come posso eliminare "autorun.inf"?

Aperto da Simba, 18 Gennaio 2008, 14:00:49

Discussione precedente - Discussione successiva

0 Utenti e 1 Visitatore stanno visualizzando questa discussione.

Simba

Ciao a tutti! Apro una nuova discussione per un problema riguardo un virus.
Da tempo il mio antivirus (ho l'AVG), becca sempre lo stesso virus.."autorun.inf".
Ho provato tutte le volte ad eliminarlo, ho usato anche diversi programmi: Super Anti Spyware, anti Rootkit, CCleaner, ma nulla di fatto..mi ritorna sempre!
Ho inolte, effettuato la scansione in modalità provvisoria senza rete, ma anche questa prova, è risulata vana.
Sempre in questa comunity, ho letto di persone che qualche tempo fa, hanno avuto il mio stesso problema, ma con la differenza, che i file creati, eran due.."autorun.inf", e "setup.exe". A me, quest'ultimo, non è stato individuato.
Spero che qualcuno mi possa aiutare ad eliminarlo! Non lo sopporto più!! :(
Ciao a tutti e grazie!

dasoca

ciao e benvenuto.
Può capitare che l'antivirus trovi e cancelli questi file setup.exe e autorun.inf e dopo poco tempo essi tornano e così all´infinito. Apparentemente il computer non è infetto, ma essi vengono rigenerati da qualcosa di introvabile. Si tratta di una variante del trojan Medbot, riconosciuto da altri antivirus come trojan Horst, Boxed!generic o BDoor.CMQ. Il file setup.exe, una volta avviato, copia il file smss.exe in c:\windows\system (nota: non system32!) e lo fa caricare tramite un servizio ad avvio automatico che si chiama normalmente Windows log.

I due file si riformano sul PC perchè sono copiati da remoto. Il trojan infatti è capace di diffondersi spontaneamente dalle macchine infette verso le altre in due modi: sfruttando alcune vulnerabilità del sistema e le porte aperte per la condivisione file e stampanti e interrogando (ping) i PC della stessa subnet per poi copiarsi nelle loro cartelle condivise, se trovate.

Preciso che il solo fatto di trovarli non significa che si è infetti: l'infezione avviene solo dopo che viene eseguito il file setup.exe. Ma a che serve il file autorun.inf? Esso è creato dal trojan per aumentare le probabilità di essere eseguito sul PC della vittima e anche di reinstallarsi se il servizio viene cancellato.

Il file autorun.inf contiene solamente le istruzioni per avviare il file setup.exe

[autorun]
open=setup.exe
icon=setup.exe

Questo tipo di file è automaticamente letto da windows quando esercita la funzione di autoplay, tipicamente solo se si trova in certe periferiche, come ad esempio il lettore CD o DVD. Le unità in cui non deve essere letto sono specificate al valore DWORD NoDriveTypeAutoRun della chiave HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. In condizioni normali questo valore è 95, in esadecimale, cioè sono escluse dall'autoplay le unita' sconosciute, il floppy disk e le unita' rimovibili.
Se però NoDriveTypeAutoRun viene opportunamente modificato ed è quello che fa il trojan quando viene eseguito, anche in altri drive, prima esclusi, sarà letto in automatico ed eseguito il file autoun.inf.

In caso di infezione quindi va cancellato il servizio creato dal trojan, il file smss.exe da lui richiamato, ripristinato il valore NoDriveTypeAutoRun=95 e cancellati i file infetti setup.exe.

Per evitare però di ritrovarsi dopo poco tempo uno o più file setup.exe nel PC, conviene seguire questi punti, utili anche per evitare altre infezioni che si propagano allo stesso modo:
- tenere aggiornato il PC
- abilitare il firewall di XP o installarne uno
- disabilitare la condivisione file e stampanti, se non serve.
- controllare di non avere cartelle condivise indesiderate o inutili ed eventualmente togliere la condivisione. Per vedere l´elenco delle risorse in condivisione basta digitare in una finestra di DOS il comando net share
- impostare se possibile la password di sola lettura alle cartelle condivise che si desidera mantenere.
- chiudere dal firewall le porte 135 e 139

Fonte: suspectfile.com





Questo messaggio è stato aggiornato da dasoca il 19/01/2008  alle ore  09:56:48
Ascolta la donna quando ti guarda, non quando ti parla......

Simba

Ciao, e grazie per la risposta!
Sono riuscito a cancellare il file autorun.inf, e spero definitivamene!!!
Cmq, del file setup.exe non c'è traccia, o per lo meno, l'Avg durante le scansioni non l'ha trovato.
Non so se è stata una idea giusta,ma ho cercato con "trova" il file "smss.exe". L'unico posto dove è stato trovato è il "system 32"...e spero, sia l'unico posto!!! :)
Adesso inoltre, proverei a vedere se sono stato infettato, controllando il valore "DWORD NoDriveTypeAutoRun", ma scusa l'ignoranza in materia ... :h ma come posso fare? Dovrei forse, entrare tramite Dos nel C: e digitare "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"?
Grazie ancora dell'aiuto!!

dasoca

Ciao, dal menù start->esegui digita regedit->ok cerca in HKEY CURRENT USER la chiave descritta.
Occhio però a cosa tocchi!!!! ;);)

Ascolta la donna quando ti guarda, non quando ti parla......

Simba

Ok!
Spettacolo! ;) Oggi appena posso, farò come mi hai appena detto!!
Grazie :D

dasoca

Ascolta la donna quando ti guarda, non quando ti parla......

Simba

Buon giorno!
Scusami se non mi sono fatto sentire prima per darti le ultime notizie...:o
Ho fatto come mi hai detto tu... sono andato a ripristinare il valore della chiave descritta, riportandolo a 95... purtroppo il virus aveva già fatto danni modificandolo, e mettendolo a 91. L'unico problema che ho avuto è stato nell'eliminazione del file. L'AVG, che mi ha ritrovato solo il file "autorun.inf", non è riuscito ad eliminarlo... penso era in esecuzione.
Per quanto riguarda gli altri file associati al virus,l'AVG, solo all'inizio mi aveva trovato il file setup.exe, che una volta eliminato non è stato più riscontrato; invece nel SYSTEM non ha mai trovato il file smss.exe.
Hai altre idee per eliminare questa "piaga"? :)

dasoca

Disabilita il ripristino configurazione e fai la scansione in modalità provvisoria.
una volta tolto il virus riabilita il ripristino configurazione

Ascolta la donna quando ti guarda, non quando ti parla......

Simba

Buon giorno...
Ho fatto come hai detto, ed ho riptuto la scansione anche dopo aver riabilitato il ripristino configurazione...sembra che non ci siano tracce del virus. Speriamo bene!! :)
Grazie davvero!!
:D

dasoca

E' stato un piacere e sono contento che tu abbia risolto.;););)

Ascolta la donna quando ti guarda, non quando ti parla......