PDA

Visualizza versione completa : Virus e Spyware Phishing Carabinieri



calaf
04-04-12, 22: 39
Ho per le mani un netbook Toshiba interessato dal phishing truffa finta multaCarabinieri.
1967
Videata phishing multa Carabinieri

Mi danno per certo che è stato contratto una decina di giorni fa.
La condizione di funzionamento anomala consiste nella comparsa fissa dell'immagine di cui sopra . Tale videata compare subito dopo le operazioni di accesso (username e password) da parte dei tre utilizzatori del computer sia in modalità normale che in modalità provvisoria.
E' preclusa ogni possibile manovra compreso lo spegnimento.
Con ERD Commander 2009 non si riesce, tra quelli recentemente introitati, a rilevare il file anomalo da rimuovere. In rete si accenna ad un file wbt.....exe od ad una 0*.dll.lnk ma non riesco a trovarle.
Pare che con un phishing analogo ( Guardia di Finanza) si riesca ad entrare In modalità provvisoria per la rimozione.
Nel mio caso sembra che abbiano perfezionato il sistema.
C'è qualche anima buona che può suggerire qualche dritta.
Il Netbook non è di mia proprietà e mi è, al momento, preclusa l'autorizzazione ad un formattone.
Scusatemi la s ribattuta del titolo che non so come si può correggere.


:triste:triste:boh

LadyHawke
04-04-12, 23: 50
Ciao Calaf,

intanto devi rimanere scollegato da internet mentre lavori.
Se c'è Windows XP e la Mod. provvisoria non funziona prova a avviare in "modalità provvisoria con prompt dei comandi"
Nel pannello del terminale (CMD) scrivi taskmgr e dai invio (dovrebbe aprirsi il Task manager)
Spostati sul tab "Applicazioni" e premi "Nuovo processo": nella finestra che appare scrivi explorer e dai invio
Dovrebbe resettarsi la shell di windows senza la schermata incriminata
A quel punto una passata con Combofix (http://www.bleepingcomputer.com/download/anti-virus/combofix), una con CCleaner e una con le Glary Utilies (modulo per ripulire il Registro di sistema)
Controlla anche i componenti aggiuntivi dei browser

Correggo io il titolo, facci sapere

:bai

calaf
05-04-12, 07: 54
Erano le indicazioni che cercavo.
infatti, smanettando, sono riuscito al momento a partire optando di avviare il PC da una configurazione precedente sicuramente funzionante( cito a memoria).
Entrando come utente mi ricompare la videata truffa.
Entrando come amministratore la videata truffa è sostituita da una schermata di cortesia Toshiba Choose freedom.
Stavolta però pur non riuscendo ad andare avanti, diversamente da prima mi è permesso accedere con Ctrl+Alt+Del al Task manager e digitando msconfig su nuovo processo ho optato per disabilita tutto sulla finestra avvio non ottenendo alcun risultato.
Tornato in CT per aggiornare il post ho avuto modo di leggere i tuoi preziosi consigli che metterò in pratica per poi riferirne gli esiti.

Aggiornamento

Sti hackers russi sono proprio f......

Bene.
In condizioni di poter operare col Task Manager disponibile ho effettuate tutte le operazioni prospettatemi e, previo scaricamento dalla rete delle versioni portable dei tre programmi di pulizia indicatimi, ho eseguite più volte le scansioni per la rimozione del malware dalla videata di explorer resasi accessibile con l'appropriata digitazione su nuovo processo.
Subito dopo l'ultimazione dei 50 stage di Combofix (effettuata dopo CCleaner) sembrava che tutto fosse tornato a posto.
Riavviavo il netbook (senza collegamento in rete) ed accedevo regolarmente sia all'utente Cxxxxx (senza password) sia all'amministratore (con).
Mi allontano pochi minuti per venire ad aggiornare questo 3d e per scrupolo prima di rispondere vedo se è tutto in ordine nel netbook.
E' ricomparsa la schermata truffa.
Stavolta non mi è neanche data la possibilità di avviare in modalità provvisoria da prompt.
Posso accedere solo con ERD Commander 2009 ma da explorer non mi fa partire Combofix.
Ad ogni buon fornisco di seguito il log di questultimo anti malware.
Se lo potete, ricordatemi i comandi d'avvio per la reinstallazione dell'OS dalla partizione nascosta.
In rete non è ben chiaro il nome dell'exe o della dll da cancellare manualmente.
Qualcuno li conosce?

di seguito il log di Combofix:

Only registered members can view code.

calaf
06-04-12, 08: 32
Spero al momento d'aver risolto. (http://www.anti-phishing.it/sicurezza-informatica/2012/04/01/2015)
Partecipo ai forummisti la soluzione che è d'una vergognosa banalità.
Da un drive CD esterno ho lanciato la ISO di Erd Commander 2009.
Ho skippato l'opzione di configurazione rete.
Ad avvio consolidato ho da Start operato la scelta Erd System Wizard che m'ha guidato fino al ripristino d'una configurazione funzionante di Febbraio.
Sembra che rifunzioni tutto.
Ho consigliato al mio amico di far a meno di MS Essential Security e di installare un buon antivirus.
:hap:sisi:bgg2

Ricky
07-04-12, 12: 14
E adesso? Log puliti?

E come il tizio ha fatto a prenderlo? (se ce lo puoi dire) Un sito in particolare?

calaf
07-04-12, 18: 52
Come puoi constatare dal log di Combo è una tizia che mi a passato la grana......per interposta persona (l'amministratore della rete).
So solo che è un'addetta alla segreteria.:boh
Ad ogni buon fine vista la perdita di tempo che m'è costata con il link (prima riga post #4 di questo 3D) ho messo in rete la soluzione.
Speriamo che leggendola non disabilitino nel phishing il ripristino della configurazione.

meringa
15-04-12, 21: 58
Spero al momento d'aver risolto. (http://www.anti-phishing.it/sicurezza-informatica/2012/04/01/2015)
Partecipo ai forummisti la soluzione che è d'una vergognosa banalità.
Da un drive CD esterno ho lanciato la ISO di Erd Commander 2009.
Ho skippato l'opzione di configurazione rete.
Ad avvio consolidato ho da Start operato la scelta Erd System Wizard che m'ha guidato fino al ripristino d'una configurazione funzionante di Febbraio.
Sembra che rifunzioni tutto.
Ho consigliato al mio amico di far a meno di MS Essential Security e di installare un buon antivirus.
:hap:sisi:bgg2

:cry3 Forse qulacosa che mi dà qualche speranza. Io ho un problema con il tuo stesso virus. Ho provato a effettuare il ripristino dal CD di Windows ma niente da fare: sia da dos che da modalità provvisoria appare la famigerata schermata; però mi chiedo se uso Erd Commander e va a cercarsi i file su c:\windows non mi riporto il problema? Al momento non so come entrarci per far partire combofix e gli altri antivirus

calaf
16-04-12, 16: 33
Prima di tutto non è un virus vero e proprio.
Per non ripetermi, nel post #4 la prima riga in colore è un link sul quale cliccare per leggere la soluzione rilasciata on line che peraltro è riportata anche in questo 3D.
I principali elementi per venirne a capo sono 2:
- Prima di tutto accertarsi di non aver optato per la disabilitazione del ripristino da una configurazione precedente. In questo caso non conosco un sistema alternativo se non quello di recuperare i file importanti copiandoli su altra partizione con ERD Commander o con una live di Linux o GParted. Con GParted è anche possibile creare una nuova partizione recuperandola sullo spazio libero dell'HDD sul quale, al limite, installare in dual boot un SO dal quale accedere ai dati da salvare.
- Procurarsi una ISO di Erd Commander adatta al tipo di SO Windows. In rete se ne trova una in francese per Vista o Win 7 e parecchie per XP.
Ovviamente per me è stato facile perchè il mio PC era efficiente e disponevo di un masterizzatore CD esterno e quindi non ho dovuto richiedere ad un amico compiacente di procurarmi il necessario in rete su una pennetta USB.
Optando in BIOS per l'avvio da CD (o da USB) ERD Commander, che in definitiva è una Live di Windows, ad avvio avvenuto fa accedere da Start (o logo quadricromo circolare) all'opzione Erd Commander Wizard. Da quì si è guidati in inglese al ripristino di una configurazione funzionante da scegliere tra quelle con data precedente all'infezione.
Il sistema di partire da una configurazione sicuramente funzionante che appare sulla schermata nera all'avvio di Windows quendo lo si è in precedenza spento rudemente non è valida.
Rimango a tua disposizione per chiarimenti.

LadyHawke
16-04-12, 19: 09
Si stanno evolvendo :boh. La scorsa settimana me ne è capitato uno che non c'è stato modo di riaccendere al sistema senza quella schermata, né in modalità provvisoria né con il prompt dei comandi: ho risolto con il RescueDisk Kaspersky (http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso) che ha eliminato quel tanto da poter riaccendere al sistema e procedere con le normali scansioni (combofix, malwarebytes, pulizia temp e registro)

:bai

calaf
16-04-12, 20: 26
Però con Erd Commander ci si riesce ne ho avuto conferma in un altro caso (Polizia Postale)
Ho paura che se si infurbiscono disattivano Ripristino configurazione.
Tuttavia i dati con un linux live si possono recuperare.

meringa
17-04-12, 09: 21
Prima di tutto non è un virus vero e proprio.
Per non ripetermi, nel post #4 la prima riga in colore è un link sul quale cliccare per leggere la soluzione rilasciata on line che peraltro è riportata anche in questo 3D.
I principali elementi per venirne a capo sono 2:
- Prima di tutto accertarsi di non aver optato per la disabilitazione del ripristino da una configurazione precedente. In questo caso non conosco un sistema alternativo se non quello di recuperare i file importanti copiandoli su altra partizione con ERD Commander o con una live di Linux o GParted. Con GParted è anche possibile creare una nuova partizione recuperandola sullo spazio libero dell'HDD sul quale, al limite, installare in dual boot un SO dal quale accedere ai dati da salvare.
- Procurarsi una ISO di Erd Commander adatta al tipo di SO Windows. In rete se ne trova una in francese per Vista o Win 7 e parecchie per XP.....

:sisi Ok, grazie. Io ho provato ad accedere al sistema con Avira rescue disk, mi ha ripulito da 9 "virus", però la scritta mi appare lo stesso e la shell di Avira non mi riconosce i comandi DOS. :shock Potresti per piacere indicarmi un link sicuro per Erd Commander, quelli che ho visitato non mi danno tanta sicurezza:bai

calaf
17-04-12, 13: 25
Per la verità l'ho cercato con Bit che (http://bit-che.softonic.it/) e scaricato con uTorrent (http://www.softonic.it/s/utorrent-download-italiano) ma non ho fatto caso a quale portale si sia collegato.
Il tutto non ha richiesto molto tempo perché Erd Commander per XP è Un File ISO di meno di 100 kB e per Vista e W7 di meno di 200kB

meringa
18-04-12, 14: 46
:sisi Ok, con Kaspersky ho ripulito :thx

calaf
20-04-12, 17: 29
Come l'hai lanciato?

meringa
21-04-12, 10: 33
Ho fatto il boot da CD, ho aggiornato il DB dell'elenco virus e poi ho fatto la scansione. Così ho ripristinato il sistema, poi però ho preferito formattare per riassestare dirver, registro di configurazione, ecc. :bai