Virus Penna USB

[gemini_76_it]

Mi sono beccato il virus collegando la penna USB ad un pc di un ufficio pubblico (il tecnico mi ha fatto la cortesia di darmi alcuni file)!!!

Formatto il drive in continuazione, rimuovo il malware con Avast, ma niente. Temo che il virus sia stato trasferito al mio sistema Windws XP.

Il file autorun.inf contienetali istruzioni:

[autorun]
icon=%SystemRoot%\system32\SHELL32.dll,4
open=RECYCLER\S-1-5-21-5311846712-4121495154-682003330-5111\system.exe
action=Abrir carpeta para ver archivos
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-5311846712-4121495154-682003330-5111\system.exe
shell\open\default=1

Cosa devo fare?
D'altra parte nel cestino di Avast ho i seguenti file (lì da molto molto tempo):


Kernel32.dll
winsock.dll
wsock32.dll

che non mi creano problemi (ho appena fatto una scansione della cartella system32 e nn è stato rilevato nulla).

[Deifobe]

vedi se c'è anche in C:\autorun.inf (se si, eliminalo)
elimina il system.exe nella cartella recycler
l'autorun deve essere eliminato anche dai dispositivi usb.

vedi facendo così come va...

esegui una scansione con Bitdefender

ciao

[gemini_76_it]

Ho provato a fare una scansione con Avast del mio sistema ma non c'è nulla di anomalo segnalato. E' lo stesso Avast che però all'inserimento della penna mi segnala il malware. Ho formattato più volte la penna (in passato così risolvevo il problema) ma al nuovo inserimento si rigenera la cartella recycled con l'autorun.inf.

Mi sa che dev'essere qualcosa residente sul mio pc, visto che mi sto infettando tutte le penne che collego.

In C: non c'è traccia dell'autorun.inf che dici tu, e neanche il system.exe nella recycler.

L'unica cosa che nn ho fatto ancora è la scansione con BitDefender.

Cosa posso fare?

[Deifobe]

....ha senso chiedere ulteriormente aiuto se non hai ancora fatto nemmeno quello postato in precedenza? cominciamo da li' e poi vediamo...

ciao

[gemini_76_it]

Ok. Ho ricevuto da BitDefender lo stesso risultato di Avast.
Avevo dimenticato di menzionare un A0131878.exe in C:\System Volume Information\_restore{...}\RP558 segnalato come SkjMorph. E' lì nel cestino virus da una vita.

Oltre questo e gli autorun residenti su qualsiasi penna USB che collego al pc non c'è niente di anomalo.

Ricordo che nel cestino di Avast ho anche Kernel32.dll, winsock.dll, wsock32.dll da tempo immemore.

[Deifobe]

è probabile che i file Kernel32.dll, winsock.dll, wsock32.dll siano solo delle copie (controlla nei rispettivi percorsi se li trovi). Cmq potresti anche ripristinarli, sono ok (anche se vengono eliminati...).

scarica SystemScan (non richiede installazione) - disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). La procedura postata è sicura.

[gemini_76_it]

Sto cercando di postare il Report su Savefile ma il servizio free non mi riconosce il codice da ricopiare. E non so il perchè.

Quello sotto per te è 9987?

[Deifobe]

si si... allora usa Freefilehosting

[gemini_76_it]

ecco il link. Spero tu possa aiutarmi.

http://freefilehosting.net/download/469b5

Grazie a prescindere.

[Deifobe]

hai un adware (non si aprono finestre pubblicitarie?)

Esegui systemscan, clicca sul pulsante "Removal Script" e, nella finestra che si apre, copia/incolla questo script:

folders to delete:
C:\DOCUME~1\COMPAQ~1\IMPOST~1\Temp\tmp00002a92

files to delete:
C:\DOCUME~1\COMPAQ~1\IMPOST~1\Temp\~tmp1.tmp
C:\Documents and Settings\Compaq_Proprietario\Impostazioni locali\Dati applicazioni\qyuycaw_navps.dat
C:\Documents and Settings\Compaq_Proprietario\Impostazioni locali\Dati applicazioni\qyuycaw.dat
C:\Documents and Settings\Compaq_Proprietario\Impostazioni locali\Dati applicazioni\qyuycaw_nav.dat
C:\Documents and Settings\Compaq_Proprietario\Impostazioni locali\Dati applicazioni\qyuycaw.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\qyuycaw

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.

Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"qyuycaw"=-
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file
chiudi ed eseguilo. accetta le modifiche (dura solo un attimo)


riguardo il virus sull'usb.. non mi sembra di trovare nulla...
eventualmente, collega la pen e riesegi systemscan.. vediamo se esce l'autorun..