Discussione [RISOLTO] Problema Virus che infetta le USB

Stato
Discussione chiusa ad ulteriori risposte.

Joker_552

Utente Electrum
5 Gennaio 2016
303
17
27
104
Salve a tutti, purtroppo come da titolo ho preso un maledetto virus che infetta le chiavette USB trasferendo il contenuto della chiavetta all'interno di un collegamento all'interno della stessa chiavetta.
Per intenderci se ho 2 file ed 1 cartella all'interno della chiavetta, non appena la scollego e ricollego trovo al suo interno un collegamento di 2KB che se apro contiene i due files e la chiavetta tranquillamente leggibili.
Ho provato ad eseguire la procedura ATTRIB -H -R -S /S /D G:\*.* per vedere se ci fossero delle cartelle nascoste e così facendo noto che il contenuto della chiavetta viene spostato all'interno di una cartella nominata _ e si presenta un altra cartella chiamata windowsservices con al suo interno 3 file.(le immagini allegate renderanno meglio l'idea.
Ho provato a formattare la chiavetta ma senza alcun risultato, sicuramente sarà infettato pure il pc e con qualche autorun nascosto farà ricreare il file di infezione.
Qualcuno di voi saprebbe aiutarmi a risolvere?
In alcuni thread ho letto di fare una scansione con OTL by Old Timer e di postare il log a chi saprà identificare l'infezione.
Lo trovate allegato.
Grazie anticipatamente a tutti coloro che mi potranno essere di aiuto.
 

Allegati

  • Immagine 1.jpg
    Immagine 1.jpg
    35.1 KB · Visualizzazioni: 107
  • Immagine 2.jpg
    Immagine 2.jpg
    89.5 KB · Visualizzazioni: 105
  • OTL.Txt
    131.8 KB · Visualizzazioni: 184
Inserisci questo in un file di testo e salvalo come fix.txt se mi ricordo bene. Ahh e stai attento quando giochi con il U3 russo
Codice:
- 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2016/06/20 16:21:01 | 000,000,000 | ---D | M] - C:\Autodesk -- [ NTFS ]
O33 - MountPoints2\{36ef4a12-7930-11e4-9e76-c86000cb18bf}\Shell - "" = AutoRun
O33 - MountPoints2\{36ef4a12-7930-11e4-9e76-c86000cb18bf}\Shell\AutoRun\command - "" = G:\unlock.exe autoplay=true
O33 - MountPoints2\{4d387fa7-19e5-11e3-9ed9-c86000cb18bf}\Shell - "" = AutoRun
O33 - MountPoints2\{4d387fa7-19e5-11e3-9ed9-c86000cb18bf}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SoftwareSASGeneration = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer:  =
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

e se non hai configurato per qualche raggione il server inserisci anche queste righe :

Codice:
O15 - HKCU\..Trusted Domains: com ([*.Wondershare] http in Trusted sites)
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.5.11.0.cab (SysInfo Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{426F4ADF-893D-406D-8FCF-35781CCF1369}: NameServer = 212.216.112.112,212.216.172.62
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{5BCEDE8D-59D3-4DCE-89ED-503B57190535}: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A5F0D140-9FFE-4526-852E-338ADB73391C}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C1503E64-21E8-4F09-ABA7-84619C9C478A}: DhcpNameServer = 172.20.10.1
Poi apri il otl e ti sposti sulla parte che ti chiede di caricare il file di testo. Atento che il file deve essere salvato nella stessa directory del OTL (es . se otl e sul desktop alora il file lo salvi lo stesso sullo desktop.)
 
  • Mi piace
Reazioni: SaNTi™
Inserisci questo in un file di testo e salvalo come fix.txt se mi ricordo bene. Ahh e stai attento quando giochi con il U3 russo
Codice:
-
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2016/06/20 16:21:01 | 000,000,000 | ---D | M] - C:\Autodesk -- [ NTFS ]
O33 - MountPoints2\{36ef4a12-7930-11e4-9e76-c86000cb18bf}\Shell - "" = AutoRun
O33 - MountPoints2\{36ef4a12-7930-11e4-9e76-c86000cb18bf}\Shell\AutoRun\command - "" = G:\unlock.exe autoplay=true
O33 - MountPoints2\{4d387fa7-19e5-11e3-9ed9-c86000cb18bf}\Shell - "" = AutoRun
O33 - MountPoints2\{4d387fa7-19e5-11e3-9ed9-c86000cb18bf}\Shell\AutoRun\command - "" = H:\LaunchU3.exe -a
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SoftwareSASGeneration = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer:  =
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

e se non hai configurato per qualche raggione il server inserisci anche queste righe :

Codice:
O15 - HKCU\..Trusted Domains: com ([*.Wondershare] http in Trusted sites)
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.5.11.0.cab (SysInfo Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{426F4ADF-893D-406D-8FCF-35781CCF1369}: NameServer = 212.216.112.112,212.216.172.62
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{5BCEDE8D-59D3-4DCE-89ED-503B57190535}: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A5F0D140-9FFE-4526-852E-338ADB73391C}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C1503E64-21E8-4F09-ABA7-84619C9C478A}: DhcpNameServer = 172.20.10.1
Poi apri il otl e ti sposti sulla parte che ti chiede di caricare il file di testo. Atento che il file deve essere salvato nella stessa directory del OTL (es . se otl e sul desktop alora il file lo salvi lo stesso sullo desktop.)



Ciao @Volatility,
grazie per la risposta, ho creato il file .txt come da te indicato, l'ho slavato nel desktop ed ho avviato OTL, ho cliccato su run fix ed ho caricato il file txt che avveo rinominato fix.
Purtroppo non è cambiato nulla, ancora mi continua a generare i collegamenti nelle chiavette.
 
I passi che farei io sono:
1) Collegare la chiavetta su un altro PC per verificare se funziona correttamente. Meglio ancora su una macchina virtuale per evitare che il "virus" possa essere scaricato su un altro PC
2) Se la chiavetta funziona allora sai che il "virus" risiede solo nel tuo PC e non sulla chiavetta e a questo punto dovresti fare una scansione antivirus. Io eseguirei in modo preventivo ADWCleaner, MalwareBytes e Hijackthis.
3) Se la chiavetta, collegata ad un PC pulito continua a non funzionare potrebbe essere che il virus risieda solo sulla chiavetta e a questo punto farei partire una formattazione della chiavetta da un PC pulito. A questo punto dovresti utilizzare i tools elencati al punto 2 per pulire il tuo PC.
 
I passi che farei io sono:
1) Collegare la chiavetta su un altro PC per verificare se funziona correttamente. Meglio ancora su una macchina virtuale per evitare che il "virus" possa essere scaricato su un altro PC
2) Se la chiavetta funziona allora sai che il "virus" risiede solo nel tuo PC e non sulla chiavetta e a questo punto dovresti fare una scansione antivirus. Io eseguirei in modo preventivo ADWCleaner, MalwareBytes e Hijackthis.
3) Se la chiavetta, collegata ad un PC pulito continua a non funzionare potrebbe essere che il virus risieda solo sulla chiavetta e a questo punto farei partire una formattazione della chiavetta da un PC pulito. A questo punto dovresti utilizzare i tools elencati al punto 2 per pulire il tuo PC.
Ma ,sai almeno che cos'e il OTL ? visto che parli di adwcleaner che non c'entra un tubo con un virus su un chiave ?

Ciao @Volatility,
grazie per la risposta, ho creato il file .txt come da te indicato, l'ho slavato nel desktop ed ho avviato OTL, ho cliccato su run fix ed ho caricato il file txt che avveo rinominato fix.
Purtroppo non è cambiato nulla, ancora mi continua a generare i collegamenti nelle chiavette.
Joker ,rifai il otl e caricalo sempre qui ,asicurandoti che hai spuntato tutte le voci possibbili. Per la chiavetta , se te ne vuoi liberare del virus su di essa basta formattarla da un linux cd live con gparted. Per il computer devo ammetere che ho visto ancora cose strane nel appdata ,ma non conoscendoti non volevo cancellarti qualcosa di utilie. Comunque ,rifai il otl e intanto spazza un po di m-da con combofix .Gmer non so se lo sai usare.
 
Ma ,sai almeno che cos'e il OTL ? visto che parli di adwcleaner che non c'entra un tubo con un virus su un chiave ?


Joker ,rifai il otl e caricalo sempre qui ,asicurandoti che hai spuntato tutte le voci possibbili. Per la chiavetta , se te ne vuoi liberare del virus su di essa basta formattarla da un linux cd live con gparted. Per il computer devo ammetere che ho visto ancora cose strane nel appdata ,ma non conoscendoti non volevo cancellarti qualcosa di utilie. Comunque ,rifai il otl e intanto spazza un po di m-da con combofix .Gmer non so se lo sai usare.


Grazie mille per l'aiuto, al momento non posso formattare il pc perchè sarebbe un incubo andare a reinstallare tutti i programmi che ho, quindi devo necessariamente riuscire a liberarmi da questo virus.
Ho pure notato che ogni volta che riavvio o spengo il pc in automatico non appena lo accendo mi abilita l'impostazione di "nascondi automaticamente le estensioni per i tipi di file conosciuti".
Ho lanciato OTL, tramite il pulsante "Run Scan" e ti invio uno screen delle impostazioni che ho lasciato spuntate per eseguire la scansione.
Purtroppo non ho mai usato, o so usare, ne Combofix ne Gmer quindi non saprei come fare.
Ho comunque fatto una scansione pure con HiJackThis che ti allego.
Attendo tue notizie, grazie ancora.
 

Allegati

  • OTL.jpg
    OTL.jpg
    161 KB · Visualizzazioni: 79
  • OTL.jpg
    OTL.jpg
    161 KB · Visualizzazioni: 57
  • OTL2.Txt
    133.7 KB · Visualizzazioni: 59
  • hijackthis.txt
    13.4 KB · Visualizzazioni: 103
Salve a tutti, alla fine ho risolto e siccome ho visto che è un problema abbastanza comune vi indico di seguito i passaggi che ho fatto per cancellare definitivamente il virus sia dalla chiavetta che dal pc:

1) Scaricatevi il programma USBFix free;
2) Collegate la chiavetta infetta al pc e lanciate il programma USBFix Free;
3) Cliccate la voce elimina nella schermata principale che vi si presenta e lasciatelo lavorare, ci starà qualche secondo per eseguire la pulizia, una volta finito vi mostrerà un log dove potete vedere i file che ha analizzato e che ha cancellato;
4) Una volta che il programma ha finito la vostra pen drive tornerà a funzionare, epurata dal virus, ed al suo interno troverete nuovamente i file all'interno di una cartella, adesso dovete eliminare il file di autoavvio che vi infetta il pc;
5) Aprite il menù "msconfig", (premete tasto windows +r e digitate nella casella msconfig) e nella sezione "avvio" andate a verificare tutti i processi che si avviano in automatico ogni volta che accendete il pc.
Non appena ne trovate 1 sospetto, che non sapete a cosa faccia riferimento, scrivetelo e cercate su internet a cosa si riferisce, se non lo sapete per sicurezza invece di cancellarlo, bloccatelo e provate a spegnere e riaccendere il pc, poi aprite la vostra chiavetta e se comparirà ancora il collegamento vuol dire che non avete ancora trovato il file infetto, riabilitate quello che avete disattivato in precedenza e proseguite andando ad analizzare gli altri file.
(ovviamente ogni volta che vi si ripresenterà il collegamento all'interno della chiavetta, perchè non avete ancora trovato il file giusto, dovete eseguire il programma USBFix e rifare la procedura di cancellazione)

Il mio file infetto era un programma chiamato: Helper.ink che si nascondeva all'interno di: C:\Users\Admin\AppData\Roaming\WINDOW3\helper.vbs.

Nella maggior parte dei casi sarà sempre un file con estensione .vbs o .js.

Una volta che lo avete trovato non appena lo disabilitate vedrete che collegando le chiavette non avrete più problemi di infezione.

Spero di esservi stato utile, per qualsiasi chiarimento non esitate a contattarmi.
 
  • Mi piace
Reazioni: Volatility
Stato
Discussione chiusa ad ulteriori risposte.