PDA

Visualizza versione completa : Virus e Spyware Virus Polizia di Stato: quando non si riesce a bloccarlo



LadyHawke
26-01-13, 12: 15
Mi è capitata ultimamente una qualche variante del malware che non si riesce a bloccare né con la Modalità Provvisoria, né con La Modalità provvisoria e il prompt dei comandi perchè apparentemente non c'è il processo che lo avvia da bloccare con taskmanager, né riesce a fermarlo il RescueCD di Kasperky....
Decisamente invecchio e non ci ho pensato prima (invece di fare lunghe scansioni con il suddetto CD di KAV), perchè è proprio una scemata: basta entrare in Modalità provvisoria con il prompt dei comandi, individuare la lettera che identifica la pendrive a tentativi, copiare Combofix dalla chiavetta su C: con il comando copy combofix.exe c:, posizionarsi su C: con il comando c: e lanciare da lì Combofix

:bai

Kirk78
26-01-13, 20: 17
Ultimamente me ne sono trovati parecchi tra le mani di questi virus, uno diverso dall'altro!

né riesce a fermarlo il RescueCD di Kasperky
Visto che comunquesia una prova con il RescueCD di Kaspersky si fa, se non erro c'è anche un file manager da lì... oppure ho detto una "bischerata" e il vostro anziano Kirk78 è meglio che va all'ospizio (senza pensione ovviamente)?

Io comunque, visto che una delle varianti è quella che cripta i tuoi dati personali, utizzo SoSlax (http://www.collectiontricks.it/forum/guide-sistemi-operativi-software/Ct562-windows-non-si-avvia-salviamo-salvabile.html) per copiare i dati importanti (non si sa mai) e da lì si può nel caso anche copiare combofix se le "normali" procedure non funzionano.

Se la variazione del virus della polizia (finanza o altro) cripta i dati è necessario avere almeno una copia non criptata di un file ... altrimenti è dura reimpossessarsi dei propri file.

Copio i dati sopratutto perché una delle versioni che cripta i dati, ogni tanto si diverte a criptarli di nuovo. Consiglio quindi: prima copiare i dati importanti e poi fare tutte le varie soluzioni per debellare questo virus.

Piccola cosa: alcuni hanno anche pagato. Oltre ad essere inutile si danno soldi a quelle (censured) :furious (censured) che ti hanno bloccato il PC. Insomma NON FATELO MAI oppure vengo lì :oo2

Imho :fleurs

:bai

LadyHawke
27-01-13, 18: 27
se non erro c'è anche un file manager da lì
Si, mi pare di si, ma onestamente uso il RescueCD se non ho altra scelta e non sempre lo faccio personalmente. Purtroppo devo pensare anche alle tempistiche: una scansione con il RescueCD dura ore (spesso devo lasciare i PC accesi in pausa pranzo o anche di notte).... se poi non mi porta a nulla, con una media di 2/3 PC da disinfettare al giorno, non ci stò con i tempi né con le postazioni occupate in laboratorio.
Come dici tu dovrei avviare il KAV, copiare il file e riavviare comunque in Provvisoria con il prompt per lanciare il Combofix, perciò preferisco a questo punto bypassare il KAV, due comandini in DOS li so ancora mettere :bgg2

:bai

Kirk78
06-02-13, 20: 41
Che ricordi il DOS :sisi
Mi è capitato per caso oppure quando lanci il RescueCD di Kaspersky (da boot) ti installa anche una directory su C: :shock
E' capitato anche a te dolce :fleurs ed attenta LadyHawke?
La cosa un po' mi irrita.

:bai

LadyHawke
06-02-13, 21: 08
La cosa un po' mi irrita.

Non deve.
Se si pensa all'utilità di certi sistemi, che spesso comporta una certa complessità, non si può pretendere oggi che tutto quel ben di Dio possa lavorare solo in Ram: credo che ci si possa adeguare ad un piccolo appoggio (anonimo e inerme) su disco se ciò assicura stabilità, migliori performance e/o maggiori opzioni presenti nel software, non credi?

:bai

Andy86
06-02-13, 21: 32
non si può pretendere oggi che tutto quel ben di Dio possa lavorare solo in Ram:

Le live di linux lo fanno benissimo, e ci fai quasi tutto.
D'altronde i pc di oggi sono pieni di ram, a volte neanche ci rendiamo più conto di quanta ne sbattiamo su. :ghgh

LadyHawke
06-02-13, 22: 49
Le live di linux lo fanno benissimo, e ci fai quasi tutto.

Vero, però da ignorante totale a livello programmazione quale sono, anche se questi CD sono Linux based, magari per le particolari funzioni che hanno e per le architetture con le quali devono andare ad interagire, per qualche motivo avranno bisogno di un minimo appoggio fisico :boh


i pc di oggi sono pieni di ram, a volte neanche ci rendiamo più conto di quanta ne sbattiamo su. :ghgh
Vero anche questo e sono d'accordo con te che spesso si cade nel ridicolo, ma suppongo che, dopo la funzionalità del software, uno dei primi obiettivi del programmatore sia una compatibilità quanto più ampia possibile con il parco macchine esistente, per cui un programmatore relativamente onesto deve considerare che di PC vecchiotti ce ne sono ancora parecchi... in caso contrario andrebbe ad aumentare la cordellina fra certi produttori che ti fanno buttar via software e hardware che loro decidono non sia più compatibile :eye

:bai

Andy86
06-02-13, 23: 08
Teoricamente l'appoggio sul disco fisico serve solo se si vogliono mettere dei dati permanenti, tipo dei settaggi, che si vuole non vadano persi al riavvio.

A ben pensare, essendo una live di un antivirus, quella cartella potrebbe benissimo essere un cestino. :m:

Kirk78
07-02-13, 04: 27
Mi sembra assurdo di non essere daccordo con la nostra mitica LadyHawke ma concordo pienamente con Andy86. Non può esistere che una liveCD, sopratutto se linux based, "sporchi" il disco fisso con un suo cestino come lo ha definito Andy86.
Una liveCD, qualunque essa sia, rimane e resta solo in ram altrimenti non si chiamerebbe LiveCD. Dal vivo senza intaccare il disco fisso.
Da quello che dicete quindi il mio timore era corretto e non era un caso.

Devo dire che solo quello mi "intacca" il disco C. E ne ho passati di tutti i tipi e di tutti i vari produttori. Mi sono accorto per caso che un PC dopo avere caricato in boot il RescueCD di Kasperky aveva questa cartella. Speravo fosse un caso, ma a quanto vedo non lo è.

Io, ahimè, sono un po' esperto anche in programmazione e lasciare una traccia su un disco che non è quello destinato al lavoro è cattiva programmazione.

E' come dire che un programma portable scrive sul registry o su cartelle di sistema: NON è portable. Per lo stesso motivo una liveCD NON deve "sporcare" il disco.

Forse il RescueCD di Kasperky NON è una liveCD. Adesso lo sappiamo, ma è meglio saperlo prima di fare il boot.

:bai

Clairvoyant
10-02-13, 11: 02
Se pensate che Kaspersky Rescue Disk non è una live di Linux fine a se stessa, ma la sua funzione principale è essere un AV che funziona sfruttando un ambiente live Linux per i motivi che credo tutti ben conosciamo, non vedo perchè non dovrebbero esserci cartelle sull'HD, anzi sarebbe un male se non ci fossero.

E' da un bel pò che non lo uso ed ora non ho il tempo di mettermi a provare, ma quasi sicuramente in quelle cartelle ci saranno le impostazioni di connessione ed altre, gli aggiornamenti delle firme e cosa più importante di tutte la quarantena.

Voi usereste un AV o qualsiasi altro software che operi su sistema e registro senza alcun tipo di backup?
Io no.:eye

:bai

LorPan87
10-02-13, 14: 08
Posso darvi la mia (stupidissima) soluzione testata ben 10 minuti fa?
Da un paio di giorni mi hanno affidato un pc infettato da questo virus. Cercando in rete ho trovato diverse soluzioni, tra le quali quella di utilizzare Kaspersky Rescue Disk per sistemare alcune voci di registro, ma penso sia inutile dirvi che nessuna di queste soluzioni ha funzionato!
Non riuscivo ad avviare il pc né in modalità, diciamo, tradizionale né in modalità provvisoria, allora, come "ultima spiaggia", ho deciso di avviarlo in modalità provvisoria con prompt dei comandi e tramite il comando net user administrator /active:yes ho attivato la visualizzazione dell'utente Amministratore. Fatto questo, con il comando net user administrator password (dove "password" indica la password desiderata) ho creato una password per l'utente ed ho riavviato il pc. A questo punto, anziché eseguire il login con l'utente predefinito, mi sono loggato con l'utente Amministratore e... il virus non entra in funzione! Ho installato sul pc Spybot ed ho eseguito una scansione, ho eliminato tutti i programmi che si avviavano in automatico all'accensione del computer ed infine ho fatto una seconda scansione, questa volta online, con Panda Active Scan eliminando tutti i problemi trovati. Risultato: sembrerebbe che il pc sia tornato a funzionare correttamente anche dopo svariati riavvii di sistema! :)
Spero di esservi stato in qualche modo utile!
:bai

Kirk78
12-02-13, 11: 47
Se pensate che Kaspersky Rescue Disk non è una live di Linux fine a se stessa, ma la sua funzione principale è essere un AV che funziona sfruttando un ambiente live Linux per i motivi che credo tutti ben conosciamo
Ce ne sono tante liveCD Anti Virus ma nessuna mi copia, a meno che non glielo dica io, cose sul disco C (neanche una partizione a mia scelta).


non vedo perchè non dovrebbero esserci cartelle sull'HD, anzi sarebbe un male se non ci fossero.

E' da un bel pò che non lo uso ed ora non ho il tempo di mettermi a provare, ma quasi sicuramente in quelle cartelle ci saranno le impostazioni di connessione ed altre, gli aggiornamenti delle firme e cosa più importante di tutte la quarantena.

Voi usereste un AV o qualsiasi altro software che operi su sistema e registro senza alcun tipo di backup?
Quando ho tempo, o meglio quando lo devo riutilizzare, vi do informazioni più dettagliate, ma mi sembra che copi TUTTO ciò che è sul CD programma compreso! C'è chi vocifera che è un modo per farti avere la pubblicità di Kaspesky anche quando non la usi più, o che la live è così pesante che si deve "appoggiare" (senza però poi cancellarla) su un disco fisso senza dirtelo.

Backup? Certo, ma visto che puoi salvare il log su pendrive o su una posizione che dico io, e quasi tutte le live hanno anche un File Manager per copiare i file infetti per la "quarantena" puoi tranquillamente copiarli dove vuoi tu (meglio su pendrive o su disco esterno) prima della cancellazione. Avira per esempio rinomina il file se non riesce a "ripulirlo", NON copia nulla su disco fisso e gli aggiornamenti delle firme (se fatte live) vengono messe sul disco ram che viene sempre creato da una qualsiasi liveCD.

Insomma non dico che KAV è pessimo, ma dovrebbe o comportarsi come le altre Live Anti Virus oppure dire espressamente che, cosa e dove ti copia sulla partizione di sistema.

Di solito poi è l'ultima chance quella di usare una liveCD di questo tipo perché il sistema non funziona più normalmente e neanche in temporanea, e quindi comunquesia devi fare un backup del disco prima come tutti, Kaspersky compreso, ti consiglia di fare perché alle volte i miracoli non si possono fare :triste

Il virus della Polizia, Finanza etc è tremendo alle volte, ma i vari produttori di AV si comportano in modo molto diverso, e quello di KAV non mi sembra proprio ... perfetto.

:fleurs

@LorPan87 grazie della tua esperienza condivisa :sisi. Il problema è ho trovato una versione del virus in questione che non da la possibilità di andare in provvisoria, neanche quella a prompt di comando :shock Fortunatamente LadyHawke e te parlate di versioni che possono accedere alla provvisoria con prompt di comando.

:bai

LadyHawke
11-01-14, 22: 00
Il problema è ho trovato una versione del virus in questione che non da la possibilità di andare in provvisoria, neanche quella a prompt di comando :shock Fortunatamente LadyHawke e te parlate di versioni che possono accedere alla provvisoria con prompt di comando.

TROVATO E ISOLATO su varianti del malware che non permettono di entrare nel sistema in nessun modo! :gogo

Quello che mi è capitato è un file dal nome random .JSS (es. 7adhfuh.jss) ed è posizionato:

Windows XP:
\windows\temp
\documents and settings\nomeutente\impostazioni locali\temp
\documents and settings\alluser\dati applicazioni

Windows 7/Vista
\windows\temp
\utenti\nomeutente\appdata\local\temp
\program data

Utilizzare una Live di Linux, eliminare il file nei suddetti percorsi e via :clap

:bai

Biancini Stefano
11-02-14, 00: 43
Ciao a tutti, anche a me è capitato di scontrarmi con questo obrobrio, ebbene dopo aver portato il PC un paio di volte dal tecnico, tentando e ritentando ho trovato un modo tutto mio per risolvere il problema, premetto che ho un window 7, ebbene se quando capita di spegnere il pc nell'atto che ti chiede se sei sicuro di voler spegnere conferma, annulla (circa mezzo secondo), premi il tasto annulla, il desktop ritorna senza l'effetto del virus dandoti la possibilità di cercare una soluzione, ebbene io, ancora con il virus on board, ho cercato l'eventuale nome su internet, ed in un sito ho trovato i nomi di 3 possibili varianti, ho cercato con everything questi file dal disco, (uno era presente) cancellandolo e cosi ho risolto il caso, praticamente spegnendo il pc e riaccendendolo, il virus non è più comparso, spero che questo possa essere di aiuto a qualcuno.
Grazie, cordialmente - Biancini Stefano:bai:hap

Armandillo
09-12-14, 14: 14
Ho deciso di rispodere poiche' proprie ieri l'altro ho avuto per le mani un portatile con il virus della polizia di stato.

Spiego:

questo portatile con Windows 7 Home dopo l'avvio e dopo circa 1 minuto presentava la temibile pagina non permettendo altro.
A questo punto dopo aver letto in rete piu' soluzioni ho provato quella che mi sembrava piu' semplice quindi come prima mossa ho provato ad entrare in modalita' provvisoria ma, non so se per colpa del virus o per colpa dello stesso portatile, dopo pochi secondi la modalita' non compariva e si riavviava Windows :boh

Dopo numerosi tentativi ho provato a ripristinare all'ultima configurazione funzionante e dopo ho riprovato la modalita' provvisoria...riuscita !!!
A questo punto ho proceduto così:

- ho preparato un cd con sopra CCleaner e Malwarebytes
- dalla modalita' provvisoria ho avviato il Task manager
- da lì ho avviato il cd (file_esegui nuova attivita') scegliendo CCleaner e l'ho installato
- con CCleaner ho eseguito la pulizia del registro e dal menu' "strumenti" ho disabilitato tutti i processi avviati
- senza uscire dalla modalita' provvisoria e con lo stesso metodo ho installato ed avviato Malwarebytes che ha trovato circa 283 file infetti...eliminati

Dopo questo primo passaggio ho avviato Seven normalmente e la pagina del virus non e' piu' comparsa.
Ho quindi ripetuto la pulizia con CCleaner e un ulteriore controllo con Malwarebytes.
A questo punto ho disattivato il "ripristino di configurazione" cancellando tutti i punti di ripristino ed ho cancellato tutti i file temporanei nella directory di Windows.

Dopo un reset ed un nuovo avvio ho ripristinato i processi disattivati in CCleaner e ricontrollato con Malwarebytes...niente di niente.

Secondo quanto avevo letto a questo punto il virus doveva essere debellato :sisi....ma siccome mi era sembrato tutto troppo facile ho pensato (bene) di fare un controllo con Hijackthis e, guarda un po', ho trovato 3 voci (se non ricordo male chiamate "cssr") col punto interrogativo, quindi sconosciute, che pero' riportavano evidenziato lo stesso IP che compariva nella pagina del virus della polizia :shock...le ho cancellate :sisi

Da quel momento in poi altri controlli effettuati non hanno evidenziato altri problemi.

Ho pensato che fosse utile condividere questa mia esperienza benche' non ricordi precisamente proprio tutti i passaggi...ma grosso modo sono questi. :bai

Kirk78
09-12-14, 15: 40
A quanto ne so Malwarebytes non basta a togliere eventuali altri software che sono entrati per colpa del virus della Polizia (occhio la polizia non c'entra nulla :eye) e che potrebbero rendere meno sicuro il PC e magari rifar entrare da una backdoor di nuovo il virus.
Se si ha un po' di tempo è sempre meglio passare più tool, oppure, come in oggetto, se non si riesce a sbloccarlo combofix come consigliato da LadyHawke.
Personalmente anche per me è l'ultima spiaggia essendo parecchio drastico come tool e non da opzioni di scelta. E un paio di volte mi ha dato problemi.

Come sempre: fate prima il backup dei file importanti!

Comunque tutte le esperienze sono buone a sapersi. :thx Armandillo :bai

danystreet
10-10-15, 14: 49
:bai a tutti...esperti di informatica ma la "cosa" consigliata da (lady) vale anche per Windows 8.1 ?
saluti...