Precedente :: Successivo |
Autore |
Messaggio |
Silent Runner Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17 Messaggi: 24079 Residenza: Pianeta Terra
|
Inviato: 03 Mag 2013 12:01 Oggetto: Virus Finta polizia di Stato impedisce l'accesso a Win 7 |
|
|
Salve, mentre stavo per entrare nel sito della Regione Toscana (tramite browser Opera) per accedere alla cartografia. L'antivirus Avira, regolarmente aggiornato, aveva, pochi minuti prima, segnalato la presenza di un virus chiedendo cosa fare. Il virus è stato messo in quarantena.
Al momento di scaricare la cartografia è apparsa una schermata della polizia di Stato che diceva che il PC era stato bloccato per violazione di qualche legge.. il fatto è che i testi non apparivano molto corretti come italiano e da quel momento in poi non era possibile accedere ad alcuna pagina o file del PC..
Era possibile solo chiudere il PC con ctrl+alt+canc ma il pc non si chiudeva mai e allora ho resettato.
Provano a far ripartire con mod. provvisoria non ho poi potuto arrivare a niente perché il PC si è autoresettato e ripartito come prima con la schermata di blocco.
Che fare? E' un PC che usiamo per il lavoro, purtroppo.
qui l'immagine della schermata. |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 03 Mag 2013 17:38 Oggetto: |
|
|
Ciao "rompino".
Possiedi una pennetta formattata?
Se sì, scarica nella pennetta questo file:
link (per S.O a 64 bit)
link(per S.O a 32 bit)
Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Clicca su Ripristina il computer tra le opzioni disponibili (in alto)
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni
Citazione: | Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt |
Seleziona Prompt Dei Comandi
Nel Prompt dei Comandi scrivi notepad e premi Invio.
Si aprirà un file di testo
Nel menu in alto clicca file e seleziona Apri.
Cerca la lettera a cui è riferita la pennetta usb.
Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.
Una volta identificata la lettera della pennetta:
Nel Prompt dei comandi digita E:\frst.exe (per i sistemi operativi a 64 Bit E:\frst64.exe) dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.
Clicca Invio
Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Postalo qui.
Seguiranno ulteriori indicazioni. |
|
Top |
|
 |
Silent Runner Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17 Messaggi: 24079 Residenza: Pianeta Terra
|
Inviato: 03 Mag 2013 21:41 Oggetto: |
|
|
Fatto..
FRST.txt
Grazie!
 |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 03 Mag 2013 22:08 Oggetto: |
|
|
Scarica questo file nella pendrive.
link
Inserisci la pennetta nel pc infetto.
Avvia nuovamente FRST, e clicca sul pulsante fix
Il tool creerà un log sulla pendrive (Fixlog.txt) .
Postalo qui
Il pc dovrebbe avviarsi normalmente.
Segui le istruzioni di questo topic per usare Combofix: (ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log. |
|
Top |
|
 |
Silent Runner Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17 Messaggi: 24079 Residenza: Pianeta Terra
|
Inviato: 04 Mag 2013 09:59 Oggetto: |
|
|
Ok, grazie, la prima parte ha funzionato, il PC si è riavviato regolarmente e ti ringrazio..
Ma c'è un ma.. (te pareva?)
Combofix non completa il suo lavoro, ad un certo punto sparisce e tutto sembra finite lì..
Inoltre non si trova il file log, da nessuna parte.
L'unico "file "(file?) che potrebbe ricondurre al log combofix per data e ora ha una icona colorata con un piccolo monitor blu e se ci clicchi sopra ti appare il contenuto del computer, cioè le unità disco presenti, così come se tu le avessi richiamate dalla barra di avvio o dal pannello di controllo
Ho cercato in lungo e in largo sul pc ma ho trovato solo i vecchi log dei precedenti combofix.
Che devo fare dunque? Dove ho sbagliato?
Ho seguito le istruzioni: messo sul desktop, fatto partire come amministratore ma dopo un paio di finestre tutto scompare. |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 04 Mag 2013 12:09 Oggetto: |
|
|
Rimediamo con una scansione di OTL:
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i 2 log.
Citazione: | L'unico "file "(file?) che potrebbe ricondurre al log combofix per data e ora ha una icona colorata con un piccolo monitor blu |
Non centra niente con il log.
Si tratta di un file di Combofix, che più avanti verrà eliminato.
Non hai postato il log delle eliminazioni di FRST che si trova nella pennetta.(Fixlog.txt) |
|
Top |
|
 |
Silent Runner Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17 Messaggi: 24079 Residenza: Pianeta Terra
|
Inviato: 04 Mag 2013 12:49 Oggetto: |
|
|
AHAHAHAHAH! Ma sarò scemo?
Scusami!
Fixlog.txt
Però non è strano? Ho provato ben 3 volte con Combofix. e mi aveva sempre restituiti i file log.. Boh? |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 04 Mag 2013 13:29 Oggetto: |
|
|
Citazione: | Ho provato ben 3 volte con Combofix. e mi aveva sempre restituiti i file log.. Boh? |
L'infezione che hai imbarcato, non è singola.
Oltre al ransom della "Polizia di Stato", hai rimorchiato anche il rootkit "Zero Access".
E anche se lo abbiamo danneggiato, è possibile che sia rimasto qualche rimasuglio attivo, che impedisce il corretto funzionamento di Combofix.
Vediamo se OTL lo rileva, per poi killarlo definitivamente.
Per velocizzare la bonifica:
Dopo aver postato il log di OTL, mi serve anche questa scansione:
Scarica RougeKiller sul desktop.
link (per S.O 32 bit)
link(per S.O 64 bit)
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, clicca su "Report" troverai il log sul desktop.
Postalo qui |
|
Top |
|
 |
Silent Runner Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17 Messaggi: 24079 Residenza: Pianeta Terra
|
Inviato: 04 Mag 2013 17:03 Oggetto: |
|
|
Ok. chissà da dove è entrato... boh. Mi sa che è Opera che ha creato questo problema.
Senti.. è possibile che questi accidenti si trasmettano attraverso scaricamenti su serve di siti personali? Sto trasferendo dati, non vorrei che i tornassero indietro dalla finestra.
Un'ultima domanda idiota: cosa intendi tutti i programmi aperti' Io, quando lavoro con i programmi di pulizia non apro mai nessun programma, salvo quelli che si caricano all'avvio. Stacco l'adsl e l'antivirus.
Ok appena ho finito di scaricare i dati mi metto all'opera.
Grazie! |
|
Top |
|
 |
MaXXX eternal tiare Dio maturo

Registrato: 18/02/09 12:13 Messaggi: 2290 Residenza: Dreamland
|
Inviato: 04 Mag 2013 18:17 Oggetto: |
|
|
Codice: | Mi sa che è Opera che ha creato questo problema. |
No anche se non ho le competenze di R16 questo lo escludo con certezza, opera è un ottimo browser.
Non conta il browser, quando si a che fare con quelle bestiacce sofisticate è una rogna.
Anzi un grazie (passato presente e futuro) all'olimpo e ad R16 e gli altri utenti volenterosi di win "cacciatori di virus" |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 04 Mag 2013 20:03 Oggetto: |
|
|
Citazione: | Mi sa che è Opera che ha creato questo problema. |
Quoto MaXXX eternal tiare : il browser non centra niente.
Citazione: | Senti.. è possibile che questi accidenti si trasmettano attraverso scaricamenti su serve di siti personali? |
E'possibile.
Questi "accidenti" però di solito sfruttano qualche vulnerabilità, di software non aggiornati. (Java, Adobe, Flash player, ecc.)
Citazione: | cosa intendi tutti i programmi aperti' Io, quando lavoro con i programmi di pulizia non apro mai nessun programma, salvo quelli che si caricano all'avvio. Stacco l'adsl e l'antivirus. |
Intendo che il tool deve lavorare senza interferenze esterne.
Per cui devono essere disattivati tutti i software in "tempo reale". (Antivirus, Firewall, e altri programmi di difesa in "tempo reale") e pure la connessione. |
|
Top |
|
 |
Silent Runner Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17 Messaggi: 24079 Residenza: Pianeta Terra
|
Inviato: 04 Mag 2013 20:09 Oggetto: |
|
|
Il firewall di windows? Come lo chiudo senza problemi? Win 7 se tocchi qualcosa poi non funziona più niente.. |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 04 Mag 2013 20:45 Oggetto: |
|
|
Firewall di Win7:
link
Mi interessano i log richiesti. (OTL e RougeKiller) |
|
Top |
|
 |
Silent Runner Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17 Messaggi: 24079 Residenza: Pianeta Terra
|
Inviato: 04 Mag 2013 21:21 Oggetto: |
|
|
Concordo con i ringraziamenti a Bdoriano e a R16!
Qui di seguito i file log
OTL.Txt
Extras.Txt
Più tardi eseguo le altre operazioni..
p.s ho pensato ad Opera perché, passando la chiavetta da un pc all'altro all'improvviso mi è apparso un file di Opera aperto, che io non avevo richiamato..
I dubbbi ricamano da soli..
OOps, ho eseguito otl (sono fuso da una giornata di lavoro) senza chiudere firewall e antivirus.. è un problema? Scusate ma non so più chi sono a quest'ora! A malapena digito e leggo una riga alla volta. Poi dimentico tutto. |
|
Top |
|
 |
Silent Runner Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17 Messaggi: 24079 Residenza: Pianeta Terra
|
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
Inviato: 04 Mag 2013 22:53 Oggetto: |
|
|
Il log di RogueKiller è a posto.
Avvia OTL.
Sotto "Custom Scans\Fixes" copia-incolla questo codice:
Codice: | :OTL
[2013/05/04 09:41:32 | 000,000,000 | --SD | C] -- C:\ComboFix
[2013/05/04 09:03:06 | 005,065,726 | R--- | C] (Swearware) -- C:\Users\Cinzia\Desktop\ComboFix.exe
@Alternate Data Stream - 177 bytes -> C:\Users\Cinzia\AppData\Local\Temp:SL_{70784561-6f6c-6572-7256-696577657236}
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:010ADD2C
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:346465CA
:Files
C:\FRST
C:\Windows\PEV.exe
C:\Windows\MBR.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe
C:\Program Files\tweaking.com_windows_repair_aio_setup.exe
ipconfig /flushdns /c
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot] |
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.
Testa il pc e dimmi se riscontri problemi. |
|
Top |
|
 |
Silent Runner Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17 Messaggi: 24079 Residenza: Pianeta Terra
|
Inviato: 06 Mag 2013 08:28 Oggetto: |
|
|
Per sicurezza ho rifatto un controllo con OTL perché l'ultima volta che l'ho fatto, ho fatto un casino che non vi dico... meglio dimenticare..
OTL.Txt
Extras.Txt
Che dite? Faccio anche un controllo con Combofix? Visto che l'altra volta non è stato possibile portarlo a temine? |
|
Top |
|
 |
R16 Dio maturo


Registrato: 07/03/08 22:58 Messaggi: 10129
|
|
Top |
|
 |
Silent Runner Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17 Messaggi: 24079 Residenza: Pianeta Terra
|
Inviato: 06 Mag 2013 17:32 Oggetto: |
|
|
ahahhahahaahah! fulminato!!! hahahhahaah!  |
|
Top |
|
 |
|