Virus

Virus collegamento chiavetta USB

Sono stato da un cliente che mi ha contattato per un virus in una chiavetta USB, dove veniva visualizzato un collegamento.

Non è shortcut, quindi ti sconsiglio di perdere tempo a provare con la soluzione semplice che si trova in molti siti.

Lo scenario era questo: il virus sposta ha spostato tutti i file presenti nella chiavetta in una cartella nascosta senza nome. Poi ha creato un collegamento a questa cartella nascosta, nella radice della chiavetta. Ma non è finita qui, ha creato anche un file con nome Explorer.ps1 e una cartella con nome System Volume Information sempre nascosti e sempre nella radice della chiavetta.

Virus collegamento chiavetta USB
Virus collegamento chiavetta USB

Crederete che sia finita, ma non è così. Il virus non si è limitato a creare il collegamento e il resto nella chiavetta USB, ma ha creato anche un file di nome program.pyz nel disco fisso e più precisamente nella cartella C:\Program Files (x86)\WinSoft Update Service.

Ora cliccando il collegamento all’interno della chiavetta si apriva la cartella nascosta con all’interno tutti i file. Quanto meno non ha distrutto il lavoro fatto. Solo che, con enorme ovvietà, il virus infettava il computer e ogni chiavetta USB cui veniva inserita si infettava a sua volta. Anche con grande velocità.

Un esempio di quando non si dovrebbero usare chiavette USB nel computer di altri o chiavette USB di altri sul proprio computer.

Provati una grande quantità di antivirus tra i più noti di cui non farò il nome, i quali non rilevavano proprio nulla.

“Purtroppo” mi intestardisco a risolvere i problemi, la formattazione per dire è la mia Extrema ratio dell’informatica. Quindi ho passato due giorni a cercare di debellare questo virus del collegamento alla chiavetta USB. Tra scansioni di antivirus e soluzioni manuali. Niente il virus non se ne voleva andare dal computer.

Virus collegamento chiavetta USB: la soluzione

Ah mi ero dimenticato di dirlo ma il nome tecnico di questo virus è Heur.BZC.PZQ.Boxter.989.98E6A187 (B) [krnl.xmd].

Ci ho messo giorni ma alla fine fortunatamente una soluzione l’ho trovata e, a saperlo, è più semplice di quel che poteva sembrare: la scansione con un antivirus.
Ma come hai passato due giorni a scansionare con molti antivirus!? Sì è vero, ma tutti gli altri non rilevavano nulla.

Alla fine ho provato con Emsisoft Emergency Kit. È un programma per scansioni di virus, non molto conosciuto, che non va installato, non bisogna registrarsi per scaricarlo (almeno per ora) e dove hanno fallito tutti, anche i più blasonati, lui ha rilevato ed eliminato questo virus dalla chiavetta USB con il collegamento al suo interno.

La cartella C:\Program Files (x86)\WinSoft Update Service puoi tranquillamente eliminarla anzi ti consiglio di farlo, tanto l’ha creata il virus.

La disinfestazione

Ora bisogna disinfettare la o le chiavette USB. Usare il computer appena disinfettato non mi pare il caso. Nemmeno usare un altro computer.
O meglio puoi, anzi devi, usare un computer per forza e qualsiasi va bene ma non da Windows. Io ho fatto così:

  • Ho avviato un/il computer con una distribuzione di Linux che si avvia da una chiavetta. Puoi usare quella che vuoi, io personalmente uso Zorin. In questo caso la versione Lite, solo perché si avvia più velocemente, non perché sia meglio o peggio
  • Ho inserito la chiavetta. Scanso equivoci e rischi, dopo che il sistema Linux si è avviato. Metti che per qualsiasi motivo il boot dalla chiavetta USB con Linux non si avvia, ti dimentichi la chiavetta infetta collegata al computer ed ecco che siamo di nuovo d’accapo
  • Ho aperto la chiavetta USB e da Linux posso vedere tutto, anche cartelle e file nascosti.
  • Ho eliminato il file Explorer.ps1, il file collegamento e la cartella System Volume Information
  • Ho aperto la cartella senza nome e spostato tutto il suo contenuto sulla radice della chiavetta

ISCRIVITI ALLA
NEWS LETTER

NON COSTA NIENTE. Ti arriverà una mail di notifica solo ed esclusivamente quando uscirà un nuovo articolo. Null'altro!

I TUOI DATI NON VERRANNO MAI CEDUTI A NESSUNO E PER NESSUNA RAGIONE.

Non inviamo spam! Leggi la nostra Informativa sulla privacy per avere maggiori informazioni.

Ciao e Benvenuto nel Blog di Fabio Bernini

Torna in alto