|
|
Rank: AiutAmico
Iscritto dal : 8/11/2005
Posts: 108
|
Salve ragazzi, ho preso il virus della polizia di stato, girando un pò sul web ho trovato alcune soluzioni per toglierlo, vorrei il vostro consiglio. In modalità provvisoria non riesce ad entrare e nella cartella "esecuzione automatica" non c'è niente. Mi è stato detto di cercare attraverso la funzione "cerca" il file di sistema "ctfmon.exe" ed eliminarlo. Quà nasce il problema, ha trovato 5 file di cui due eliminati con facilità mentre gli altri 3 non riesco ad eliminarli perchè quando provo a cliccare con il dx invece che la classica finestra con l'opzione elimina viene fuori un altra finestra con scritto: " Apri cartella - Apri - Copia ". Come faccio a eliminarli? I file in questione si trovano in: §NtServicePackUnistall§ - system32 - i386.
Se avete qualche altro sistema per pulire il pc ben venga! Comunque sarei curioso per sapere come fare ad eliminare quei file.
Via ringrazio in anticipo e aspetto le vostre risposte. Grazie
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Da quanto si legge, non entri in modalità provvisoria, ma in normale sì. Molto strano. Puoi connetterti a internet?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao. Commenta:Mi è stato detto di cercare attraverso la funzione "cerca" il file di sistema "ctfmon.exe" ed eliminarlo. Strano suggerimento, visto che quello che ti ha dato quelle indicazioni, ti ha anche detto che è un "file di sistema".  Commenta: I file in questione si trovano in: §NtServicePackUnistall§ - system32 - i386. Tutti legittimi.
|
|
Rank: AiutAmico
Iscritto dal : 8/11/2005
Posts: 108
|
Ciao pidue, ho provato a connettermi ma, dopo poco mi appare la schermata del virus e si blocca il pc. Devo spegnerlo tramite l'interruttore! Se avete suggerimenti sono bene accetti! P.S. Da quanto mi dite i file di sistema non si possono cancellare?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:Da quanto mi dite i file di sistema non si possono cancellare? No, non si possono cancellare. Pena il malfunzionamento del pc. Vedi se in qualche modo riesci a fare questa scansione: (magari lo scarichi su una chiavetta, e poi lo trasferisci sul desktop del pc infetto) Scarica OTL, e salvalo sul desktop: http://oldtimer.geekstogo.com/OTL.exeClicca sull'icona di OTL che trovi sul tuo desktop . Metti la spunta su SCAN ALL USERS. Sotto output, metti la spunta : minimal outputClicca sulla freccettina di File Age e seleziona 60 Days Metti la spunta a LOP Check e Purity Check. Clicca su RUN SCANLascia fare la scansione senza interferire. Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum. Per postare i log:Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/ Clicca sul bottone " Sfoglia" Seleziona il file appena salvato Clicca su Upload file Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati: Download Link / Forum Link Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
|
|
Rank: AiutAmico
Iscritto dal : 8/11/2005
Posts: 108
|
Spero di aver fatto bene, ecco i log Extras.txtOTL.txt
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:Spero di aver fatto bene
Per niente.... Non hai eseguito alla lettera le indicazioni che ho postato. Commenta:Metti la spunta su SCAN ALL USERS. Questo non lo hai fatto. Riprova la scansione seguendo le indicazioni alla lettera. Posta il log. ( OTL.txt)
|
|
Rank: AiutAmico
Iscritto dal : 8/11/2005
Posts: 108
|
Scusami, stavolta ho seguito alla lettera le istruzioni, l'unica cosa di diverso è che, una volta creato il file non riesco a salvarlo perchè mi dice: Errore della finestra di dialogo comune (0x3002). Allora per poterlo salvare ho selezionato tutto il log, poi ho aperto un altro blocco note e l'ho copiato lì. Ecco il nuovo log Otl.txt
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Prova una scansione con MBAM . Potrebbe bastare. Potrebbe. Lo dico per esperienza diretta e non per sentito dire.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
pidue ha scritto:Prova una scansione con MBAM . Potrebbe bastare. Potrebbe. Lo dico per esperienza diretta e non per sentito dire. Se trova questi file potrebbe bastare: Commenta:F:\Documents and Settings\Aldo\wgsdgsdgdsgsd.dll
F:\Documents and Settings\Aldo\Dati applicazioni\inst.exe
HKU\S-1-5-21-1214440339-527237240-725345543-500..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE Comunque è pieno anche di Adware (Funmoods)
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Ti porto la mia esperienza. Alcuni giorni fa lo presi anch'io. Avviso a pieno schermo, non potevo fare niente. Sparito tutto, systray, icone, pulsante Start, tutto. In msconfig non compariva niente di sopetto, nemmeno i processi del Task Manager rilevavano alcunchè. Ho risolto così: fatto un ripristino a qualche giorno prima, il pc ripartì normalmente. Lanciai MBAM che trovò due file infetti e li rimosse.. Finito. Tutto è tornato normale. Dimenticavo: in provvisoria partiva, da lì ho fatto il ripristino e ho lanciato il TM.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:Finito. Tutto è tornato normale. Non lo metto in dubbio. Ci sono svariati modi per risolvere questo tipo di problema. Dipende molto anche dalla variante. Nel caso del nostro amico, si tratta di una variante "benevola".  Agisce più sul "panico" dell'utente che per la sua pericolosità. In fin dei conti, basta eliminare un paio di file per risolvere il problema.
|
|
Rank: AiutAmico
Iscritto dal : 6/2/2005
Posts: 7,332
|
Infatti. Penso anch'io che ci siano più varianti.
|
|
Rank: AiutAmico
Iscritto dal : 8/11/2005
Posts: 108
|
Fatto scansione e trovato 55 file infetti di cui 53 denominati "PUP.FunModds" mentre 1 "Adware.DirectDownloader - aCO8Bz1S.exe part", e l'altro " TrojanExploitdrop.WS wgsdgsdgsgsd.dll" che è quello che mi hai indicato di togliere. Degli altri 2 che mi hai segnalato non vi è traccia. Cosa faccio, tolgo solo quei 2 o tolgo tutto?
Grazie
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Togli tutto . Dai una pulita (registro compreso)con CCleaner: http://www.aiutamici.com/software?ID=11223Nella schermata iniziale di CCleaner, clicca su Opzioni e poi Avanzate, togli il segno di spunta a: Cancella i file in Windows Temp solo se più vecchi di 48 ore. (poi esegui le pulizie) Poi: Scarica Adwcleaner sul desktop: http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleanerClicca sul pulsante " Elimina". Conferma con OK le varie finestre che ti compariranno. Il pc si riavvierà, e uscirà il log con le eliminazioni. Postalo qui.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Per eliminare il file che non ha trovato Malwarebytes fai questa scansione: Scarica Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exeSalvalo sul desktop. ( è obbligatorio) Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione. Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO. E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali, e prosegui con la scansione. Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni. Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui, come hai fatto con OTL.
|
|
Rank: AiutAmico
Iscritto dal : 8/11/2005
Posts: 108
|
Ecco il log di Combofix. Ho fatto la pulizia con CCleaner ma non quella con Adwcleaner, è importante fare anche quella? Cosa fà quel programma? log.txt
|
|
Rank: AiutAmico
Iscritto dal : 8/11/2005
Posts: 108
|
Ho fatto la scansione con Adwcleaner, ecco il log .txt]AdwCleaner[S1].txt
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Apri un file di testo con il Block Note sul Desktop Ci incolli il codice che vedi qui sotto, e salvi il file di testo obbligatoriamente con il nome CFScript.txtCode:FCopy::
f:\windows\$NtServicePackUninstall$\ctfmon.exe|f:\windows\System32\ctfmon.exe e trascinalo sull'icona di ComboFix. Attendi la fine dei lavori, senza toccare tastiera, mouse o altro. Posta il log aggiornato di combofix.
|
|
|
Guest |
