[THREAD UFFICIALE] Virus crea collegamenti nella pendrive USB

tecnico24

Utente Attivo
10,704
1,066
Hardware Utente
#1
Apriamo un topic ufficiale in merito all'infezione che crea i collegamenti dei nostri files in una pendrive usb richiamandoci l'infezione in corso mentre quelli personali risultano nascosti e non visibili.
Tutti gli utenti che riscontrano il problema sono pregati di postare qui , seguendo questi passi.
1)RECUPERIAMO I NOSTRI FILES
Dal prompt dei comandi(eseguito da amministratore) , copiare ATTRIB -H -R -S /S /D X:\*.*
seguito da invio.
X si riferisce al dispositivo esterno , sostituire con la lettera appropriata.I nostri files sulla chiavetta verranno visualizzati , eliminare quelli che non si conoscono.
Se decideste di formattare perchè avete files o cartelle che non vi sono occorrenti , avete fatto già il 70% del lavoro.

2)SCANSIONE CON FRST

Download
A seconda della versione del vostro sistema operativo (32-64 bit) scaricare il tool sul desktop.
Doppio click ed eseguire la scansione premendo su scan.Basta postare solo il file FRST.txt.
Per gli utenti più esperti e curiosi , l'infezione dalla pendrive passa al nostro pc per via dell'autorun.
Si trova nella sezione registry(whitelisted) come per esempio vediamo qui(winlogon.bat è un caso ma può cambiare)
Immagine.png
Bisognerà creare il fix per FRST(dal desktop E' IMPORTANTE) , creare un file di testo con l'intera stringa incriminata e rinominarla come fixlist.txt e salvare sempre sul desktop.Aprire FRST e premere su fix.Al ritorno vi mostrerà fixlog.txt per confermarvi il successo o meno dell'operazione.

3)RIMUOVERE AUTORUN
Per evitare di infettare il pc in futuro quando inseriamo un dispositivo infetto per qualsiasi motivo dobbiamo disabilitare l'autorun.

Per gli utenti di windows 7 8 10 pro in su , potete eseguire questa procedura grazie a gpedit.msc
Aprire gpedit.msc (Scrivi cosi nella barra di ricerca o in esegui) e aprirlo.
Modelli amministrativi in configurazione computer > componenti di windows > criteri autoplay , doppio click su disattiva autoplay.
In alto a sinistra impostare su attivata e poi sotto disattiva autoplay per : tutte le unità > applica > ok.
altrimenti seguire questa guida .

4)Soluzione automatica Panda usb vaccine
Estrarre la cartella sul desktop ed eseguire l'.exe.
Durante l'installazione spuntiamo così
Immagine.png
e completiamo l'installazione.
Alla pagina principale del programma abbiamo la funzione vaccinate computer per rimuovere l'autorun.
Appena inseriamo la pendrive usb il programmino provvedera a disinfettare la pendrive con la funzione vaccinate usb.
L'applicazione rimane attiva nella traybar , informandoci che sta facendo il suo lavoro : Immagine.png

Detto questo amici spero di esservi stato di aiuto e qualsiasi dubbio postare qui.
 
Ultima modifica:

diba67

Utente Attivo
3
0
Hardware Utente
CPU
Q6600@3600
Scheda Madre
P5N-T Deluxe bios 1303
Hard Disk
2x123gb raid o WD
RAM
corsair xms 2x2+2x1
Scheda Video
xfx be 260gtx+8800 gt multigpu
Monitor
samsung 226bw
Case
enermax chaka big
Sistema Operativo
vista 64bit
#7
ok e grazie...
 
#11
Salve,
mi son reso conto d'essermi imbattuto nel virus SergeLeLama.vbs ed è la prima volta che mi trovo di fronte a questo problema: non vi nascondo che non so come muovermi. Tra l'altro, credo che abbia già cominciato a far pasticci sul computer, perché mi sembra che quest'ultimo non funzioni bene come al solito.

Mi affido a voi. :D

Dimenticavo, un dettaglio importante. Il mio virus sembra essersi "svelato" da solo. In pratica, fino ad oggi, dopo aver inserito la pen-drive e cliccato sull'unità disco E: mi trovo di fronte un collegamento ad una cartella - che, stando a quanto ho letto, dovrebbe essere il launcher del virus. Tuttavia, cliccandoci su, mi compare uno strano messaggio d'errore, del tipo di

"Impossibile trovare il file SergeLeLama.vbs"

Adesso, invece, il "link" che appare assomiglia a quello dell'unità disco (e NON ad una cartella). Inoltre, visualizzando le proprietà, la destinazione a cui fa capo questo link è la seguente:

%SystemRoot%\system32\rundll32.exe \\\\\\\\\\\{7FE6A922-2BDB-445D-B893-437A8C79AC2C}.{7F7AACC8-27A3-4C57-99DB-FD8FB43B8436},0AKUeoy8IScmw6GH

_

Ad ogni modo, ecco il logfile. Spero riusciate a darmi un aiuto. Vi ringrazio sin d'ora per l'attenzione!


 

Allegati

Ultima modifica:
#13
@ Francesca Basso

salva il file in allegato e mettilo sul desktop

chiudi tutti i programmi

ora avvia nuovamente FRST e clicca su FIX

al termine della scansione verra' rilasciato un file come fixlog.txt, allegalo come il precedente

fai anche una scansione con malwarebytes, lo trovi in calce alla mia firma
aggiornalo e fai una scansione completa - al termine seleziona tutto quello che rileva e clicca su ''rimuovi selezionati''
allega il log
 

Allegati