| Autore |
 Discussione  |
|
Shant
Advanced Member
880 Messaggi |
 Inserito il - 21/09/2012 : 16:33:11
|
|
Buon pomeriggio oggi è successo una cosa strana, connesso da pochi secondi si apre una finestra/pagina (ma non aveva i 3 classici bottoni, riduci a icona, ingrandisci e chiudi) un cui c'era la scritta con il silmbolo, polizia investigativa, il pc è bloccato perchè c'è stata una violazione del copyright, si citavano delle leggi e si proponeva di pagare una tantum di 100€ direttamente da questa pagina pena l'identificazione entro le prossime 72 ore e di pagare un'enormità sia a livello economico che penale. Il pc rimane bloccato e l'unico modo per togliere questa pagina è spegnere, ma se poi ti riconnetti a internet la pagina si ripropone qualche secondo dopo. Ho fatto la scansione con avira e ha trovato questi elementi: TR/Rootkit:gen, ADWARE/InstallerCore.5.44, TR/Dldr.ConHook.Gen (di questi ce ne erano 6), TR/Rootkit.Gen, questa scansione l'ho fatta dopo quella dei rootkit in cui non aveva trovato nulla, comunque questi elementi gli ho messi in quarantena (e poi successivamente eliminati). Poi ho fatto la scansione veloce con malwarebytes e ha trovato 10 elementi tutti poi cancellati, finita la scansione ho fatto quella completa ma dopo un'ora e mezza arrivato quasi alla fine il pc si è bloccato, allora ho spento il pc. Come posso fare per togliere queste infezioni dato che appena mi collego esce questa pagina della polizia? Grazie.
|
Modificato da - in Data
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 21/09/2012 : 18:41:57
|
ciao e benvenuto nel forum
quella schermata che ti e' apparsa non e' un avviso della polizia bensi' l'ultima minaccia informatica, si chiama UKASH
che sistema operativo hai? 32 bit o 64 bit ? |
Modificato da - shang in data 21/09/2012 18:43:11 |
 |
|
|
Shant
Advanced Member
880 Messaggi |
Inserito il - 21/09/2012 : 20:06:12
|
| Xp service pack 3 32 bit. |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 21/09/2012 : 20:19:20
|
segui questa procedura
Scarica FRST e salvala su una pendrive formattata
Inserisci la Pendrive nel Pc
Avvia il Pc in provvisoria premendo ripetutamente F8 in fase di avvio.
Clicca su Ripristina il computer tra le opzioni disponibili
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni
Citazione:
Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt
Seleziona Prompt Dei Comandi
Nel Prompt Dei Comandi scrivi notepad e premi Invio/Enter
Si aprirà un documento di testo del blocco note; nel Menu file seleziona Apri
Seleziona Computer e trova la lettera che corrisponde alla tua Pendrive e chiudi il documento di testo.
Questo passaggio serve solo a determinare quale lettera è stata assegnata alla pendrive
Nel Prompt dei comandi scrivi:
Per i sistemi operativi a 32 Bit x:\frst.exe, dove x è la lettera che è stata assegnata alla vostra Pendrive, perciò nel comando sostituite ad x il valore ricavato precedentemente.
Per i sistemi operativi a 64 Bit x:\frst64.exe, dove x è la lettera che è stata assegnata alla vostra Pendrive, perciò nel comando sostituite ad x il valore ricavato precedentemente.
Premi Invio/Enter
Farbar si avvierà.Clicca Yes per accettare le condizioni di contratto. Premere su SCAN.
A scansione ultimata verrà prodotto un log sulla pendrive stessa, denominato FRST.TXT che dovrai allegare nel forum
Caricalo su un server non incollarlo |
|
|
|
Shant
Advanced Member
880 Messaggi |
Inserito il - 22/09/2012 : 15:22:58
|
| Formattare pen drive tramite windows o con specifico programma? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 22/09/2012 : 17:19:32
|
Citazione:
Formattare pen drive tramite windows o con specifico programma?
la formatti cosi'
metti la pendrive nel pc vai su risorse del computer scegli l'unita' alla quale e' riferita la pendrive, tasto destro e scegli formatta poi segui la procedira che ti ho postato
ovviamente salva i dati prima di formattarla |
|
|
|
Shant
Advanced Member
880 Messaggi |
Inserito il - 22/09/2012 : 18:30:27
|
| Nella pen drive ho una cartella invisibile che si chiama autorun.inf se non sbaglio è un trojan, formattando si toglie? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 22/09/2012 : 18:37:23
|
di solito si forma formattando avrai la pendrive libera
|
|
|
|
Shant
Advanced Member
880 Messaggi |
Inserito il - 22/09/2012 : 20:52:43
|
| Non è libera ma più del 50% lo è, acnhe così si forma? Allora non è un trojan? |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 22/09/2012 : 21:13:22
|
shant se vuoi togliere quel virus
1 salva i dati della pennetta
2 formatta la chiavetta
3 fai la scansione come ti ho indicato e posta il log
fammi sapere |
Modificato da - shang in data 22/09/2012 23:37:54 |
|
|
|
Yves
Moderatore
Città: Buenos Aires
6097 Messaggi |
Inserito il - 23/09/2012 : 08:04:13
|
Per la chiavetta, anche se ho il dubbio che sia una protezione antivirus (essendo una "cartella", e non un "file", non riesce ad eseguire una cippa), cancella la cartella nascosta "autorun.inf" (non collegarti ad internet per farlo), lo selezioni (fai un "click" sopra), poi dai in sequenza i tasti "Shift" (maiuscolo) + Supr (o Del), in questo modo si elimina senza passare per il cestino.
Se riesci ad accedere alla "scrivania", aspetta almeno un minuto prima di connetterti ad Internet, e prima di ogni altra cosa, apri il terminale DOS (start -> esegui -> scrivi cmd e dai invio), ingrandisci il terminale al massimo.
scrivi nel terminale il comando:
neststat > C:\netstat.txt
quindi connettiti, ora viene la "lotta".
appena connesso dai invio per eseguire il comando, appena vedi che torna sul prompt dei comandi (non vedi nulla tu, dopo un po torna come era), dai un colpo sulla freccia "su" (verso l'alto), riappare il comando, ridai invio. Ripeti questa operazione sino a quando si blocca con quella schermata.
Una volta bloccato spegni, quindi riaccendi senza collegarti ad Internet, ora vai sul disco C:\ e cerca il file "netstat.txt", copialo su una chiavetta (o altro), apri il file sul PC che usi per connetterti ad Internet, copia ed incolla tutto il suo contenuto sul sito: paste.linux-vserver, una volta fatto e dato l'ok alla pagina, postaci il link che ti appare.
A naso credo si colleghi ad un indirizzo malefico, se riusciamo a scoprirlo e lo blocchiamo (con il file HOST), normalmente la pulizia sarà molto meno problematica  |
Modificato da - Yves in data 23/09/2012 08:23:38 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 24/09/2012 : 12:48:11
|
ukash é un malaware un pò vecchiotto...  risale a luglio di quest'anno credo se non addirittura prima, ritengo che fare operazioni complicate sia inutile, basta disattivare il ripristino di configurazione di sistema, scaricare Emsisoft anti malware la versione free
htt*://[www].emsisoft.it/it/
aggiornarlo ed effettuare la scansione da provvisoria e ti eliminerà tutto
p.s. emisoft é il miglior prodotto free al momento e ha ottenuto i risultati più alti in assoluto come percentuale di rilevamento malware |
|
|
|
shang
Advanced Member
Città: Roma
4879 Messaggi |
Inserito il - 24/09/2012 : 15:28:17
|
ciao aris73 quell'infezione si insedia nella cartella esecuzione automatica e se non riesci ad eliminarla l'unico strumento valido e' combofix, ovviamente deve poterlo lanciare altrimenti non va via, per questo ho consigliato quella scansione, una volta eliminato il file UKASH si puo' continuare, per il momento l'unico strumento che lo riconosce, ripeto, e' combofix, malwarebytes ancora si fa' ricchi sonnellini  |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 25/09/2012 : 01:11:25
|
Citazione:
Messaggio inserito da shang
quell'infezione si insedia nella cartella esecuzione automatica
ciao shang proprio per questo se leggi nel mio post c'é scritto di eseguire la scansione da modalità provvisoria proprio per oviare al "lancio" del file in esecuzione automatica ed emisoft lo rileva
edit
comunque non di meno potrebbe prima provare quello che gli ho scritto io, che sembrerebbe la soluzione più alla sua portata, se non dovesse risolvere si impelaga nella tua procedura
buona serata |
Modificato da - aris73 in data 25/09/2012 01:13:32 |
|
|
|
aris73
Advanced Member
Città: Taormina
3779 Messaggi |
Inserito il - 25/09/2012 : 13:31:18
|
Citazione:
Messaggio inserito da Shant
Non è libera ma più del 50% lo è, acnhe così si forma? Allora non è un trojan?
inoltre vorrei rispondere a questa domanda, auto.exe che viene rilevato da molti antivirus come un malware, in realtà non lo é, in quanto si tratta solo del file autoavviante del pen drive, ma dato che in passato un malware si avvaleva di questo file per insediarsi nei pc é rilevato dalla stragrande maggioranza degli antivirus come malware
vorrei aggiungere in più che per avere il pc totalmete pulito sempre da modalità provvisoria shant dovresti effettuare una scansione con questo software
htt*://[www].superantispyware[.com]/
ovviamente scegli la versione free, e al momento dell'installazione declina l'invito al trial della versione a pagamento, la prima installazione l'aggiornamento lo fa in automatico, unico dettaglio devi selezionare la scansione approfondita e non quella veloce
dopo tutto ciò con CCleaner sempre da provvisoria pulisci i file temporanei e le chiavi di registro lo fai almeno 2 volte questa procedura e vedrai che al 95% non dovrai avere più problemi |
|
|
|
Shant
Advanced Member
880 Messaggi |
Inserito il - 05/10/2012 : 16:12:37
|
|
Ciao il mio amico ha provato ad andare in modalità provvisoria ma premendo f8 ha ottenuto un lungo bip e una schermata in cui c'è scritto 301 keyboard error... in fondo a questa schermata c'è a sx f1 boot evidenziato in blu e a dx f9 boot menù e f10 setup però non permetteva altre scelte oltre f1. Avviando il pc normalmente ha notato che subito all'inizio compare per 2 sec. circa una schermata in cui a dx c'è f9 boot menù e f10 setup, premendo f9 si arriva a poter scegliere la modalità provvisoria. Quando carica in modalità provvisoria esce una finestra con la richiesta della password. Mi ha detto che questo pc desktop (Hp Compaq Dc5100 MT ) glielo ha dato un suo amico che ha rinnovato le macchine nella sua attività, la password che li ha fornito in modalità provvisoria non funziona. Ora non so se i tecnici che si occupavano della manutenzione della macchina hanno inserito una password differente per la modalità provvisoria. La password che ha avviando normalmente windows funziona in provvisoria no. Come si può fare? |
|
|
|
Discussione |
|
Malware intima pagamento per violazione Copyright
Forum Bloccato
