Se dovesse capitarvi di notare nell’area di notifica un’icona simile a quella dello scudetto per gli aggiornamenti automatici del sistema operativo non lasciatevi ingannare, si tratta di un’applicazione VB6 creata da Ariful Islam chiamata Disk Knight.

Il programmatore “padre” di questo tool (uno studente di 19 anni) afferma di averlo realizzato per prevenire la presenza di virus sulle chiavette USB. Tuttavia presenta molti aspetti strani da non trascurare, il primo è la autoinstallazione senza alcun avviso. Il tool passa automaticamente su ogni pen drive collegata al PC. Dopo essersi installato mostra una serie di avvisi per ogni processo attivo, tentando di riconoscere un ipotetico virus; l’inconveniente è che l’utente verrà tempestato di avvisi.
Antivirus e antispam non lo rilevano ma viene classificato da Sophos come una Potentially Unwanted Application, ossia qualcosa di indesiderato.

La procedura per la rimozione di questa applicazione non comporta la perdita dei dati nella pen drive, ma un backup è consigliato.
Seguire i passi alla lettera, formattando la penna non si risolve!

PASSO 1: Eliminazione dalla penna USB o altro device infetto:

• Supponendo che la vostra chiavetta sia riconosciuta come disco E:\, una volta inserita andate nel DOS (Start - Esegui- cmd) e digitate questi caratteri, incluse minusole/maiuscole (gli spazi sono indicati con _): “dir_E:\/A_:_h”.
  In questo modo verranno visualizzati i files della chiavetta e, se infetta, anche la presenza di due files: “autorun” e “knight”;
• Eliminiamo ora autorun, per farlo digitiamo sempre in DOS “del_/f_/P_/A:H_E:\*autorun*”, confermiamo con “S”;
• Per eliminare anche knight digitiamo “del_/f_/P_/A:H_E:\*knight*”, confermiamo di nuovo con “S”.

A questo punto la chiavetta è pulita, scollegatela ma non reinseritela nel PC che è ancora infetto!!

PASSO 2: Eliminazione dal PC:

• Digitate CTRL+ALT+CANC, se esiste un processo chiamato Knight terminatelo;
• Andate in “Pannello di Controllo” -> “Installazione Applicazioni”, cercate Disk Knight e rimuovetelo (se c’è);
• Andate in “Start” -> “Cerca” -> “File o cartelle” ed inserite “Knight”. Rimuovete i file trovati (se ci sono);
• Da “Start” -> “Esegui” digitate “regedit” quindi INVIO, poi “Modifica” -> “Trova” e scrivete “knight”. Eliminate tutte le chiavi di registro con la parola esatta “knight” o “disk knight” (dovrebbero essere poco più di una decina!) non quelle con scritto, ad esempio, “knightj” o cose simili, altrimenti si potrebbero toccare chiavi di altri programmi (una volta cercata la prima voce, basta che fate F3 per cercare la successiva).

Completata la procedura dovreste essere riusciti ad eliminare Disk Knight, lo “pseudo-virus” benigno… o quasi!

EDIT: Alcuni utenti segnalano la presenza del virus sotto forma di file UFO.exe …