Visto che la discussione non è tanto vecchia vi descrivo la mia esperienza e come ho risolto poichè si tratta dello stesso virus, che ancora non è segnalato da nessun antivirus poichè sembra anche ben fatto.
Ad essere infettata è stata la mia chiavetta attraverso il pc di una cartolibreria :utonto:. Aprendo la chiavetta si nota subito che tutti i file presenti sono stati sostituiti dai loro collegamenti. Provandoli ad aprire Comodo Firewall mi ha fatto capire subito la situazione, ovvero ognuno cercava di avviare il file iTunesHelper.vb.
Poi, avendo già esperienza con un altro virus di chiavette simili, ho modificato le impostazioni di visualizzazione cartelle (attivando la visualizzazione delle cartelle protette di sistema e cartelle e file nascosti) e tutti i file originari sono sbucati fuori, avendo così la conferma dell'attività di un virus.
Ho trovato poi questo articolo in inglese che ha fatto proprio il caso mio >
https://blog.jtlebi.fr/2013/11/19/anatomy-of-a-virus-1-of-2-ituneshelper-vbe
Spiega un pò tutto. Dai sintomi già indicati da me fa notare come sia stato scelto un nome ingannevole che ricorda molto il processo sicuro iTunesHelper.exe ma con l'estensione .vb visto che si tratta di uno script, e anche il fatto che il virus viene copiato sulla pennetta e poi crea quei collegamenti ad hoc in modo tale che venga avviato prima il virus e poi il file originario al quale fa riferimento il collegamento (nascosto) non facendo accorgere nulla agli utenti poco attenti ignari poi che il proprio pc venga infettato.
Ecco lo screen del virus e del collegamento:
Io non essendo stato infettato ho dovuto pulire solo la pennetta e quindi ho risolto così:
• Attivata la visualizzazione delle cartelle protette e nascoste.
• Cancellato il file iTunesHelper.vb e tutti i collegamenti.
• Rimossi tramite DOS l'attributo "Nascosto" ad ogni file (tramite comando
attrib -s -h -r "nome file o cartella da modificare" ) visto che tramite proprietà l'opzione è disabilitata.
• Disattivata la visualizzazione delle cartelle protette e nascoste.
A chi si è infettato pure il pc dovete controllare la presenza tra i processi di
"wscript.exe" che arriva ad utilizzare anche 1-2gb di memoriaed ovviamente rimuoverlo.
Per chi ne capisce di programmazione ed è curioso del funzionamento il sito spiega anche ciò
qui
Spero di essere stato d'aiuto, soprattutto ai prossimi che avranno questo problema :ciaociao:
