Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

virus delle memorie flash? Opzioni
rubino
Inviato: Monday, February 24, 2014 12:16:28 AM
Rank: AiutAmico

Iscritto dal : 1/9/2001
Posts: 214
r16
Inviato: Monday, February 24, 2014 6:10:16 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Proviamo con "l'artiglieria pesante":

Scarica Combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop. (è obbligatorio)

Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione.

Doppio click su combofix.exe

Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO.

E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali, e prosegui con la scansione.

Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni.
Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt.
Postalo qui, con Wikifortio, o Wikisend.
rubino
Inviato: Tuesday, February 25, 2014 7:19:18 PM
Rank: AiutAmico

Iscritto dal : 1/9/2001
Posts: 214
r16
Inviato: Tuesday, February 25, 2014 8:16:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Segui questo percorso:

c:\documents and settings\io\Menu Avvio\Programmi\Esecuzione automatica

Arrivato alla cartella Esecuzione automatica la apri.
All'interno dovresti trovare il file incriminato:
flashmemory.vbe
Eliminalo, e poi svuota il cestino.

Poi per cortesia fammi una scansione con OTL.
Posta il log.
rubino
Inviato: Tuesday, February 25, 2014 9:00:52 PM
Rank: AiutAmico

Iscritto dal : 1/9/2001
Posts: 214
http://www.wikifortio.com/786138/OTL.Txt

Comunque gia ho visto che dopo pochi secondi che l'ho eliminato ritorna!
r16
Inviato: Tuesday, February 25, 2014 9:36:38 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Fai:
Start.
Esegui
Digita msconfig
Clicca su "Avvio".
Fra le voci elencate vedi se trovi flashmemory oppure una voce scritta così: wscript.exe
Se le vedi, togli la spunta di riferimento.
Clicca "Applica" e poi OK.

Poi:
Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Code:
:Processes

:Services

:reg

:OTL
O4 - HKLM..\Run: [flashmemory] wscript.exe //B "C:\DOCUME~1\io\IMPOST~1\Temp\flashmemory.vbe" File not found
O4 - HKU\S-1-5-21-1993962763-2077806209-725345543-1003..\Run: [flashmemory] wscript.exe //B "C:\DOCUME~1\io\IMPOST~1\Temp\flashmemory.vbe" File not found
[2014/02/25 15.06.35 | 086,339,121 | ---- | M] () -- C:\Documents and Settings\io\Menu Avvio\Programmi\Esecuzione automatica\flashmemory.vbe

:commands
[purity]
[emptytemp]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
rubino
Inviato: Wednesday, February 26, 2014 12:49:17 AM
Rank: AiutAmico

Iscritto dal : 1/9/2001
Posts: 214
http://www.wikifortio.com/782686/OTL.Txt

Voglio precisare che dopo "Applica OK" non ho riavviato.
r16
Inviato: Wednesday, February 26, 2014 6:33:34 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Mi hai postato un log sbagliato.
Ho chiesto il log delle eliminazioni effettuate tramite lo script, che ho postato sopra.
Commenta:
Voglio precisare che dopo "Applica OK" non ho riavviato.

Vorresti essere così gentile da farmi sapere se hai trovato le voci incriminate, e quante ?

rubino
Inviato: Wednesday, February 26, 2014 9:17:13 PM
Rank: AiutAmico

Iscritto dal : 1/9/2001
Posts: 214
Le voci che ho trovato sono 3:

Elementi di avvio Angel Comando Angel Percorso
flashmemory Angel wscript.exe //B "C:\D... Angel HKLM\SOFTWARE\Microsoft\Windows\CurrentVer...
flashmemory Angel wscript.exe //B "C:\D... Angel HKCU\SOFTWARE\Microsoft\Windows\CurrentVer...
flashmemory Angel C:\Documents and Set... Angel Startup


Ho messo le faccine al posto degli spazi perchè non me li dava.
r16
Inviato: Wednesday, February 26, 2014 10:05:36 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao.
Dovresti seguire il percorso di quelle chiavi, ed eliminare flashmemory.
Fai attenzione che sono 2 chiavi diverse, anche se tutte e 2 finiscono con la cartella RUN.
Prova in modalità provvisoria.
rubino
Inviato: Thursday, February 27, 2014 1:51:31 PM
Rank: AiutAmico

Iscritto dal : 1/9/2001
Posts: 214
Non ci credo, sembra proprio che abbia risolto: ho tolto tutte e due le chiavi in modalità provvisoria, poi ho tolto il file dalla cartella "esecuzione automatica".
Ho riavviato due volte controllando nel registro e in esecuzione automatica e non c'è più nulla! Invece prima ricompariva sempre!.

Però ho notato un'altra cosa: nel registro, nella chiave HKLM\SOFTWARE c'è una cartella di nome proprio FLASHMEMORY con all'interno:
NOME: (Predefinito) TIPO: REG_SZ DATI: true-08/02/2014
r16
Inviato: Thursday, February 27, 2014 6:38:16 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
rubino ha scritto:
Non ci credo, sembra proprio che abbia risolto

Alle volte i miracoli avvengono...Angel

Commenta:
Però ho notato un'altra cosa: nel registro, nella chiave HKLM\SOFTWARE c'è una cartella di nome proprio FLASHMEMORY

Elimina la cartella.

Poi fai una ricerca sul registro (ti ricordi come fare vero?)
In ogni caso, le istruzioni le trovi a pagina 1 di questo topic.
Commenta:
Fai:
Start
Esegui
Digita regedit e poi OK.

Ti apparre l'Editor del registro.

Clicca in alto su "Modifica"e poi su "Trova..."

Nel campo bianco digita flashmemory e poi clicca Invio.


Fai varie ricerche, finchè non trova più nulla che si riferisca a flashmemory

Poi fai queste pulizie:

Cestina RougeKiller con tutti i suoi log.

Cestina FRST che hai sul desktop.
Poi segui questo percorso ed elimina la cartella FRST:
C:\FRST

Apri OTL e clicca su CleanUP.
Si disinstallerà Combofix,TDSSKiller, e lo stesso OTL.
Ti chiederà il riavvio del pc: acconsenti.

Al riavvio fai una pulizia con CCleaner. (Registro compreso)

Provvedi a svuotare del suo contenuto la cartella Prefetch :
clicca su Risorse del Computer
clicca su Disco locale C:
cerca, all’interno delle cartelle che saranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimina tutte le voci conservate al suo interno ( non eliminare la cartella)

SVUOTA IL CESTINO

Sempre con CCleaner:
Apri CCleaner.
Clicca su "Strumenti".
Clicca su "Ripristino Sistema"
Seleziona TUTTI i punti di ripristino e poi clicca "Rimuovi".

N.B:
Il punto segnalato in grigio (il primo) non lo puoi eliminare per motivi di sicurezza.




rubino
Inviato: Friday, February 28, 2014 8:57:39 PM
Rank: AiutAmico

Iscritto dal : 1/9/2001
Posts: 214
Ho fatto tutto e alla fine Flashmemory non l'ho più trovato.
Perchè mi hai fatto eliminare tutti quei tool che mi potrebbero servire in futuro?
r16
Inviato: Friday, February 28, 2014 9:19:48 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
rubino ha scritto:

Perchè mi hai fatto eliminare tutti quei tool che mi potrebbero servire in futuro?

Perchè tali software sono soggetti a frequenti aggiornamenti, per restare al passo con le infezioni, e non hanno incorporato un "Update" (aggiornamento) nè automatico, nè manuale.
Quando esce un aggiornamento, si devono disinstallare e poi reistallare.
In pratica, si devono usare solo quando si prende qualche infezione, e in alcuni di essi (tipo Combofix) sotto la diretta assistenza di un esperto che conosce il programma.
Tenerli installati non serve.

Se il pc funziona bene abbiamo concluso.


rubino
Inviato: Friday, February 28, 2014 9:51:07 PM
Rank: AiutAmico

Iscritto dal : 1/9/2001
Posts: 214
Funziona bene. Grazie per l'aiuto! Boo hoo!
r16
Inviato: Friday, February 28, 2014 10:02:57 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Di niente.
Ciao!
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.