virus polizia postale senza modalità provvisoria

[vic_20]

ecco perche' consigliano di navigare con un account user o forse e' meglio ancora Guest?

[mastone]

Io grazie a questo sito ho risolto. Sembrano abbastanza esperti del problema..

Link1

Link2

[DjDiabolik]

Mah ragazzi......... io mi sono letto tutto il thread e devo dire che sono, come al solito , in disaccordo con molti voi:
Onestamente di queste cose girano parecchie varianti....... dalla polizia di stato.. alla finanza... alla SIAE ecc. ecc. e tutto è stato SEMPRE deballato col semplice lancio dell'ultima release del COMBOFIX!

Di solito prima del COMBOFIX lancio anche l'rkill che è un programmino che fa una mini scansione dei processi attivi e blocca eventuali processi sconosciuti e che ritiene siano infezioni.

Quello che poi faccio di solito è anche disinstallare l'antivirus presente....e quindi reinstallarne uno........ ma vi dico che non c'è un'antivirus certo che blocca questa M****A perchè ho visto gente beccarlo con Avira.. con Avast con AVG con o senza il Windows Defender Attivo (ovviamente su windows 7) e anche con l'antivirus di casa microsoft quindi a voi la scelta.

Io personalmente c'ho 4 pc a casa e sta porcheria non l'ho mai beccata... ma come non l'ho beccato io memmeno i miei che navigano in rete praticamente cliccando su qualsiasi banner che citi la parola "gratis" quindi RIPETO a mio avviso non c'è una causa ben chiara su come questi virus possano infettare i Vostri PC.
Quello che purtroppo mi trovo a confermare è che ho avuto clienti/amici che anche dopo esser stati ripuliti si ripresentavano dopo nemmeno 2 giorni con lo stesso identico problema.......... quindi deduco che il problema principale non è l'antivirus o i dns (come ho letto qua) o qualsiasi altra cosa ma il problema è sempre chi si trova davanti al monitor stesso.

[bigbeat]

Io sul mio notebook ho Windows 7 SP1 sempre aggiornato con gli ultimi aggiornamenti sulla sicurezza rilasciati mensilmente da Microsoft. Come browser ho Internet Explorer 9. Stamattina ho fatto una scansione del sistema con Avira Antivirus Premium 2012 e mi ha trovato in "C:\Utenti\NomeUtente" un file chiamato "wgsdgsdgdsgsd.exe" e mi ha detto che tale file fosse infetto con il cavallo di troia "TR/Reveton.F.44". L'azione consigliata è stata quella di spostare il file in quarantena, cosa che ho fatto (cioè che ha fatto Avira dopo avergli dato l'OK).

Devo fare altro? Adesso sono terrorizzato che questo virus possa aver già fatto danni, come aver modificato il registro di Windows o altro!
Però trovo doveroso precisare che io non ho nessun problema di quelli da voi citati. A me il task manager funziona, non ho blocchi di nessun tipo e non mi appare nessuna schermata. Zero problemi! Non ne ho adesso problemi e non ne avevo nemmeno prima che Avira mi trovasse sto file (wgsdgsdgdsgsd.exe) e me lo mettesse in quarantena. Ho fatto la scansione con Avira solo perchè la eseguo una volta al mese per vedere se c'è qualche virus (e ne trovo rarissimamente). Ho postato il mio quesito in questo thread perchè ho fatto una ricerca sù Google e diversi fonti danno il file "wgsdgsdgdsgsd.exe" collegato col "virus della polizia" e simili.

Che mi dite?

[Chill-Out]

Quote:

Originariamente inviato da bigbeat

Io sul mio notebook ho Windows 7 SP1 sempre aggiornato con gli ultimi aggiornamenti sulla sicurezza rilasciati mensilmente da Microsoft. Come browser ho Internet Explorer 9. Stamattina ho fatto una scansione del sistema con Avira Antivirus Premium 2012 e mi ha trovato in "C:\Utenti\NomeUtente" un file chiamato "wgsdgsdgdsgsd.exe" e mi ha detto che tale file fosse infetto con il cavallo di troia "TR/Reveton.F.44". L'azione consigliata è stata quella di spostare il file in quarantena, cosa che ho fatto (cioè che ha fatto Avira dopo avergli dato l'OK).

Devo fare altro? Adesso sono terrorizzato che questo virus possa aver già fatto danni, come aver modificato il registro di Windows o altro!
Però trovo doveroso precisare che io non ho nessun problema di quelli da voi citati. A me il task manager funziona, non ho blocchi di nessun tipo e non mi appare nessuna schermata. Zero problemi! Non ne ho adesso problemi e non ne avevo nemmeno prima che Avira mi trovasse sto file (wgsdgsdgdsgsd.exe) e me lo mettesse in quarantena. Ho fatto la scansione con Avira solo perchè la eseguo una volta al mese per vedere se c'è qualche virus (e ne trovo rarissimamente). Ho postato il mio quesito in questo thread perchè ho fatto una ricerca sù Google e diversi fonti danno il file "wgsdgsdgdsgsd.exe" collegato col "virus della polizia" e simili.

Che mi dite?

Fai un controllo con HitmanPro 3.7 http://www.surfright.nl/it/downloads/

NB: non prevede installazione
NB1: non attivare la licenza

[bigbeat]

Prima di fare il controllo con Hitman vorrei sapere una cosa...se Hitman mi trova qualche file infetto lo rimuove senza prima chiedere a me di confermare l'eliminazione? Non vorrei mi cancellasse qualche file che invece è pulito e che mi serve!

[Chill-Out]

Quote:

Originariamente inviato da bigbeat

Prima di fare il controllo con Hitman vorrei sapere una cosa...se Hitman mi trova qualche file infetto lo rimuove senza prima chiedere a me di confermare l'eliminazione? Non vorrei mi cancellasse qualche file che invece è pulito e che mi serve!

Chiede conferma

[mastone]

io ho risolto grazie a questa guida

http://www.chiccheinformatiche.com/v...nto-conosciute

[luisz4]

l'ho beccato anche io...il pc ha win 7 montato e funziona solo in modalità provvisoria con comandi prompt. Ora cosa faccio? Ho provato a mettere su una chiavetta Combofix ma non riesco ad eseguirlo
con i comandi prompt...non so davvero come risolvere...

grazie

[luisz4]

Quote:

Originariamente inviato da luisz4

l'ho beccato anche io...il pc ha win 7 montato e funziona solo in modalità provvisoria con comandi prompt. Ora cosa faccio? Ho provato a mettere su una chiavetta Combofix ma non riesco ad eseguirlo
con i comandi prompt...non so davvero come risolvere...

grazie

sono riuscito a lanciare combofix e ora sembra funzionare nuovamente tutto. Ma devo fare altro? Devo cancellare manualmente qualcosa che è indicata nel log di combofix?

grazie

[Chill-Out]

Quote:

Originariamente inviato da luisz4

sono riuscito a lanciare combofix e ora sembra funzionare nuovamente tutto. Ma devo fare altro? Devo cancellare manualmente qualcosa che è indicata nel log di combofix?

grazie

Ciao, allega il log di Combofix nel rispetto delle seguenti regole http://www.hwupgrade.it/forum/showthread.php?t=1751598

[luisz4]

Quote:

Originariamente inviato da Chill-Out

Ciao, allega il log di Combofix nel rispetto delle seguenti regole http://www.hwupgrade.it/forum/showthread.php?t=1751598

Pazzesco.....è andato bene per un 1 giorno...accendo il pc ora e ricompare blocco polizia... Ho appena lanciato combofix, vi allego subito il log.

Intanto anticipo che durante la scansione di combo è comparso una finestra in cui si diceva che era stati individuato EICAR test file ma che non poteva essere cancellato....

Inoltre ora che combo ha finito di girare mi è rimasta accesa la spia della cam del pc che si attivava con il virus....

vi allego tutto.

grazie e Buon Natale

[luisz4]

Quote:

Originariamente inviato da luisz4

Pazzesco.....è andato bene per un 1 giorno...accendo il pc ora e ricompare blocco polizia... Ho appena lanciato combofix, vi allego subito il log.

Intanto anticipo che durante la scansione di combo è comparso una finestra in cui si diceva che era stati individuato EICAR test file ma che non poteva essere cancellato....

Inoltre ora che combo ha finito di girare mi è rimasta accesa la spia della cam del pc che si attivava con il virus....

vi allego tutto.

grazie e Buon Natale

ecco il log:

http://www.filedropper.com/combofix_4


e il messaggio che mi è apparso nella finestra:
http://www.filedropper.com/virus_1

grazie

[aristippo]

Io ho trovato l'unico modo di accedere dal prompt,e lanciando il ripristino della configurazione da li si riesce a tornare indietro quel tanto da poter entrare in modalità provvisoria e lanciare i vari Combofix,ecc.
Massimo

[Shark_rb]

Buonasera.Oggi ho beccato il virus polizia di stato.Vi spiego la situazione.Ho provato ad entrare in modalità provvisoria ma non ci riuscivo.Dopo vari tenttivi però ce l'ho fatta.Sono andato su Start---Tutti i programmi---Esecuzione automatica---e qui ho trovato il file runctf. L'ho spostato nel cestino ed eliminato.Riavvio il pc.Ho come antivirus MSE e noto che in quarantena ho dei file che fanno riferimento a runctf.Li cancello.Riavvio il pc con la connessione ad internet e mi ricompare di nuovo la schermata del virus.Provo a fare nuovi tentativi e riesco a fare una scansione con malwarebytes che mi trova 2 file infetti che rimuovo ed il programma mi richiede di riavviare subito:

File rilevati: 2
C:\Documents and Settings\Utente\wgsdgsdgdsgsd.dll (Exploit.Drop.GS) -> Verrà eliminato al riavvio.
C:\Documents and Settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Spostato in quarantena ed eliminato con successo.

Vado a guardare in MSE e vedo che in quarantena mi trovo sempre 4 trojan:

Trojan:Win32/Reveton!lnk

tre di questi fanno riferimento al file:
C:\Documents and Settings\Utente\Menu Avvio\Programmi\Esecuzione automatica\runctf.lnk

il quarto invece:
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0016261.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0017261.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0018266.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0019266.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0019272.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0019277.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0022289.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0023298.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0028317.lnk

La cosa strana è che questi virus in quarantena hanno la data e l'ora corrente.Come se si riformassero in ogni istante quindi ho paura a rimuoverli dalla quarantena pertanto ho la sensazione che il problema non sia ancora risolto.Al momento vi sto scrivendo dal pc in questione.Potete aiutarmi?Ho windows xp sp3 ed in tutto ciò non so se il ripristino di configurazione devo tenerlo attivato o disattivato.
Grazie

[aramis6]

Quote:

Originariamente inviato da Chill-Out

Fai un controllo con HitmanPro 3.7 http://www.surfright.nl/it/downloads/

NB: non prevede installazione
NB1: non attivare la licenza

Con questo software che hai consigliato sono riuscito a toglierlo, ti ringrazio.
Non ho installato il programma, però per cancellarlo ho dovuto attivare una key gratuita..ci sono problemi?

[Chill-Out]

Quote:

Originariamente inviato da aramis6

Con questo software che hai consigliato sono riuscito a toglierlo, ti ringrazio.
Non ho installato il programma, però per cancellarlo ho dovuto attivare una key gratuita..ci sono problemi?

No

[aramis6]

Io uso solo AVG come protezione..vale la pena installarlo HitmanPro oppure mi consigli qualche altro programma?

Grazie

[Shark_rb]

Quote:

Originariamente inviato da Shark_rb

Buonasera.Oggi ho beccato il virus polizia di stato.Vi spiego la situazione.Ho provato ad entrare in modalità provvisoria ma non ci riuscivo.Dopo vari tenttivi però ce l'ho fatta.Sono andato su Start---Tutti i programmi---Esecuzione automatica---e qui ho trovato il file runctf. L'ho spostato nel cestino ed eliminato.Riavvio il pc.Ho come antivirus MSE e noto che in quarantena ho dei file che fanno riferimento a runctf.Li cancello.Riavvio il pc con la connessione ad internet e mi ricompare di nuovo la schermata del virus.Provo a fare nuovi tentativi e riesco a fare una scansione con malwarebytes che mi trova 2 file infetti che rimuovo ed il programma mi richiede di riavviare subito:

File rilevati: 2
C:\Documents and Settings\Utente\wgsdgsdgdsgsd.dll (Exploit.Drop.GS) -> Verrà eliminato al riavvio.
C:\Documents and Settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Spostato in quarantena ed eliminato con successo.

Vado a guardare in MSE e vedo che in quarantena mi trovo sempre 4 trojan:

Trojan:Win32/Reveton!lnk

tre di questi fanno riferimento al file:
C:\Documents and Settings\Utente\Menu Avvio\Programmi\Esecuzione automatica\runctf.lnk

il quarto invece:
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0016261.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0017261.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0018266.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0019266.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0019272.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0019277.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0022289.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0023298.lnk
file:C:\System Volume Information\_restore{149FA109-8D2E-48E5-BF1B-3CD858C52BEB}\RP68\A0028317.lnk

La cosa strana è che questi virus in quarantena hanno la data e l'ora corrente.Come se si riformassero in ogni istante quindi ho paura a rimuoverli dalla quarantena pertanto ho la sensazione che il problema non sia ancora risolto.Al momento vi sto scrivendo dal pc in questione.Potete aiutarmi?Ho windows xp sp3 ed in tutto ciò non so se il ripristino di configurazione devo tenerlo attivato o disattivato.
Grazie

Scusate qualcuno può darmi dei suggerimenti?Credo di essere riuscito ad eliminare il virus ma non ne sono sicuro.Come posso muovermi?

Edit: Ho fatto una scansione con Hitman Pro e non ha trovato nessuna minaccia.Solo tracking cookie.

[Pedoneisolato]

ragazzi io l-ho beccato ieri questo bastardo e devo dire che si e evoluto perche l-avevo gia beccato l-anno scorso

Entrando con il disco di ubunto l-ho scovato e si trova il windows system 32 con il nome wgsdgsdgdsgsd.exe
solo che non riesco a levarlo manualemente perche non sono esperto di ubuntu e non so proprio come fare ad eliminare un file .exe di windows dal disco

questo e uno dei piu bastardi virus che abbia mai trovato, mi ha bloccato modalita provvisorai e sono falliti tentativi di eliminazione avviando chiavetta usb

help help