente, lo sconsiglio), può scaricarlo dal sito ufficiale:
https://www.freedrweb.com/download+cureit+free/?lng=it

Meglio ancora, utilizzare Kaspersky Virus Removal Tool:
http://www.kaspersky.com/antivirus-r...-tool-register

In alternativa, può eseguire Norman Malware Cleaner:
http://www.norman.com/downloads/malware_cleaner/it

In ogni caso, dovrà utilizzare una chiavetta per copiare questi tools sul pc infetto.

Esistono, poi, dei programmi specifici per gestire l'autorun:
Autorun Eater: http://oldmcdonald.wordpress.com/
Autorun virus removal tool: http://www.thewindowsclub.com/autoru...emover-deleter
Disable Autorun/Autoplay: http://www.disableautorun.com/
Panda USB Vaccine: http://www.pandasecurity.com/homeuse...ds/usbvaccine/

[DjDiabolik]

Allora in un'altro lido mi hanno consigliato ad utilizzare NINJA PENDISK per immunizzare la pennetta in modo da poterla inserire, credo, nel pc infetto senza che venga copiato questo file .inf.
In pratica questo ninja dovrebbe fare all'interno della pennetta un file una cartella chiamata autorun.inf e settarla come nascosta dargli gli attributi di lettura e qualcos'altro in modo che il pc infetto non possa sovrascrivere questa cartella col suo pc infetto, molti confermano che effettivamente funziona però invece di usare questo ninja potrei effettivamente fare tutto manualmente.

Allo stesso tempo nello stesso posto mi consigliano il tools di kaspersky removal tools........ ovviamente copiato nella pennetta usb.

Poi vediamo nel pomeriggio preparo tutto e provo a postare il log di OTL.... basta solo che il programma sia portable in quando il pc che devo disinfettare è sconnesso da internet

@Siuseppe:
Per fortuna su questo pc (da cui sto scrivendo e dov'è installato avira) credo sia rimasto pulito in quando appena ho connesso la pennetta infettata avira s'è accorto e si accorge di questo autorun.inf e lo elimina a quel punto nella pennetta non si perde niente e diventa esplorabile senza il minimo problema.

[siuseppe]

Quote:

Originariamente inviato da DjDiabolik

@Siuseppe:
Per fortuna su questo pc (da cui sto scrivendo e dov'è installato avira) credo sia rimasto pulito in quando appena ho connesso la pennetta infettata avira s'è accorto e si accorge di questo autorun.inf e lo elimina a quel punto nella pennetta non si perde niente e diventa esplorabile senza il minimo problema.

Meglio. Guarda a me era successo anni fa (si parla di 5 credo) e quindi a quei tempi forse era un virus nuovo e non ancora presente nelle liste di vari antivirus.

[DjDiabolik]

Ragazzi.. sono stato un pò impegnato per altri motivi in questi giorni NON sono affatto scomparso.

Sto mettendo OTL su una pennetta USB e sto cercando di evitare che questa pennetta venga infettata quando la inserisco nel pc incriminato.

Poi scendo e lancio lo scanner di OTL visto che mi sono anche salvato un .txt con tutto le istruzioni scritte sopra.
L'unico mio dubbio è che l'attuale pennetta ha su installato e configurato windows7 pronto da installare facendo boot dalla stessa pennetta quindi ha già su un'autorun.inf........ vorrei conservare il tutto........ speriamo non faccio confusione.

[DjDiabolik]

Allora ragazzi......... vi posto i log di OTL.

Invece di usare mediafire o un'altro hosting gratuito ho provato ad usare questo servizio cosi almeno posso rendere la cosa visibile anche nell'altro forum dove avevo aperto un thread simile.

Qui trovate il mio EXTRAS.TXT:

Codice:

http://pastebin.com/P6H4hsar

Mentre eccovi l'OTL.txt:

Codice:

http://pastebin.com/XnGLJdc1

Appena sapete dirmi qualcosa......... io sono qua pronto ad intervenire eventualmente con qualche scanner o a darvi maggiori info in merito.

[DjDiabolik]

Oi allora.......... sti log vanno bene o no ?

[siuseppe]

scusa ma a leggere quei codici io non ti posso aiutare. Aspetta i più esperti...

[DjDiabolik]

Quote:

Originariamente inviato da siuseppe

scusa ma a leggere quei codici io non ti posso aiutare. Aspetta i più esperti...

Ok... già è qualcosa sapere che qualcuno segue ancora questa mia discussione.

[DjDiabolik]

Ragazzi.. qualche ora fa ho provato ad eseguire il kaspersky removal tools sul pc infetto.

Ho disattivato l'antivirus che c'è installato (il Claim o qualcosa del genere sicuramente obsoleto) e ho avviato il setup_11.0.0.1245.x01_2012_10_30_01_17.exe ma dopo qualche secondo mi avverte che non trova una DLL.

Mi dice che non trova l'FTLIB.DLL o qualcosa del genere e mi dice che una nuova installazione potrebbe risolvere.......... che cosa faccio ?