Pagina 1 di 2 12 UltimoUltimo
Mostra risultati da 1 a 10 di 15

Discussione: Phishing Carabinieri

  1. #1
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    Roma
    Messaggi
    7,186
    Grazie dati 
    251
    Grazie ricevuti 
    429
    Ringraziato in
    355 post

    Phishing Carabinieri

    Ho per le mani un netbook Toshiba interessato dal phishing truffa finta multaCarabinieri.
    CARAB.jpg
    Videata phishing multa Carabinieri
    Mi danno per certo che è stato contratto una decina di giorni fa.
    La condizione di funzionamento anomala consiste nella comparsa fissa dell'immagine di cui sopra . Tale videata compare subito dopo le operazioni di accesso (username e password) da parte dei tre utilizzatori del computer sia in modalità normale che in modalità provvisoria.
    E' preclusa ogni possibile manovra compreso lo spegnimento.
    Con ERD Commander 2009 non si riesce, tra quelli recentemente introitati, a rilevare il file anomalo da rimuovere. In rete si accenna ad un file wbt.....exe od ad una 0*.dll.lnk ma non riesco a trovarle.
    Pare che con un phishing analogo ( Guardia di Finanza) si riesca ad entrare In modalità provvisoria per la rimozione.
    Nel mio caso sembra che abbiano perfezionato il sistema.
    C'è qualche anima buona che può suggerire qualche dritta.
    Il Netbook non è di mia proprietà e mi è, al momento, preclusa l'autorizzazione ad un formattone.
    Scusatemi la s ribattuta del titolo che non so come si può correggere.



    Ultima modifica di calaf; 04-04-12 alle 22: 44.

    Rispondi citando Rispondi citando Il mio PC

  2. # ADS
    Google Adsense Circuito Adsense
    Data registrazione
    da sempre
    Località
    mondo google
    Messaggi
    molti
     
  3. #2
    Data registrazione
    Aug 2009
    Sesso
    Donna
    Messaggi
    1,323
    Grazie dati 
    341
    Grazie ricevuti 
    1,797
    Ringraziato in
    719 post

    Riferimento: Phisshing Carabinieri

    Ciao Calaf,

    intanto devi rimanere scollegato da internet mentre lavori.
    Se c'è Windows XP e la Mod. provvisoria non funziona prova a avviare in "modalità provvisoria con prompt dei comandi"
    Nel pannello del terminale (CMD) scrivi taskmgr e dai invio (dovrebbe aprirsi il Task manager)
    Spostati sul tab "Applicazioni" e premi "Nuovo processo": nella finestra che appare scrivi explorer e dai invio
    Dovrebbe resettarsi la shell di windows senza la schermata incriminata
    A quel punto una passata con Combofix, una con CCleaner e una con le Glary Utilies (modulo per ripulire il Registro di sistema)
    Controlla anche i componenti aggiuntivi dei browser

    Correggo io il titolo, facci sapere


    Rispondi citando Rispondi citando Il mio PC

  4. #3
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    Roma
    Messaggi
    7,186
    Grazie dati 
    251
    Grazie ricevuti 
    429
    Ringraziato in
    355 post

    Riferimento: Phishing Carabinieri

    Erano le indicazioni che cercavo.
    infatti, smanettando, sono riuscito al momento a partire optando di avviare il PC da una configurazione precedente sicuramente funzionante( cito a memoria).
    Entrando come utente mi ricompare la videata truffa.
    Entrando come amministratore la videata truffa è sostituita da una schermata di cortesia Toshiba Choose freedom.
    Stavolta però pur non riuscendo ad andare avanti, diversamente da prima mi è permesso accedere con Ctrl+Alt+Del al Task manager e digitando msconfig su nuovo processo ho optato per disabilita tutto sulla finestra avvio non ottenendo alcun risultato.
    Tornato in CT per aggiornare il post ho avuto modo di leggere i tuoi preziosi consigli che metterò in pratica per poi riferirne gli esiti.

    Aggiornamento

    Sti hackers russi sono proprio f......

    Bene.
    In condizioni di poter operare col Task Manager disponibile ho effettuate tutte le operazioni prospettatemi e, previo scaricamento dalla rete delle versioni portable dei tre programmi di pulizia indicatimi, ho eseguite più volte le scansioni per la rimozione del malware dalla videata di explorer resasi accessibile con l'appropriata digitazione su nuovo processo.
    Subito dopo l'ultimazione dei 50 stage di Combofix (effettuata dopo CCleaner) sembrava che tutto fosse tornato a posto.
    Riavviavo il netbook (senza collegamento in rete) ed accedevo regolarmente sia all'utente Cxxxxx (senza password) sia all'amministratore (con).
    Mi allontano pochi minuti per venire ad aggiornare questo 3d e per scrupolo prima di rispondere vedo se è tutto in ordine nel netbook.
    E' ricomparsa la schermata truffa.
    Stavolta non mi è neanche data la possibilità di avviare in modalità provvisoria da prompt.
    Posso accedere solo con ERD Commander 2009 ma da explorer non mi fa partire Combofix.
    Ad ogni buon fornisco di seguito il log di questultimo anti malware.
    Se lo potete, ricordatemi i comandi d'avvio per la reinstallazione dell'OS dalla partizione nascosta.
    In rete non è ben chiaro il nome dell'exe o della dll da cancellare manualmente.
    Qualcuno li conosce?

    di seguito il log di Combofix:
    Codice:
    Only registered members can view code.
    Ultima modifica di Asterix; 05-04-12 alle 18: 43. Motivo: inserito tag code

    Rispondi citando Rispondi citando Il mio PC

  5. #4
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    Roma
    Messaggi
    7,186
    Grazie dati 
    251
    Grazie ricevuti 
    429
    Ringraziato in
    355 post

    Riferimento: Phishing Carabinieri

    Spero al momento d'aver risolto.
    Partecipo ai forummisti la soluzione che è d'una vergognosa banalità.
    Da un drive CD esterno ho lanciato la ISO di Erd Commander 2009.
    Ho skippato l'opzione di configurazione rete.
    Ad avvio consolidato ho da Start operato la scelta Erd System Wizard che m'ha guidato fino al ripristino d'una configurazione funzionante di Febbraio.
    Sembra che rifunzioni tutto.
    Ho consigliato al mio amico di far a meno di MS Essential Security e di installare un buon antivirus.
    Ultima modifica di calaf; 06-04-12 alle 19: 51.

    Rispondi citando Rispondi citando Il mio PC

  6. #5
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    /home
    Messaggi
    429
    Grazie dati 
    177
    Grazie ricevuti 
    153
    Ringraziato in
    109 post

    Riferimento: Phishing Carabinieri

    E adesso? Log puliti?

    E come il tizio ha fatto a prenderlo? (se ce lo puoi dire) Un sito in particolare?

    Rispondi citando Rispondi citando Il mio PC

  7. #6
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    Roma
    Messaggi
    7,186
    Grazie dati 
    251
    Grazie ricevuti 
    429
    Ringraziato in
    355 post

    Riferimento: Phishing Carabinieri

    Come puoi constatare dal log di Combo è una tizia che mi a passato la grana......per interposta persona (l'amministratore della rete).
    So solo che è un'addetta alla segreteria.
    Ad ogni buon fine vista la perdita di tempo che m'è costata con il link (prima riga post #4 di questo 3D) ho messo in rete la soluzione.
    Speriamo che leggendola non disabilitino nel phishing il ripristino della configurazione.

    Rispondi citando Rispondi citando Il mio PC

  8. #7
    Data registrazione
    Apr 2012
    Messaggi
    47
    Grazie dati 
    10
    Grazie ricevuti 
    3
    Ringraziato in
    2 post

    Riferimento: Phishing Carabinieri

    Citazione Originariamente scritto da calaf Vedi messaggio
    Spero al momento d'aver risolto.
    Partecipo ai forummisti la soluzione che è d'una vergognosa banalità.
    Da un drive CD esterno ho lanciato la ISO di Erd Commander 2009.
    Ho skippato l'opzione di configurazione rete.
    Ad avvio consolidato ho da Start operato la scelta Erd System Wizard che m'ha guidato fino al ripristino d'una configurazione funzionante di Febbraio.
    Sembra che rifunzioni tutto.
    Ho consigliato al mio amico di far a meno di MS Essential Security e di installare un buon antivirus.
    Forse qulacosa che mi dà qualche speranza. Io ho un problema con il tuo stesso virus. Ho provato a effettuare il ripristino dal CD di Windows ma niente da fare: sia da dos che da modalità provvisoria appare la famigerata schermata; però mi chiedo se uso Erd Commander e va a cercarsi i file su c:\windows non mi riporto il problema? Al momento non so come entrarci per far partire combofix e gli altri antivirus

    Rispondi citando Rispondi citando

  9. #8
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    Roma
    Messaggi
    7,186
    Grazie dati 
    251
    Grazie ricevuti 
    429
    Ringraziato in
    355 post

    Riferimento: Phishing Carabinieri

    Prima di tutto non è un virus vero e proprio.
    Per non ripetermi, nel post #4 la prima riga in colore è un link sul quale cliccare per leggere la soluzione rilasciata on line che peraltro è riportata anche in questo 3D.
    I principali elementi per venirne a capo sono 2:
    - Prima di tutto accertarsi di non aver optato per la disabilitazione del ripristino da una configurazione precedente. In questo caso non conosco un sistema alternativo se non quello di recuperare i file importanti copiandoli su altra partizione con ERD Commander o con una live di Linux o GParted. Con GParted è anche possibile creare una nuova partizione recuperandola sullo spazio libero dell'HDD sul quale, al limite, installare in dual boot un SO dal quale accedere ai dati da salvare.
    - Procurarsi una ISO di Erd Commander adatta al tipo di SO Windows. In rete se ne trova una in francese per Vista o Win 7 e parecchie per XP.
    Ovviamente per me è stato facile perchè il mio PC era efficiente e disponevo di un masterizzatore CD esterno e quindi non ho dovuto richiedere ad un amico compiacente di procurarmi il necessario in rete su una pennetta USB.
    Optando in BIOS per l'avvio da CD (o da USB) ERD Commander, che in definitiva è una Live di Windows, ad avvio avvenuto fa accedere da Start (o logo quadricromo circolare) all'opzione Erd Commander Wizard. Da quì si è guidati in inglese al ripristino di una configurazione funzionante da scegliere tra quelle con data precedente all'infezione.
    Il sistema di partire da una configurazione sicuramente funzionante che appare sulla schermata nera all'avvio di Windows quendo lo si è in precedenza spento rudemente non è valida.
    Rimango a tua disposizione per chiarimenti.
    Ultima modifica di calaf; 16-04-12 alle 16: 39. Motivo: errore di battuta

    Rispondi citando Rispondi citando Il mio PC

  10. #9
    Data registrazione
    Aug 2009
    Sesso
    Donna
    Messaggi
    1,323
    Grazie dati 
    341
    Grazie ricevuti 
    1,797
    Ringraziato in
    719 post

    Riferimento: Phishing Carabinieri

    Si stanno evolvendo . La scorsa settimana me ne è capitato uno che non c'è stato modo di riaccendere al sistema senza quella schermata, né in modalità provvisoria né con il prompt dei comandi: ho risolto con il RescueDisk Kaspersky che ha eliminato quel tanto da poter riaccendere al sistema e procedere con le normali scansioni (combofix, malwarebytes, pulizia temp e registro)


    Rispondi citando Rispondi citando Il mio PC

  11. #10
    Data registrazione
    Jan 2010
    Sesso
    Uomo
    Località
    Roma
    Messaggi
    7,186
    Grazie dati 
    251
    Grazie ricevuti 
    429
    Ringraziato in
    355 post

    Riferimento: Phishing Carabinieri

    Però con Erd Commander ci si riesce ne ho avuto conferma in un altro caso (Polizia Postale)
    Ho paura che se si infurbiscono disattivano Ripristino configurazione.
    Tuttavia i dati con un linux live si possono recuperare.

    Rispondi citando Rispondi citando Il mio PC

Segnalibri

Regole di scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
Cookies:direttiva 2009/136/CE (E-Privacy)

Il sito utilizza cookies propri e di terze parti per maggiori informazioni faq - Termini di servizio - Cookies
Il forum non puo' funzionare senza l'uso dei cookies pertanto l'uso della community è vincolato dall'accettazione degli stessi, nel caso contrario siete pregati di lasciare la community, proseguendo la navigazione acconsenti all’uso dei cookie