| Precedente :: Successivo |
| Autore |
Messaggio |
paolopa
Eroe
Registrato: 09/02/10 09:09
Messaggi: 43
|
 Inviato: 30 Lug 2012 17:30 Oggetto: virus polizia postale |
 |
|
buongiorno a tutti,un amico ha preso questa simpatica infezione,siccome è piu' digiuno di me mi ha chiesto una mano.dopo una miriade di tentativi sono riuscito ad entrare in modalita' provvisoria,ho eliminato dall'esecuzione automatica il file incriminato,giusto per poter accedere al pc,comunque gia che c'ero ho scansionato con tdsskiller che avevo portato su una pendrive.non ha trovato nulla.avevo anche combofix,l ho fatto girare,mi ha detto che rilevava attivita' rootkit e che bisognava riavviare il pc.ho dato l assenso, si è riavviato in modalita' normale.avira(ma non doveva bloccarlo?a parte che chissa' che ha combinato...)ha segnalato un infezione bloccata senza scendere in particolari dopodichè ha fatto una breve scansione.adesso lo sto lasciando lavorare con mbam.combo dubito che funzioni bene su quel pc perchè per due volte ha avuto il solito comportamento: rilevato attivita' rootkit bisogna riavviare.
il s.o. è vista,che tra l altro conosco molto poco.
c'è qualcosa che posso usare al posto di combofix?o qualche manovra manuale da fare per eliminare l'infezione che immagino sara' dormiente da qualche parte?grazie a tutti!
ps:ciao R16,ti ricordi di me? |
|
| Top |
|
 |
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 30 Lug 2012 17:40 Oggetto: |
|
|
| Citazione: | | ps:ciao R16,ti ricordi di me? |
Ma certo.
Sono contento di sentirti (ache se le circonstanze non sono delle migliori.
| Citazione: | | rilevato attivita' rootkit bisogna riavviare. |
Quando Combofix si comporta così è facile che l'infezione sia da Zero Access.
Ops...è Vista.
Possiedi una pennetta formattata?
Se sì, scarica nella pennetta questo file:
link (per S.O a 64 bit)
link (per S.O a 32 bit)
Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Clicca su Ripristina il computer tra le opzioni disponibili (in alto)
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni
| Citazione: | Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt |
Seleziona Prompt Dei Comandi
Nel Prompt dei Comandi scrivi notepad e premi Invio.
Si aprirà un file di testo
Nel menu in alto clicca file e seleziona Apri.
Cerca la lettera a cui è riferita la pennetta usb.
Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.
Una volta identificata la lettera della pennetta:
Nel Prompt dei comandi digita E:\frst.exe dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.
Clicca Invio
Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Postalo qui.
L'ultima modifica di R16 il 30 Lug 2012 20:41, modificato 4 volte |
|
| Top |
|
|
paolopa
Eroe
Registrato: 09/02/10 09:09
Messaggi: 43
|
| Inviato: 30 Lug 2012 17:41 Oggetto: |
|
|
| win vista 32 bit |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 30 Lug 2012 17:45 Oggetto: |
|
|
L'ho visto tardi.
Puoi fare quella operazione? |
|
| Top |
|
|
paolopa
Eroe
Registrato: 09/02/10 09:09
Messaggi: 43
|
| Inviato: 30 Lug 2012 17:50 Oggetto: |
|
|
domani ci provo e ti faccio sapere,purtroppo è sempre fuori per lavoro.
adesso mi cerco una pennetta da formattare.
se non dovesse andare a buon fine c'è altro che posso fare?dovrei avere una pendrive con un paio di rescue antivirus(credo anche kas)potrebbe servire?
dovrei averci anche rkill li sopra per ogni evenienza. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 30 Lug 2012 18:06 Oggetto: |
|
|
| Citazione: | | se non dovesse andare a buon fine c'è altro che posso fare? |
Deve funzionare.
Ha sempre funzionato....
Ti avviso che quella scansione non elimina niente.
Mi serve per localizzare il virus, e poi con uno script personalizzato, eliminarlo. |
|
| Top |
|
|
paolopa
Eroe
Registrato: 09/02/10 09:09
Messaggi: 43
|
| Inviato: 30 Lug 2012 18:22 Oggetto: |
|
|
pendrive formattata e file scaricato.
daccordo R16,ci aggiorniamo domani.grazie infinite,mi ha fatto davvero piacere risentirti,e scoprire che sei sempre in corsa con le infezioni.
buona serata a te e una carezza al ragazzino! |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 30 Lug 2012 18:25 Oggetto: |
|
|
| Citazione: | | buona serata a te e una carezza al ragazzino! |
Il "moccioso" ricambia. 
Ci sentiamo.
Ciao! |
|
| Top |
|
|
paolopa
Eroe
Registrato: 09/02/10 09:09
Messaggi: 43
|
| Inviato: 30 Lug 2012 18:27 Oggetto: |
|
|
dimenticavo:quando combo mi dice di riavviare mi da anche un percorso di un infezione,dicendo di segnarla perchè servira' in seguito.il biglietto è andato perduto.
se vuoi posso farlo rigirare e segnarmela,se pensi che possa servire. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 30 Lug 2012 18:35 Oggetto: |
|
|
| Citazione: | | se vuoi posso farlo rigirare e segnarmela,se pensi che possa servire. |
No, non serve.
Bisogna dare una bella "strigliata" al virus con lo script.
Poi,una volta indebolito, far girare Combofix per eliminare il resto.
Inoltre, se l'infezione è quella a cui penso, preparati ad imprevisti. (di connessione probabilmente)
E' la peggiore infezione che attualmente si possa imbarcare.
Ma con pazienza ce la faremo. |
|
| Top |
|
|
paolopa
Eroe
Registrato: 09/02/10 09:09
Messaggi: 43
|
| Inviato: 30 Lug 2012 18:40 Oggetto: |
|
|
| senza connessione sara' un problema, dovro' venire a casa mia a leggere le istruzioni e poi tornare da lui per eseguirle.che casino.vabbè,se non si puo' fare diversamente.... |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 30 Lug 2012 18:49 Oggetto: |
|
|
Non ho detto che è sicuro.
Potrebbe succedere.
Dipende dalla variante del virus.
Comunque è inutile fasciarci la testa prima di averla rotta.  |
|
| Top |
|
|
paolopa
Eroe
Registrato: 09/02/10 09:09
Messaggi: 43
|
| Inviato: 31 Lug 2012 15:36 Oggetto: |
|
|
r16,amico mio,tira fuori un coniglio dal cappello....non sono riuscito a fare nulla perchè non mi riconosce il percorso...
avevo pensato ad una scansione con kasperski su pendrive avviabile,ma non riesco a fare uscire il bootmenu. hai qualche idea?ho anche avuto difficolta ad entrare in m.p. non so per quale motivo.i punti di ripristino sono spariti tutti,l'unico è di oggi alle 14, in piu' non si avviava piu' ed ho dovuto ricorrere all'ultima configurazione sicuramente funzionante. |
|
| Top |
|
|
paolopa
Eroe
Registrato: 09/02/10 09:09
Messaggi: 43
|
| Inviato: 31 Lug 2012 16:05 Oggetto: |
|
|
per fare qualcosa ho rifatto girare combo per arrivare a quel percorso di cui ti ho parlato quando ho detto che aveva trovato attivita' rootkit e bisognava riavviare.l'ho segnato come consigliava combofix e, se serve, eccolo qua.
C:\Documentsandsettings\ReleaseEngineer.MACROVISION\ApplicationData|ntos.exe
C:\Documents |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 31 Lug 2012 17:44 Oggetto: |
|
|
Ciao.
Senza uno straccio di log, posso fare ben poco.
| Citazione: | | non sono riuscito a fare nulla perchè non mi riconosce il percorso... |
Sicuro di avere eseguito alla lettera le indicazioni?
In particolar modo, sei sicuro di avere individuato la lettera a cui si riferisce la chiavetta?
Perchè il messaggio che dici, sembra che si riferisca a questo particolare.
Riesci a fare una scansione con Malwarebytes ? (in qualunque modo và bene) |
|
| Top |
|
|
paolopa
Eroe
Registrato: 09/02/10 09:09
Messaggi: 43
|
| Inviato: 31 Lug 2012 18:04 Oggetto: |
|
|
ciao R16,la scansione l ho fatta ierisera,io non c'ero,l ho iniziata e ho lasciato il pc acceso,lui doveva andare al lavoro.credo abbia trovato qualcosina, ci siamo sentiti telefonicamente quando è rientrato,ma da quello che ho capito erano directory a cui era impossibile accedere.sto cercando di risalire al giorno e all'ora del problema,potrebbe essere utile?riuscire a vedere cosa si è installato in quel momento e cancellarlo,pensi sia possibile?
della lettera della chiavetta sono sicuro,potrei anche riprovare,ma ho difficolta' anche con la modalita' provvisoria.
di quei file segnalati da combofix che ne facciamo? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 31 Lug 2012 18:31 Oggetto: |
|
|
| Citazione: | | ma ho difficolta' anche con la modalita' provvisoria. |
Guarda che non devi entrare in Modalità provvisoria.
Picchettando su f8 nella serie di opzioni devi cliccare "Ripristina il computer", non entrare in Modalità provvisoria.
| Citazione: | | ,io non c'ero,l ho iniziata e ho lasciato il pc acceso,lui doveva andare al lavoro.credo abbia trovato qualcosina, ci siamo sentiti telefonicamente quando è rientrato,ma da quello che ho capito erano directory a cui era impossibile accedere. |
In queste condizioni, è veramente diffile.
Almeno avessi il pc sottomano.....
Scarica aswMBR.exe sul desktop.
link
Fai doppio clic aswMBR.exe per eseguirlo
Ti chiederà di aggiornare le firme.
Clicca Si.
Clicca sul pulsante Scan per avviare la scansione
Al termine della scansione clicca su Save log,e salvalo sul desktop.
Postalo qui. |
|
| Top |
|
|
paolopa
Eroe
Registrato: 09/02/10 09:09
Messaggi: 43
|
| Inviato: 31 Lug 2012 18:39 Oggetto: |
|
|
daccordo R16,grazie della pazienza,domani lo faro'....
lo so che in queste condizioni è difficile,ma se ci riesci cosi' chi ti ferma piu'? |
|
| Top |
|
|
paolopa
Eroe
Registrato: 09/02/10 09:09
Messaggi: 43
|
| Inviato: 31 Lug 2012 18:41 Oggetto: |
|
|
| mi sono dimenticato:picchiettando su f8 non succede nulla,si apre win...se lo tengo premuto a volte riesco ad avere la provvisoria. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 31 Lug 2012 18:51 Oggetto: |
 |
|
| Citazione: | | picchiettando su f8 non succede nulla,si apre win...se lo tengo premuto a volte riesco ad avere la provvisoria. |
Per quello che non funziona.
Devi entrare (con f8) nella schermata nera, in cui ci sono le varie opzioni (di cui anche la modalità provvisoria, ma non devi cliccarla).
Nelle varie opzioni, in alto trovi "Ripristina il computer".
Clicca quella, e poi segui le istruzioni che ho postato.
Insisti finchè ci riesci.
Ricorda di picchettare f8 dopo la prima schermata all'avvio del pc. (prima che carichi Windows) |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
