Problema con acroread.exe ed usbdrv.exe

[rob.robs]

Buonasera a tutti.
Anche io devo aver beccato qualche virus inserendo la penna usb in un pc infetto!!!
Ho fatto partire Avast ma non trova niente di sospetto, allora ho fatto partire Avira AntiVir che mi ha rivelato come sospetto il file "usbdrv.exe" la sua path è in C:\ l'ho messo in quarantena, ma durante la stessa scansione mi ha trovato un altro usbdrv.exe localizzato in C:\Documents and Settings\Roberto\Dati applicazioni, pure questo è in quarantena.
Ora quando cerco di aprire C:\ mi compare il messaggio "impossibile trovare il file usbdrv.exe ..." e accedo a C: solo con tasto dx del mouse. Facendo il restore di usbdrv.exe, riesco ad aprire C ma si apre in un'altra finestra ed è lentino ad aprirsi, non me l'ha mai fatto prima. Cosa devo fare?
Tanto per la cronaca l'ho rimesso in quarantena
Sotto C:\ ho anche il file "acroread.exe" ma con l'icona bianca, è 0 KB, ma non riesco ad eliminarlo perchè il sistema mi dice che è in uso quando sul task manager non è visualizzato!
Questo file porta la data di creazione di quando ho inserito la penna in quel maledetto pc.
Tutti i file e cartelle nascosti li ho messi visibili.

Mi rendo conto che anche in altre discussioni sono stati trattati casi simili ma leggendo il regolamento mi sebrava opportuno aprirne un'altra! Magari ho sbagliato!!
Mi scuso se sono stato troppo lungo nella spiegazione, ma ho cercato di fare del mio meglio

Leggendo precedenti discussioni ho scaricato systemscan, cosa dite lo faccio partire e vi posto il report!??

Grazie a tutti!!

_______Roberto

[Deifobe]

hai fatto bene ad aprire una nuova discussione..

Esegui systemscan, clicca sul pulsante "Removal Script" nella finestra principale di Systemscan e, nella finestra che si apre, copia/incolla questo script:

files to delete:
C:\sys.inf
C:\autorun.inf
C:\drive.inf
C:\acroread.exe
C:\Documents and Settings\Roberto\Dati applicazioni\drive.inf

Clicca su "Proceed with removal" e il pc si riavviera' per eseguire lo script.
Al riavvio troveri la finestra di SystemScan con un messaggio (blu se lo script e' stato eseguito correttamente - rossa in caso contrario): controlla l'esito e rieseguilo se necessario.

esegui un nuovo systemscan e posta il rapporto (devi caricarlo su Freefilehosting e postare il link)

ciao
dei

[rob.robs]

Ciao dei,
ho fatto come mi hai detto.
Quando il pc si è riavviato però il mio antivirus Antivir mi ha subito trovato come worm ancora il file
C:\WIINDOWS\acroread.exe
gli ho detto di ignorarlo.
Questo acroread.exe ha l'icona di acrobat reader ma forse è un file infetto!!!
Comunque adesso riesco ad accedere a C: senza più quel problema di prima.

Lo script ha funzionato Grazie mille.

Questo è l'avenger.txt che mi ha generato dopo l'esecuzione dello script:
----------------------------------
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\jxphkeqy

*******************

Script file located at: \??\C:\WINDOWS\psnxwtma.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\sys.inf deleted successfully.
File C:\autorun.inf deleted successfully.
File C:\drive.inf deleted successfully.
File C:\acroread.exe deleted successfully.
File C:\Documents and Settings\Roberto\Dati applicazioni\drive.inf deleted successfully.
Program C:\Documents and Settings\Roberto\Desktop\sys56307.exe successfully set up to run once on reboot.

Completed script processing.

*******************
Finished! Terminate.
--------------------------------------------

Questo invece è il link dove si trova il rapporto generato dopo la scansione:
http://freefilehosting.net/download/45mhh

Grazie Dei

[Deifobe]

ciao.. c'era solo un file ma nel dubbio rieseguiamo tutto lo script.

Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"Adobe Reader"=-
;

salvalo in c:\ come:
nome: fix.reg
tipo di file: tutti i file


riesegui questo script con avenger (systemscan):

files to delete:
C:\sys.inf
C:\drive.inf
C:\acroread.exe
C:\autorun.inf
C:\usbdrv.exe
C:\WINDOWS\acroread.exe
C:\Documents and Settings\Roberto\Dati applicazioni\drive.inf
C:\Documents and Settings\Roberto\Dati applicazioni\usbdrv.exe

programs to launch on reboot:
c:\fix.reg

posta un nuovo systemscan

[rob.robs]

Scusa mi viene il dubbio che hai risposto involontariamente ad un altra persona che ha il mio stesso problema, perchè nello script c'è il nome di alberto ma io sono ROBERTO
Che devo fare?!

[Deifobe]

Copiato male il nome
L'ho corretto

[rob.robs]

Ok ora lo faccio.

Scusa l'ignoranza ma cosa fa il file fix.reg che mi hai detto di creare, cioè questo!?
Windows Registry Editor Version 5.00

[HKey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Run]
"Adobe Reader"=-
;

Grazie mille per il tuo grande aiuto

Rob

[rob.robs]

Ciao dei,

siccome avevo un'altra usb pen infetta ho inserito anche questa nel pc e ho riavuto lo stesso problema con usbdrv.exe
Allora ho seguito di nuovo la procedura che mi hai detto la prima volta ma inserendo nello script anche usbdrv.exe e C:\WINDOWS\acroread.exe
Lo script è questo

files to delete:
C:\sys.inf
C:\drive.inf
C:\acroread.exe
C:\autorun.inf
C:\usbdrv.exe
C:\WINDOWS\acroread.exe
C:\Documents and Settings\Roberto\Dati applicazioni\drive.inf
C:\Documents and Settings\Roberto\Dati applicazioni\usbdrv.exe

Questo è l'avenger.txt generato:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\tqwxbwkd

*******************

Script file located at: \??\C:\Documents and Settings\fedrauks.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\sys.inf deleted successfully.
File C:\autorun.inf deleted successfully.


File C:\drive.inf not found!
Deletion of file C:\drive.inf failed!

Could not process line:
C:\drive.inf
Status: 0xc0000034



File C:\acroread.exe not found!
Deletion of file C:\acroread.exe failed!

Could not process line:
C:\acroread.exe
Status: 0xc0000034

File C:\usbdrv.exe deleted successfully.
File C:\WINDOWS\acroread.exe deleted successfully.


File C:\Documents and Settings\Roberto\Dati applicazioni\drive.inf not found!
Deletion of file C:\Documents and Settings\Roberto\Dati applicazioni\drive.inf failed!

Could not process line:
C:\Documents and Settings\Roberto\Dati applicazioni\drive.inf
Status: 0xc0000034



File C:\Documents and Settings\Roberto\Dati applicazioni\usbdrv.exe not found!
Deletion of file C:\Documents and Settings\Roberto\Dati applicazioni\usbdrv.exe failed!

Could not process line:
C:\Documents and Settings\Roberto\Dati applicazioni\usbdrv.exe
Status: 0xc0000034

Program C:\Documents and Settings\Roberto\Desktop\sys56307.exe successfully set up to run once on reboot.

Completed script processing.

*******************
Finished! Terminate.
__________________________

Ho fatto partire systemscan, questo è il link del nuovo rapporto
http://freefilehosting.net/download/4607f

Sono ancora infettato? Devo fare altro?

PS le 2 usb pen le ho formattate.
Grazie infinite del tuo aiuto.

Rob

[Deifobe]

è tutto ok. c'è solo un passaggio che devi rifare manualmente..proprio quellodel file reg.. cioè:

Apri un file di testo e copiaci dentro:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]
"Adobe Reader"=-
;

salvalo come:
nome: fix.reg
tipo di file: tutti i file


eseguilo e accetta le modifiche (dura solo un attimo)


La pen infetta l'hai formattata? o è ancora infetta?
perchè altrimenti dobbiamo ripulirla..


edit: ho letto che le hai formattate. ok

[rob.robs]

Ciao

ho eseguito il file di registro fix.reg
ora dovrei stare tranquillo

Ti chiedo ancora un favore, oggi ho inserit in un altro pc infetto la mia pen usb formattata ieri e mi ha caricato di nuovo usbdvr.exe ecc
Come faccio a eliminare tutti questi file dalla penna o a formattarla senza che il mio pc se li becca di nuovo?

Grazie infinite

______Rob