Penna Usb Infettata Con Win32/autorun.ch Worm

[Guest Wind_Notes]

Ragazzi, come potete capire dal titolo, 10 minuti fa, mentre inserivo dati nella penna, è comparsa la finestra di NOD32 che mi segnala questo virus.

Ho fatto la scansione con Nod32 nell'unità rimovibile, e mi segnala questi 2 virus:

Knight.exe Win32/Autorun.CH Worm

Autorun.inf Win32/Autorun.CH Worm

Che faccio? posso eliminarli ed il problema è risolto? Che mi consigliate?

Grazie mille, Ciao.

[Kuma]

Ciao...

ci sono già aperti altri post a questo riguardo (se li trovo te li linko)

in linea di massima, devi terminare dal Task Manager il processo se esiste (Knight)

inserire la penna ed eliminare i file infetti, cercare nel Pc (nelle cartelle Windows e System32)

la presenza degli stessi files ed eliminarli...

Prova anche ad usare questo tool apposito:

KnightFix = http://www.wininizio.it/storage/kfiles/AntiKnight.rar

Per la pulizia del registro, rimandiamo a più tardi (quando trovo i link)

questa è la pulizia manuale (nel caso il tools fallisse)

Per prima cosa cerca sul pc i files chiamati "autorun.inf" ed eliminali (è probabile che sia nella cartella: C:\WINDOWS)

1. Aprire il Task Manager e forzare la terminazione, nel caso fosse attivo, del processo knight.exe.
   
2. Inserire la pendrive infetta nel pc ed aprirne il contenuto.
   
3. Impostare sulle opzioni di visualizzazione delle cartelle la possibilità di mostrare i file nascosti e i file di sistema.
   
4. Eliminare dalla pendrive i file knight.exe e autorun.inf.
   
5. Eliminare dalla cartella C:\WINDOWS il file knight.exe.
   
6. Cercare ed eliminare dal registro di Windows ogni occorrenza del termine "knight".
   
7. Probabili richiami al registro HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1568509c-8a41-11dc-b036-000000000000}]
   \Shell\auto\command - X:\Knight.exe open
   \Shell\AutoRun\command - X:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
   \Shell\explore\command - X:\Knight.exe open
   \Shell\find\command - X\Knight.exe open
   \Shell\install\command - X:\Knight.exe open
   \Shell\open\command - X:\Knight.exe open
   

_________("X" è la lettera del tuo HD principale)____

Altro tool (grazie a Steve)

* Scaricate questo tool (spagnolo)

http://www.plusexpert.cl/download/AntiKnight.rar

- estrai tutti i file in una cartella

- inserisci la pendrive nel pc

- apri il file AntiKnight

- clicca su "buscar y reparar"

- Alla fine togli la pendrive e riavvia il sistema

[Guest Wind_Notes]

Allora Kuma:

Ho eliminato quei 2 file dalla penna.

Nel sistema invece non ho trovato nessun Knight.exe, ed anche il processo non era in esecuzione.

Nei registri invece ho trovato un bel po' di spazzatura. Vi indico i percorsi anche per aiutare chi in futuro avrà il mio stesso problema.

I percorsi sono un po' diversi da quelli da voi indicati:

HKCU/Software/Microsoft/SearchAssistant/ACMru/5603/

In questo percorso vi era:

un valore con scritto Knight

un valore con scritto Knight.exe

un valore con scritto autorun.inf

un valore con scritto spv_insine(e spyware doctor mi ha trovato un trojan in un file temporaneo che si chiamava come questo,così ho capito che non era un caso(...) e l'ho cancellato.

un valore con scritto 1WBC...(non ricordo il resto), che lo stesso Spyware Doctor aveva individuato come percorso del trojan spv_insine. Quindi l'ho eliminato..

HKCU/Software/Microsoft/SearchAssistant/ACMru/5604/

un valore con scritto Knight

HKLM/SOFTWARE/knight

e pure l'ho eliminato.

A questo punto, non so...Nod32 non segnala piu' nulla nell'unità rimovibile. L'icona dell'unità rimovibile è tornata quella di prima(sintomo di guarigione???) e non l'icona bianca(Quella che si trova spesso nelle cartelle di sistema).

Quindi, il problema sembra risolto, ma con questi MALEDETTI Virus non è mai detta l'ultima parola.

A proposito...Steve mi rimprovero' nella discussione precedente(virit.dat) per aver eliminato quelle sottocartelle ACMru (poi ricomparse, visto che ora c'erano ancora...). A questo punto Steve, quelle cartelle non sono pulite, ti trovi?

Non voglio fare nessun appunto, non mi permetterei, già siete gentilissimi ad aiutarci.

Spero sia tutto risolto. Grazie, Ciao.

[Steve75]

le cartelle ACMru sono leggittime, ma questo non toglie che possano contenere dei valori infetti