problemi con la copia dei file su chiavetta: spariscono

[martina33]

fatto!
 ma adesso lo lascio nel cestino? presumo che posso lasciarlo li tanto è solo un copia e incolla o no?


volevo aggiungere questo: senza il log del programma di "giogio" io non lo avrei mai potuto vedere perchè è nascosto !
nella cartella \Roaming   ci sono altre cartelle  e tre piccoli file alla fine ma non con quel nome, deduco che è nascosto
magari dico scemenze ma abbiate pazienza !
Mi piace Avast e devo riuscire a levarlo con questo !

grazie tante anche a te

[Giony]

ok inviato ad avast e fatto manualmente l'aggiornamento?
si per ora lascialo pure nel cestino di avast.

se il file è nascosto dovresti abilitare i file nascosti... apri una cartella, strumenti, opzione cartella, visualizzazione e qui abilitare i file nascosti.

ora: cerca su tutto il disco questa espressione:  *45151545124*
poi scrivi quanti ne trova e dove completi del percorso delle cartelle, vedrai che almeno uno ne troverà qui così:
C:\Users\Ebe\AppData\Roaming\45151545124.jpg______________.vbs


Per il momento avast non è in grado di rimuoverlo perchè non lo ha ancora tra le firme, bisogna che tu aspetti o lo fai prima tu manualmente...

[martina33]

Fatto anche questo ! Ebbene ne trova solo uno e lo trova lì in \Roaming , ma il verme si mostra a me come collegamento e non mi mostra l'estensione, forse dovevo abilitare la visualizzazione delle estensioni ma tanto sappiamo che è lui.
In ogni caso non ci clikko sopra.
ti metto lo screenshot, l'altro file che trova deve essere uno dei log che contengono il nome

grazie, non abbandonatemi   

(si si l'invio l'ho fatto e anche l'aggiornamento subito dopo)

non credo che riuscirò a farlo manualmente, tante cose non le so fare!  vorra dire che aspetterò Avast

[Giony]

non ti preoccupare non ti abbandoniamo.

mi dici la dimensione di quel file?
se tenti di eliminarlo te lo fa fare?  sparisce?

[martina33]

guarda deve essere proprio un "cane di virus" perchè me lo mostra sempre come collegamento! Anche dopo aver messo le visualizzazioni a file e cartelle e pure estensioni; allora ho clikkato sul file ed è uscita la finestrella che mi ha detto che il file è in uso da un altro programma, quindi non credo me lo avrebbe fatto eliminare e comunque avrei eliminato solo il collegamento !

ti allego lo scrren di quello che mi ha messo. La prima volta che avevo fatto lo screen la data di creazione era esatta 25/12/2013 infatti l'ho beccato a natale mettendo una chiavetta nel pc di mia sorella!  Ora dopo che l'ho clikkato mi ha cambiato la data in oggi.... bho

ringrazio e magari per stasera chiudo
ciao a domani e grazie

[Giony]

ho visto che il virus che ti sei presa si chiama "Worm.VBS.Dunihi.W", facendo una ricerca su internet è un virus che aveva fatto i suoi effetti già a ottobre e i più riconosciuti antivirus lo rilevano tutti tranne avg come avast non lo rilevano ancora a mesi di distanza, alla faccia della difesa zero-day!!!

Ti conviene fare una ricerca anche a te e trovare un tool di rimozione delle case antivirus che già lo rilevano ed hanno già preparato un loro tool.

Altrimenti, se lo vuoi fare manualmente, potresti tentare a fare questa procedura:
- avviare il pc in modalità provvisoria (f8)
- avviare c:\windows\regedit.exe (editore del registro di sistema) ricercare la stringa numerica del virus ed eliminarla (sempre che la voce non sia bloccata)
- riavviare il pc sempre in modalità provvisoria ed eliminare il virus nella cartella \Roaming\
- sempre in modalità provvisoria inserire tutte le chiavette usate e formattarle utilizzando la procedura completa (non rapida)
- riavviare il pc normalmente e sperare che sia andato tutto bene.
Però tieni presente che, anche se tolto definitivamente il virus, i danni da esso provocati restano sul pc.


Come ultima e cosa estrema e considerando che sono passati pochi giorni, se non avesse funzionato la precedente procedura, tentare il ripristino di sistema riportandolo ad una data precedente della contaminazione, come hai detto tu sospetti la data.


Decidi tu.......

[giogio]

Ciao,
prima di tutto rimuovi spybot-sd dal pc, poi io ti suggerisco di riavviare il pc in modalità provvisoria (continuando a schiacciare il tasto F8 durante l'avvio del pc), poi riapri hijackthis
però eseguilo come amministratore (tasto dx del mouse->esegui come amministratore), fai di nuovo SCAN, selezioni queste voci (che non sono tutte correlate al virus ), quindi fai FIX CHECKED

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=83&bd=Pavilion&pf=cndt
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bing.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=83&bd=Pavilion&pf=cndt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=83&bd=Pavilion&pf=cndt

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [Google Update] "C:\Users\Ebe\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [cacaoweb] "C:\Users\Ebe\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
O4 - HKCU\..\Run: [45151545124] wscript.exe //B "C:\Users\Ebe\AppData\Roaming\45151545124.jpg______________.vbs"

O4 - Startup: 45151545124.jpg______________.vbs

Altrimenti attendi che avast rilasci l'aggiornamento per questo virus, e quindi ogni tanto dovresti eseguire la sconsione all'avvio.
Come poi consigliato da Giony, una volta rimosso con la procedura di hijackthis o avast, formatta le chiavette o usa ancora mcshield

che versione hai di avast per curiosità?

[martina33]

Buongiorno ho letto i vostri post dal pc di mia sorella è da lì che mi sono infettata perchè usando hijackthis ho visto che il virus si è piazzato nello stesso identico modo carica in startup e poi lo rileva in \roaming ; le ho messo gli stessi programmi che mi avete fatto mettere ma non è servito.
In quel pc c'è la versione free del 2014  la 9. ecc   mentre ora ho controllato nel mio e c'è la free  8.0.1489.
Non me la sento di fare manualmente quello che mi hai scritto (sia tu che Giony) è troppo difficile per me e di certo sbaglierei qualcosa.
Preferisco aspettare Avast  anche se da come mi scrive Giony è parecchio che c'è questa minaccia ed è strano che non abbiano già provveduto... figurati se lo fanno per me che uso un free 
Ho provato a cercare i tool di rimozione e ne ho provato qualcuno ma non hanno fatto nulla.  E' difficile per me fidarmi di quello che trovo e poi a volte ti mandano solo fuffa... ho scaricato un tool della microsoft che ha eseguito una scansione ma non ha trovato un bel niente.

Sapreste aiutarmi anche solo indicandomi un sito sicuro o magari il tool valido per quel virus "Worm.VBS.Dunihi.W" ?
Ho cercato con google "tool di rimozione per "Worm.VBS.Dunihi.W" " ma come è una foresta di roba 

in tutto questo ho una consolazione che almeno non mi si è bloccato il pc e posso stare on line e aspettare Avast

grazie a tutti e due

[Giony]

è meglio per avast che tu abbia inviato il file al laboratorio ed è compito loro fare in modo che il loro prodotto riesca a rilevare un virus in più, magari tu sei la prima dei clienti che si è infettata con quel virus.

Ti posso dare un link che mi sembra valido per un tool di rimozione, però ti dico che non l'ho mai utilizzato, però dovrebbe essere un tool sano fatto da una casa di antivirus, se vuoi puoi provare a scaricarlo (78mb):  http://www.sophos.com/en-us/products/free-tools/virus-removal-tool.aspx

Ma prima di scaricare e di utilizzare il tool, una curiosità: in avast nell'impostazione sensibilità del file system la rilevazione dei pup è attivata/disattivata?
se disattivata, prova ad attivarla; stessa cosa abilitala anche nelle impostazioni della scansione completa e poi mandala e vedere se con i pup attivati avast riesce a rilevare l'infezione...  senno poi prova il tool.

[martina33]

era disattivata l'ho spuntata e sta scansionando.

per il sito che mi hai dato  lo avevo gia scaricato ma messo da parte in attesa di qualche conferma di attendibilità !
Su virustotal  ho visto che sophos lo riconosce quel worm.... quindi posso provare dopo questa scansione con sensibilità popup spuntata.
Una domanda: ma quando provo i tool devo disattivare Avast? fino ad ora non l'ho fatto.

Ho visto una cosa in Avast quando vado su RIEPOLOGO  e scelgo FILE SYSTEM  mi dice ULTIMO FILE SCANSIONATO: " C:\Users\Ebe\AppData\Roaming\45151545124.jpg______________.vbs "  e cioè il nostro virus, ma poi subito sotto dice ULTIMO FILE INFETTO: ed è tutto in bianco .

E' lì da prima che lo mettessi manualmente nel cestino e lo inviassi al centro...in effetti è lì da quando ho scansionato forse dopo natale..bho
l'ha lasciato scritto lì e basta  se l'ha lasciato lì ci sarà un motivo no?

ok ha finito la scansione ma mi dice che non c'è nessun file infetto

[Giony]

Ho visto una cosa in Avast quando vado su RIEPOLOGO  e scelgo FILE SYSTEM  mi dice ULTIMO FILE SCANSIONATO: " C:\Users\Ebe\AppData\Roaming\45151545124.jpg______________.vbs "  e cioè il nostro virus, ma poi subito sotto dice ULTIMO FILE INFETTO: ed è tutto in bianco .

significa che il nostro virus si sta agendo e avast lo sta controllando ma lo reputa pulito perchè gli mancano le definizioni virus... e noto con dispiacere che nemmeno l'heuristica funziona e nemmeno il cloud funziona, ma è possibile che di tutti i clienti di avast tu sia davvero l'unica ad aver preso quel virus??!!!
quel virus sta facendo di tutto e di più dentro il tuo pc indisturbato.
sei sicura di aver attivato i pup nel file system e nella scansione?

quando metti un file nel cestino avast ne fa un duplicato e se lo mette da parte ma l'originale lo lascia al suo posto.

se vuoi aspettare ancora qualche ora per vedere se avast si degna a rilevarlo ma ti ho detto che il virus si sta muovendo...

quando avvii il tool devi disattivare perennemente avast e poi riattivarlo dopo

[martina33]

si si sono andata dentro e ho spuntato la casella POP UP e file sospetti
devo alzare la barra della sensibilita euristica al massimo? gli manca un gradinetto...

il percorso completo che vedo in ULTIMO FILE SCANSIONATO è questo  me lo sono scritto perch non posso selezionarlo
C:\User\Ebe\AppData\Roaming\Microsoft\Start Menu\Programs\Startup\  e il nostro virus per ultimo

se mi dici che sta agendo liberamente è meglio che spengo tutto ma prima provo l'ultimo tool disattivando Avast momentaneamente
ma anche lo scudo devo disattivare e anche l'altro per i Malwere?

[Giony]

C:\User\Ebe\AppData\Roaming\Microsoft\Start Menu\Programs\Startup\

se vuoi andare lì clicca sul bottone di windows in basso a sx, programmi e cerchi la cartella sturtup o avvio o esecuzione automatica e lì dovresti trovare il maledetto, ti riesce eliminarlo o te lo impedisce?
se te lo impedisce prova a riavviare il pc in modalità provvisoria e prova dopo a eliminarlo, anche quello nella cartella \roaming\

si metti anche al massimo la stanghina.

prova a lasciare tutto normalmente...

[martina33]

ho fatto le proprietà del file che avevo messo nel cestino cosi vedi grandezza e il resto

[Giony]

ma quello lo sapevo già che è il virus, rileggi il mio post precedente...