Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Virus Finta polizia di Stato impedisce l'accesso a Win 7
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
Silent Runner
Supervisor sezione Chiacchiere a 360°
Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra

MessaggioInviato: 03 Mag 2013 12:01    Oggetto: Virus Finta polizia di Stato impedisce l'accesso a Win 7 Rispondi citando

Salve, mentre stavo per entrare nel sito della Regione Toscana (tramite browser Opera) per accedere alla cartografia. L'antivirus Avira, regolarmente aggiornato, aveva, pochi minuti prima, segnalato la presenza di un virus chiedendo cosa fare. Il virus è stato messo in quarantena.
Al momento di scaricare la cartografia è apparsa una schermata della polizia di Stato che diceva che il PC era stato bloccato per violazione di qualche legge.. il fatto è che i testi non apparivano molto corretti come italiano e da quel momento in poi non era possibile accedere ad alcuna pagina o file del PC..
Era possibile solo chiudere il PC con ctrl+alt+canc ma il pc non si chiudeva mai e allora ho resettato.
Provano a far ripartire con mod. provvisoria non ho poi potuto arrivare a niente perché il PC si è autoresettato e ripartito come prima con la schermata di blocco.

Che fare? E' un PC che usiamo per il lavoro, purtroppo.

qui l'immagine della schermata.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 03 Mag 2013 17:38    Oggetto: Rispondi citando

Ciao "rompino".Razz
Possiedi una pennetta formattata?
Se sì, scarica nella pennetta questo file:

link (per S.O a 64 bit)

link(per S.O a 32 bit)

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Clicca su Ripristina il computer tra le opzioni disponibili (in alto)
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni

Citazione:
Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt


Seleziona Prompt Dei Comandi

Nel Prompt dei Comandi scrivi notepad e premi Invio.

Si aprirà un file di testo
Nel menu in alto clicca file e seleziona Apri.

Cerca la lettera a cui è riferita la pennetta usb.

Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.

Una volta identificata la lettera della pennetta:

Nel Prompt dei comandi digita E:\frst.exe (per i sistemi operativi a 64 Bit E:\frst64.exe) dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.

Clicca Invio

Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Postalo qui.

Seguiranno ulteriori indicazioni.
Top
Profilo Invia messaggio privato
Silent Runner
Supervisor sezione Chiacchiere a 360°
Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra

MessaggioInviato: 03 Mag 2013 21:41    Oggetto: Rispondi citando

Fatto..

FRST.txt

Grazie!
Very Happy
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 03 Mag 2013 22:08    Oggetto: Rispondi citando

Scarica questo file nella pendrive.

link

Inserisci la pennetta nel pc infetto.

Avvia nuovamente FRST, e clicca sul pulsante fix
Il tool creerà un log sulla pendrive (Fixlog.txt) .
Postalo qui

Il pc dovrebbe avviarsi normalmente.
Segui le istruzioni di questo topic per usare Combofix: (ricorda di salvarlo sul Desktop)
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log.
Top
Profilo Invia messaggio privato
Silent Runner
Supervisor sezione Chiacchiere a 360°
Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra

MessaggioInviato: 04 Mag 2013 09:59    Oggetto: Rispondi citando

Ok, grazie, la prima parte ha funzionato, il PC si è riavviato regolarmente e ti ringrazio.. Squeeze

Ma c'è un ma.. (te pareva?)
Combofix non completa il suo lavoro, ad un certo punto sparisce e tutto sembra finite lì..
Inoltre non si trova il file log, da nessuna parte.

L'unico "file "(file?) che potrebbe ricondurre al log combofix per data e ora ha una icona colorata con un piccolo monitor blu e se ci clicchi sopra ti appare il contenuto del computer, cioè le unità disco presenti, così come se tu le avessi richiamate dalla barra di avvio o dal pannello di controllo

Ho cercato in lungo e in largo sul pc ma ho trovato solo i vecchi log dei precedenti combofix.

Che devo fare dunque? Dove ho sbagliato?
Ho seguito le istruzioni: messo sul desktop, fatto partire come amministratore ma dopo un paio di finestre tutto scompare.
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 04 Mag 2013 12:09    Oggetto: Rispondi citando

Rimediamo con una scansione di OTL:
http://forum.zeusnews.com/viewtopic.php?t=51382
Posta i 2 log.

Citazione:
L'unico "file "(file?) che potrebbe ricondurre al log combofix per data e ora ha una icona colorata con un piccolo monitor blu

Non centra niente con il log.
Si tratta di un file di Combofix, che più avanti verrà eliminato.

Non hai postato il log delle eliminazioni di FRST che si trova nella pennetta.(Fixlog.txt)
Top
Profilo Invia messaggio privato
Silent Runner
Supervisor sezione Chiacchiere a 360°
Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra

MessaggioInviato: 04 Mag 2013 12:49    Oggetto: Rispondi citando

AHAHAHAHAH! Ma sarò scemo?

Scusami!
Fixlog.txt

Però non è strano? Ho provato ben 3 volte con Combofix. e mi aveva sempre restituiti i file log.. Boh?
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 04 Mag 2013 13:29    Oggetto: Rispondi citando

Citazione:
Ho provato ben 3 volte con Combofix. e mi aveva sempre restituiti i file log.. Boh?

L'infezione che hai imbarcato, non è singola.
Oltre al ransom della "Polizia di Stato", hai rimorchiato anche il rootkit "Zero Access".
E anche se lo abbiamo danneggiato, è possibile che sia rimasto qualche rimasuglio attivo, che impedisce il corretto funzionamento di Combofix.
Vediamo se OTL lo rileva, per poi killarlo definitivamente.

Per velocizzare la bonifica:

Dopo aver postato il log di OTL, mi serve anche questa scansione:
Scarica RougeKiller sul desktop.
link (per S.O 32 bit)
link(per S.O 64 bit)
Chiudi tutti i programmi in esecuzione.
Avvia RogueKiller.exe.
Il tool farà una pre-scansione in automatico.
Finita la pre-scansione,si apre una finestra: clicca su " Accept".
Adesso clicca su "Scan".
Finita la scansione, clicca su "Report" troverai il log sul desktop.
Postalo qui
Top
Profilo Invia messaggio privato
Silent Runner
Supervisor sezione Chiacchiere a 360°
Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra

MessaggioInviato: 04 Mag 2013 17:03    Oggetto: Rispondi citando

Ok. chissà da dove è entrato... boh. Mi sa che è Opera che ha creato questo problema.

Senti.. è possibile che questi accidenti si trasmettano attraverso scaricamenti su serve di siti personali? Sto trasferendo dati, non vorrei che i tornassero indietro dalla finestra.

Un'ultima domanda idiota: cosa intendi tutti i programmi aperti' Io, quando lavoro con i programmi di pulizia non apro mai nessun programma, salvo quelli che si caricano all'avvio. Stacco l'adsl e l'antivirus.

Ok appena ho finito di scaricare i dati mi metto all'opera.

Grazie!
Top
Profilo Invia messaggio privato
MaXXX eternal tiare
Dio maturo
Dio maturo


Registrato: 18/02/09 12:13
Messaggi: 2290
Residenza: Dreamland

MessaggioInviato: 04 Mag 2013 18:17    Oggetto: Rispondi citando

Codice:
Mi sa che è Opera che ha creato questo problema.


No anche se non ho le competenze di R16 questo lo escludo con certezza, opera è un ottimo browser.

Non conta il browser, quando si a che fare con quelle bestiacce sofisticate è una rogna.

Anzi un grazie (passato presente e futuro) all'olimpo e ad R16 e gli altri utenti volenterosi di win "cacciatori di virus"
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 04 Mag 2013 20:03    Oggetto: Rispondi citando

Citazione:
Mi sa che è Opera che ha creato questo problema.

Quoto MaXXX eternal tiare : il browser non centra niente.
Citazione:
Senti.. è possibile che questi accidenti si trasmettano attraverso scaricamenti su serve di siti personali?

E'possibile.
Questi "accidenti" però di solito sfruttano qualche vulnerabilità, di software non aggiornati. (Java, Adobe, Flash player, ecc.)
Citazione:
cosa intendi tutti i programmi aperti' Io, quando lavoro con i programmi di pulizia non apro mai nessun programma, salvo quelli che si caricano all'avvio. Stacco l'adsl e l'antivirus.

Intendo che il tool deve lavorare senza interferenze esterne.
Per cui devono essere disattivati tutti i software in "tempo reale". (Antivirus, Firewall, e altri programmi di difesa in "tempo reale") e pure la connessione.
Top
Profilo Invia messaggio privato
Silent Runner
Supervisor sezione Chiacchiere a 360°
Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra

MessaggioInviato: 04 Mag 2013 20:09    Oggetto: Rispondi citando

Il firewall di windows? Come lo chiudo senza problemi? Win 7 se tocchi qualcosa poi non funziona più niente..
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 04 Mag 2013 20:45    Oggetto: Rispondi citando

Firewall di Win7:
link
Mi interessano i log richiesti. (OTL e RougeKiller)
Top
Profilo Invia messaggio privato
Silent Runner
Supervisor sezione Chiacchiere a 360°
Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra

MessaggioInviato: 04 Mag 2013 21:21    Oggetto: Rispondi citando

Concordo con i ringraziamenti a Bdoriano e a R16!

Qui di seguito i file log

OTL.Txt

Extras.Txt

Più tardi eseguo le altre operazioni..

p.s ho pensato ad Opera perché, passando la chiavetta da un pc all'altro all'improvviso mi è apparso un file di Opera aperto, che io non avevo richiamato..
I dubbbi ricamano da soli.. Smile

OOps, ho eseguito otl (sono fuso da una giornata di lavoro) senza chiudere firewall e antivirus.. è un problema? Scusate ma non so più chi sono a quest'ora! A malapena digito e leggo una riga alla volta. Poi dimentico tutto.
Top
Profilo Invia messaggio privato
Silent Runner
Supervisor sezione Chiacchiere a 360°
Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra

MessaggioInviato: 04 Mag 2013 22:32    Oggetto: Rispondi citando

Cucù...
_S_05042013_02d2230.txt]RKreport[1]_S_05042013_02d2230.txt
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 04 Mag 2013 22:53    Oggetto: Rispondi citando

Il log di RogueKiller è a posto.

Avvia OTL.

Sotto "Custom Scans\Fixes" copia-incolla questo codice:

Codice:
:OTL
[2013/05/04 09:41:32 | 000,000,000 | --SD | C] -- C:\ComboFix
[2013/05/04 09:03:06 | 005,065,726 | R--- | C] (Swearware) -- C:\Users\Cinzia\Desktop\ComboFix.exe
@Alternate Data Stream - 177 bytes -> C:\Users\Cinzia\AppData\Local\Temp:SL_{70784561-6f6c-6572-7256-696577657236}
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:010ADD2C
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:346465CA

:Files
C:\FRST
C:\Windows\PEV.exe
C:\Windows\MBR.exe
C:\Windows\sed.exe
C:\Windows\grep.exe
C:\Windows\zip.exe
C:\Program Files\tweaking.com_windows_repair_aio_setup.exe
ipconfig /flushdns /c

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]


Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Posta il log.

Testa il pc e dimmi se riscontri problemi.
Top
Profilo Invia messaggio privato
Silent Runner
Supervisor sezione Chiacchiere a 360°
Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra

MessaggioInviato: 06 Mag 2013 08:28    Oggetto: Rispondi citando

Per sicurezza ho rifatto un controllo con OTL perché l'ultima volta che l'ho fatto, ho fatto un casino che non vi dico... meglio dimenticare.. Basta

OTL.Txt

Extras.Txt

Che dite? Faccio anche un controllo con Combofix? Visto che l'altra volta non è stato possibile portarlo a temine?
Top
Profilo Invia messaggio privato
R16
Dio maturo
Dio maturo


Registrato: 07/03/08 22:58
Messaggi: 10129

MessaggioInviato: 06 Mag 2013 17:26    Oggetto: Rispondi citando

Citazione:
Faccio anche un controllo con Combofix?

Sì, ma lo devi riscaricare perchè ti ho fulminato la versione che avevi installato.
http://forum.zeusnews.com/viewtopic.php?t=45224
Top
Profilo Invia messaggio privato
Silent Runner
Supervisor sezione Chiacchiere a 360°
Supervisor sezione Chiacchiere a 360°


Registrato: 16/05/05 10:17
Messaggi: 24079
Residenza: Pianeta Terra

MessaggioInviato: 06 Mag 2013 17:32    Oggetto: Rispondi

ahahhahahaahah! fulminato!!! hahahhahaah! ROTFL
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi