RIMOZIONE VIRUS UPDATER.VBE

Tecniche specifiche o generali per la rimozione dei virus. Cercare tra gli argomenti il nome del virus o la tipologia di infezione per visualizzare la discussione degli utenti registrati.
Regole del forum
ATTENZIONE !!! tutto ciò che è riportato in questo forum è di carattere puramente indicativo e di studio personale. Le guide/post/tutorial e quant' altro qui presenti potrebbero far decadere la garanzia del prodotto trattato e potrebbero comportare anche la perdita di eventuali dati in esso memorizzati. L'autore di Italorum.it ed i suoi collaboratori non si assumono alcuna responsabilità su eventuali danni causati a seguito della consultazione del presente forum

Questo argomento è stato di vostro interesse?

si
6
100%
no
0
Nessun voto
conoscevo la soluzione
0
Nessun voto
abbastanza
0
Nessun voto
 
Voti totali : 6

RIMOZIONE VIRUS UPDATER.VBE

Messaggioda Italforum » 29/08/2014, 22:03

Se improvvisamente vi scompaiono i files dalla pendrive ed al loro posto ci sono solo dei collegamenti, con molta probabilità siete stati infettati dal malware Updater.vbe
Non disperatevi, in realtà i file non sono stati cancellati ma quei collegamenti servono ad infettare il PC su cui state lavorando, quindi se avete già fatto il doppio click su di essi la frittata è fatta. Su internet ci sono molte guide per la rimozione di questo codice virale ma la maggior parte di loro non eliminano completamente le tracce del virus o si affidano alla semplice scansione con questo o quel programma. Se seguirete attentamente queste istruzioni potrete liberarvi del fastidiosissimo malware anche se non siete esperti. Ricordatevi di eseguire tutti i passi senza saltarne nemmeno uno. La procedura è valida per Windows 7 ma in linea di massima è applicabile anche sulle altre versioni di windows

1-) Abilitare la visualizzazione dei file nascosti
Andate sul pannello di controllo e cliccate su "Opzioni cartella", spostatevi sulla scheda "visualizzazione" e scorrendo sulle opzioni in basso mettere la spunta su "Visualizza cartelle, file e unità nascoste", poi togliete la spunta su "nascondi file protetti di sistema". Confermate con il tasto "OK" e rispondete di si se il sistema vi chiede nuovamente la conferma della scelta.
Immagine

2-) DISATTIVARE PUNTI DI RIPRISTINO
Sempre dal pannello di controllo cliccate su "sistema" e poi cliccate a sinistra su "Protezione sistema". Selezionate il disco C: e cliccate sul pulsante "Configura", nella finestra che segue spuntate la voce "disattiva protezione del sistema" e confermate premendo OK
Immagine


3-) TERMINARE processo wscript.exe
Premete contemporaneamente i tasti CTRL+ALT+CANC e cliccate su Avvia gestione attività". Nella finestra che appare selezionate la scheda "processi" in modo che possa comparire l'elenco dei processi attivi (elenco di file eseguibili in esecuzione). Tra questi dovrebbe comparire il processo legato al file "wscript.exe", se lo trovate dovete selezionarlo e cliccare sul pulsante "termina processo". Attenzione!, wscript.exe esegue il codice virale ma non è il virus quindi terminatelo senza cancellare il file. Chiudete la finestra e rieseguite il punto 3 per accertarvi che wscript.exe non sua in esecuzione e non compaia più tra i processi attivi
Immagine



4-) Scaricate il software ccleaner dal link: http://www.piriform.com/ccleaner/download/standard ed installatelo spuntando solo le prime due voci nelle opzioni di installazione. Avviate ccleaner e cliccate su "pulizia" in alto a sinistra.
Selezionate tutte le caselle delle opzioni ad eccezione di: Password salvate, Password di rete, Collegamenti su Desktop, Installazione di windows obsoleta, Bonifica spazio libero. Ora cliccate su "Avvia pulizia" ed attendete il termine delle operazioni, poi chiudete il software
Immagine


5-) Utilizzo di HijackThis
Scaricare HijackThis al link: http://www.ilsoftware.it/querydl.asp?id=754. Salvate il programma sul desktop ed eseguitelo come amministratore (tasto destro e poi "esegui come amministratore"). Cliccare su "I Accept" e poi su "Do a system scan only". Per comodità ingrandite la finestra in modo da vedere meglio l'elenco delle voci di registro riferite ai file che vengono caricati automaticamente all' avvio di windows. Selezionate tutte le voci in cui compare la chiamata al file updater.vbe, poi cliccate sul tasto "Fix checked" e confermare la scelta. Chiudete il programma
Immagine


6-) Controllate che non sia presente la chiamata al virus updater.vbe in esecuzione automatica. (Cliccate sul pulsante di start e poi andate su "Tutti i programmi"e su "Esecuzione automatica". Se qui dentro trovate qualcosa che si riferisce a updater.vbe o a wscript.exe cancellatelo cliccandoci sopra con il tasto destro e poi con quello sinistro su "cancella". Attenzione a non cliccarci sopra con il tasto sx del mouse altrimenti lo manderete in esecuzione e dovrete ripetere la procedura da capo



7-) Cliccate sempre sul pulsante di start e sul campo di ricerca file (a sx della lente di ingrandimento) scrivete *updater*.vbe, poi cliccate subito sopra su "ulteriori risultati".Nella nuova finestra che apparirà cliccate su "computer" ed attendete il termine della ricerca. Ora cancellate i file correlati al virus che risulteranno dalla ricerca, fate sempre attenzione a non mandarli in esecuzione.
Immagine


8-) Poiché dovremo lavorare sul registro di sistema vi consiglio di riattivare il ripristino del sistema rifacendo il punto 2 al contrario. Vi consiglio anche di creare un punto di ripristino e poi di chiudere il tutto.


9-) Torniamo al pulsante di start e scriviamo nel campo di ricerca file "regedit" (senza virgolette) e premiamo in tasto invio sulla tastiera. Cliccare in alto su "modifica" e poi su "trova". Ora riscrivere la stringa: *updater*.vbe e cliccare sul tasto "trova". A questo punto bisogna cancellare tutti i risultati con il tasto DX del mouse e poi su "elimina", possiamo continuare la ricerca premendo il tasto F3 della tastiera e continuare così fino a quando non ci saranno più elementi trovati. Attenzione a scrivere correttamente la stringa da ricercare *updater*.vbe altrienti rischiate di cancellare qualcos'altro e di compromettere il sistema.
Immagine


10) riavviare e controllare se il virus è ancora attivo ricontrollando i processi del sistema come al punto 3, in caso positivo ripetere dal punto 1, altrimenti proseguire


11) Durante il periodo in cui il vostro PC è stato infettato, tutti i dispositivi removibili (pennette, schede di memoria ecc.) in esso inseriti sono stati infettati, per cui bisogna ora pulirli. Inserite quindi la pendrive infettata ed apritela cliccandoci sopra con il tasto destro del mouse e poi su "Apri" (solo e soltanto su apri). Non fateci doppio click per nessun motivo e non apritela in nessun altro modo se non con quello appena descritto. Nella pendrive troverete il file updater.vbe, dovrete eliminarlo così come dovrete eliminare anche tutti i falsi collegamenti che ha creato il virus. (Il malware nasconde i file e li sostituisce con un falso collegamento) I collegamenti sono facilmente riconoscibili dalla freccetta in basso a sinistra


12a) Ora è venuta finalmente l'ora rendere visibili i vostri file. Come potrete notare sono ricomparsi i file sulla pennetta ma saranno visibili solo a chi a scelto di visualizzare i file nascosti come voi (infatti sono di un colore sbiadito). Per renderli definitivamente visibili vi basterà eseguire il file reset_attributi.bat disponibile in fondo all' articolo (solo per gli utenti registrati). Una volta scaricato il file sarà sufficiente scompattarlo ed eseguirlo come amministratore (tasto dx "esegui come amministratore). E' importante inserire prima la pendrive nel computer ed annotarsi la lettera ha cui è abbinata (di solito F ma potrebbe essere diversa). Il file è compatibile con versioni di windows successivi ad XP. Se avete qualche problema con il programmino passate pure al punto successivo, altrimenti saltate direttamente al punto 13


12b) Fate questa procedura solo se avete problemi con il punto 12a. Una volta inserita la pendrive avviate il prompt dei comandi con diritti di amministratore e dopo esservi portati dentro la pendrive digitate il comando: "attrib -R -S -H /s /d *.*" (senza virgolette) ed avrete finito la procedura con successo. Ricordatevi che il comando va eseguito dall' interno della pendrive, non digitatelo su C altrimenti renderete visibili i file nascosti e di sistema mettendo a rischio il sistema.
Immagine



13) Reimpostare visualizzazione file invertendo le selezioni delle opzioni come al punto 1


14) Questo punto è facoltativo ma se vorrete approfittarne per ripulire il PC da altre infezioni potete scaricarvi il software combofix al link: http://www.bleepingcomputer.com/download/combofix/ (cliccate su download now), disattivate la connessione ad internet, disattivate momentaneamente il vostro antivirus ed eseguite Combofix. Al termine della scansione potrete riattivare tutto.


ATTENZIONE !!! AL FINE DI EVITARE DI BECCARVI NUOVAMENTE UPDATER.VBA ED ALTRE INFEZIONI SIMILI EVITATE SEMPRE DI FARE DOPPIO CLICK SELLE PENDRIVE O SU QUALSIASI DISPOSITIVO REMOVIBILE. IN QUESTO MODO NON VERRA' ELABORATO IL FILE AUTORUN.INF CHE SPESSO VIENE MODIFICATO DAL VIRUS PER MANDARSI IN ESECUZIONE. NEL CASO DI UPDATER NON BISOGNA CLICCARE ANCHE SUI COLLEGAMENTI ED E' FACILE CAPIRE SE SONO DEI FALSI COLLEGAMENTI POICHE' LA PENDRIVE CONTERRA' SOLO QUELLI (I FILE REALI SARANNO NASCOSTI). Spero di esservi stato utile, segnalatemi se i link sopra riportati non sono funzionanti.
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
Italforum
Amministratore
 
Messaggi: 83
Iscritto il: 16/08/2014, 23:36

Re: RIMOZIONE VIRUS UPDATER.VBE

Messaggioda teknolurui » 31/08/2014, 10:01

Ottima guida Redgerry. Qualche tempo fa, anch'io incappai (inserendo la pendrive in un pc infetto) in questo virus subdolo. Siccome ero presso un utente, e la pendrive conteneva dati di supporto presenti anche su alcuni miei archivi di backup; non ci pensai due volte e formattai la pendrive per un utilizzo all'istante e senza effetti collaterali. Se i dati contenuti nel supporto di massa sono però dati sensibili o importanti: la tua guida è fondamentale. Luigi
Ultima modifica di teknolurui il 01/09/2014, 16:29, modificato 1 volta in totale.
teknolurui
 
Messaggi: 11
Iscritto il: 31/08/2014, 9:35
Località: Rieti, Lazio

Re: RIMOZIONE VIRUS UPDATER.VBE

Messaggioda Italforum » 31/08/2014, 19:59

Grazie.
Italforum
Amministratore
 
Messaggi: 83
Iscritto il: 16/08/2014, 23:36

Re: RIMOZIONE VIRUS UPDATER.VBE

Messaggioda zmuda » 24/12/2015, 17:07

Ciao a tutti,
anche mio figlio ha preso il virus wscript.exe.
La guida per eliminarlo è questa del thread ?
Procedo ?
zmuda
 
Messaggi: 2
Iscritto il: 24/12/2015, 16:59

Re: RIMOZIONE VIRUS UPDATER.VBE

Messaggioda Italforum » 25/12/2015, 8:44

zmuda ha scritto:Ciao a tutti,
anche mio figlio ha preso il virus wscript.exe.
La guida per eliminarlo è questa del thread ?
Procedo ?



Si la guida è questa ma il virus non è wscript.exe ma updater.vbe
Wscript.exe e il file che usa il virus per infettare il computer ma non è dannoso e non va eliminato, bisogna solo terminarlo (ovvero fermare temporaneamente la sua esecuzione come mostrato nella guida). Updater.vbe è il virus e va eliminato. Attenzione alle pendrive o gli hard disk esterni che sono stati infettati !!!, bisogna prima eliminare il virus da questi supporto ed dopo avviare la procedura per il ripristino dei dati. E' tutto mostrato nella guida bisogna solo seguirla con attenzione senza saltare i passaggi..

Buon Natale!!!
Italforum
Amministratore
 
Messaggi: 83
Iscritto il: 16/08/2014, 23:36

Re: RIMOZIONE VIRUS UPDATER.VBE

Messaggioda zmuda » 29/12/2015, 18:28

Italforum ha scritto:
zmuda ha scritto:Ciao a tutti,
anche mio figlio ha preso il virus wscript.exe.
La guida per eliminarlo è questa del thread ?
Procedo ?



Si la guida è questa ma il virus non è wscript.exe ma updater.vbe
Wscript.exe e il file che usa il virus per infettare il computer ma non è dannoso e non va eliminato, bisogna solo terminarlo (ovvero fermare temporaneamente la sua esecuzione come mostrato nella guida). Updater.vbe è il virus e va eliminato. Attenzione alle pendrive o gli hard disk esterni che sono stati infettati !!!, bisogna prima eliminare il virus da questi supporto ed dopo avviare la procedura per il ripristino dei dati. E' tutto mostrato nella guida bisogna solo seguirla con attenzione senza saltare i passaggi..

Buon Natale!!!

Ok, ma quando faccio la ricerca , il file updater.vbe non lo trovo.

Auguri anche e te e Buon Anno.
zmuda
 
Messaggi: 2
Iscritto il: 24/12/2015, 16:59

Re: RIMOZIONE VIRUS UPDATER.VBE

Messaggioda Italforum » 29/12/2015, 19:45

zmuda ha scritto:
Italforum ha scritto:
zmuda ha scritto:Ciao a tutti,
anche mio figlio ha preso il virus wscript.exe.
La guida per eliminarlo è questa del thread ?
Procedo ?



Si la guida è questa ma il virus non è wscript.exe ma updater.vbe
Wscript.exe e il file che usa il virus per infettare il computer ma non è dannoso e non va eliminato, bisogna solo terminarlo (ovvero fermare temporaneamente la sua esecuzione come mostrato nella guida). Updater.vbe è il virus e va eliminato. Attenzione alle pendrive o gli hard disk esterni che sono stati infettati !!!, bisogna prima eliminare il virus da questi supporto ed dopo avviare la procedura per il ripristino dei dati. E' tutto mostrato nella guida bisogna solo seguirla con attenzione senza saltare i passaggi..

Buon Natale!!!

Ok, ma quando faccio la ricerca , il file updater.vbe non lo trovo.

Auguri anche e te e Buon Anno.


Se non c'è nel disco rigido e nemmeno il suo richiamo dal registro di sistema (punto 9 della guida) allora è già stato eliminato. Ad ogni modo per verificare se il tuo sistema è ancora infetto ti basta riavviare il PC, inserire una pendrive con dei dati e verificare se vengono ricreati solo i collegamenti ed i file vengono nuovamente nascosti.

Ciao.
Italforum
Amministratore
 
Messaggi: 83
Iscritto il: 16/08/2014, 23:36


Torna a Rimozione virus ed altri codici virali

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti

cron