UFFICIALE Virus crea collegamenti nella penna Usb

tecnico24

Utente Èlite
10,706
1,072
Apriamo un topic ufficiale in merito all'infezione che crea i collegamenti dei nostri files in una pendrive usb richiamandoci l'infezione in corso mentre quelli personali risultano nascosti e non visibili.
Tutti gli utenti che riscontrano il problema sono pregati di postare qui , seguendo questi passi.
1)RECUPERIAMO I NOSTRI FILES
Dal prompt dei comandi(eseguito da amministratore) , copiare ATTRIB -H -R -S /S /D X:\*.*
seguito da invio.
X si riferisce al dispositivo esterno , sostituire con la lettera appropriata.I nostri files sulla chiavetta verranno visualizzati , eliminare quelli che non si conoscono.
Se decideste di formattare perchè avete files o cartelle che non vi sono occorrenti , avete fatto già il 70% del lavoro.

2)SCANSIONE CON FRST

Download
A seconda della versione del vostro sistema operativo (32-64 bit) scaricare il tool sul desktop.
Doppio click ed eseguire la scansione premendo su scan.Basta postare solo il file FRST.txt.
Per gli utenti più esperti e curiosi , l'infezione dalla pendrive passa al nostro pc per via dell'autorun.
Si trova nella sezione registry(whitelisted) come per esempio vediamo qui(winlogon.bat è un caso ma può cambiare)
Immagine.png
Bisognerà creare il fix per FRST(dal desktop E' IMPORTANTE) , creare un file di testo con l'intera stringa incriminata e rinominarla come fixlist.txt e salvare sempre sul desktop.Aprire FRST e premere su fix.Al ritorno vi mostrerà fixlog.txt per confermarvi il successo o meno dell'operazione.

3)RIMUOVERE AUTORUN
Per evitare di infettare il pc in futuro quando inseriamo un dispositivo infetto per qualsiasi motivo dobbiamo disabilitare l'autorun.

Per gli utenti di windows 7 8 10 pro in su , potete eseguire questa procedura grazie a gpedit.msc
Aprire gpedit.msc (Scrivi cosi nella barra di ricerca o in esegui) e aprirlo.
Modelli amministrativi in configurazione computer > componenti di windows > criteri autoplay , doppio click su disattiva autoplay.
In alto a sinistra impostare su attivata e poi sotto disattiva autoplay per : tutte le unità > applica > ok.
altrimenti seguire questa guida .

4)Soluzione automatica Panda usb vaccine
Estrarre la cartella sul desktop ed eseguire l'.exe.
Durante l'installazione spuntiamo così
Immagine.png
e completiamo l'installazione.
Alla pagina principale del programma abbiamo la funzione vaccinate computer per rimuovere l'autorun.
Appena inseriamo la pendrive usb il programmino provvedera a disinfettare la pendrive con la funzione vaccinate usb.
L'applicazione rimane attiva nella traybar , informandoci che sta facendo il suo lavoro : Immagine.png

Detto questo amici spero di esservi stato di aiuto e qualsiasi dubbio postare qui.
 
Ultima modifica:

tecnico24

Utente Èlite
10,706
1,072
Ciao.
Segui questi passi:
1)scarica fixlist.txt sul desktop in allegato qui in basso.
Apri FRST e premi su Fix.Posta il log dopo il riavvio(fixlog.txt).
2)Esegui adwcleaner e TDSS Killer come da guida e allega i relativi report.
 

Allegati

  • fixlist.txt
    966 bytes · Visualizzazioni: 832

ADL90

Nuovo Utente
2
0
Ringrazio, buona serata.
 

Allegati

  • Fixlog.txt
    2.2 KB · Visualizzazioni: 363
  • TDSSKiller.3.1.0.5_12.11.2015_21.29.43_log.txt
    255.9 KB · Visualizzazioni: 366
  • AdwCleaner[C1].txt
    10.6 KB · Visualizzazioni: 320

tecnico24

Utente Èlite
10,706
1,072
Ciao , il fix per FRST è in allegato.
Posta il log dopo il riavvio e aggiornaci.
 

Allegati

  • fixlist.txt
    1.6 KB · Visualizzazioni: 386

diba67

Utente Attivo
3
0
CPU
Q6600@3600
Scheda Madre
P5N-T Deluxe bios 1303
HDD
2x123gb raid o WD
RAM
corsair xms 2x2+2x1
GPU
xfx be 260gtx+8800 gt multigpu
Monitor
samsung 226bw
Case
enermax chaka big
OS
vista 64bit
ok e grazie...
 

tecnico24

Utente Èlite
10,706
1,072
Ciao , scarica fixlist.txt sulla locazione di FRST ed esegui il fix.
Posta fixlog.txt dopo il riavvio.
 

Allegati

  • fixlist.txt
    234 bytes · Visualizzazioni: 299

LawfulNeutral

Nuovo Utente
3
0
Salve,
mi son reso conto d'essermi imbattuto nel virus SergeLeLama.vbs ed è la prima volta che mi trovo di fronte a questo problema: non vi nascondo che non so come muovermi. Tra l'altro, credo che abbia già cominciato a far pasticci sul computer, perché mi sembra che quest'ultimo non funzioni bene come al solito.

Mi affido a voi. :D

Dimenticavo, un dettaglio importante. Il mio virus sembra essersi "svelato" da solo. In pratica, fino ad oggi, dopo aver inserito la pen-drive e cliccato sull'unità disco E: mi trovo di fronte un collegamento ad una cartella - che, stando a quanto ho letto, dovrebbe essere il launcher del virus. Tuttavia, cliccandoci su, mi compare uno strano messaggio d'errore, del tipo di

"Impossibile trovare il file SergeLeLama.vbs"

Adesso, invece, il "link" che appare assomiglia a quello dell'unità disco (e NON ad una cartella). Inoltre, visualizzando le proprietà, la destinazione a cui fa capo questo link è la seguente:

%SystemRoot%\system32\rundll32.exe \\\\\\\\\\\{7FE6A922-2BDB-445D-B893-437A8C79AC2C}.{7F7AACC8-27A3-4C57-99DB-FD8FB43B8436},0AKUeoy8IScmw6GH

_

Ad ogni modo, ecco il logfile. Spero riusciate a darmi un aiuto. Vi ringrazio sin d'ora per l'attenzione!


 

Allegati

  • FRST.txt
    61.9 KB · Visualizzazioni: 293
Ultima modifica:

menatwork

Utente Attivo
1,303
232
@ Francesca Basso

salva il file in allegato e mettilo sul desktop

chiudi tutti i programmi

ora avvia nuovamente FRST e clicca su FIX

al termine della scansione verra' rilasciato un file come fixlog.txt, allegalo come il precedente

fai anche una scansione con malwarebytes, lo trovi in calce alla mia firma
aggiornalo e fai una scansione completa - al termine seleziona tutto quello che rileva e clicca su ''rimuovi selezionati''
allega il log
 

Allegati

  • fixlist.txt
    349 bytes · Visualizzazioni: 291

menatwork

Utente Attivo
1,303
232
naviga e controlla se il problema e' ancora presente poi esegui malwarebytes come ti ho indicato (leggi sopra questo post)
 

Ci sono discussioni simili a riguardo, dai un'occhiata!

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!

Discussioni Simili