Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

leggete virus polizia come lo tolgo Opzioni
kocis98
Inviato: Wednesday, February 13, 2013 11:56:19 AM
Rank: AiutAmico

Iscritto dal : 1/18/2001
Posts: 207
salve su un computer di un mio collega e' uscito il classico virus della polizia che ti chiede 100 euro
era gia' successo sul mio ,pero' l'avevo tolto, invece su questo faccio il passaggio f8 modalita provvisoria vado su esecuzione automatica c'e un file con. reg ( adesso non ricordo bene il nome pero' sono sicuro che dopo c'e scritto .reg ) appena faccio per eliminarlo mi esce la schermata e mi si sblocca li ,in poche parole l procedura della modalita provvisoria non me la fa usare su questo computer con win7 ci sono altre alternative ,siccome domani devo andare da questo mio amico volevo sapere come risolvere il problema se si puo mettere qualcosa su una chiavetta e farlo partire da li ..

datemi varie indicazioni perche' fino a stasera non riesco a connettermi

e per ultimo come mai anche su modalita' provvisoria mi esce questo virus ,grazie a tutti
Sponsor
Inviato: Wednesday, February 13, 2013 11:56:19 AM

 
shapiro
Inviato: Wednesday, February 13, 2013 12:51:01 PM

Rank: AiutAmico

Iscritto dal : 8/24/2008
Posts: 4,164
prova ad entrare in provvisoria con rete e scarica questi tool, poi ti diro' come fare

combofix

OTL
pidue
Inviato: Wednesday, February 13, 2013 2:22:31 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
kocis98 ha scritto:
e per ultimo come mai anche su modalita' provvisoria mi esce questo virus ,grazie a tutti

Perchè i8l virus disabilita la funzionalità del tasto F8.

@Shapiro
Se non riesce ad entrare in mod provvisoria, non entra neppure in modalità provvisoria con rete.

Io ho risolto 3 casi. In due riuscivo a entrare in mod provvisoria.
In queste situazioni basta fare un ripristino a una data precedente l'infezione. Poi è opportuno procedere con una scansione con MBAM; a me ha funzionato in entrambe le situazioni ed è bastato il ripristino perchè MBAM non aveva trovato niente.

Se non si riesce ad avviare in provvisoria (in realtà sembra che all'inizio si possa entrare - in questo breve lasso di tempo qualcuno è riuscito ad attivate il TaskManager e bloccare il virus; ma bisogna essere velocissimi, perchè poi il pc si riavvia ) bisogna agire dall'esterno con un CD Live. Guarda qui al punto 4.
Io son stato fortunato, perchè Kaspersky mi ha permesso si entrare in provvisoria, poi con MBAM ho risolto definitivamente. Non ho usato altri software come qui vengono suggeriti, ma non è detto che quello che è successo a me sia una costante.



kocis98
Inviato: Thursday, February 14, 2013 8:19:42 AM
Rank: AiutAmico

Iscritto dal : 1/18/2001
Posts: 207
i programmi lo scaricati ma come li devo usare ,siccome devo andare a casa del mio amico afarlo
come vado indietro con win 7non ho trovato questa voce
kocis98
Inviato: Thursday, February 14, 2013 8:22:41 AM
Rank: AiutAmico

Iscritto dal : 1/18/2001
Posts: 207
ma combo fix lo metto su una chiavetta e parte appena accendo il pc oppre no

ma toglietemi una curiosita' siccome poi questo pc lo devo formattare il virus poi scompare oppure no
e in ogni caso devo prima salvare 5 file su una chiavetta come posso fare ,perche se non mi entra in provvisoria non riuscirei ,se invece uso ubunto riesco ad entrare dentro e salvare oppure mi blocca lo stesso il tutto
r16
Inviato: Thursday, February 14, 2013 7:04:28 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
kocis98 ha scritto:
ma combo fix lo metto su una chiavetta e parte appena accendo il pc oppre no

Se hai il pc bloccato,non serve a niente mettere Combofix su una chiavetta.
Commenta:
e in ogni caso devo prima salvare 5 file su una chiavetta come posso fare

Si deve far ripartire il pc.....
Avendo Win 7 lo si può far partire con una procedura dedicata:
Possiedi una pennetta formattata?

Se sì, scarica nella pennetta questo file:

http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/ (per S.O a 64 bit)

http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/ (per S.O a 32 bit)

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Clicca su Ripristina il computer tra le opzioni disponibili (in alto)
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni
Commenta:
Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt


Seleziona Prompt Dei Comandi

Nel Prompt dei Comandi scrivi notepad e premi Invio.

Si aprirà un file di testo
Nel menu in alto clicca file e seleziona Apri.

Cerca la lettera a cui è riferita la pennetta usb.

Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.

Una volta identificata la lettera della pennetta:

Nel Prompt dei comandi digita E:\frst.exe dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.

Clicca Invio

Il tool si avvierà.
Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Postalo qui.

Per postare il log:

Collegati ad internet e vai alla pagina WikiSend:
http://www.wikisend.com/
Clicca sul bottone "Sfoglia"
Seleziona il file appena salvato
Clicca su Upload file
Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati:
Download Link / Forum Link
Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.

N.B:
Questa procedura al momento non elimina niente.
Serve solo a localizzare dove si trova il virus, per poi eliminarlo in un secondo momento tramite un apposito script.

kocis98
Inviato: Friday, February 15, 2013 12:08:51 AM
Rank: AiutAmico

Iscritto dal : 1/18/2001
Posts: 207
ciao per adesso sono riuscito a fare partire combofix poi se non va provo la procedura di r16

posto log di combofix

ComboFix 13-02-13.02 - Administrator 14/02/2013 23:34:56.2.4 - x86
Microsoft Windows Embedded Standard 6.1.7601.1.1252.39.1040.18.1719.1090 [GMT 1:00]
Eseguito da: F:\ComboFix.exe
* Creato nuovo punto di ripristino
.
.
((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\3146247.js
c:\programdata\3146247.pad
c:\users\ADMINI~1\AppData\Local\Temp\7zS2D1B\HPSLPSVC32.DLL
c:\users\Administrator\7426413.dll
c:\users\Administrator\AppData\Local\Temp\7zS2D1B\HPSLPSVC32.DLL
c:\windows\IsUn0410.exe
c:\windows\system32\Attivazione Automatica Office
c:\windows\system32\Attivazione Automatica Office\KMS.exe
c:\windows\system32\Attivazione Automatica Office\ospp.vbs
c:\windows\system32\Attivazione Automatica Office\osppc.dll
c:\windows\system32\Attivazione Automatica Office\ospprearm.exe
c:\windows\system32\Attivazione Automatica Office\Setup_0.exe
c:\windows\system32\Attivazione Automatica Office\Setup_1.exe
c:\windows\system32\Attivazione Automatica Office\slerror.xml
c:\windows\system32\Attivazione Automatica Office\StartX.exe
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\XSxS
lls caricate dai processi in esecuzione ---------------------
.
- - - - - - - > 'Explorer.exe'(3764)
c:\program files\Epson Software\Easy Photo Print\EPTBL.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\windows\system32\psxss.exe
c:\windows\system32\AUDIODG.EXE
c:\windows\system32\taskhost.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\windows\system32\CISVC.EXE
c:\windows\system32\inetsrv\inetinfo.exe
c:\windows\KMService.exe
c:\windows\system32\conhost.exe
c:\windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
c:\windows\System32\tcpsvcs.exe
c:\windows\System32\snmp.exe
c:\windows\system32\conhost.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\DllHost.exe
.
**************************************************************************
.
Ora fine scansione: 2013-02-14 23:43:55 - Il pc è stato riavviato
ComboFix-quarantined-files.txt 2013-02-14 22:43
.
Pre-Run: 68.016.214.016 byte disponibili
Post-Run: 68.139.122.688 byte disponibili
.
- - End Of File - - BEE094C467D800EC766673534F926F7B
devo postare anche tutto quel file lungo oppure basta questo
pidue
Inviato: Friday, February 15, 2013 2:06:21 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
c:\programdata\3146247.pad
c:\users\ADMINI~1\AppData\Local\Temp\7zS2D1B\HPSLPSVC32.DLL
c:\users\Administrator\7426413.dll
c:\users\Administrator\AppData\Local\Temp\7zS2D1B\HPSLPSVC32.DLL


Eccolo qua il fetente.




r16
Inviato: Friday, February 15, 2013 5:52:42 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
kocis98 ha scritto:
ciao per adesso sono riuscito a fare partire combofix poi se non va provo la procedura di r16

Se sei riuscito a fare la scansione con Combofix, non serve fare la procedura che ho indicato.
Il pc dovrebbe riavviarsi normalmente.
Commenta:
devo postare anche tutto quel file lungo oppure basta questo

Era meglio se postavi tutto il log di Combofix.
Si poteva guardare se c'erano altre infezioni, che accompagnavano il virus.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.