|
|
Rank: AiutAmico
Iscritto dal : 1/9/2001
Posts: 214
|
Credo di aver preso uno strano virus portando una pendrive con file da stampare in una cartoleria. Quando ho rimesso la pendrive nel mio PC ho visto che in tutte le icone dei file c'era una freccetta proprio come se fossero dei collegamenti, però poi sembra funzionare tutto bene. Però, comunque ho visto che ha infettato tutti i PC dove ho inserito la pendrive e di conseguenza anche le altre pendrive che ho messo in quei PC ed anche i file che erano nella scheda di memoria della mia fotocamera. Ho lanciato l'antivirus Avira sia nella fotocamera sia nel PC ma non ha trovato nulla. 
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 11/8/2008
Posts: 13,964
|
Se non ci sono dati importanti ti conviene formattare le chiavette così sei sicuro.
Fai una scansione con Malwarebytes, inserisci la chiavetta e la selezioni, prima lo aggiorni e poi fai una scansione COMPLETA, non veloce, elimina tutto quello che trova. Ciao
|
|
Rank: AiutAmico
Iscritto dal : 1/9/2001
Posts: 214
|
Ho lanciato Malwarebytes su tutto il computer compreso la penna ma niente.
|
|
Rank: AiutAmico
Iscritto dal : 11/8/2008
Posts: 13,964
|
rubino ha scritto:Ho lanciato Malwarebytes su tutto il computer compreso la penna ma niente. Hai detto che la chiavetta ha infettato tutti i pc ma di che virus parli ?
|
|
Rank: AiutAmico
Iscritto dal : 1/9/2001
Posts: 214
|
Una cosa strana: quando metto un file su una penna il file si trasforma in un collegamento a quel file, cioè lo stesso file che ho messo con una freccietta sopra e se ci passo col cursore mi indica solo un kilobite e come percorso: "C/windows/system32". Qualsiasi file metto è così e non si cancellano, però poi quando vado ad aprirli si aprono perfettamente. Alla fine potrei lasciare anche le cose così perchè non ricevo nessun danno però non è normale! P.S.: ho dimenticato di dire che più volte ho formattato la penna.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
rubino ha scritto:P.S.: ho dimenticato di dire che più volte ho formattato la penna. Ciao. Quel comportamento significa che il pc è infetto. (e continua a infettare le chiavette che inserisci, anche se le hai formattate) Fai questa scansione: Scarica RougeKiller sul desktop. http://www.adlice.com/softs/roguekiller/RogueKiller.exe (per S.O 32 bit) http://www.adlice.com/softs/roguekiller/RogueKillerX64.exe (per S.O 64 bit) Chiudi tutti i programmi in esecuzione. Avvia RogueKiller.exe. Il tool farà una pre-scansione in automatico. Finita la pre-scansione,si apre una finestra: clicca su " Accept". Adesso clicca su " Scan". Finita la scansione, clicca su " Report" troverai il log sul desktop. Postalo qui Per postare il log segui queste indicazioni:Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/ Clicca sul bottone " Sfoglia" Seleziona il file appena salvato Clicca su Upload file Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati: Download Link / Forum Link Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
|
|
Rank: AiutAmico
Iscritto dal : 1/9/2001
Posts: 214
|
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Riesegui RougeKiller Finita la scansione, Clicca su " Delete". (Cancella) Finita l'eliminazione clicca su " Report". Postalo qui. Poi fai una scansione con OTL: Scarica OTL, e salvalo sul desktop: http://oldtimer.geekstogo.com/OTL.exeClicca sull'icona di OTL che trovi sul desktop . Metti la spunta su SCAN ALL USERS. Sotto output, metti la spunta : minimal outputClicca sulla freccettina di File Age e seleziona 60 Days Metti la spunta a LOP Check e Purity Check. Clicca su RUN SCANLascia fare la scansione senza interferire. Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.
|
|
Rank: AiutAmico
Iscritto dal : 1/9/2001
Posts: 214
|
|
|
Rank: AiutAmico
Iscritto dal : 1/9/2001
Posts: 214
|
E questi sono quelli di OTL: OTL.TxtExtras.Txt
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Avvia OTL. Sotto " Custom Scans\Fixes" copia-incolla questo codice: Code::OTL
PRC - C:\Programmi\MCShield\MCShieldRTM.exe (MyCity)
O4 - HKLM..\Run: [flashmemory] wscript.exe //B "C:\DOCUME~1\io\IMPOST~1\Temp\flashmemory.vbe" File not found
O4 - HKU\S-1-5-21-1993962763-2077806209-725345543-1003..\Run: [flashmemory] wscript.exe //B "C:\DOCUME~1\io\IMPOST~1\Temp\flashmemory.vbe" File not found
O4 - HKU\S-1-5-21-1993962763-2077806209-725345543-1003..\Run: [MCShield Monitor] C:\Programmi\MCShield\MCShieldRTM.exe (MyCity)
O4 - Startup: C:\Documents and Settings\io\Menu Avvio\Programmi\Esecuzione automatica\flashmemory.vbe ()
[2014/02/15 12.44.16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Avvio\Programmi\MCShield
[2014/02/15 12.44.14 | 000,000,000 | ---D | C] -- C:\Programmi\MCShield
[2014/02/15 12.44.14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dati applicazioni\MCShield
[2014/02/15 12.46.07 | 000,000,730 | ---- | C] () -- C:\Documents and Settings\All Users\Desktop\MCShield Real-Time Monitor.lnk
[2014/02/08 23.32.30 | 086,339,121 | -HS- | C] () -- C:\Documents and Settings\io\Menu Avvio\Programmi\Esecuzione automatica\flashmemory.vbe
[2014/02/16 11.47.13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dati applicazioni\MCShield
:Files
ipconfig /flushdns /c
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot] Clicca sul pulsante RUN FIX. Lascia fare la scansione senza interferire. Posta il log.
|
|
Rank: AiutAmico
Iscritto dal : 1/9/2001
Posts: 214
|
L'ho fatto 2 volte perchè la prima volta ho chiuso il report credendo che venisse salvato.
All processes killed
========== OTL ==========
No active process named MCShieldRTM.exe was found!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\flashmemory deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1993962763-2077806209-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\flashmemory deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1993962763-2077806209-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\MCShield Monitor not found.
File C:\Programmi\MCShield\MCShieldRTM.exe not found.
C:\Documents and Settings\io\Menu Avvio\Programmi\Esecuzione automatica\flashmemory.vbe moved successfully.
Folder C:\Documents and Settings\All Users\Menu Avvio\Programmi\MCShield\ not found.
Folder C:\Programmi\MCShield\ not found.
Folder C:\Documents and Settings\All Users\Dati applicazioni\MCShield\ not found.
File C:\Documents and Settings\All Users\Desktop\MCShield Real-Time Monitor.lnk not found.
File C:\Documents and Settings\io\Menu Avvio\Programmi\Esecuzione automatica\flashmemory.vbe not found.
Folder C:\Documents and Settings\All Users\Dati applicazioni\MCShield\ not found.
========== FILES ==========
< ipconfig /flushdns /c >
Configurazione IP di Windows
Svuotata la cache del resolver DNS.
C:\Documents and Settings\io\Desktop\cmd.bat deleted successfully.
C:\Documents and Settings\io\Desktop\cmd.txt deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\\""|""%1" %*" /E : value set successfully!
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: io
->Temp folder emptied: 86643163 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Google Chrome cache emptied: 6372701 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 89,00 mb
[EMPTYJAVA]
User: All Users
User: Default User
User: io
User: LocalService
User: NetworkService
Total Java Files Cleaned = 0,00 mb
File move failed. C:\WINDOWS\System32\drivers\etc\Hosts scheduled to be moved on reboot.
Error: Unble to create default HOSTS file!
[EMPTYFLASH]
User: All Users
User: Default User
User: io
User: LocalService
User: NetworkService
Total Flash Files Cleaned = 0,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 02162014_181243
Files\Folders moved on Reboot...
C:\Documents and Settings\io\Impostazioni locali\Temp\flashmemory.vbe moved successfully.
File move failed. C:\WINDOWS\System32\drivers\etc\Hosts scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao.
Rifai una scansione con RougeKiller
Finita la scansione clicca su "Report".
Postalo qui.
|
|
Rank: AiutAmico
Iscritto dal : 1/9/2001
Posts: 214
|
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ho l'impressione che tutto è rimasto come all'inizio..... Riesegui RougeKiller Finita la scansione Clicca su "Delete". (Cancella) Finita l'eliminazione clicca su "Report". Postalo qui. Rifai la scansione con RougeKiller. Posta il log. Non è per caso che la chiavetta infetta è inserita nel pc?
|
|
Rank: AiutAmico
Iscritto dal : 1/9/2001
Posts: 214
|
_D_02162014_215138.txt]RKreport[0]_D_02162014_215138.txtLa chiavetta non c'è, ho visto il virus in "esecuzione automatica", l'ho cancellato ma non si toglie. Poi ho notato che il Run Fix di OTL ha tolto il programma MCshield sia dall'area di notifica della barra delle applicazioni sia dal collegamento sul desktop
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
rubino ha scritto:
Poi ho notato che il Run Fix di OTL ha tolto il programma MCshield sia dall'area di notifica della barra delle applicazioni sia dal collegamento sul desktop
Il programma MCshield appartiene a McAfee VirusScan. Avendo installato già un antivirus ( Avira) tale programma poteva avere dei conflitti; e non si tengono installati 2 antivirus. Commenta:La chiavetta non c'è, ho visto il virus in "esecuzione automatica", l'ho cancellato ma non si toglie. Perchè bisogna agire sul registro. Fai: Start Esegui Digita regedit e poi OK. Ti apparre l'Editor del registro. Clicca in alto su " Modifica"e poi su " Trova..." Nel campo bianco digita flashmemory e poi clicca Invio. Dimmi cosa trova alla fine della ricerca.
|
|
Rank: AiutAmico
Iscritto dal : 1/9/2001
Posts: 214
|
Sono uscite 3 righe: tutte e tre cominciano con un simbolo: una specie di foglietto di carta con scritto ab, poi:
la prima riga: (Predefinito) REG_SZ (valore non impostato)
la seconda: CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
la terza: flashmemory REG_SZ wscript.exe //B "C:\DOCUME tilde 1\io\IMPOST tilde 1\Temp\flashmemory.vbe"
P.S.: come avrai capito non sono riuscito a scrivere la tilde che poi è anche senza spazi.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
devi cliccare con il tasto destro sopra l'iconcina (ab) a cui fa riferimento flashmemory e scegli " Elimina". Questa: Commenta:la terza: flashmemory REG_SZ wscript.exe //B "C:\DOCUME tilde 1\io\IMPOST tilde 1\Temp\flashmemory.vbe" Mi dici come si chiama la cartella a sinistra in cui contiene quei file? P.S:Dopo avere eliminato la stringa, rifai la ricerca (Trova) per vedere se trova ancora qualche altra chiave in cui si trova quel dannato file ( flashmemory) Tutte le volte che lo trovi, lo elimini come spiegato sopra. Quando non trova più niente, riavvia il pc e fai una scansione con RogueKiller. Finita la scansione clicca su Report e postalo qui.
|
|
|
Guest |
