PDA

Visualizza versione completa : Virus e Spyware Nuovo virus polizia di stato



stouscendopazzoancora
06-12-12, 13: 24
cari amici, il mio portatile oggi è incappato nel virus della polizia di stato, ormai famoso, e c'è addirittura una finestra dove si vede la web cam,...per cortesia mi dite la procedura esatta e sicura?
sul web ce ne sono tante, ma creano sempre problemi...per favore:)
e grazie

Aggiornamento: ho notato che se avvio il pc premendo F8, non mi compare nessuna opzione(tipo prompt o modalità provvisoria), ma mi dice solo che sistema operativo voglio avviare

Aggiornamento 2: se avvio il pc disattivando il wireless parte, ma appena avvio la rete wireless e il browser mi ricompare il virus..
per favore aiuto

LadyHawke
06-12-12, 15: 15
Ti chiede che sistema operativo avviare (ne hai più di uno?) oppure ti chiede con quale dispositivo di boot vuoi avviare? (Hard Disk, CD-ROM, etc).
Se è valida la seconda, seleziona l'hard disk e premi velocemente ancora F8 per accedere alle modalità.

Le varianti sono diverse, quindi anche le procedure: se puoi arrivare alla provvisoria controlla in esecuzione automatica se c'è un file strano .dll che finisce per 0 ed eliminalo, (o almeno toglilo dall'avvio). Disconnettiti dalla rete: il virus è generalmente attivo (tranne qualche variante più cattiva) solo se sei connesso.
Dopo, generalmente una passata di Combofix mette a posto le cose, però ti ripeto, dipende la variante può essere che si debba provvedere in altra maniera

:bai

stouscendopazzoancora
06-12-12, 15: 23
no lady, ho un solo sistema operativo e mi chiede proprio quale avviare, infatti sembra strano anche a me...ad ogni modo come entro nella provvisoria??....
ripeto io se tengo disattivato il wireless il pc parte....cioè meglio agire dalla provvisoria(se mi dici come arrivarci) o va bene anche da pc avviato normalmente senza wireless?
una volta avviato cosa devo fare??
come ti dico che variante è?
mi posti anche il link aggiornato di combofix qui per favore?..il mio sistema operativo è XP


AGGIORNAMENTO(ma vale ancora quello su esposto):
allora, nell'attesa della risposta di lady, io ho fatto cosi'...
1) ho avviato il pc senza wireless, quindi normalmente e sono riuscito a fare una scansione con malwarebytes antimallware che mi ha trovato un virus, del tipo "EXPLOIT.DROP.GS", nel seguente percorso: C:\Documents and settins\Nome mio\Impostazioni Locali\Temp\wlsidten.dll;
2) come suggerito da lady sono andato in esecuzione automatica e ho trovato il seguente file :runctf; cliccandoci su col destro sono andato in proprietà e questo è il risultato:
Percorso: system32
Destinazione:
C:\windows\system32\rundll32.exe C:\DOCUME-1\MIONOME-1\IMPOST-1\TEMP\wlsidten.dll.H1N1

quindi c'è qualcosa ma sembra in percorsi diversi...
cosa faccio e come procedo???
(lo cancello tramite mallwarebytes o devo farlo manualmente?
e quello in esecuzione automatica?
meglio agire sempre da modalità provvisoria o va bene da modalità normale? dovendo ripetere tutta la scansione però)
aiutami e grazie

Asterix
06-12-12, 16: 19
Cancella entrambi i files (da mod provvisoria) e poi lancia mallwarebytes

:bai

PS. i percorsi sono uguali.

Modalità prov.


spegnete il computer e fatelo ripartire in “modalità provvisoria” tenendo premuto (durante la fase di avvio) il tasto “F8”; [tratto da http://www.collectiontricks.it/forum/technews/Ct4628-virus-finta-polizia-postale.html]]

stouscendopazzoancora
06-12-12, 23: 45
bene ho cancellato in modalità provvisoria sia il file .dll che era in esecuzione automatica, sia il file wlsidten.dll, che era nel seguente percorso C:\Documents and settins\Nome mio\Impostazioni Locali\Temp\wlsidten.dll
ora il pc sembra andare!!!!
prima di mettere la spunta risolto, volevo sapere se devo fare altro, tipo una passata con combofix o ancora altro...e se si mi postereste i link dei vari programmi da usare?
grazie

Asterix
07-12-12, 13: 05
Per me puoi eseguire una scansione con malwarebytes

:bai

Asterix
08-12-12, 08: 24
Su consiglio di un nostro vecchio amico ti consiglio anche la scansione con combofix e fss (http://www.bleepingcomputer.com/download/farbar-service-scanner/), a quanto pare su alcune versioni si nasconde anche dell'altro dietro questo simpaticone.

:bai

stouscendopazzoancora
12-12-12, 19: 18
l'ultima volta che usai combofix il pc ando' a put...avrei paura...
voi che dite?

LadyHawke
12-12-12, 22: 33
Lo uso mediamente due/tre volte al giorno su PC diversi e non mi ha mai fatto fuori niente... che vuoi che ti dica? :boh
Comunque, se tu avessi effettivamente eliminato i file del malware (se non ti appare più la PdS dovrebbe essere così), Combofix potrebbe non essere più necessario, ma soprattutto in mancanza di questo, l'altro tool indicato da Asterix lo passerei per verificare la presenza di rootkit.

:bai

Andy86
12-12-12, 23: 17
:bai

Probabilmente si riferisce al fatto che combofix resetta parecchie impostazioni, tipo IE come browser predefinito, alcuni collegamenti di windows, tutte le impostazioni di "centro sicurezza pc", e non ricordo cos'altro... se il pc ha alcune impostazioni personalizzate potrebbe essere tedioso ripartire da capo.

alegiog8
25-12-12, 18: 52
ciao-dovresti andare in modalita provvisoria...spegni il computer dall'interrutore generale visualizza schermata con le varie opzioni tra cui modalita provvisoria...clicca su start e cerca esecuzione automatica e clicca ..sotto appare la scritta runctf... elimina nel cestino e poi svuota il cestino...poi riavvia il computer

Kirk78
28-12-12, 19: 53
Tra qualche giorno io utilizzerei il pulsante risolto se il PC va bene.

Devo condividere un'informazione con il mio caro CT

ATTENZIONE: c'è una versione del virus che cripta i dati! Quindi ricordate di fare i backup perchè se non avete una versione "originale" di un file criptato è molto difficile decriptarli :furious

:bai

stouscendopazzoancora
25-10-13, 03: 57
il problema è risolto...anche se ne resta uno strascico al quale faccio riferimento in altra discussione..quindi continuiamo li..grazie ancora...
come sempre i numeri 1:sisi:sisi