Chiavetta USB si possono rubare o prendere i dati?

[Bingol]

Ma io ho provato ad eseguirlo ma wine ha dato errore dunque non penso si sia avviato dico bene?!...
Comunque il nome emdrnz.exe potrebbe essere stato rinominato e quindi non essere questo il nome vero del file

Quel che non vorrei che a mia insaputa tramite connessione vengano presi miei dati...

[BAT]

con tutti questi dubbi mi domando che cosa l'hai presa a fare la chiavetta, ridagliela.
E lasciamelo dire: ma che ti salta in testa di eseguire proprio il file che l'antivirus ti indica come probabile virus?
tu i guai te li vai a cercare

[Bingol]

Io l'ho cliccato prima che facessi la scansione... poi dopo mi è sorto in mente ci potesse essere qualche cosa...

[monsee]

Si tratta di un worm (attualmente attestato attorno all'8° posto nella classifica del malwares più pericolosi [classifica redatta dal Team di BitDefender]) che agisce -per quel che se ne sa- in ambiente WINDOWS (non dovrebbe, di conseguenza, essere in grado di arrecare seri danni in ambiente GNU/Linux). Vero è che esistono anche worms che son capaci di agire in taluni ambienti GNU/Linux, ma sono -al momento- assai pochi e quello di cui stiamo parlando NON rientra in quel ristretto elenco.
Del worm in oggetto, ecco una breve descrizione molto generale:

"Win32.Worm.AutoIT.AC è un file eseguibile che utilizza un’icona di tipo “cartella” per ingannare gli utenti . Il worm rilascia un keylogger e immagazzina dettagli sensibili dell’utente che scrive sulla tastiera, come account di banche, e-mail, password di siti web e così via. Win32.Worm.AutoIT.AC crea invece un file chiamato setup.ini in %System% , che permette di diffondersi tramite drive rimovibili."

Ripeto, Bingol, che il fetecchion riesce a "fare il suo sporco lavoro" solo in ambiente Windows (o WINE, naturalmente!) e NON in ambiente GNU/Linux.
Ergo: se l'hai individuato nel tuo ambiente GNU/Linux (dove dovrebbe esser totalmente inerte) provvedi a elimi8narlo completamente. Questa semplice misura dovrebbe bastare. Non serve, io ritengo, far nient'altro. A parte avvisare quanto prima i8l tuo amico perchè è estremamente probabile che, se usa Windows, anche il suo PC sia già infetto.

[Bingol]

Il problema sta che ho provato ad aprirlo con Wine ma lo stesso non l'ha aperto è uscito un errore... su questo devo preoccuparmi?

Come faccio ad eliminarlo da Linux?! O fare un test al sistema per vedere se è infettato o se non infettato comunque se il file è presente ma immune nel sistema Linux?

Ma poi questo worm, virus o malware che sia prende i dati e vengono salvati sulla chiavetta o i dati vengono mandati in una banca dati?!

[monsee]

Se si trova a disporre di una connessione ad Internet, il worm invia i dati rubati tramite tale via.
Se non trova una connessione disponibile, il worm usa una sua propria banca-dati.

NON è stata una cosa particolarmente furba andare a cercare di aprirlo usando WINE! (in WINE il worm si attiva e diventa effettivamente pericoloso). Non fare MAI PIÙ, mi raccomando, una cavolata del genere.

In quanto a quel che puoi fare:

1) elimina il file infetto presente nella pen-drive (anche tu stesso, materialmente; oppure usando ClamAV);
2) effettua una scansione con ClamAV dell'intero tuo ambiente WINE (non è sicuro sia così, ma può anche darsi che tale ambiente sia infetto); in particolare, controlla -obvviamente- nella cartella %System% (non so com'è fatto WINE, non avendolo mai installato nè usato, per cui non ti so dire di più);
3) AVVISA il tuo amico della cosa, giacché è assai probabile che il SUO PC (posto che lui usi Windows) sia per davvero infetto.

[monsee]

Una precisazione, Bingol (anche se sei persona intelligente e dunque non ce n'è certo bisogno): è molto importante che tu avvisi quanto prima il tuo amico del fatto che il suo PC è infetto (infettato, appunto, dal worm di cui qui stiamo parlando), in modo tale che anche lui possa dare una ripulita e liberarsi del worm. Sennò, avendo lui Windows, potrebbe capitargli per davvero di vedersi rubate le sue password e chissà che altro...

[Bingol]

Scusate ora mi sono ritrovato questo sul desktop metto immagine che è il log della scansione fatta on line
  Schermata-13.png (Dimensione: 15,59 KB / Download: 2)

aprendo la cartella trovo questo...

   

Io onestamente non so bene come fare la scasione con ClamAv (all'interno di Wine e su %System%) io ho provato con Klam Av ma un sacco di accessi sono negati è normale che sia così? L'immagine è in allegato (prima immagine) ho messo le spunte su tutto... sia per la cartella "Home" e tutte le sottovoci, che su "cartella di sistema" e le sottovoci

Se provo a fare aggiornamento update per aggiornare il programma da errore (seconda immagine in allegato)

[Bingol]

Poi mi sono giunte delle richieste di cui io non accetto (prima immagine in allegato) ho fatto bene o male?! (nell'immagine non si vede ma c'è possibilità di accettare o meno ho tagliato un pezzo di immagine involontariamente)

Nel mentre faccio la scansione con KlamAv, su Firestarter mi trova una connessione chiama ksocket-d di cosa si tratta?

Informo che non so come mai ma la scansione si era bloccata al 17% ora ho riavviato e vediamo se non si blocca nuovamente e questo ksocket-d non mi appare più tra le connessioni attive...

[monsee]

Andiamo con ordine, Bingol...
Riguardo all'immagine del coockie scansionato da KlamAV (un coockie di Sourceforge, per la precisione), si tratta di un coockie che deriva dal fatto che sei transitato su una delle pagine Web di Sourceforge (che è un grande Sito che si occupa essenzialmente di opensource e dal quale è possibile scaricare svariati softwares e correlati pacchetti). Dunque, nello specifico, assolutamente nulla di cui preoccuparsi.
In quanto all'immagione della finestra di impostazione del Firewall, di nuovo NON hai niente di cui preoccuparti. Vi si legge, infatti, che le attività che il Firewall sta controllando (quelle effettivamente in atto) riguardano il tuo Kernel, il tuo browser (Iron browser, per la precisione) e un applet che si occupa di previsioni meteo. Il ksocket (nome abbreviativo per "kernel-socket") che t'ha colpito è semplicemente uno dei moduli del Kernel: nulla di cui preoccuparsi manco qui, dunque.
Veniamo ora alla scansione con KlamAV.
Nell'immagine da te postata,. vedo una cartella chiamata "media" e un'altra chiamata "Media".
È la primissima volta che m'accade di osservare un fenomeno siffatto. Per cui -sinceramente- la cosa mi suona un po' strana. Sicché inserirei la cartella "Media" fra quelle da scansionare (la cartella normale che io ho sempre visto si chiama "media", con la "m" miniscola).
Le cartelle che dovresti scansionare (quelle alle quali ha senso tu apponga la spunta) dovrebbero essere le seguenti:
home
Media
Se fossi al posto tuo, mi incuriosirebbe al punto, quella cartella, da andare a vedere anche cos'è che contiene (ma solamente DOPO averla ben scansionata e assolutamente NON prima).
Non conoscendo WINE non ho una precisa idea di dove crei lo spazio contenente le cartelle che usa (il finto "disco C"). Ma tu che invece lo hai e lo usi dovresti saperlo. Anche tale spazio dovrebbe, a mio parere, venir scansionato.

E adesso veniamo alla faccenda relativa al mancato aggiornamento del database-virus del tuo ClamAV.
Non utilizzando io UBUNTU non posso esser certo della diagnosi, ma tutto sembra indicare che iul problema che incontri sia semplicemente un problema di PERMESSI.
In soldoni, ClamAV non gode di permessi sufficienti a consentirgli di creare (dentro alla cartella denominata "clamav", cartella che si trova dentro alla cartella denominata "lib", la quale, a propria volta,. è contenuta dentro alla directory /var) una directory temporanea (una cartella temporanea, insomma) dentro la quale salvare il download dell'aggiornamento-firme da incorporare, poi, nel proprio database).
Soluzione: assegnare a ClamAV i permessi su quella specifica cartella (la cartella /var/lib/clamav [l'ho qui indicata scrivendone il nome in grassetto]).
Su come procedere esattamente per farlo, potranno certamente consigliarti altri (che molto più di me son usi utilizzare UBUNTU), ma puoi anche giurarci che serve metter mano al Terminale e farci su una bella "sudatina"...