[THREAD UFFICIALE] Virus crea collegamenti nella pendrive USB

Discussione in 'Sicurezza' iniziata da tecnico24, 10 Novembre 2015.

  1. tecnico24

    • Utente Binario

    Dal:
    26 Maggio 2007
    Messaggi:
    10.703
    Mi Piace Ricevuti:
    1.099
    Specifiche Hardware
    Apriamo un topic ufficiale in merito all'infezione che crea i collegamenti dei nostri files in una pendrive usb richiamandoci l'infezione in corso mentre quelli personali risultano nascosti e non visibili.
    Tutti gli utenti che riscontrano il problema sono pregati di postare qui , seguendo questi passi.
    1)RECUPERIAMO I NOSTRI FILES
    Dal prompt dei comandi(eseguito da amministratore) , copiare ATTRIB -H -R -S /S /D X:\*.*
    seguito da invio.
    X si riferisce al dispositivo esterno , sostituire con la lettera appropriata.I nostri files sulla chiavetta verranno visualizzati , eliminare quelli che non si conoscono.
    Se decideste di formattare perchè avete files o cartelle che non vi sono occorrenti , avete fatto già il 70% del lavoro.

    2)SCANSIONE CON FRST

    Download
    A seconda della versione del vostro sistema operativo (32-64 bit) scaricare il tool sul desktop.
    Doppio click ed eseguire la scansione premendo su scan.Basta postare solo il file FRST.txt.
    Per gli utenti più esperti e curiosi , l'infezione dalla pendrive passa al nostro pc per via dell'autorun.
    Si trova nella sezione registry(whitelisted) come per esempio vediamo qui(winlogon.bat è un caso ma può cambiare)
    Immagine.png
    Bisognerà creare il fix per FRST(dal desktop E' IMPORTANTE) , creare un file di testo con l'intera stringa incriminata e rinominarla come fixlist.txt e salvare sempre sul desktop.Aprire FRST e premere su fix.Al ritorno vi mostrerà fixlog.txt per confermarvi il successo o meno dell'operazione.

    3)RIMUOVERE AUTORUN
    Per evitare di infettare il pc in futuro quando inseriamo un dispositivo infetto per qualsiasi motivo dobbiamo disabilitare l'autorun.

    Per gli utenti di windows 7 8 10 pro in su , potete eseguire questa procedura grazie a gpedit.msc
    Aprire gpedit.msc (Scrivi cosi nella barra di ricerca o in esegui) e aprirlo.
    Modelli amministrativi in configurazione computer > componenti di windows > criteri autoplay , doppio click su disattiva autoplay.
    In alto a sinistra impostare su attivata e poi sotto disattiva autoplay per : tutte le unità > applica > ok.
    altrimenti seguire questa guida .

    4)Soluzione automatica Panda usb vaccine
    Estrarre la cartella sul desktop ed eseguire l'.exe.
    Durante l'installazione spuntiamo così
    Immagine.png
    e completiamo l'installazione.
    Alla pagina principale del programma abbiamo la funzione vaccinate computer per rimuovere l'autorun.
    Appena inseriamo la pendrive usb il programmino provvedera a disinfettare la pendrive con la funzione vaccinate usb.
    L'applicazione rimane attiva nella traybar , informandoci che sta facendo il suo lavoro : Immagine.png

    Detto questo amici spero di esservi stato di aiuto e qualsiasi dubbio postare qui.
     
    #1 tecnico24, 10 Novembre 2015
    Ultima modifica: 10 Novembre 2015
    A Dar_io, Agilulfo_ e Luigi SoScarso piace questo elemento.
  2. ADL90

    • PC Gamer

    Dal:
    12 Novembre 2015
    Messaggi:
    2
    Mi Piace Ricevuti:
    0
    Specifiche Hardware
    in allegato il file FRST.txt
     

    Files Allegati:

    • FRST.txt
      Dimensione del file:
      106,5 KB
      Visite:
      263
  3. tecnico24

    • Utente Binario

    Dal:
    26 Maggio 2007
    Messaggi:
    10.703
    Mi Piace Ricevuti:
    1.099
    Specifiche Hardware
    Ciao.
    Segui questi passi:
    1)scarica fixlist.txt sul desktop in allegato qui in basso.
    Apri FRST e premi su Fix.Posta il log dopo il riavvio(fixlog.txt).
    2)Esegui adwcleaner e TDSS Killer come da guida e allega i relativi report.
     

    Files Allegati:

    • fixlist.txt
      Dimensione del file:
      966 bytes
      Visite:
      231
  4. ADL90

    • PC Gamer

    Dal:
    12 Novembre 2015
    Messaggi:
    2
    Mi Piace Ricevuti:
    0
    Specifiche Hardware
    Ringrazio, buona serata.
     

    Files Allegati:

  5. diba67

    • PC Gamer

    Dal:
    29 Novembre 2008
    Messaggi:
    3
    Mi Piace Ricevuti:
    0
    Specifiche Hardware
  6. tecnico24

    • Utente Binario

    Dal:
    26 Maggio 2007
    Messaggi:
    10.703
    Mi Piace Ricevuti:
    1.099
    Specifiche Hardware
    Ciao , il fix per FRST è in allegato.
    Posta il log dopo il riavvio e aggiornaci.
     

    Files Allegati:

  7. diba67

    • PC Gamer

    Dal:
    29 Novembre 2008
    Messaggi:
    3
    Mi Piace Ricevuti:
    0
    Specifiche Hardware
    ok e grazie...
     
  8. _MIO_

    • PC Gamer

    Dal:
    19 Novembre 2015
    Messaggi:
    1
    Mi Piace Ricevuti:
    0
    Specifiche Hardware
  9. tecnico24

    • Utente Binario

    Dal:
    26 Maggio 2007
    Messaggi:
    10.703
    Mi Piace Ricevuti:
    1.099
    Specifiche Hardware
    Ciao , scarica fixlist.txt sulla locazione di FRST ed esegui il fix.
    Posta fixlog.txt dopo il riavvio.
     

    Files Allegati:

    • fixlist.txt
      Dimensione del file:
      234 bytes
      Visite:
      59
  10. Simona Montinaro

    • PC Gamer

    Dal:
    3 Dicembre 2015
    Messaggi:
    2
    Mi Piace Ricevuti:
    0
    Specifiche Hardware
    ringrazio in anticipo
     

    Files Allegati:

    • FRST.txt
      Dimensione del file:
      100,2 KB
      Visite:
      59
  11. LawfulNeutral

    • PC Gamer

    Dal:
    10 Dicembre 2015
    Messaggi:
    3
    Mi Piace Ricevuti:
    0
    Specifiche Hardware
    Salve,
    mi son reso conto d'essermi imbattuto nel virus SergeLeLama.vbs ed è la prima volta che mi trovo di fronte a questo problema: non vi nascondo che non so come muovermi. Tra l'altro, credo che abbia già cominciato a far pasticci sul computer, perché mi sembra che quest'ultimo non funzioni bene come al solito.

    Mi affido a voi. :D

    Dimenticavo, un dettaglio importante. Il mio virus sembra essersi "svelato" da solo. In pratica, fino ad oggi, dopo aver inserito la pen-drive e cliccato sull'unità disco E: mi trovo di fronte un collegamento ad una cartella - che, stando a quanto ho letto, dovrebbe essere il launcher del virus. Tuttavia, cliccandoci su, mi compare uno strano messaggio d'errore, del tipo di

    "Impossibile trovare il file SergeLeLama.vbs"

    Adesso, invece, il "link" che appare assomiglia a quello dell'unità disco (e NON ad una cartella). Inoltre, visualizzando le proprietà, la destinazione a cui fa capo questo link è la seguente:

    %SystemRoot%\system32\rundll32.exe \\\\\\\\\\\{7FE6A922-2BDB-445D-B893-437A8C79AC2C}.{7F7AACC8-27A3-4C57-99DB-FD8FB43B8436},0AKUeoy8IScmw6GH

    _

    Ad ogni modo, ecco il logfile. Spero riusciate a darmi un aiuto. Vi ringrazio sin d'ora per l'attenzione!


     

    Files Allegati:

    • FRST.txt
      Dimensione del file:
      61,9 KB
      Visite:
      78
    #11 LawfulNeutral, 10 Dicembre 2015
    Ultima modifica: 10 Dicembre 2015
  12. Francesca Basso

    • PC Gamer

    Dal:
    23 Dicembre 2015
    Messaggi:
    2
    Mi Piace Ricevuti:
    0
    Specifiche Hardware
  13. menatwork

    • Utente Binario

    Dal:
    5 Gennaio 2014
    Messaggi:
    1.292
    Mi Piace Ricevuti:
    232
    Specifiche Hardware
    @ Francesca Basso

    salva il file in allegato e mettilo sul desktop

    chiudi tutti i programmi

    ora avvia nuovamente FRST e clicca su FIX

    al termine della scansione verra' rilasciato un file come fixlog.txt, allegalo come il precedente

    fai anche una scansione con malwarebytes, lo trovi in calce alla mia firma
    aggiornalo e fai una scansione completa - al termine seleziona tutto quello che rileva e clicca su ''rimuovi selezionati''
    allega il log
     

    Files Allegati:

    • fixlist.txt
      Dimensione del file:
      349 bytes
      Visite:
      66
  14. Francesca Basso

    • PC Gamer

    Dal:
    23 Dicembre 2015
    Messaggi:
    2
    Mi Piace Ricevuti:
    0
    Specifiche Hardware
  15. menatwork

    • Utente Binario

    Dal:
    5 Gennaio 2014
    Messaggi:
    1.292
    Mi Piace Ricevuti:
    232
    Specifiche Hardware
    naviga e controlla se il problema e' ancora presente poi esegui malwarebytes come ti ho indicato (leggi sopra questo post)
     

Condividi questa Pagina