Pubblico una domanda molto ricorrente per un problema abbastanza diffuso e noioso ossia “la rimozione di Autorun.inf” un virus che si diffonde spesso con le pendrive. (Fonte ForumZone).
Da tempo il mio antivirus (ho l’AVG), becca sempre lo stesso virus..”autorun.inf”.
Ho provato tutte le volte ad eliminarlo, ho usato anche diversi programmi: Super Anti Spyware, anti Rootkit, CCleaner, ma nulla di fatto..mi ritorna sempre!
Ho inolte, effettuato la scansione in modalità provvisoria senza rete, ma anche questa prova, è risulata vana.
Sempre in questa comunity, ho letto di persone che qualche tempo fa, hanno avuto il mio stesso problema, ma con la differenza, che i file creati, eran due..”autorun.inf”, e “setup.exe”. A me, quest’ultimo, non è stato individuato.
Spero che qualcuno mi possa aiutare ad eliminarlo!
Esistono due metodi il primo ci e’ stato consigliato da un nostro lettore ed e’ quello di utilizzare un Autorun remover (che potete scaricare QUI) In alternativa, qualora non si abbia un esito positivo si puo’ provare come segue:
Può capitare che l’antivirus trovi e cancelli questi file setup.exe e autorun.inf e dopo poco tempo essi tornano e così all´infinito. Apparentemente il computer non è infetto, ma essi vengono rigenerati da qualcosa di introvabile. Si tratta di una variante del trojan Medbot, riconosciuto da altri antivirus come trojan Horst, Boxed!generic o BDoor.CMQ. Il file setup.exe, una volta avviato, copia il file smss.exe in c:\windows\system (nota: non system32!) e lo fa caricare tramite un servizio ad avvio automatico che si chiama normalmente Windows log.
I due file si riformano sul PC perchè sono copiati da remoto. Il trojan infatti è capace di diffondersi spontaneamente dalle macchine infette verso le altre in due modi: sfruttando alcune vulnerabilità del sistema e le porte aperte per la condivisione file e stampanti e interrogando (ping) i PC della stessa subnet per poi copiarsi nelle loro cartelle condivise, se trovate.
Preciso che il solo fatto di trovarli non significa che si è infetti: l’infezione avviene solo dopo che viene eseguito il file setup.exe. Ma a che serve il file autorun.inf? Esso è creato dal trojan per aumentare le probabilità di essere eseguito sul PC della vittima e anche di reinstallarsi se il servizio viene cancellato.
Il file autorun.inf contiene solamente le istruzioni per avviare il file setup.exe
[autorun]
open=setup.exe
icon=setup.exe
Questo tipo di file è automaticamente letto da windows quando esercita la funzione di autoplay, tipicamente solo se si trova in certe periferiche, come ad esempio il lettore CD o DVD. Le unità in cui non deve essere letto sono specificate al valore DWORD NoDriveTypeAutoRun della chiave HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer. In condizioni normali questo valore è 95, in esadecimale, cioè sono escluse dall’autoplay le unita’ sconosciute, il floppy disk e le unita’ rimovibili.
Se però NoDriveTypeAutoRun viene opportunamente modificato ed è quello che fa il trojan quando viene eseguito, anche in altri drive, prima esclusi, sarà letto in automatico ed eseguito il file autoun.inf.
In caso di infezione quindi va cancellato il servizio creato dal trojan, il file smss.exe da lui richiamato, ripristinato il valore NoDriveTypeAutoRun=95 e cancellati i file infetti setup.exe.
Per evitare però di ritrovarsi dopo poco tempo uno o più file setup.exe nel PC, conviene seguire questi punti, utili anche per evitare altre infezioni che si propagano allo stesso modo:
- tenere aggiornato il PC
- abilitare il firewall di XP o installarne uno
- disabilitare la condivisione file e stampanti, se non serve.
- controllare di non avere cartelle condivise indesiderate o inutili ed eventualmente togliere la condivisione. Per vedere l´elenco delle risorse in condivisione basta digitare in una finestra di DOS il comando net share
- impostare se possibile la password di sola lettura alle cartelle condivise che si desidera mantenere.
- chiudere dal firewall le porte 135 e 139
Spero che questa guida vi sia stata utile! Per qualsiasi problema non esitate a contattarmi!
non impazzite provate autorun remover semplice no?
Grazie del consiglio. L’ho anche pubblicato…
se passaste a linux non avreste di questi problemi!!
se poi volete continuare sulla vostra strada allora utilizzate il trend micro come antivirus, becca tutto.
Ho salvato il Tuo utilissimo post sul mio pc e l’ho condiviso su facebook! Grazie per l’aiuto!!
grazie a te!
…potete usare anche PRT Perlovga e poi fare una scansione completa con qualsiasi antivir…
Salve a tuti .. ho provato tutti i metodi .. anche antivirus .. avira e kaspesky.. avg e avast,ma solo disattivando la condivisione file e stampanti si blocca tutto, ma riattivandola il worm riappare .. cioè si ricrea il file autorun.inf … inoltre crea un file khx e un file che cambia con nomi strani ultimamente esce…. ehtshk.exe. L’antivirus lo rileva lo elimina o lo mette in quarantena ma dopo qualche ora si ricrea tutto… ho provato anche altri tools ma solo disattivando la condivisione si blocca… ma a mè serve averla attiva… Qualche altro consiglio ?
Grazie a tutti !
prova a scaricare questo programma…. sul mio pc ha funzionato!
http://arpantech.aphelic.com/downloads/software/security/iKill.htm
Scusate la mia ignoranza… Ma tra tutto quello che c’è scritto non ho capito qual’è il metodo che devo usare, ovvero come lo devo togliere il file autorun.inf.. a me appare sempre e solo quello.. grazie in anticipo
Leo..