Attenzione: apre in una nuova finestra.

Indice
knight.exe: un nuovo virus per pen drive usb
cosa fare per pulire la pen drive infetta
Come agisce Knight.exe
eliminare knight.exe dal nostro computer
Autorun.inf sulla pen drive
Tutte le pagine

Come liberarsi di Knight.exe

Knight.exe è un nuovo virus anzi, più propriamente è una PUA (Potentially Unwanted Application), ossia un'applicazione che si installa nel sistema SENZA dare all'utente la possibilità di scelta. In questa ultima settimana mi sono capitate almeno 10 pen dirve usb infettate.

Anche se questa applicazione non è un vero e proprio virus può causare una serie di problemi che possono portare l'utente inesperto a riformattare il proprio pc!

Come verificare se un pen drive è infettato dal virus

Ci sono 2 indizi molto caratteristici dell'infezione: il primo è dato da questa strana finestra di autostart che ci appare subito dopo l'inserimento della pen drive nel nostro pc:

autorun

come vedete la finestra è completamente vuota. ATTENZIONE! se visualizzate questa finestra fate click su ANNULLA e NON PROVATE AD APRIRE LA PEN DIRVE in Risorse del Computer.
Un altro indizio è dato dall'icona particolare che assume la pen drive in Risorse del computer: molto simile (uguale?) all’icona del centro di sicurezza di Windows

risorse del computer icona knight.exe

Eliminare Knight.exe da una pen drive infettata

La cosa più semplice e sicura è quella di usare un pc con installato Linux Con Linux si può tranquillamente aprire la cartella della pen drive, togliere l'attributo di sola lettura dai file knight.exe e autorun.inf ed eliminarli.

Se avete a vostra disposizione solo pc con installato windows STATE ATTENTI ALL'AUTORUN: se avete windows xp inserite la chiave usb TENENDO PREMUTO IL TASTO SHIFT. Questo impedisce l'autorun in XP ma NON FUNZIONA IN VISTA. Fatto questo dovete vedere, in risorse del computer, che lettera di unità è stata assegnata alla pen drive (nel mio caso è E) e aprire un prompt dei comandi (menu avvio -> esegui -> cmd [invio]

start->esegui->cmd esegui cmd

Al prompt dei comandi dobbiamo digitare i seguenti comandi:

> e: [invio]
> attrib -R -S -H Knight.exe
> del Knight.exe
> attrib -R -S -H autorun.inf
> del autorun.inf

cmd

attrib serve per cambiare gli attributi ad un file: attrib -R -S -H toglie gli attibuti di sola lettura (r) si file di sistema (s) e di file nascosto (h). Il comando del serve invece ad eliminare il file.
A questo punto scolleghiamo e ricolleghiamo la nostra penna usb e tutto dovrebbe essere andato a posto.

Ovviamente per eseguire la pulizia della pen drive, il nostro computer non deve essere stato infettato a sua volta dal virus. Vediamo cosa fare per eliminare il virus dal nostro pc

Come agisce Knight.exe

Come detto, Knight.exe non è un vero e proprio virus. Infatti non fa nulla per nascondersi: vi accorgete subito di essere stati infettati perchè nella tray area (vicino all'orologio) compare l'icona a scudo e questo messaggio:

knight.exe: tray icon

Non solo, ma addirittura ha una procedura di disinstallazione che potete trovare in Pannello di Controllo -> Installazione applicazioni:

uninstall knight.exe

Il programma è anche dotato di una about box (o invece è una rivendicazione?)

about box o rivendicazione?

e qui potete vedere, tra le varie chiavi di registro create per la disinstallazione, anche l'email del disgraziato che ha creato questa schifezza (caso mai voleste mandargli un'email di ringraziamenti )

knight.exe: installazione

A parte queste aggiunte innocue al registro di sistema, knight.exe ne fa una decisamente più grave: Altera la chiave HKCR\exefile\shell\open\command(Default) e sostituisce il valore corretto %1 %* con Knight.exe %1 %*

exe shell open

Questa è la modifica che ha fatto riformattare il pc a più di una persona! Infatti se ci limitiamo ad eliminare il file knight.exe dal nostro sistema, non riusciremo più ad eseguire nessun programma: ad esempio eseguendo notepad dalla sua icona in start -> tutti i programmi -> accessori -> Blocco Note otterremo un messaggio di errore simile a questo:

no exe

Facendo invece doppio click su un file di testo, Blocco note si aprirà normalmente.

Eliminare Knight.exe dal nostro computer (disintallazione manuale)

Avendo dei dubbi sul corretto funzionamento della procedura di disinstallazione automatica, preferisco fare tutto a manina.

La prima cosa da fare è eliminare il file da c:\windows. Il file ha gli attributi di sistema e nascosto attivi, per cui per poterlo vedere dobbiamo prima di tutto attivare la visualizzazione dei file nascosti e di sistema. Fatto questo il file sarà visibile in c:\windows- apriamo task manager premendo contemporaneamente control - alt - canc, andiamo nella tab processi evidenziamo il processo knight.exe e facciamo click su Termina Processo

task manager - termina processo knight.exe

Appena il processo sparisce dalla lista eliminiamo il file da c:\windows.

Adesso apriamo il registro di sistema (start -> esegui -> regedit) e andiamo alla chiave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Nel pannello di destra cerchiamo una stringa di nome Disk Knight, facciamo click con il destro e selezioniamo elimina

$HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Disk Knight: elimina$

Adesso dobbiamo risolvere il problema del mancato funzionamento dei file eseguibili. La soluzione a questo problema ce la fornisce direttamente Knight.exe che, mentre si installa in c:\windows\, crea nella stessa directory un file chiamato recover.reg

recover.reg

Questo file è in file di registro di windows e dovrebbe contenere solo il seguente testo:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

Per verificare facciamo un click con il destro e selezioniamo modifica: vedremo il contenuto del file in Blocco Note

click con il destro-modifica recover aperto in blocco note

Se il testo è quello che vedete fate doppio click sul file, oppure ancora click con il destro, ma questa volta selezionate Unisci. In entrambi i casi vi verrà chiesta una conferma. Rispondete sì

registro di sistema. conferma

e il contenuto della chiave HKCR\exefile\shell\open\command verrà ripristinato al suo valore di default.

Informazioni aggiunte

L'antivirus ha eliminato knight.exe e adesso non riesco più ad accedere ai file della mia pen drive

Viste le potenzialità nocive di questo file, gli antivirus lo riconoscono come minaccia e lo eliminano dalle chiavi usb.

Il problema è che NON eliminano il file autorun.inf. Questo file è il responsabile dell'esecuzione del virus all'atto dell'apertura della pen drive. Questo è il suo contenuto

[autorun]
open=Knight.exe open
icon=Knight.exe,0

shellexecute=Knight.exe open

shell=auto

action=Disk Knight(Protection Against Mobile Disk Viruses)

shell\auto=&Auto
shell\auto\command=Knight.exe open

shell\open=&Open
shell\open\command=Knight.exe open

shell\explore=E&xplore
shell\explore\command=Knight.exe open

shell\find=S&earch...
shell\find\command=Knight.exe open

shell\install=&Disk Knight
shell\install\command=Knight.exe open

Come vedete sostituisce tutti i comandi relativi all'apertura della chiave usb (Apri, esplora, cerca) con l'esecuzione del virus stesso.

Una volta eliminato il file Knight.exe questi comandi non funzioneranno più e ogni volta che proviamo ad accedere ai file della nostra chiave usb riceviamo questo messaggio di errore:

La soluzione è semplice: bisogna aprire un prompt dei comandi ed eliminare il file autorun.inf, come spiegato nella parte su come eliminare Knight.exe da una pen drive infettata

Ultimo aggiornamento (Mercoledì 09 Gennaio 2008 00:26)