Salve ragazzi, come avrete capito dal titolo sono caduto anche io nella trappola della pen USB infettata. Vi spiego l'accaduto In pratica la mia penna USB prese un virus all'interno del centro stampa dell'università e tutte le cartelle all'interno diventarono collegamenti. Inutile dirvi che lì per lì segregai la penna in un cassetto ed evitai di usarla per non infettare il mio PC. A distanza di mesi, mi ero completamente dimenticato di questa cosa e stasera ho collegato tragicamente la penna USB al mio PC. Inutile dirvi che guardando il contenuto mi è saltato subito in mente il virus maledetto. Da stupido, per testare se il mio PC avesse preso l'infezione ho collegato un'altra penna USB, et voilà, tutte le sue cartelle sono diventate collegamenti e in più è presente un file autorun.inf all'interno. I collegamenti sono a C:/Windows/System32 Sono preoccupato, non vorrei che anche il contenuto del mio hard disk venga infettato e i file e le cartelle divengano collegamenti. Come faccio ad eliminare questo maledetto virus dal mio PC? Spero ci sia qualcuno che mi aiuti. Sono pronto a santificarlo!
ciao jhonny
Per visualizzare tutte le cartelle nascoste dal virus sulla chiavetta devi andare sul prompt dei comandi(CMD) e digitare il seguente comando ATTRIB -H -R -S /S /D G:\*.*
G si riferisce alla pendrive, se diversa devi modificare la lettera nel comando.
Tutte le cartelle saranno nuovamnete visibili.Elimina tutti i file che non conosci.
Poi vai su uno di quei collegamenti e fai proprietà,dovrebbe esserci scritto a quale file fanno riferimento C:/Windows/System32/*
L'asterisco si dovrebbe riferire al file,controlla bene.
Esegui una scansione con OTL by OLD TIMER ed allega il log(trovi le istruzioni in guide ai tools rimozione)
Allora, in pratica ho eseguito il comando che mi hai descritto sul Dos, ma mi esce il tale messaggio d'errore :
Accesso Negato - K:\System Volume Information
Allora per quanto riguarda il collegamento se passo con il puntatore del mouse sulla cartella mi esce tale percorso : cmd(C:\Windows\System32), se invece apro il file collegamento e vado su proprietà nella casella Destinazione mi da questo contenuto : "%COMSPEC% /C Start WSCRIPT 191\i04.js & start EXPLORER "BACKUP LASD" .
A questo punto dimmi come muovermi, passo alla scansione? Oppure è necessario cancellare prima i file che non conosco dalla penna ?
Se non hai xp devi eseguire CMD come amministratore.(tasto dx del mouse su CMD esegui come Amm.)Quando verranno visulaizzate tutte le cartelle dovresti trovare un file con estensione js,che dovrai eliminare insieme ad altri file che non conosci.
Esegui OTL ed allega il log
Ho scaricato il tools OTL ma nel momento in cui lo apro si chiude dopo giusto 1 secondo da solo, stesso comportamento attuato da CCleaner ultimamente, cosa significa ?
Perfetto.
Adesso fai quell'operaxione sulla chiavetta poi più tardi ti fornisco un fix per rimuovere l'infezione che hai sul pc.(ora non ho il pc sotto mano)
Altrimenti si reinfettera' il pc.Se non hai file importanti puoi formattare la usb altrimenti o li rendi visibili von quel comando o li puoi visualizzare visualizzando i file nascosti e di sistema.
Fammi sapere di questo passaggio.
Allora sono entrato nella Penna USb e dal menù Visualizza ho spuntato la voce Visualizza file nascosti.
Di file che non conosco e non c'erano prima vedo solo autorun.inf e System Volume Information.
Non so se basti spuntare la voce visualizza file nascosti nel menù per visualizzarli o si necessita del comando da prompt
Allora, l'infezione ha nascosto i file che avevi al'interno settandoli come nascosti e di sistema.
I collegamenti creati non sono altro dei collegamenti che richiamano il virus.
Per poter visualizzare di nuovo tutti i tuoi file devi andare nelle opzioni cartelle(basta che apri una cartella qualsiasi-clicchi su visualizza-opzioni-modifica opzioni cartelle-visualizzazione e mettere la spunta a visualizza cartelle e i file nascosti e togliere la spunta a nascondi i file di sistema.
In questo modo dovresti rivedere i file all'interno della chiavetta.
Dovrebbe esserci dei file tipo Startme.exe e un setup.exe.Eliminali.
Il comando in CMD serve a togliere quegli attributi da tutti i file perchè se te rimetti l'attributo nascosto e di sistema ai file non li rivedrai.
Poi scarica il file in allegato chiamato fixlist.txt sul desktop.
Riapri il programma FRST e clicca sul pulsante FIX una sola volta.Allega il log fixlog.txt che troverai sul desktop.
Ultima modifica di vicky67; 10-10-2014 alle 15.34.52
Ok allora appena torno a casa eseguo la procedura che mi hai indicato. Però per quanto roguarda il comando Attrib nel prompt dei comandi prima ci ho riprovato ma continuava a dire "Accesso Negato" eppure ho aperto il prompt come amministratore, come mai ?
Segnalibri