################################################ ################################################ ## Tutorial: Rimuovere il malware Disk Knight ## ## Lingua: Italiano ## ## Autore: Mirko Calabrese ## ## Sito Web: http://www.mirkocalabrese.com/ ## ## E-Mail: mirkocalabrese@gmail.com ## ## Data: 7 Novembre 2008 ## ################################################ ################################################ Il malware Disk Knight è stato creato da un programmatore di 19 anni di nome Ariful Islam che risiede a Chittagong, una cittadina del Bangladesh. Il tool è stato creato per prevenire le infezioni dei PENDRIVE, quando esso stesso le infetta e si insedia tra i file di sistema e i registri di Windows. Gli effetti comuni di questo malware spesso solo quelli di non riuscire ne ad eliminare e ne di aggiungere file sul PENDRIVE stesso. Molti AntiVirus non riconoscono questo eseguibile malevono, quindi il rilevamento e la relativa rimozione sono del tutto manuali. Per rimuovere definitivamente Disk Knight dal PENDRIVE è più raccomandato eseguire una formattazione completa, o l'eliminazione dei file "Knight.exe", "autorun.inf" e "settings.dat" (se presente). Con l'eliminazione dei singoli file, si rischia di perdere il normale accesso alla pennetta e bisogna per visualizzare i propri dati bisogna scrivere l'unità della relativa periferica sulla barra degli indirizzi di una qualsiasi cartella, ad esempio, se il nostro PENDRIVE viene rilevato come unità E, l'accesso avverrà scrivendo sulla barra degli indirizzi "E:\" formattandola semplicemente questi problemi non si verificano affatto, oltretutto è possibile salvarvi tranquillamente i dati presenti all'interno dell'unità senza alcun rischio di contagio del sistema stesso dato che l'infezione avviene non appena il PENDRIVE viene avviato. ATTENZIONE, questi file sono visualizzabili soltanto se tramite una qualsiasi cartella si va dal menù in alto su: "Strumenti" --> "Opzioni cartella..." --> "Visualizzazione" selezionando "Visualizza cartelle e file nascosti" e deselezionando "Nascondi i file protetti di sistema". Per rimuoverlo dal PC invece bisogna fare una serie di cose: - Eseguire lo stesso procedimento di prima per visualizzare cartelle e file nascosti più i file protetti dal sistema; - Terminare il processo "Knight.exe" dal Task Manager, quindi cliccare CTRL+ALT+CANC , andare su "Processi", cercare "Knight.exe" e cliccare quindi su "Termina Processo"; - Togliere Knight.exe dall'esecuzione automatica, quindi andare su "START" --> "Esegui" --> "msconfig" (senza apici) --> "Avvio" e deselezionare "Knight"; - Andare ad eliminare il file "Knight.exe" presente su C:\WINDOWS\ - Eliminare il malware dal file di registro andando quindi su "START" --> "Esegui" --> "regedit" (senza apici) e cercare le cartelle di Knight li presenti, esse sono su HKEY_LOCAL_MACHINE\SOFTWARE\Knight una volta trovate, eliminate la cartella con tutto il suo contenuto; - Eliminare ora il file PF inerenti al programma, andando su C:\WINDOWS\Prefetch e cancellare quindi tutti i file che iniziano con il nome "Knight". Dopo aver seguito tutto questo procedimento, potete riavviare il PC e Knight sarà completamente rimosso.... # mirkocalabrese.com [07-11-2008]