pen drive che non si formatta, file autorun.inf che non ci cancella

[<-DooM->]

volevo formattare la mia chiavetta (una sandisck) solo che quando ci provo, windows mi dice sempre che non può farlo perchè è utilizzata in un altro processo etc.

nella chiavetta c'è solo il file autorun.inf, e questo file non riesco a cancellarlo

ho provato a scansire la chiavetta con avira e difatti mi da un 'warning: file cannot be scanned' proprio riferendosi a questo autorun.inf...


non vorrei che ci fosse qualche virus, però non mi pare che ci sia qualcosa di anomalo nel pc, soprattutto perchè la schermata di autorun che appare quando metto la pen drive è normale ed in genere il primo sintomo di infezione da pen drive è questa schermata con qualche cosa strana, no?

[Sticky©]

Se c'è un file autorun.inf sopra e tu non ce l'hai messo, al 99% c'è un virus o perlomeno parte di esso. Se hai Vista o Seven riavvia in modalità provvisoria e formattala da lì.

[<-DooM->]

boh l'ho formattata ma si ricrea

allora ho scaricato un programmino che si chiama 'ninja', http://nunobrito.eu/ninja/, specifico per infezioni da pen drive.

quando lo avvii e poi colleghi una pen drive, appare questo messaggio del programma in questione, che non ho capito bene cosa facciam in teoria cambia qualche permesso per accedere al file autorun credo:






comunque poi, riesco a cancellare o ad entrare nel file autorun ed ho sulla chiavetta questi due file:
l'autorun.inf rinominato .old ed una cartella chiamata autorun che però è vuota.



nel file autorun c'è scritto:

[autorun
;s?Tj?Xëú
open=click/jack.exe
;õ??mRC)???ù?
icon=%SystemRoot%\system32\SHELL32.dll,4
;??A}OëÊMb?
action=Open folder to view files using Windows Explorer
;LkdÏOF
shell\\open\command=click/jack.exe
;?Zf]???Mé
shell\explore\\command=click/jack.exe
;?s??çt??
useautoplay=1
;?øüÌ????àÒY?
[AutoRun]

formatto la chiavetta, però come la rimuovo e la ricollego al pc ecco che il file si è riformato:




che cavolo succede?

[Sticky©]

boh l'ho formattata ma si ricrea

quindi un file autorun non dovrebbe esserci?

Assolutamente no. Brutto che si ricrei... Il sistema è pulito?

[<-DooM->]

aspe che ho ediato aggiungendo nuove info, scusami, rileggi il post di prima per favorem vedi se ti suggerisce qualcosa

[Sticky©]

Non fa altro che confermare che la chiavetta è infetta. E quindi mi ripeto, il sistema è pulito?

[blue_tech]

secondo me s'è infettato il pc e si ricrea per quello

aggiorna l'antivirus vai in mod provvisoria e fai uno scan completo... prova anche ad aprire c: da risorse del computer prima vedi se ti da qualche problema

[<-DooM->]

sì si apre tutto, il pc funziona perfettamente, e non mi pare di aver nessun processo sospetto, il pc a cui l'ho collegato è il muletto con winxp, vedete un po'




quello che trovo da msconfig in avvio e servizi:








a me pare che non ci sia nulla di sospetto

[blue_tech]

no in teoria no
file autorun.inf o simili in c: niente?

cmq se si ricrea ad ogni avvio deve esserci un eseguibile che rompe le balle...

posta un log con hijackthis e fatti uno scan completo dalla mod provvisoria sia con antivir sia con mbam

[<-DooM->]

no ho cercato difatti come prima cosa se nelle varie unità degli hd ci fosse questa fantaomatica cartella autorun, ma niente...così come ho letto che virus simili sputta*ano il menu contestuale di autoplay delle periferiche usb etc.
invece tutto funziona normalmente

non può essere che la chiavetta abbia dei suoi file tipo con dei driver che no si cancellano? vabbè è una stronxata per assurdo

[<-DooM->]

ho usato la versione 2.02 scaricare qui: http://free.antivirus.com/hijackthis/, ok?


questo è quando mi dice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.18.12, on 19/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Red Chair Software\Anapod Explorer\anamgr.exe
C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
F:\ninja.exe
C:\WINDOWS\system32\svchost.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kaspersky.com/virusscanner
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programmi\Xi\NetXfer\NXIEHelper.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programmi\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Anapod Manager.lnk = C:\Programmi\Red Chair Software\Anapod Explorer\anamgr.exe
O8 - Extra context menu item: Salva oggetto con NetXfer - C:\Programmi\Xi\NetXfer\NXAddLink.html
O8 - Extra context menu item: Salva tutti gli oggetti con NetXfer - C:\Programmi\Xi\NetXfer\NXAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/actives.../as2stubie.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B1CE537-C1F4-4B48-AD35-E3A6130372C7}: NameServer = 125.99.125.1,151.99.0.100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programmi\RealVNC\VNC4\WinVNC4.exe

--
End of file - 3916 bytes

[Adam Li]

Anche secondo me hai il virus nel PC e per questo ti si ricrea il file nella penna. Abilita la visualizzazione dei file nascosti e di sistema, nella chiavetta potresti trovare una cartella Recycle (che non sempre è normale) e una con un nome alfanumerico contenente un eseguibile.
Purtroppo m'hanno ficcato nel mio computer due penne infette. Nel primo caso era un versione di Conficker e l'ha subito rilevato Avira (anche nel PC infetto), mentre nel secondo caso l'antivirus non diceva nulla e l'ha trovato A-Squared.
Comunque è strano quel "jack.exe". Cercalo nel tuo PC e guarda un po' cos'è. O, meglio, scarica A-Squared (perché no, la versione prova di trenta giorni), aggiornalo e fai una scansione completa.
Il tuo log, comunque, mi sembra pulito.

[<-DooM->]

anche a me infatti 'puzza' questo jack.exe, solo che non ve n'è traccia nè sul pc nè sulla chiavetta ed anche gugolando non ho trovato nulla a proposito

e sulla chiavetta non ho nessuna cartella recycle

[Adam Li]

Boh, allora prova con A-Squared.

[<-DooM->]

allora a-squared mi ha trovato un po' di cokie che credo non siano pericolosi:

Trace.TrackingCookie.bs.serving-sys!A2
Trace.TrackingCookie.ad.yieldmanager.com!A2
Trace.TrackingCookie.adbrite.com!A2


poi questi altri file:

C:\Documents and Settings\Larry\Impostazioni locali\Temporary Internet Files\Content.IE5\YF2RWLOD\newlog[1].exe rilevati: Riskware.Win32.DelfInject!IK

C:\Programmi\Xi\NetXfer\Patch 2.xx.exe rilevati: Virus.Win32.OnLineGames!IK

C:\RECYCLER\S-1-5-21-7141700672-6193419774-023062668-3877\schl.exe rilevati: Trojan.Win32.Refroso!IK

[Adam Li]

Ed ecco l'eseguibile dentro la cartella strana dentro Recycler (avevo dimenticato la erre).
Metti tutto in quarantena, magari c'è qualche falso positivo. Ora devi pulire la penna (ma appena la metti ti si reinfetta il PC, quindi metti la chiavetta e fai una scansione completa di penna e hard disk).

[<-DooM->]

allora facendo una scansione della chiavetta ho trovato questo, che credo essere il colpevole che cercavamo:

a-squared Free - Versione 4.5
Ultimo aggiornamento: 20/12/2009 1.55.44

Impostazioni scansione:

Scan type: N/A
Oggetti: H:\
Archivio scansioni: On
Scientifico: Off
ADS Scan: On

Scansione avviata: 20/12/2009 11.45.02

H:\click\jack.exe rilevati: Trojan.Win32.Refroso!IK

Scansionati

Files: 4
Tracce: 0
Cookies: 0
Processi: 0

Rilevato

Files: 1
Tracce: 0
Cookies: 0
Processi: 0
Chiavi di registro: 0

Fine scansione: 20/12/2009 11.45.03
Tempo scansione: 0:00:01

H:\click\jack.exe Cancellato Trojan.Win32.Refroso!IK

Cancellato

Files: 1
Tracce: 0
Cookies: 0

[Adam Li]

Bene, adesso riscansiona il PC e se non trova nulla potresti essere a posto.

[<-DooM->]

allora ho detto ad a-squared di cancellare il file dalla chiavetta, però il file autorun non me lo fa cancellare, ho riscansionato la pen drive e non ha trovato nulla.

l'ho scollegata, riattaccata e riscansionando con a-squared mi rileva di nuovo quel trojan nella chiavetta -.-'


adesso sto facendo un'altra scansione completa del sistema...

[Adam Li]

Così puoi andare avanti all'infinito.
Inserisci la penna e scansionala insieme con l'hard disk se la versione di prova lo consente (quella gratuita mi sa di no, io l'opzione dei drive da scansionare non la trovo).
In alternativa disabilita l'autorun con questo tool, pulisci il PC e poi la penna (poi ricontrolli il computer).

[<-DooM->]

allora, avviato in modalità provvisoria e scansito il tutto con a-squared che pare davvero un ottimo programma (avira non mi aveva trovato un caxx -.-'), ripulito il tutto ed adesso se metto la penna non c'è nessun file autorun.inf

grazie per l'aiuto


p.s.
ho usato a-squared free, che come dice il nome dovrebbe essere appunto gratis e non durare solo un mese come dicevi, no?
oppure ti riferivi ad una versione avanzata a pagamento?
io però non l'ho trovata

[Adam Li]

Figurati.
Comunque A-Squared Free è la versione gratuita, poi c'è A-Squared Anti-Malware, scaricabile in versione prova di trenta giorni, che offre qualche funzione in più ed è più affidabile (il migliore nei test, il secondo è Avira Antivir Premium).

[blue_tech]

a-squared meglio di antivir mi sa di strano... tieni presente che se quello che avevi è invece un malware non prettamente appartenente alla famiglia dei "virus" antivir può anche non rilevarlo... di solito si fanno girare sempre un paio di tool (antivirus + antimalware) e di solito la combinazione che consigliamo è: antivir + mbam

prob l'avresti trovato anche con mbam ma va bene anche così

N.B.

infine antivir l'hai impostato in modo da controllare ogni tipoi di file, archivio ecc...? nelle impostazioni intendo

[<-DooM->]

beh adesso se metto la chiavetta non mi appare più il file autorun.inf e le varie scansioni non hanno trovato nessun trojan, quindi penso di aver risolto, sospetto che l'infezione l'abbia presa da un portatile che ho sistemato qualche giorno fa

comunque mi consigliate di provare una scansione anche con a-squared a pagamento o anche il free garantisce una certa affidabilità?

io sul pc ho solo avita antivir personal free (ed avendo preso dei trojan credo che sia 'normale' che non li abbia rilevati)

[blue_tech]

infatti...

come dicevo sopra sempre meglio avere un buon antivirus affiancato da un antimalware... di solito uso mbam ma se preferisci a-squared va bene anche quello...