Home > Informatica, Windows > Winfile.jpg Rimuovere virus

Winfile.jpg Rimuovere virus

26 marzo 2009 - 21.364 Volte visto Lascia un commento Vai ai commenti
1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessun voto)
Loading...

ATTENZIONE:
AVVISO! Le informazioni di questo post potrebbero non essere più valide in quanto non aggiornate. Usa i commenti per contribuire a tenere il post aggiornato.

ULTIMA REVISIONE DEL POST: 05/05/2015


Se incappate nell’infezione proveniente da un file dal nome winfile.jpg proveniente magari da una chiavetta allora vi troverete in brutte acque e l’unica soluzione che al momento potete applicare è la formattazione del vostro personal computer dotato di windows (provato solo con Xp).
L’infezione attualmente si propaga tramite chiavette usb o memorie di massa (e ripeto per il momento, secondo il mio modesto parere una variante che gira per mail sarà presto disponibile). Al doppio clic sull’unità infetta o all’autoplay dell’unità viene eseguito il file autorun.inf con il codice quì sotto riportato:

[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg

Questo file non fà altro che avviare con il programma winscript.exe (programma di windows – non un virus) un’immagine malformata dal nome winfile.jpg (eh si, si avvia proprio un’immagine e non un exe è questo il bello del gioco…).

Apparentemente non succede nulla ma dopo circa 1/2 secondi dovrebbe attivarsi l’antivirus il quale avrà trovato un trojan, ovviamente non sulla chiavetta ma direttamente nel sistema operativo e corrisponderà al file win.exe che si è creato nella directory c:\windows\system32\ ma i problemi non finiscono quì. Pensando di aver pulito la chiavetta e NON è così, andrete in giro ad infettare altri PC.

Il PC infetto ha alcuni sintomi evidenti:
1 ) il task manager non funziona;
2 ) regedit non si apre e quindi non può essere utilizzato;
3 ) l’antivirus (la maggior parte e la lista è lunga) non funzionano e comunque non rilevano l’infezione, o la rilevano troppo tardi;
4 ) sul titolo di internet explorer appare la scritta Hacked by … (Firefox non ha questo problema);
5 ) nelle opzioni delle cartelle non potete attivare la visualizzazione dei file nascosti e di sistema;
6 ) al doppio clic su ogni unità disco o dispositivo mobile lo stesso si infetterà e non si aprirà più tranne che con l’esplora risorse;
7 ) usando spybot verranno rilevati circa 63 infezioni da trojan e adware tra cui l’hupigon13;
8 ) verrà modificata l’icona predefinita per i file con estensione *.vbs con un icona dei file mp3;
9) facendo tasto destro su un eseguibile ci sarà l’opzione scan’s viruses, che non fà altro che infettare nuovamente il Pc.

visualbasic

Se prendete l’infezione e per sbaglio usate un utente di windows amministratore e avete pure riavviato il pc non ho soluzioni per cui vi consiglio di formattare e in tutta fretta e di staccare il pc assolutamente da internet o dalla rete per non subire il furto di identità (password di carte di credito o altro).

Se usate windows Xp (e ripeto xp perchè non so se con vista la cosa funziona grazie all’AUC) con un utente power user e vi accorgete immediatamente del danno non riavviate assolutamente la macchina e forse qualcosa si riesce a fare.

Per proteggersi da questa infezione non ancora rilevata da nessun antivirus dovete aprire le unità rimovibili con esplora risorse. Invece di fare doppio clic sull’unità utilizzate il tasto destro e poi cliccate su esplora risorsa. Se all’interno della radice dell’unità trovate un file Autorun.inf e winfile.jpg cancellateli immediatamente. Attenzione però che in molti cd-rom e chiavette di riviste o altro il file autorun.inf viene usato per far partire presentazioni o setup di software quindi non sempre il file autorun.inf è maligno ma solo quello con associato il file winfile.jpg.

Una cura per tutti quelli che non hanno subito l’infezione è di disabiltiare l’autoplay e l’autorun installando su Xp questa 2 chiavi di registro (valide per windows XP).

P.S. del 28/04/2009:

Provando il software Malwarebytes mi sono reso conto che è la soluzione migliore per ripulire un pc infetto da questa immondezza anche se ho notato che anche altri antivirus al momento attuale riconoscono l’infezione rispetto a quando l’avevo riscontrata io (spybot a metà marzo rilevava il problema ma non riusciva a cancellare il tutto).
Inoltre bisogna eliminare alcune chaivi di registro a mano intervendendo direttamente sul registro di windows:
1) La scritta Hacked da internet explorer sarà da eliminare a mano;
2) l’opzione scan’s viruses sarà da eliminare a mano;
3) il file autorun.inf sul disco C: sarà da eliminare dopo aver abilitato la visione dei file nascosti;
4) tutte le unità che sono state collegate al pc sono infette per cui se ricollegate infetteranno nuovamente il pc a meno che non si disabiliti i file autorun.inf e l’autoplay, previa, ovviamente, pulizia a mano dei file autorun.inf e winfilw.jpg dai singoli dispositivi (hard disk, partizioni, SD, telefoni con SD, macchine fotografiche, pennette usb, hard disk esterni ecc.)

Ho anche letto che Microsoft con il nuovo sistema operativo Windows 7 disabiliterà l’autorun e i file autorun.inf proprio per prevenire questi problemi (fonte Punto informatico).

P.S. del 08/06/2009:

Pubblicità (link al mio post) dal sito dell’Università di Udine ;)
Csit_-backdoortrojan_vbsr

P.S. del 01/01/2011:

Windows 7 non ha disabilitato per nulla l’autorun! Quindi fate attenzione. Questo “virus” continua a mietere vittime, ma non ho visto infetti utenti che utilizzano Windows Vista o Seven.

Condividi su: Facebook Twitter Google Delicious Google Buzz
  1. 24 dicembre 2010 a 22:05 | #1

    @lucapost
    Spiritoso … digli a quelli che fanno i software di scriverli anche per linux. Al lavoro posso usare solo windows!!

  2. 24 dicembre 2010 a 21:13 | #2

    vuoi che ti passo un dvd di ubuntu o mint?

  3. 12 dicembre 2010 a 13:07 | #3

    Confermo ancora che con Spybot non si riesce a pulire il pc. WindowsDefender non l’ho ancora provato ma penso sia inutile.
    L’unico software che ti dà una mano è: Malwarebytes, scansione completa e via.
    Avast 5.0 free edition non protegge in fase di infezione e non ripulisce…
    Bella schifezza di buco.

  4. 8 gennaio 2010 a 23:04 | #4

    Grazie per la tua guida esaustiva anche se con malwarebytes antimalware avevo risolto senza tanti giri.

  5. Dany77
    8 gennaio 2010 a 21:32 | #5

    Ho sconfitto (manualmente) il virus VBS.Runauto, inizialmente eliminando il file win.exe situato nella cartella c:\windows\system32\ (il file potrebbe avere anche il nome di “winxp.exe” attraverso l’utilità “file assassin” messa a disposizione con malwarebytes antimalware, con la quale ho potuto eliminare anche gli altri file responsabili dell’infezione.
    Modificato poi le chiavi di registro ai valori corretti, eliminato quelle di autoesecuzione inserite dal “backdoor virus”, attraverso il programma “RegmagiK”, in quanto il comando “regedit” non funziona.

    Avvio in modalità provvisoria

    1. Eliminazione del file “c:\windows\system32\win.exe” o “c:\windows\system32\winxp.exe”
    2. Eliminazione del file “c:\windows\system32\winjpg.jpg”
    3. Eliminazione chiavi di registro “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\win.exe”.
    4. Eliminazione di tutti i valori di registro contenenti “win.exe”, “winjpg.jpg e “winfile.jpg”.
    5. Riavvio sistema. Riabilitato visualizzazione cartelle e file nascosti (possibile dopo le eliminazioni di cui sopra).
    6. Eliminazione da ogni unità del file “autorun.inf” e “winfile.jpg” (chiavette USB incluse).
    7. Eliminazione dal registro deI valori “Autorun” – che si trovano nelle chiavi corrispondenti alle lettere delle unità, in queste posizioni: “HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2” e da “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2”

    L’infezione solitamente si trasmette attraverso le chiavette USB e dispositivi rimovibili vari, in cui è presente il file “winfile.jpg”

  6. 8 dicembre 2009 a 12:22 | #6

    Per chi volesse una descrizione esaustiva potete trovare news nel seguente sito della Nod32.

  7. Carby
    21 settembre 2009 a 7:34 | #7

    @Gua78
    Ahah infatti io uso firefox, della scritta non mi ero neanche accorta… ma quando ho notato la sua esistenza non ho potuto fare a meno di eliminarla ;)

  8. 20 settembre 2009 a 21:41 | #8

    Perfetto, molto bene. Son contento che tu abbia risolto. Per la scritta, la prossima volta usa firefox così non la vedi. ;) ihihihh (scherzo).

  9. Carby
    20 settembre 2009 a 20:01 | #9

    Aggiornamento: il pc funziona perfettamente.
    Ho anche trovato il modo di eliminare la scritta “Hacked by” da internet explorer (per una questione di principio era doveroso trovare il modo di cancellarla!).

    In regedit, premere F3 e avviare la ricerca usando la chiave “hacked”: troverà un valore nella cartella relativa ad internet explorer (nella colonna “dati” leggerete proprio la scritta “hacked by…”): cancellate la voce e avrete eliminato la fastidiosa firma.

  10. 20 settembre 2009 a 17:52 | #10

    Se l’antivirus è attivo e task manager e regedit funzionano dovresti essere ok. Al massimo installa anche spybot e fai una scansione pure con quello. Ti consiglio di disattivare dal registro autoplay e gli autorun.inf altrimenti ti ritrovi punto e a capo la prossima volta.

  11. Carby
    20 settembre 2009 a 17:33 | #11

    Avevo fatto la scansione con Malwarebytes ed ero riuscita a risolvere i problemi relativi all’esplorazione delle mia unita C, ma restava il problema col task manager (continuava a dare l’errore “impossibile trovare il file winjpg.jpg”).
    Anche CCleaner non ha risolto il problema, così ho fatto ricorso alla violenza: ho avviato il regedit, usato la ricerca nei file di sistema (tasto F3) di “winjpg.jpg” e cancellato tutte le voci che lo citavano.
    Per ora, il pc sembra ok! Esplora le unità senza problemi e il task funziona.
    Non mi è stato comunque possibile cancellare autorun.inf: non risulta esserci nessuna voce del genere nella radice delle mie unità, neanche come file nascosto.
    Confido comunque che il pc sia ora pulito.

  12. 31 luglio 2009 a 13:35 | #12

    Eh purtroppo quella robaccia far’ molti danni perch[ ancora molti antivirus non la rilevano. Comunque grazie :)

  13. DD
    31 luglio 2009 a 12:28 | #13

    Grazie dei consigli adesso sto eliminando quell’inutile roba

  14. 8 giugno 2009 a 7:20 | #14

    Sono contento che anche l’Università di Udine mi reputi una buona guida alla risoluzione dei problemi ;) mettendo un link ad un mio post!
    http://csit.uniud.it/Backdoor-Trojan-VBS-Runauto-F.678.0.html

  15. utente PC
    16 maggio 2009 a 18:37 | #15

    Per eliminare il file nascosto autorun.inf presente nella radice di tutte le unità disco, di cui è impedita la visualizzazione anche abilitando la relativa opzione, bisogna effettuare una semplice ricerca e includere i file nascosti. In questo caso il file ricercato sarà visualizzato da Windows XP consentendoci successivamente di eliminarlo dal menu contestuale che appare cliccandolo col tasto destro. A questo punto spariranno le voci predefinite associate ai comandi Autoplay che si attivano con il doppio clic; sarà quindi ripristinata la voce consueta Apri

  16. 6 maggio 2009 a 12:02 | #16

    Usando Malwarebytes ho risolto anche nel caso la macchina fosse stata riavviata e infettata completamente. Unica cosa che non leva è il file autorun.inf e le chiavi di registro riguardo Hacked su internet explorer e sul menù contestuale. Un pò di pazienza e ritorna a posto tutto. :) Questa soluzione è più sbrigativa..
    Grazie ;)

  17. Roberto – IV3NBA
    6 maggio 2009 a 10:36 | #17

    Ciao,

    ho utilizzato ComboFix e CCleaner per risolvere questa fastidiosa infezione.
    Ecco come fare :

    1) disattivare il proprio antivirus
    2) eseguire combofix.exe che eliminera’ il virus
    3) finite le operazioni con combofix si nota che taskmanager e regedit funzionano
    4) NON riaavviare il PC altrimenti l’infezione si riattiva
    5) Eseguire ccleaner e andare in Tools/StartUP ed eliminare tutte le chiavi sospette che richiamano il virus
    6) Eseguire “esplora risorse” e riscercare ed eliminare dalla radice dei propri dischi tutti i file winfile.jpg e autorun.inf, quest’ultimo non dovrebbe essere presente
    7) A questo punto dovremmo essere a posto
    8) Riavviare il proprio pc e verificare che task manager e regedit funzionino in questo modo si e’ certi che il virus non e’ operativo.
    9) Nel caso il problema persista, ripartire dal punto 1 e ripetere tutte le operazioni
    10) Al termine eseguire nuovamente una scansione con il proprio antivirus

    Roberto.

  18. 21 aprile 2009 a 11:57 | #18

    Prova a vedere se questa guida per la pulizia ti serve a qualcosa:
    collega di lavoro… :) ma comunque la vedo durissima. Attenzione comunque che quella guida è carente di alcune correzioni da apportare al registro, non indica proprio tutte le modifiche che il verme compie…
    Comunque è bello sapere che anche un computer ben protetto poi risulta vulnerabile ad una cavolata. Attenzione a tutte le unità disco che hai collegato o colleghi a quel pc. Prima cosa disabilita autoplay e autorun.inf altrimenti ritorni di nuovo punto e a capo. Speriamo non esca una variante che intacca le unità di rete…

  19. Matteo
    21 aprile 2009 a 11:10 | #19

    Ho appena riscontrato l’infezione su un pc con windows Vista.
    Purtroppo anche Vista è vulnerabile.

  20. 28 marzo 2009 a 12:27 | #20

    Non saprei che dirti. Se ci sono errori vuol dire che la macchina ancora non è a posto. Io ero riuscito a pulirla tutta una e un’altra avevo tutto ok tranne che l’antivirus che non si avviava a meno che non rinominassi il nome dell’exe e quindi mi è venuto il sospetto che ci fosse ancora qualche rootkit di nuova generazione sotto il cuore del sistema.

    Comunque verifica che avast sia attivo e ripassa la macchina con spybot e da prompt dei comandi lancia il comando netstat per vedere se esistono connessioni con macchine remote..

  21. Luigi
    27 marzo 2009 a 21:43 | #21

    Gli errori nella fattispecie sono

    Provando a far partire task manager:

    Windows script host

    Impossibile trovare il file di script “C:\windows\system32\winjpg.jpg

    Cercando di far partire il ripristino configurazione di sistema:

    Ripristino configurazione di sistema è stato disattivato dai criteri di gruppo.Per attivare ripristino configurazione di sistema,contattare l’amministratore del dominio.

  22. Luigi
    27 marzo 2009 a 21:26 | #22

    Vorrei portare la mia esperienza: dopo aver usato un hard disk portatile, al successivo riavvio del pc AVAST mi segnala l’infezione.
    Tutto accade in maniera similare, problemi inclusi (spero non quelli di furti di identità), a quanto descritto sopra.
    Però tramite un amico sono riuscito a trovare un programma anti-malware, “malwarebytes” che ha trovato e cancellato sia il file winfile.jpeg sia il file “winscript.exe” infettato,salvandomi dalla formattazione.
    Adesso stò ripulendo le varie unità disco e dispositivi mobili.
    Ultimo inconveniente è che quando cerco di far partire le applicazioni danneggiate (task manager,apertura unità disco,ecc.) compare un messaggio di errore (windows script host) che richiede la presenza del file winfile.jpeg
    Credo sia in qualche registro o elenco di comandi un riferimento che si possa correggere,ma non sono molto esperto.
    Avete dei consigli in proposito?


NOTE SUI COMMENTI:

Se non avete mai scritto nulla su questo blog, sappiate che il vostro primo commento dovrà essere approvato manualmente dall'amministratore e quindi non comparirà subito sul sito.
Questo sito usa gli Avatar.
E' possibile usare dei tag HTML nel testo del commento, ma solamente quelli validi come XHTML "Strict" verranno accettati, quindi il risultato potrebbe anche essere un po' diverso dal previsto... nel dubbio, usate il testo semplice!
L'avviso di nuovi commenti è completamente automatizzato e nessuno degli indirizzi e-mail verrà fornito a terzi.
La vostra e-mail, che comunque resterà sempre riservata, serve anche per il conteggio del totale dei vostri commenti e per inviarvi, se ne fate richiesta soluzioni ai problemi o ulteriori informazioni nel totale rispetto del D.Lgs 196/2003.