Ebbene si, che delusione, dopo aver vissuto in pace per molti anni, mi ritrovo con un Trojan nel computer
Questo dannatissimo trojan colpisce tutti i dispositivi USB. In ogni periferica viene a scrivere 2 file: un file autorun.inf e un file .com ( di cui non ricordo il nome preciso, inizia con una x e contine qualche numero ).
E in più, nei computer infettati, inserisce alcuni file e alcune DLL nella catella System32 di Windows, si tratta di amvo.exe amvo.dll e altre 2 dll che cominciano per amvo ).


Gli effetti di questo virus non sono subito visibili, esso infatti rallenta un po' il pc ( io non me ne sono accorto, pensavo che il rallentamento fosse causato dal fatto che il pc era acceso da 1 settimana =) ) e disattiva la funzione di visualizzazione dei file nascosti. Da questo si deduce che tramite interfaccia grafica i file non sono eliminabili ( proprio perchè sono nascosti ), ma non si eliminano neanche da DOS.

Esiste una semplice soluzione ( che non è formattare ), usate una distribuzione live di Linux ( io ho usato Ubuntu ). Con questa cancellate i file malevoli:
Nel C:, in tutte le altre partizioni, e in tutte le chiavette usb o altri dispositivi USB ( ipod, ecc.. )
-autorun.inf
-x____.com

Poi andate nella cartella windows/system32 tramile l'ausilio del terminale. Date questo comando:

cd /media/disk/WINDOWS/system32

poi date:

rm amvo*

A questo punto potete tornare su Windows. Il trojan è stato eliminato, ma le cartelle nascoste non saranno ancora visibile, dovrete modificare una chiave nel registro di sistema. Quandi andare su Star-->Esegui e scrivete regedit
Posizionatevi qui: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL e cambiate il valore della chiave "CheckedValue", impostatela a 1.

Ora il trojan è stato eliminato, siete di nuovo puliti.

P.S.
Un ringraziamento particolare va al nostro caro webmaster che a sua insaputa mi ha infettato

Eh già, purtroppo qualcuno mi ha dato una chiavetta USB infetta e me lo sono beccato dopo anni che non prendevo nulla. Comunque poi ti ho anche aiutato a mettere a posto ^_^

Faccio solo qualche appunto sottolineando che i percorsi su Linux degli hard disk potrebbero essere differenti a seconda dei punti di mount e che dovete essere sicuri che la vostra distribuzione Live supporti la scrittura di file system NTFS ( se utilizzate tale file system nella partizione di Windows ). Inoltre per completare la pulizia fate una bella scansione con Hijackthis ed eliminate le voci relative ad amvo.exe.

Altro piccolo consiglio che ho prontamente applicato io stesso per evitare altri spiacevoli inconvenienti come questo è quello di disattivare la funzione di autoplay che Windows attiva quando inserite un CD oppure anche quando inserite una chiavetta. Questa è stata infatti la via di diffusione di questo trojan e, statene certi, tanti altri malware seguiranno questa strategia. Ecco dunque come fare:

1) Cliccate sul menù Start e poi su Esegui
2) Scrivete gpedit.msc e premete Invio
3) Navigate tramite la barra di sinistra alla sezione Configurazione Computer -> Modelli Amministrativi -> Sistema
4) Fate doppio click ora nella parte destra sull'elemento della lista "Disattiva riproduzione automatica"
5) Nella finestra che comparirà selezionate Attivata e Tutte le unità dal menù nella parte centrale.

Ecco fatto! Questo vi aiuterà a rimanere protetti nel caso il vostro antivirus fallisse ( mannaggia Avast.. ) a scapito dell'autoplay dei CD/DVD cosa di cui io posso fare tranquillamente a meno.

Di seguito un'altra soluzione per eliminare i file malevoli di questo trojan. I file vengono eliminati dirretamente da windows, non occorre far partire una live Linux.
Andare su Star->Esegui->cmd ( i guru possono fare Win + R ). Posizionatevi nella cartella radice del vostro disco fisso con:
Citazione:

Ora date il seguente comando per poter sbloccare i file, ovviamente al posto di nomefile mettere i file interessati, quindi autorun.inf ecc.:


Ora potete tranquillamente eliminare i file con il comando:


Dopo aver effettuato queste operazioni leggete la seconda parte del primo post, per riattivare la visualizzazione delle cartelle nascoste.
Come ultima cosa ( OPZIONALE ) potete disattivare l'autorun ( vd. post sopra, grazie angaran )

P.S.
angaran grazie ancora per avermi passato lo stesso virus per la seconda volta

Per chi non avesse Windows XP PRO ma la versione Home può scaricare il powertoy Tweak UI da qui e dopo averlo installato avviarlo e selezionare My Computer -> Autoplay e poi da lì potete togliere la spunta da tutti i drive così da disattivare con ogni certezza la funzione.

Consiglio anche agli utenti di Windows XP PRO di usare Tweak UI. Non so come ma il virus sembra bypassare la modifica con gpedit...

P.S.: ma quelli di avast si svegliano a mandar fuori una signature!?

Io ho Avast e appena ho attaccato la TUA chiavetta infetta mi ha rilevato il trojan putroppo me lo ha solo rilevato =D

Devo cominciare a diffondere la dottrina del disattivare l'autoplay allora, almeno tra chi mi presta chiavette.