Ciao a tutti! Apro una nuova discussione per un problema riguardo un virus.
Da tempo il mio antivirus (ho l'AVG), becca sempre lo stesso virus.."autorun.inf".
Ho provato tutte le volte ad eliminarlo, ho usato anche diversi programmi: Super Anti Spyware, anti Rootkit, CCleaner, ma nulla di fatto..mi ritorna sempre!
Ho inolte, effettuato la scansione in modalità provvisoria senza rete, ma anche questa prova, è risulata vana.
Sempre in questa comunity, ho letto di persone che qualche tempo fa, hanno avuto il mio stesso problema, ma con la differenza, che i file creati, eran due.."autorun.inf", e "setup.exe". A me, quest'ultimo, non è stato individuato.
Spero che qualcuno mi possa aiutare ad eliminarlo! Non lo sopporto più!! :(
Ciao a tutti e grazie!
ciao e benvenuto.
Può capitare che l'antivirus trovi e cancelli questi file setup.exe e autorun.inf e dopo poco tempo essi tornano e così all´infinito. Apparentemente il computer non è infetto, ma essi vengono rigenerati da qualcosa di introvabile. Si tratta di una variante del trojan Medbot, riconosciuto da altri antivirus come trojan Horst, Boxed!generic o BDoor.CMQ. Il file setup.exe, una volta avviato, copia il file smss.exe in c:\windows\system (nota: non system32!) e lo fa caricare tramite un servizio ad avvio automatico che si chiama normalmente Windows log.
I due file si riformano sul PC perchè sono copiati da remoto. Il trojan infatti è capace di diffondersi spontaneamente dalle macchine infette verso le altre in due modi: sfruttando alcune vulnerabilità del sistema e le porte aperte per la condivisione file e stampanti e interrogando (ping) i PC della stessa subnet per poi copiarsi nelle loro cartelle condivise, se trovate.
Preciso che il solo fatto di trovarli non significa che si è infetti: l'infezione avviene solo dopo che viene eseguito il file setup.exe. Ma a che serve il file autorun.inf? Esso è creato dal trojan per aumentare le probabilità di essere eseguito sul PC della vittima e anche di reinstallarsi se il servizio viene cancellato.
Il file autorun.inf contiene solamente le istruzioni per avviare il file setup.exe
[autorun]
open=setup.exe
icon=setup.exe
Questo tipo di file è automaticamente letto da windows quando esercita la funzione di autoplay, tipicamente solo se si trova in certe periferiche, come ad esempio il lettore CD o DVD. Le unità in cui non deve essere letto sono specificate al valore DWORD NoDriveTypeAutoRun della chiave HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. In condizioni normali questo valore è 95, in esadecimale, cioè sono escluse dall'autoplay le unita' sconosciute, il floppy disk e le unita' rimovibili.
Se però NoDriveTypeAutoRun viene opportunamente modificato ed è quello che fa il trojan quando viene eseguito, anche in altri drive, prima esclusi, sarà letto in automatico ed eseguito il file autoun.inf.
In caso di infezione quindi va cancellato il servizio creato dal trojan, il file smss.exe da lui richiamato, ripristinato il valore NoDriveTypeAutoRun=95 e cancellati i file infetti setup.exe.
Per evitare però di ritrovarsi dopo poco tempo uno o più file setup.exe nel PC, conviene seguire questi punti, utili anche per evitare altre infezioni che si propagano allo stesso modo:
- tenere aggiornato il PC
- abilitare il firewall di XP o installarne uno
- disabilitare la condivisione file e stampanti, se non serve.
- controllare di non avere cartelle condivise indesiderate o inutili ed eventualmente togliere la condivisione. Per vedere l´elenco delle risorse in condivisione basta digitare in una finestra di DOS il comando net share
- impostare se possibile la password di sola lettura alle cartelle condivise che si desidera mantenere.
- chiudere dal firewall le porte 135 e 139
Fonte: suspectfile.com
Questo messaggio è stato aggiornato da dasoca il 19/01/2008 alle ore 09:56:48
Ciao, e grazie per la risposta!
Sono riuscito a cancellare il file autorun.inf, e spero definitivamene!!!
Cmq, del file setup.exe non c'è traccia, o per lo meno, l'Avg durante le scansioni non l'ha trovato.
Non so se è stata una idea giusta,ma ho cercato con "trova" il file "smss.exe". L'unico posto dove è stato trovato è il "system 32"...e spero, sia l'unico posto!!! :)
Adesso inoltre, proverei a vedere se sono stato infettato, controllando il valore "DWORD NoDriveTypeAutoRun", ma scusa l'ignoranza in materia ... :h ma come posso fare? Dovrei forse, entrare tramite Dos nel C: e digitare "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"?
Grazie ancora dell'aiuto!!
Ciao, dal menù start->esegui digita regedit->ok cerca in HKEY CURRENT USER la chiave descritta.
Occhio però a cosa tocchi!!!! ;);)
Ok!
Spettacolo! ;) Oggi appena posso, farò come mi hai appena detto!!
Grazie :D
Ok.;)
Buon giorno!
Scusami se non mi sono fatto sentire prima per darti le ultime notizie...:o
Ho fatto come mi hai detto tu... sono andato a ripristinare il valore della chiave descritta, riportandolo a 95... purtroppo il virus aveva già fatto danni modificandolo, e mettendolo a 91. L'unico problema che ho avuto è stato nell'eliminazione del file. L'AVG, che mi ha ritrovato solo il file "autorun.inf", non è riuscito ad eliminarlo... penso era in esecuzione.
Per quanto riguarda gli altri file associati al virus,l'AVG, solo all'inizio mi aveva trovato il file setup.exe, che una volta eliminato non è stato più riscontrato; invece nel SYSTEM non ha mai trovato il file smss.exe.
Hai altre idee per eliminare questa "piaga"? :)
Disabilita il ripristino configurazione e fai la scansione in modalità provvisoria.
una volta tolto il virus riabilita il ripristino configurazione
Buon giorno...
Ho fatto come hai detto, ed ho riptuto la scansione anche dopo aver riabilitato il ripristino configurazione...sembra che non ci siano tracce del virus. Speriamo bene!! :)
Grazie davvero!!
:D
E' stato un piacere e sono contento che tu abbia risolto.;););)
scusate se mi intrometto ma ho lo stesso problema dell'utente.... con alcune differenze...allora io ho mcafee come antivirus ed anch'io rilevo sempre"autorun.info"...tutto è iniziato da quando il mio pc (sony vaio portatile)si accendeva e ogni volta si bloccava....il mouse nn si muoveva e niente piu funzionava.....decidevo quindi di riavviare con il tasto reset(poichè nn potevo riavviarlo con start-spegni computer-riavvia) e potevano succedere 2 cose. o ugualmente si bloccava o partiva....questa situazione va avanti da un paio di giorni e nn ne posso più:kazim::kazim::kazim:...... quindi mi sono insospettito e ho fatto un paio di scansioni con lo stesso risultato...una rilevazione(autorun.inf)peraltro eliminata ma presente nuovamente ad ogni scansionamento...ho letto la guida del moderatore ...dovrei quindi eliminare il file smss.exe , ripristinare il valore NoDriveTypeAutoRun=95 e cancellare i file infetti setup.exe.ho trovato smss.exe con cerca in start ma ne ho rilevati 4(1 in sistem 32 e gli altri in c-windows......) e la cosa piu strana e che portano la data di creazione del 2004...non dovrebbero portare la data 2009..in fondo è da poki giorni ke rilevo questo problema nn da 5 anni!!!oppure c'è qualkosa ke nn comprendo?? mi conviene eliminarli?? per favore aiutatemi!!:que::que:
Ciao e benvenuto su Forumzone! ;)
Prova a disabilitare il ripristino configurazione di sistema e fai una scansione con antivirus e antimalware in modalità provvisoria....vediamo che succede :)
ciao a tutti,
felicissimo di aver scoperto questo bel forum :)
vorrei riaprire questa interessante discussione perchè non riesco a risolvere il problema che è lostesso di Simba: autorun.inf ma niente setup.exe (almeno, ne ho una valanga se faccio la ricerca in C:, ma non è segnalato da AVG):
Ho trovato smss.exe in system32 ma mi è impossibile cancellarlo. lo trovo anche su task manager ma non si può terminare il processo. E' questo che bisogna togliere? E se si come?
P.S: avevo trovato un programmino (TweakUiPowertoySetup) che permette di disabilitare tutti gli autoplay che uno vuole:
secondo voi questo basta o il file si riprodurrà comunque?
grazie per la disponibilità
Ciao, benvenuto su Forumzone! ;)
OCCHIO!!!!!!! NON cancellare il file smss.exe in system32 è un file di sistema!!!!!!
Il file infetto, se presente, è nella cartella system, non system32.
Sei certo che il pc sia infetto?
Se si, scarica Kaspersky o Nod32 nella versione di prova per 30 giorni, installalo (dopo aver disinstallato AVG) disabilita il ripristino configurazione e fai una scansione in modalità provvisoria.
ah... grazie
l'autorun.inf mi continua ad essere segnalato come virus in AVG ma in system non ce l'ho.
adesso ho disabilitato tutti gli autoplay e aspetto la prossima scansione per vedere se me lo segnala ancora...
magari non sono infetto e questo AVG, che mi segnala come virus molte crack, vede quel file come worm... casomai provo uno degli antivirus che mi hai segnalato...
grazie intanto... vi farò sapere se si ripresenta o no
ciao