Riporto di seguito in dettaglio le informazioni che mi avevate chiesto in merito ad un virus che si installa su hd del pc tramite pen usb su sistema operativo win xp/98/00.

Ho rigirato le seguenti informazioni anche al centro di calcolo di ingegneria.



====================================================================================
Bollettino informativo
====================================================================================


VIRUS TROJAN W32/VB-CYG (FUN.XLS.EXE)

Data: 16/04/2007

Nome: Worm.Win32.VB.E

Tipologia: Worm

Stato: X

Nomefile: [algsrvs.exe] >>( msime82.exe <- msfun80.exe <- [fun.xls.exe])

====================================================================================
Vorrei premetterti che di documentazione on line non se ne trova molta
quindi ho dovuto arrangiarmi da solo per trovare una soluzione senza formattare tutto l hard disk!
Ho provato anche presso il sito della Microsoft (diretta interessata all argomento) ma non ho trovato nulla di specifico.
====================================================================================

Postate in fondo se dovessi riportare qualche informazione inesatta.








====================================================================================
Informazioni personali su quanto successo sul mio pc:
====================================================================================
- algsrvs.exe
Servizio che si attiva automaticamente all avvio di win XP.
E possibile terminarlo con CRTL + ALT + CANC
Ordinare per nome i processi attivi e sulla voce algsrvs.exe "Termina struttura processi"


Il file algsrvs.exe attiva i successivi file a catena sull hard disk infetto.
e sono:
- fun.xls.exe --> C:\\
seguito da un file "Autorun.inf" in C:\\

E in seguito:

- msfun80.exe in C:\\WINDOWS\\system32
- msime82.exe in C:\\WINDOWS\\system32

I file hanno un icona di excel e sono individuabili solo con l opzione attiva "Visualizza file nascosti e di sistema di windows".


====================================================================================
Procedura adottata da me per la completa eliminazione:
====================================================================================

1) Start > Impostazioni > Pannello di controllo > Visualizza opzioni cartella
2) CRTL + ALT + CANC per visualizzare il file in esecuzione algsrvs.exe e terminarlo.
3) eliminare in C:\\autorun.inf
4) eliminare in c:\\fun.xls.exe
5) eliminare:
- msfun80.exe in C:\\WINDOWS\\system32
- msime82.exe in C:\\WINDOWS\\system32


6) utilizzare regcleaner.exe
(http://italian.eazel.com/lv/group/view/kl36976/RegCleaner.htm)
Descrizione:
RegCleaner, e un utility Freeware, multilingue anche
in Italiano, utilizzabile su tutti i SO di casa Microsoft
per la pulizia dei registri di windows;


Oppure manualmente:

7) individuare la voce relativa alle chiavi di registro dove si trovano i valori di

- algsrvs.exe
- fun.xls.exe
- msfun80.exe
- msime82.exe

Sono visionabili (prima della definitiva eliminazione manuale) in
WIN + R : msconfig -> avvio -> voci dei programmi che si avviano e
delle relative chiavi di registro.

Segnare il percorso delle chiavi di registro.

Aprire WIN + R: regedit
Utilizzare la funzione "trova" del menu in alto.
Inserire le voci da trovare.

Eliminarle definitivamente i valori.


Utilizzare successivamente spyware e malware aggiornati per un ulteriore controllo.
Io utilizzo winpatrol.exe
Descrizione:
As a robust SECURITY MONITOR, WinPatrol will alert you to hijackings,
malware attacks and critical changes made to your computer without your
permission.
WinPatrol uses a heuristic behavioral approach to detecting attacks and
violations of your computing environment. Traditional security programs
scan your hard drive searching for previously identified threats. WinPatrol
takes snapshot of your critical system resources and alerts you to any
changes that may occur without your knowledge. You'll be removing dangerous
new programs while others prepare to update their definition/signiture
data files


====================================================================================
Altra soluzione trovata in rete:
(riferimenti in fondo all articolo)
====================================================================================


Descrizione:
Crea il file autorun.inf in radice di ogni disco (pen drive) in modo da eseguirsi in autoplay per infettare altri computer.
Si sta rapidamente diffondendo un nuovo virus (noto solo dal 26 gennaio 2007), denominato W32/VB-CYG o anche FUN.XLS.EXE di tipologia TROJAN che si infetta attraverso penne USB o semplicemente navigando in INTERNET (ovviamente per sistemi Microsoft Windows XP).
Molti antivirus, benché aggiornati, non riescono ad eliminarlo, alcuni altri neanche a vederlo ....Il primo sintomo evidente dell'infezione è quella di non riuscire più ad aprire il disco "C" da RISORSE DEL COMPUTER cliccando semplicemente sull'icona del disco fisso.
Sulle pennette USB infette, invece, si potrebbe notare la presenza, in files nascosti, di un file "FUN.XLS.EXE" che assume l'icona del comune programma EXCEL del pacchetto office.
Ecco il tool [Devi essere iscritto e connesso per vedere questo link] per la rimozione del virus che deve essere eseguito quando il Windows XP è in modalità provvisoria (si entra in modalità provvisoria premendo il tasto funzione F8 all'avvio del sistema).
Dopo aver eseguito il tool di rimozione ed aver riavviato il PC è bene fare una capatina nel registro di Explorer con quest'altro programma (HijackThis.exe) [Devi essere iscritto e connesso per vedere questo link] per vedere se in esso c'è un riferimento all'esecuzione del virus ..... Vediamo come si fa:
1) eseguire il programma HijackThis.exe scegliendo l'opzione "do a system scan only"
2) se ci sono le seguenti righe: O4 - HKLM\\..\\Run: [IMJPMIG8.2] msime82.exe O4 - HKCU\\..\\Run: [MsServer] msfun80.exe cancellarle spuntandole e cliccando su "fix checked" !!!








====================================================================================
riferimenti nel web:
====================================================================================

[Devi essere iscritto e connesso per vedere questo link]
Here you will find a detailed list of dlls and processes. You can locate specific items here, to learn more about them.


[Devi essere iscritto e connesso per vedere questo link]
Sul VIRUS TROJAN W32/VB-CYG (FUN.XLS.EXE)

Sempre dallo stesso sito di sopra:
Utili software per la rimozione:
[Devi essere iscritto e connesso per vedere questo link]
[Devi essere iscritto e connesso per vedere questo link]



Guida alla sicurezza e supporto tecnico per utenti privati
[Devi essere iscritto e connesso per vedere questo link]


[Devi essere iscritto e connesso per vedere questo link]





Vi prego di riportare in fondo eventuali osservazioni in merito.
Sperando di esserVi state utili come informazioni.
Vi saluto.

Al prossimo bollettino virus.!

:-)