Pennetta USB che crea collegamenti e PC infettato

Stato
Discussione chiusa ad ulteriori risposte.

roccoB

Nuovo Utente
4
0
Ho inserito una pennetta USB nel PC che aveva il Virus che crea collegamenti e ho infettato anche lo stesso PC. Ho provato a risolvere il problema con un antivirus ed un anti-malware ma nulla ho ancora chiavette e pc infetti.
Grazie.
 

danilo79

Utente Èlite
1,814
549
Ciao

-Scaricare Farbar Recovert Scan Tool (FRST)e salvarlo sul DESKTOP (è importante salvarlo sul desktop)..

http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Link alternativo http://www.techspot.com/downloads/6731-farbar-recovery-scan-tool.html

-Nota: è necessario eseguire la versione compatibile con il sistema (32 bit o 64 bit). Se non sei sicuro di quale versione si applica al tuo sistema, scarica entrambi e prova ad eseguirli. Solo uno di questi funzionerà sul tuo sistema, quella sarà la versione giusta.

-Se il tuo antivirus avvisa di FRST, accetta l'avviso o disattiva la sicurezza per consentire l'esecuzione di FRST. Non è malevolo o infetto in alcun modo ...E’ un programma legittimo…..

-Una nota importante: lo strumento FRST deve essere eseguito da un account con lo stato di amministratore.

- Fare doppio clic per eseguirlo. Quando lo strumento si apre, fare clic su Sì per la dichiarazione di non responsabilità. (Gli utenti di Windows 8/10 riceveranno una richiesta sulla protezione di Windows SmartScreen: fare clic su Altre informazioni ed Esegui).

-Assicurati che Addition.txt sia spuntato sotto "Scansioni opzionali"


1536852600159-png.309248



-Premere il pulsante Scan per eseguire lo strumento ....

-Attendere che finisca e alla fine verranno creati due log (FRST.txt) e (Addition.txt) nella stessa directory in cui viene eseguito lo strumento (se si ha eseguito le istruzioni dovrebbero trovarsi sul Desktop).
-Allegarli nella prossima riposta..

-NOTA: questo programma non elimina ne modifica nulla del pc ma esegue una diagnosi accurata sullo stato del pc nell istante in cui viene eseguita la scansione…
Sarà un esperto a fornire uno script per delle eventuali correzioni da apportare se necessarie....


ciao
 

danilo79

Utente Èlite
1,814
549
Ciao

Apri il block note....
Copiaci dentro le seguenti righe in grassetto:

start

CreateRestorePoint:
CloseProcesses:


HKU\S-1-5-18\...\RunOnce: [SPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601
HKU\S-1-5-21-1798681908-583543990-1831288391-1141\...\Run: [winlogon] => C:\Users\briar\AppData\Local\Temp\winlogon.bat [81 2018-10-11] () <==== ATTENTION
Startup: C:\Users\briar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.bat [2018-10-13] () <==== ATTENTION
C:\Users\briar\AppData\Local\Temp\winlogon.bat


S2 AmmyyAdmin; "C:\Users\briar\Desktop\AA_v3.2.exe" -service [X]
R2 Sophos Agent; "C:\Program Files (x86)\Sophos\Remote Management System\ManagementAgentNT.exe" -service -name Agent -ORBListenEndpoints iiop://127.0.0.1 [X] <==== ATTENTION
R2 Sophos Message Router; "C:\Program Files (x86)\Sophos\Remote Management System\RouterNT.exe" -service -name Router -ORBListenEndpoints iiop://:8193/ssl_port=8194 [X] <==== ATTENTION


EmptyTemp:
HOSTS:
CMD: ipconfig /flushdns
Reboot:


End

Ok ora salva il file obbligatoriamente con il nome fixlist.txt

Poi inserisci la chiavetta infetta...
-Formatta la chiavetta ,prima pero se ti interessano i dati contenuti fai cosi:
Per visualizzare tutte le cartelle nascoste dal virus sulla chiavetta si deve andare sul prompt dei comandi(CMD).
Basterà scrivere nella barra di ricerca CMD.Apparirà il prompt che avvieremo con doppio click.
Digitare il seguente comando
ATTRIB -H -R -S /S /D G:\*.*
G si riferisce alla pendrive, se diversa si deve modificare la lettera.
Attendere che il comando faccia il suo lavoro.Se i file sono molti impiegherà un po' di tempo.
Tutte le cartelle saranno nuovamente visibili.
A questo punto si dovranno eliminare tutti i files che non si conoscono con tutti i collegamenti creati dall'infezione.

-Poi posiziona frst.exe e il file fixlist.txt che hai creato sul desktop (mi raccomando sul desktop)
-Tasto dx sopra frst.exe e cliccare su esegui come amministratore
-Una volta aperto clicca su fix
-Attendi che finisca e che il pc si riavvi ( se non si riavvia fallo te)
-Riformatta la chiavetta per sicurezza
-Posta il fixlog.txt mi racomando (lo trovi sul desktop)

-vedi se copiando dei file ti crea piu i collegamenti...


Come noti il tuo account non è amministratore...
Se la procedura fallisce esegui frst da un account con privilegi di amministratore e riposta i log...

Ran by briar (ATTENTION: The user is not administrator) on CLIENT009 (13-10-2018 10:25:05)
Post unito automaticamente:

 
Ultima modifica:
  • Mi piace
Reazioni: Frankz

roccoB

Nuovo Utente
4
0
Ciao,
fatto e funziona bene la pennetta non crea più collegamento.

Grazie.
 

Allegati

  • fixlog.txt
    2.2 KB · Visualizzazioni: 70

danilo79

Utente Èlite
1,814
549
Ok perfetto....
Quindi abbiamo risolto....
Ora cancella la cartella C:frst ed il programma coni relativi log..

Ciao
 

st1hawk

Nuovo Utente
15
0
scusate .. ho avuto lo stesso problema di virus usb.. ho fatto la scansione ed ecco i file text
ora come procedo? chi mi puo aiutare? grazie
 

Allegati

  • Addition.txt
    43 KB · Visualizzazioni: 96
  • FRST.txt
    42 KB · Visualizzazioni: 124

Frankz

Nuovo Utente
38
8
Ciao st1hawk ti consiglio di fare la procedura che ha descritto danilo facci sapere se risolvi o meno:ok:


Ciao

Apri il block note....
Copiaci dentro le seguenti righe in grassetto:

start

CreateRestorePoint:
CloseProcesses:


HKU\S-1-5-18\...\RunOnce: [SPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601
HKU\S-1-5-21-1798681908-583543990-1831288391-1141\...\Run: [winlogon] => C:\Users\briar\AppData\Local\Temp\winlogon.bat [81 2018-10-11] () <==== ATTENTION
Startup: C:\Users\briar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.bat [2018-10-13] () <==== ATTENTION
C:\Users\briar\AppData\Local\Temp\winlogon.bat


S2 AmmyyAdmin; "C:\Users\briar\Desktop\AA_v3.2.exe" -service [X]
R2 Sophos Agent; "C:\Program Files (x86)\Sophos\Remote Management System\ManagementAgentNT.exe" -service -name Agent -ORBListenEndpoints iiop://127.0.0.1 [X] <==== ATTENTION
R2 Sophos Message Router; "C:\Program Files (x86)\Sophos\Remote Management System\RouterNT.exe" -service -name Router -ORBListenEndpoints iiop://:8193/ssl_port=8194 [X] <==== ATTENTION


EmptyTemp:
HOSTS:
CMD: ipconfig /flushdns
Reboot:


End

Ok ora salva il file obbligatoriamente con il nome fixlist.txt

Poi inserisci la chiavetta infetta...
-Formatta la chiavetta ,prima pero se ti interessano i dati contenuti fai cosi:
Per visualizzare tutte le cartelle nascoste dal virus sulla chiavetta si deve andare sul prompt dei comandi(CMD).
Basterà scrivere nella barra di ricerca CMD.Apparirà il prompt che avvieremo con doppio click.
Digitare il seguente comando
ATTRIB -H -R -S /S /D G:\*.*
G si riferisce alla pendrive, se diversa si deve modificare la lettera.
Attendere che il comando faccia il suo lavoro.Se i file sono molti impiegherà un po' di tempo.
Tutte le cartelle saranno nuovamente visibili.
A questo punto si dovranno eliminare tutti i files che non si conoscono con tutti i collegamenti creati dall'infezione.

-Poi posiziona frst.exe e il file fixlist.txt che hai creato sul desktop (mi raccomando sul desktop)
-Tasto dx sopra frst.exe e cliccare su esegui come amministratore
-Una volta aperto clicca su fix
-Attendi che finisca e che il pc si riavvi ( se non si riavvia fallo te)
-Riformatta la chiavetta per sicurezza
-Posta il fixlog.txt mi racomando (lo trovi sul desktop)

-vedi se copiando dei file ti crea piu i collegamenti...


Come noti il tuo account non è amministratore...
Se la procedura fallisce esegui frst da un account con privilegi di amministratore e riposta i log...

Ran by briar (ATTENTION: The user is not administrator) on CLIENT009 (13-10-2018 10:25:05)
Post unito automaticamente:
 

danilo79

Utente Èlite
1,814
549
No ,st1howk non usare il fixlist di altre persone è creato su misura per quei determinati pc....
Quindi attendi che ti venga fornito il fix list per te...

Ciao
Post unito automaticamente:

Ciao st1howk

disinstalla questo programma:
Host App Service (HKU\S-1-5-21-1214980510-1249484440-378314186-1001\...\SweetLabs_AP) (Version: 0.269.7.983 - Pokki) <==== ATTENTION

Poi inserisci la chiavetta infetta...
-Formatta la chiavetta ,prima pero se ti interessano i dati contenuti fai cosi:
Per visualizzare tutte le cartelle nascoste dal virus sulla chiavetta si deve andare sul prompt dei comandi(CMD).
Basterà scrivere nella barra di ricerca CMD.Apparirà il prompt che avvieremo con doppio click.
Digitare il seguente comando
ATTRIB -H -R -S /S /D G:\*.*
G si riferisce alla pendrive, se diversa si deve modificare la lettera.
Attendere che il comando faccia il suo lavoro.Se i file sono molti impiegherà un po' di tempo.
Tutte le cartelle saranno nuovamente visibili.
A questo punto si dovranno eliminare tutti i files che non si conoscono con tutti i collegamenti creati dall'infezione.

-Poi posiziona frst.exe e il file fixlist.txt in allegato sul desktop (mi raccomando sul desktop)
-Tasto dx sopra frst.exe e cliccare su esegui come amministratore
-Una volta aperto clicca su fix
-Attendi che finisca e che il pc si riavvi ( se non si riavvia fallo te)
-Riformatta la chiavetta per sicurezza
-Posta il fixlog.txt mi racomando (lo trovi sul desktop)

-vedi se copiando dei file ti crea piu i collegamenti...
 

Allegati

  • fixlist.txt
    577 bytes · Visualizzazioni: 89
Ultima modifica:

st1hawk

Nuovo Utente
15
0
Grazie ... sono riuscito a risolvere
ancora una domanda: cosa posso aggiungere a livello di antivirus o di precauzioni operative per evitare che il computer venga nuovamente infettato.. considera che siamo una tabaccheria e facciamo stampe da chiavetta tutti i giorni.
Grazie
 

epresley75

Nuovo Utente
2
0
Salve a tutti, anch'io sul notebook di mio fratello, inserendo la pennetta ci sono tutti i files,cartelle etc come COLLEGAMENTI e appena gli si cliccano gli esce una schermata " WINLOGO.BAT impossobile aprile il file verificare...... "
Vi allego i 2 log e fatemi sapere come procedere gentilmente.

Riguardo la pennetta non la posso formattare perchè ci sono dati importanti, e il procedimento sopra descritto con il comando ATTRIB -H -R -S /S /D F:...... mi esce : Accesso negato - F:\AUTORUN.INF

Come devo procedere? Grazie anticipatamente e buona serata,
 

Allegati

  • Addition.txt
    46.8 KB · Visualizzazioni: 46
  • FRST.txt
    38.7 KB · Visualizzazioni: 38
Stato
Discussione chiusa ad ulteriori risposte.

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!

Discussioni Simili