Parere su virus/malware Autorun.exe

[Chicco85]

Ciao a tutti,

ho un amico che ha questo problema relativo ad un fantomatico file autorun.exe che si replica e che avast non riesce ad eliminare. La fonte dell'infezione sembra essere stata una chiavetta USB.

Che cosa mi consigliate di fare? Considerando che non posso mettere mano al suo pc, e quindi non so bene che cosa sia, dove sta, e come scappa da avast.

Io pensavo di passargli le definizioni aggiornate di avast, poi pensavo di fargli fare una passata spybot S&D.

Ho cercato qualche soluzione mirata, ma non ne ho trovate.

Qualche suggerimento/consiglio/soluzione a proposito?

Grazie mille.

[VisioN]

Kaspersky, ZoneAlarm, Ad-Aware 2007...

Se il malware se la svigna con tutte queste "torture" (per lui^^), è da premio Nobel...

[Chicco85]

Dimenticavo, soluzioni free sono decisamente gradite.

[betaxp86]

la bibbia delle soluzioni antivirus free

http://www.nexthardware.com/forum/sh...ad.php?t=51174

by parsifal ovviamente!

[liviu]

leggevo in giro che il migliore free sia http://www.free-av.com/

prova anche una scansione online con bitdefender http://www.bitdefender.com/scan8/ie.html

[italian soldier]

Chicco anche le soluzioni a pagamento puoi utilizzarle per 30 gironi per togliere virus

[VisioN]

Chicco anche le soluzioni a pagamento puoi utilizzarle per 30 gironi per togliere virus

Scusate il ritardo...appunto...:hihi

[frenc]

fai fare anche un bel controllo nel registro di windows su cio' che parte in automatico. e' li che di solito si annidia l'exe che replica il virus. naturalmente in modalita' provvisoria, perche' di solito, se lanciato, allo spegnimento reimposta la chiave di registro.

.

[Gig]

Spesso (ma non sempre), i virus che si lanciano da soli all'avvio li trovi in REGEDIT (quindi attenzione, a fare danni ci vuole poco, e se il tuo amico non è esperto...), sotto HKEY LOCAL MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN (ci sono i richiami ai programmi che vengono lasciati fuori), una volta intuito quale sia il virus puoi toglierlo da lì. Ma attenzione, lì ci potrebbero essere anche dei programmi legittimi. (Attenzione, prima di premere "canc" assicurati di aver cliccato il singolo valore nella parte DESTRA della videata, altrimenti rischi di cancellare più del dovuto!)
Qualche volta stanno nel "RUN" in HKEY CURRENT USER, invece che in HKEY LOCAL MACHINE....
Poi hanno anche altri metodi di lanciarsi, ma questo mi pare che sia il più diffuso.

Ah, al di fuori del registro, dai un'occhiata a cosa c'è in Start-Programmi-Esecuzione automatica: a volte si infilano lì.

Per avere un'idea di che cosa siano i vari "processi" che hai in esecuzione (che vedi da task manager, ma con pochi dettagli), ti consiglierei di utilizzare Sysinternals Process Explorer, un tool gratuito che ora scarichi dalla Microsoft. http://www.microsoft.com/technet/sys...sExplorer.mspx

Per rimuovere programmi dall'avvio automatico senza dover utilizzare l'editor del registro di sistema, puoi utilizzare MSCONFIG (Windows 2000 però non ce l'ha).

[Gig]

Scusate ragazzi... mi sono imbattuto in un virs ostico, che non riesco ad identificare.
Vedo con TCPVIEW (versione grafica di NETSTAT) che crea e chiude in continuazione centinaia e centinaia di connessioni sulla porta 25 (SMTP) di un numero imprecisato di indirizzi ip esterni. Deduco quindi che stia mandando miglia di email di spam in tutto il mondo, o autoreplicandosi...
Ovviamente la porta 25 è la porta di destinazione, quella di partenza è variabile...

I processi a cui appartengono queste connessioni sono SYSTEM PROCESS (Id:0) e SERVICES.EXE (Id variabile da riavvio a riavvio).
Ho guardato se ci fosse qualche file strano in HKLM\Software\Microsoft\Windows\Currentversion\RUN, ed in HKCU\... ho guardato in HKLM\Software\Microsoft\Windows NT\Currentversion\winlogon (ma non pare essersi accodato ad "userinit,", ho guardato in esecuzione automatica...
Accidenti non trovo né da dove si avvi, né quale sia l'eseguibile del virus. Il che mi fa pensare che più che un trojan con un file separato sia un virus vecchio tipo che ha modificato dei file di sistema...

Ho provato a chiudere i servizi in esecuzione per vedere se riuscivo a capire quale fosse, ma anche chiudendo l'intero SERVICES.EXE (il che causa lo spegnimento del computer dopo 60 secondi), mi pare continui a tenere aperte le connessioni a System process (0).
Ho provato anche a disattivare tutte le eccezioni da Windows Firewall, ma ovviamente quelle servono dall'esterno verso l'interno, una banale connessione smtp verso l'esterno riesce a passare...

Fa così anche in modalità provvisoria con supporto di rete.

Provo a passarci vari antivirus di marche diverse... nel frattempo qualcuno ha qualche suggerimento?