Ciao ragazzi, ho un problema sul pc del lavoro (pc di una macchina a controllo numerico senza collegamento in rete) non dotata di antivirus se non Clam Win.
Forse da una chiavetta usb ho preso quello che penso essere un virus.
Vi spiego il comportamento: doppio click su C e non succede niente. invece tasto destro su C e sul menù a tendina appare autoplay e poi esplora ecc. Unico modo per entrare in C è tasto destro e esplora.
Il Task manager non si avvia.
Sembra che ci sia un file chiamato winfile.jpg, visto per un secondo in C e poi sparito.
Se spunto in opzioni cartella la visualizzazione dei file nascosti e di sistema non funziona, la volta successiva la spunta è ancora su nascondi.
Avviando in modalità provvisoria non cambia niente. Come visualizzare i file nascosti ed eliminarli? Da dos?
Se lo sa il capo mi distrugge..
Ciao e grazie

ciao

si , sicuramente hai trasmesso l'infezione sul quel pc, inserendo una chiave USB

Ma non hai proprio il modo di collegarlo alla rete? sarebbe piu facile ripulirlo...

comunque dovresti farci girare sopra combofix come spiegato qui, e postarci il log

ciao,

la possibilità per eliminarle , sarebbe quella di trascrivere percorso e file infetto, e poi creare uno script ad hoc che al riavvio vada a eliminare quanto riportato nello script.... ma in questo caso resterebbero intatti tutti i collegamenti dell'infezione, e anche altri file che non sono stati smascherati....

io ti consiglio di far girare combofix, non dalla chiavetta, ma trasferendolo dalla chiavetta al desktop e postarci il log

Credo che lo avrai già intuito, ma la chiavetta che ti ha infettato il pc, se non disinfettata , infetterà tutti gli altri sistemi ai quali verrà collegata

Ciao.
Combofix ti elimina l' Autorum.inf che hai in C:\ (oltre che sulla chiavetta)
E ti elimina altre eventuali infezioni.
Scaricalo su una chiavetta, trasportalo sul Desktop, e vedi se parte.
Purtroppo non puoi eliminare "Autorum.inf" , in quanto è un file "nascosto" e se non lo puoi visualizzare, non lo vedi.
Al limite, prova con la funzione "Cerca" .
E sempre con la funzione Cerca, vedi se trovi anche winfile.jpg

Hai ragione, ma operare sul pc dell'azienda senza essere più che sicuri, col rischio di fare una stupidaggine e dover fermare anche solo per un giorno una macchina da 1 milione di euro, mi fa andare coi piedi di piombo.
Comunque oggi ho usato combofix, sembrava aver risolto tutto: task manager attivo, regedit pure, autorun eliminato... tutto ok.
Appena ho riavviato il pc siamo tornati nella situazione di prima.

Incollo il log di combofix...
ComboFix 09-03-25.04 - Utente 2009-03-27 15.26.08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.1964.1624 [GMT 1:00]
Eseguito da: c:\documents and settings\Utente\Desktop\ComboFix.exe

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\windows\system32\x64

.
((((((((((((((((((((((((( Files Creati Da 2009-02-27 al 2009-03-27 )))))))))))))))))))))))))))))))))))
.

2009-03-26 09:41 . 2009-03-26 09:41 192 --a------ c:\windows\system32\EDIT.INI
2009-03-25 14:03 . 2009-03-27 15:26 1,038,984 -rahs---- C:\winfile.jpg
2009-03-25 14:03 . 2009-03-27 07:53 1,038,984 -rahs---- c:\windows\system32\winjpg.jpg
2009-03-25 14:03 . 2009-03-25 17:39 7,168 --a------ c:\windows\system32\winxp.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-11 06:49 --------- d-----w c:\programmi\Watchtower
2009-02-10 08:42 --------- d-----w c:\programmi\Genio 2002
2009-02-05 08:52 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-07-01 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-01 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-07-01 141848]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NeroFilterCheck"="c:\programmi\File comuni\Nero\Lib\NeroCheck.exe" [2008-03-25 570664]
"regdiit"="c:\windows\system32\winxp.exe" [2009-03-25 7168]
"CTFMON"="c:\windows\system32\wscript.exe" [2008-05-08 155648]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Xilog3-RoutoLink.lnk - c:\xilog3\Winexe\xilog3.exe [2008-12-02 5148160]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe]
"Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\winjpg.jpg

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe]
"Debugger"=c:\windows\system32\winxp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Office\\Office12\\OUTLOOK.EXE"=

R1 eusk2par;EUTRON SmartKey Parallel Driver;c:\windows\system32\drivers\eusk2par.sys [2008-11-25 24786]
R2 NA_Service;NetAccess Service;c:\windows\system32\NA_Service.exe [2008-12-02 45056]
R3 duntlw;UNTLW device;c:\windows\system32\drivers\DuntlwNT.sys [2008-12-02 54016]
R3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\drivers\e1k5132.sys [2008-10-31 144480]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [2008-10-31 110080]
R3 mxser;MOXA Smartio/Industio Family Driver;c:\windows\system32\drivers\mxser.sys [2008-12-02 16989]
R3 mxsport;MOXA Smartio/Industio Multiport Board Port Driver;c:\windows\system32\drivers\mxsport.sys [2008-12-02 84319]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19957b82-badc-11dd-8202-001999474c6c}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg
.
.
------- Scansione supplementare -------
.
IE: E&sporta in Microsoft Excel - c:\progra~1\Office\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-27 15:26:53
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2009-03-27 15.27.27
ComboFix-quarantined-files.txt 2009-03-27 14:27:25

Pre-Run: 146.890.428.416 byte disponibili
Post-Run: 147,015,716,864 byte disponibili

88


Per la cronaca, Xilog3 e Genio sono programmi che di gestione CNC. Watchtower è un programma mio che non ha mai dato interferenze.

Grazie per l'attenzione e il tempo dedicatomi. Ciao

Crack? quale crack?!
Quello è un pc aziendale e non posso assolutamente istallare niente che non sia licenziato o free.
Gli unici progr. istallati sono Watchtower Lybrary con licenza.
Genio, con licenza.
Xilog3 con licenza.
Suite Open Office freeware.
Timer.exe freeware.
E tutti i vari driver per la gestione della macchina cnc.
O per lo meno sono quelli che ho istallato io dopo la fornitura del pc da parte del venditore.

Ah, per il disturbo, se avete bisogno di una scrivania sagomata secondo un vostro disegno, chiedete pure. Unico costo la spedizione. O il ritiro.

Vengono inserite chiavette aziendali che i detentori utilizzano probabilmente (o meglio, sicuramente) anche per trasferire file personali (films, audio ecc. scaricati da internet).
E' che io con la parola crack intendevo soltanto i programmi craccati e non i virus. Per questo mi meravigliavo. Ma, come vedo, l'applicazione del termine è piu esteso.
Sono anni che prego per una connessione in rete da cui ricevere i file dall'ufficio tecnico, ma pensa che fino a ieri giravano i floppy, le chiavette sono state un'innovazione epocale!!!
Già che ci siamo, come consideri AVG come antivirus? Ed esiste un antivirus aggiornabile senza una connessione internet? (scaricando gli aggiornamenti sulle micidiali chiavette intendo, da un pc collegato alla rete).

OT Splendido il bimbo dell'avatar... Tuo?

Allora, effettuata la correzione come indicato, ed ecco il log di Combofix:

ComboFix 09-03-25.04 - Utente 2009-03-30 7.57.53.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.1964.1617 [GMT 2:00]
Eseguito da: c:\documents and settings\Utente\Desktop\ComboFix.exe
Opzioni usate :: c:\documents and settings\Utente\Desktop\CFScript.txt

ATTENZIONE - QUESTO PC NON HA LA CONSOLE DI RIPRISTINO DI EMERGENZA INSTALLATA !!

FILE ::
c:\windows\system32\winjpg.jpg
c:\windows\system32\winxp.exe
C:\winfile.jpg
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\windows\system32\winjpg.jpg
c:\windows\system32\winxp.exe
C:\winfile.jpg

.
((((((((((((((((((((((((( Files Creati Da 2009-02-28 al 2009-03-30 )))))))))))))))))))))))))))))))))))
.

2009-03-26 10:41 . 2009-03-26 10:41 192 --a------ c:\windows\system32\EDIT.INI
2009-02-11 08:49 . 2009-02-11 08:49 <DIR> d-------- c:\programmi\Watchtower

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-10 08:42 --------- d-----w c:\programmi\Genio 2002
2009-02-05 08:52 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Microsoft Help
2008-12-18 09:00 74,752 ----a-w c:\windows\ST6UNST.EXE
2008-12-18 09:00 290,816 ------w c:\windows\Setup1.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-03-27_15.27.05,70 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 18:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
- 2000-08-31 07:00:00 29,696 ----a-w c:\windows\NIRCMD.exe
+ 2000-08-31 06:00:00 29,696 ----a-w c:\windows\NIRCMD.exe
- 2000-08-31 07:00:00 161,792 ----a-w c:\windows\SWREG.exe
+ 2000-08-31 06:00:00 161,792 ----a-w c:\windows\SWREG.exe
- 2009-02-04 07:41:42 64,336 ----a-w c:\windows\system32\perfc009.dat
+ 2009-03-30 05:52:56 64,336 ----a-w c:\windows\system32\perfc009.dat
- 2009-02-04 07:41:42 77,488 ----a-w c:\windows\system32\perfc010.dat
+ 2009-03-30 05:52:56 77,488 ----a-w c:\windows\system32\perfc010.dat
- 2009-02-04 07:41:42 407,806 ----a-w c:\windows\system32\perfh009.dat
+ 2009-03-30 05:52:56 407,806 ----a-w c:\windows\system32\perfh009.dat
- 2009-02-04 07:41:42 455,380 ----a-w c:\windows\system32\perfh010.dat
+ 2009-03-30 05:52:56 455,380 ----a-w c:\windows\system32\perfh010.dat
.
((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-07-01 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-07-01 170520]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-07-01 141848]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NeroFilterCheck"="c:\programmi\File comuni\Nero\Lib\NeroCheck.exe" [2008-03-25 570664]
"CTFMON"="c:\windows\system32\wscript.exe" [2008-05-08 155648]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
Xilog3-RoutoLink.lnk - c:\xilog3\Winexe\xilog3.exe [2008-12-02 5148160]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Office\\Office12\\OUTLOOK.EXE"=

R1 eusk2par;EUTRON SmartKey Parallel Driver;c:\windows\system32\drivers\eusk2par.sys [2008-11-25 24786]
R2 NA_Service;NetAccess Service;c:\windows\system32\NA_Service.exe [2008-12-02 45056]
R3 duntlw;UNTLW device;c:\windows\system32\drivers\DuntlwNT.sys [2008-12-02 54016]
R3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\drivers\e1k5132.sys [2008-10-31 144480]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [2008-10-31 110080]
R3 mxser;MOXA Smartio/Industio Family Driver;c:\windows\system32\drivers\mxser.sys [2008-12-02 16989]
R3 mxsport;MOXA Smartio/Industio Multiport Board Port Driver;c:\windows\system32\drivers\mxsport.sys [2008-12-02 84319]
.
- - - - CHIAVI ORFANE RIMOSSE - - - -

HKLM-Run-regdiit - c:\windows\system32\winxp.exe


.
------- Scansione supplementare -------
.
IE: E&sporta in Microsoft Excel - c:\progra~1\Office\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-30 07:59:55
Windows 5.1.2600 Service Pack 3 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\NA_XWAY.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\igfxsrvc.exe
.
**************************************************************************
.
Ora fine scansione: 2009-03-30 8:01:17 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2009-03-30 06:01:14
ComboFix2.txt 2009-03-27 14:27:28

Pre-Run: 147.023.835.136 byte disponibili
Post-Run: 147,013,533,696 byte disponibili

115

E questo è il log di findkill:

############################## [ FindyKill V4.720 ]

# User : Utente (Administrators) # PRODUZIONE
# Update on 22/03/09 by Chiquitine29
# Start at: 8.05.02 | 30/03/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Processore Intel Pentium III Xeon
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled

# C:\ # Disco rigido locale # 149,05 Go (136,93 Go free) [Disco Fisso] # NTFS
# D:\ # Disco CD-ROM
# F:\ # Disco rimovibile # 3,72 Go (3,71 Go free) [CHIAVE_NDRO] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\NA_Service.exe
C:\WINDOWS\system32\NA_XWAY.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers / Dossiers infectieux C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\system32 ]


################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\.. Application Data ... ]


################## [ Registre / Clés infectieuses ]



################## [ Recherche dans supports amovibles]

# Presence des fichiers :


################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.720 ! ]

L'esame con malwarebytes ancora non l'ho fatto...

Per la cronaca, appena inserita la chiavetta per copiarci i log, me l'ha infettata di nuovo... porc..!

A tal proposito:

http://www.megalab.it/4100/ninja-protegge-dai-virus-i-dispositivi-di-memoria-usb

che ne pensi r16?

ciao

[quote=r16Non penso che il pc abbia infettato la chiavetta, ma il contrario.[/quote]
No, credo di no. la chiavetta era stata epurata ieri sera, e ci ho copiato il file txt per correggere il pc del lavoro con combofix.
Ma appena inserita, ho visto apparire sulla stessa come per magia autorun e winfile.

Per dario: a me va anche bene non avere l'autoplay. L'ho sempre detestato. Il mio pc deve fare le cose quando lo dico io, non quando decide lui!!! Grazie della dritta!

Per la scansione con malwarebytes, devo aspettare domattina... siamo in regime di cassa integrazione il pomeriggio.

Come valutate AVG? E' decente? Scadente? Ci sono altri free migliori?
Invece a pagamento conosco Norton (che non mi piace: pesantissimo e rallenta un sacco), NOD32 mi piaceva ma non l'ho rinnovato e, solo di nome, Karspersky