Pagina 1 di 1
Incredibile virus non molla né Seven né Dati esterni
Inviato: dom set 15, 2013 11:45 am
da Usag
Salve, dopo aver formattato per disperazione il pc di un mio amico cartolaio (un Eeebox Pc, con Seven home a 64 bit), previo spostamento dei dati importanti su una penna usb, mi ritrovo con i medesimi dati inaccessibili, nonostante il virus sia stato debellato. la situazione è questa: questo mio amico ha una cartoleria e ha contratto, come da copione, un virus particolarmente resistente che si chiama xe.vbs, che crea link ad ogni file e impalla completamente il sistema operativo; inoltre creava 3 flag attivi nello startup manager di Windows, che non erano più disattivibili e quindi si riavviava autoaticamente ad ogni avvio del sistema operativo. ancor più incredibile è la velocità con cui si propaga: praticamente infetta qualsiasi dispositivo venga a contatto in sua presenza: penne usb, hdd esterni, altri computer, etc. è stato infettato anche il mio pc, a causa della mia dimenticanza di averci collegato la penna usb per salvare i suoi dati, prima della formattazione. Fortunatamente avevo creato a suo tempo, un'immagine di Xp presente sulla macchina, con Clonezilla e in 10 minuti ho ripristinato tutto. lui però no; e così ho dovuto procedere alla formattazione ex novo. per disinfettare la chiavetta, ho avviato Ubuntu che ho in dual boot con Xp, e ho rimosso fisicamente il file eseguibile xe.vbs (che era il virus vero e proprio, dando peraltro, già che c'e,ro una guardatina al sorgente) e i link che aveva creato.
una volta pulita la penna e reinstallato Seven sul suo pc, vado a reinserire tramite cd live di Ubuntu i file backuppati nella sua partizione Dati.
e qui il problema: nonostante il virus sia stato debellato, Seven non riesce ad accedere alla cartella in cui avevo salvato i file, dicendo che è impossibile accedere poiché manca il collegamento al file, guarda caso, xe.vbs. cioè, senza il virus, i file non sono più accessibili. allora ho provato ad accedervi e ad aprirli tramite cd live di Ubuntu (10.10, per la precisione) e li apre senza problemi; sono tutti file word e pdf, più qualche immagine. quindi devo pensare che i file in realtà siano integri, ma ormai rovinato SOLO se l'accesso viene tentato tramite sistemi Microsoft (questo 'scherzetto' lo fa anche con Xp, oltre che con Seven). nonostante fossero 'solo' file word, pdf e immagini, effettivamente sono tanti e a lui gli servono per lavoro, quindi vorrebbe recuperarli (circa 3.6 GB, pensate un po'). solo che lui non vuole Linux (almeno in negozio), in quanto a suo dire (e lo capisco) non ha il tempo per mettersi lì ad imparare ad usarlo, considerate che lui è la prima volta con me che sente parlare di Linux, quindi non saprebbe dove metter le mani. inoltre molti software anche wireless che lui usa per la stampa, la grafica e altri strumenti che comunicano col pc girano esclusivamente su Windows.
l'antivirus giustamente non rileva virus, ma i file restano cmq inaccessibili da Windows.
Situazione alquanto singolare; vi è mai capitato? e se sì, come avete risolto?
grazie a tutti!
Re: Incredibile virus non molla né Seven né Dati esterni
Inviato: dom set 15, 2013 11:50 am
da hashcat
Posta il sorgente del virus.
Hai provato a fare una scansione completa con HitmanPro?
Re: Incredibile virus non molla né Seven né Dati esterni
Inviato: dom set 15, 2013 12:11 pm
da Al3x
letto al volo e ti suggerisco un esperimento: passa i dati su un disco o dispositivo di memorizzazione formattato in fat32 per capire se hanno degli stream o permessi NTFS particolari (che vengono persi su FAT32)
altra soluzione è importarli in google docs e poi salvarli nuovamente in una macchina pulita
altra soluzione è aprirli da Ubuntu e salvare i file di Word in formato RTF (non saprei per i pdf)
Re: Incredibile virus non molla né Seven né Dati esterni
Inviato: dom set 15, 2013 12:53 pm
da Usag
Ciao,
Posta il sorgente del virus.
Non ce l'ho più, l'ho eliminato. sai com'è... non volevo per sbaglio infettare il sistema adiacente. guarda, è impressionante, non importa che venga eseguito, basta anche solamente la presenza di un nuovo supporto e l'infezione passa. da non credere.
Non ho provato HitmanPro, perché appunto ho agito in maniera fisica tramite Linux.
Passa i dati su un disco o dispositivo di memorizzazione formattato in fat32 per capire se hanno degli stream o permessi NTFS particolari (che vengono persi su FAT32).
Ok, proverò. cmq il file è scritto in Visual Basic; l'ho capito sia dall'estensione che dal contenuto, tipiche istruzioni VB.
Altra soluzione è importarli in Google Docs e poi salvarli nuovamente in una macchina pulita
altra soluzione è aprirli da Ubuntu e salvare i file di Word in formato RTF.
Sì, proverò. purtroppo c'erano alcuni eseguibili di programmi professionali, ma quelli credo siano andati.
Grazie a tutti.
Re: Incredibile virus non molla né Seven né Dati esterni
Inviato: dom set 15, 2013 12:54 pm
da hashcat
Al3x ha scritto:letto al volo e ti suggerisco un esperimento: passa i dati su un disco o dispositivo di memorizzazione formattato in fat32 per capire se hanno degli stream o permessi NTFS particolari (che vengono persi su FAT32)
Potrebbe trattarsi di una tecnica simile a QUESTA.
:penso
Re: Incredibile virus non molla né Seven né Dati esterni
Inviato: dom set 15, 2013 12:57 pm
da hashcat
Credo di aver trovato un report del file, provo a scrivere uno script di disinfezione.
Re: Incredibile virus non molla né Seven né Dati esterni
Inviato: dom set 15, 2013 12:58 pm
da Usag
Ok grazie
Re: Incredibile virus non molla né Seven né Dati esterni
Inviato: dom set 15, 2013 1:43 pm
da hashcat
Usag ha scritto:Ok grazie
Potresti riportare il percorso esatto alla cartella inaccessibile?
P.S.: Oltre a questo scarica lo strumento Junction ed eseguilo da Prompt dei Comandi (con privilegi d'amministratore). Impartisci il seguente comando:
Codice: Seleziona tutto
Junction -s "NOMEPERCORSO" > %Userprofile%\Desktop\report.txt
P.S.2: Al posto di NOMEPERCORSO dovrai scrivere qualcosa come "C:\blabla\bla"
Re: Incredibile virus non molla né Seven né Dati esterni
Inviato: lun set 16, 2013 11:54 am
da Usag
Potresti riportare il percorso esatto alla cartella inaccessibile?
La cartella inaccessibile è nella partizione Dati, che però ho dovuto trasferire tramite Linux in quanto Windows appunto non ce la faceva.
Posta il file report.txt reperibile sul Desktop.
Ok, domani lo faccio, che vado da lui in negozio 
Ti faccio sapere. grazie.