[WINDOWS XP] - Chiavetta usb - Autorun.exe

[VanessaInfo]

Salve,

in seguito all'uso di una chiavetta usb...con (in teoria) un suo programmetto d autoplay...

ho l'errore autorun.exe nn presente

dalla chiavetta sono stati tolti questi files per cui temo che l'errore sia dovuto al fatto che la chiavetta tentava d partire col suo programma ma nn lo trovata...ho formattato la chiavetta...ma l'errore rimane SUL PC d utilizzo!

Visto ke il tipo proprietario mi ha detto ke il norton gli vedeva un trojan horse ho fatto svariate scansioni ma niente!


Come devo fare?
E' rimasto qcosa nel registro?


VaneX

[ste_95]

anch'io ho avuto questo tipo di problema, c'era un malware che si nascondeva in files nascosti e che aveva creato un file autorun.inf perchè a ogni collegamento della periferica venisse eseguito e quindi anche copiato sul mio hard disk...

prova a fare così:

Strumenti
Opzioni Cartella
Visualzzazione
Fai in modo di visualizzare i files nascosti, di visualizzare le estensioni dei files conosciuti e di visualizzare i files di sistema...

dopo questo procedimento vedi se nei files della tua penna ci sono files che non conosci, se si dicci quali, nome e estensione...
a me, per esempio, aveva creato una cartella nominata Recycled Bin e dentro si era nascosto il trojan...: svchost.exe... e nella penna vera e propria c'era sia un file autorun.inf che sei files a me sconosciuti...
fai queste cose, e se per caso tu avessi eseguito il trojan, ti ritrovi con il computer lento, o comunque comportamenti anomali del tuo computer, posta anche un log di hijakcthis, la guida è nella discussione rimozione malware, che è situata nelle discussioni in rilievo, è il punto 4....

aspettiamo notizie...

ps. penso che questa discussione fosse più adatta alla sezione Sicurezza Informatica e Virus del Forum....
Casomai, un moderatore di questa sezione, provvederà a spostarti...

[ste_95]

guarda anche in questi siti....

http://www.vnunet.it/it/computer-ide...-usb-si-chiama

http://www.webmasterpoint.org/news/V...ro_p29169.html

http://vil.nai.com/vil/content/v_139985.htm

[ste_95]

eccone un'altro...basta girare un pochino...:

http://forum.zeusnews.com/viewtopic.php?t=22407

[VanessaInfo]

Questa forse è da eliminare?

[SIZE=1]
Logfile of HijackThis v1.99.1
Scan saved at 17.48.12, on 09/07/07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Cobian Backup 7\CobBU.exe
C:\Programmi\ClamWin\bin\ClamTray.exe
C:\WINDOWS\Mixer.exe
D:\Software\dshutdown\DShutdown\DShutdown.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\KONICA MINOLTA\FTP Utility\KMFtp.exe
C:\Programmi\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Programmi\Cobian Backup 7\cobui.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\VaneX\IMPOST~1\Temp\Rar$EX00.656\Hijac kThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cobian Backup 7] "C:\Programmi\Cobian Backup 7\CobBU.exe"
O4 - HKLM\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DShutdown] "D:\Software\dshutdown\DShutdown\DShutdown.exe " /ONDAY /h0 /m0 /DAY-All /MONTH-All /SAVEONEXIT /IP:LocalHost /LogOff
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FTP Utility.lnk = C:\Programmi\KONICA MINOLTA\FTP Utility\KMFtp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programmi\3M\PSNLite\PsnLite.exe

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://it.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{41D38761-B999-4EC5-A176-7EF023BFE359}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{41D38761-B999-4EC5-A176-7EF023BFE359}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{41D38761-B999-4EC5-A176-7EF023BFE359}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
/SIZE]

[vercinstex]

intanto ti direi di installare un antivirus migliore di clam win che non ha la scansione in tempo reale

[ste_95]

ti consiglierei AVS...anche se in inglese offre la migliore delle protezione gratis...

intanto fai una scansione online con kaspersky e postaci il log...

[darkkik]

sposto in sicurezza.

[Draven94]

Installati Antivir, il migliore in ambito freeware...a molti utenti ha risolto i problemi relativi alle "chiavette"...