UFFICIALE Virus Polizia di Stato/Guardia di Finanzia/Ukash : rimozione e supporto

[tecnico24]

Non voglio essere sopra le regole, scusami.
Il motivo dell'immagine l'avevo scritto subito. E' perchè l'altro computer è bloccato e io sto scrivendo da un pc non infetto.
Ho paura che se metto la chiavetta (che contiene il file che ci interessa) in questo pc, il virus passa anche a questo pc.

Non c'è motivo di preoccupazione , anche perchè il ransom non si diffonde tramite pendrive , almeno fino ad ora.
Procedi.

 

[AndreaG]

eccolo:
http://www.freefilehosting.net/frst_1

 

[tecnico24]

@AndreaG

non devi avviare FRST dagli strumenti di ripristino.
Segui attentamente le istruzioni a partire da ripristina il computer e riprova.

 

[rural]

Ho il pc di un amico che aveva questo virus, ho fatto la scansione da boot cd di Kaspersky e si è sbloccato, poi passato con mbam, bitdefender online, spybot e avg (installato), non ho usato combofix perchè avevo paura di fare dei danni; tecnico24, saresti così gentile da controllare se ora è pulito?
Adesso pare funzioni tutto, è un pò lento a spegnersi ma non so se lo faceva anche prima.

Grazie
(Ho usato pastebin perchè da Linux freefilehosting non mi va.)

OTL logfile created on: 2/18/2013 12:57:33 PM - Run OTLPE by OldTimer - Versio - Pastebin.com

 

[AndreaG]

Grazie ancora per la disponibilità.
Credo di aver capito quale è il problema.
Quando faccio ripristina il computer, a un certo punto mi chiede la lingua e poi la password di un account che si chiama "ema" (il diminutivo di emanuela)...solo che non ho la minima idea di quale sia la password. Il pc è della mia fidanzata...e anche lei non ha la più pallida idea di che password ha inserito (sigh).
E così, quando arrivo a quel punto, provo a mettere qualche password e poi il sistema mi dice in inglese qualcosa del tipo: "Hai fatto troppi tentativi, devi rivolgerti al tuo amministratore".
E poi vengo reindirizzato alla pagina dove scelgo "avvia windows in modalità provvisoria con prompt dei comandi"...ed è da lì che ho fatto partire il FRST.exe.
Probabilmente è per quello che non riesco ad inviarti il FRST come me lo hai richiesto.
E, a questo punto, non conoscendo la password, credo che non riuscirò mai a inviartelo :-(

 

[tecnico24]

Difficile rimuovere virus e malware quando non si è amministratori del sistema stesso , su questo non posso aiutarti , rivolgiti nella sezione windows e vedi cosa sapranno dirti per recuperare la password.

 

[lions1991]

Buonasera, tecnico24 vorrei farti una domanda a riguardo del virus/malware. Tramite il log degli utenti come fai a stabilire che quel file/files o cartella contengono il virus ?
Premetto che guardando alcuni log qualcosina l'ho capito. Ho notato che i files che contengono numeri e con estensione .jad (qualcosa del genere) la maggior parte sono sospetti ma per il resto su cosa ti basi ? In altri casi ho visto che come malware hai incluso anche skype.ini mi sembra, visto che skype è un software attendibile e abbastanza conosciuto da miliardi di persone in tutto il mondo come arrivi alla conclusione che sia infetto ?
Insomma visto che mi piace imparare cose nuove e da tomshw.it ne ho imparate tante perchè non ci dai una spiegazione ovviamente in poche righe su come leggere i vari log ?
Io personalmente la vedo una cosa troppo banale che ci posti tutto il pacchetto.txt bello pronto da darlo in pasto a FRST.exe. Ovviamente questa è una mia opinione personale e parlo da me non vorrei assolutamente andare contro ad utenti che preferiscono avere il file.txt già pronto.
Questo è tutto. Attendo tue risposte.
Grazie

 

[tecnico24]

In prima pagina mi sembra che ho spiegato cosa modifica il ransom nel registro di sistema.
Modifica la shell di explorer , si camuffa sotto voci attendibili (vedi ctfmon.ink , skype.dat e altri) sfruttando le vulnerabilità del S.O.
Attenzione , vulnerabilità non solo del sistema operativo stesso , ma anche dei broswer (non aggiornati) , componenti aggiuntivi come Adobe , piattaforma Java che risultato avere versioni obsolete.
Infine , alcune volte ad affiancare il ransom c'è il fastidioso rootkit ZeroAccess , che danneggia file e servizi di sistema , ma per fortuna in questi casi non è successo.
Dare spiegazioni su FRST non è una barzelletta , c'è tanto da dire , leggi un pò sul web e fatti un idea. ;)

 

[lions1991]

In prima pagina mi sembra che ho spiegato cosa modifica il ransom nel registro di sistema.
Modifica la shell di explorer , si camuffa sotto voci attendibili (vedi ctfmon.ink , skype.dat e altri) sfruttando le vulnerabilità del S.O.
Attenzione , vulnerabilità non solo del sistema operativo stesso , ma anche dei broswer (non aggiornati) , componenti aggiuntivi come Adobe , piattaforma Java che risultato avere versioni obsolete.
Infine , alcune volte ad affiancare il ransom c'è il fastidioso rootkit ZeroAccess , che danneggia file e servizi di sistema , ma per fortuna in questi casi non è successo.
Dare spiegazioni su FRST non è una barzelletta , c'è tanto da dire , leggi un pò sul web e fatti un idea. ;)

Grazie Mille tecnico24 come dici tu "si camuffa sotto voci attendibili" ma da cosa lo deduci che sia il ransom/malware o quel che sia e non il software attendibile (in questo caso parlo di skype.dat , ctfmon.ink ecc....), te ne accorgi dall'estensione finale ?
Scusami per le domande forse (troppo) banali ma vorrei riuscire a capire un pochino anche io la situazione.
Grazie

 

[tecnico24]

In questo caso parla la logica.
Skype è un software di messagistica e non fa parte di winlogon che è un processo di startup di windows stesso , legato alle credenziali dell'utente , gestione e aperture di sessioni e altro ancora.
La shell deve essere solo ed esclusivamente explorer.exe , per consentire l'interfaccia con il desktop e le icone di windows.

 

[Albix00]

Ecco qua il mio report, non so cosa fare!!! Grazie...!!

 

[ciellea]

ciao non so se ho capito bene. ti ho postato il file txt.
grazie per una risposta. sono davvero in panne. :(

Apriamo un nuovo topic inerente a questi ransomware
Per capirne di più : Ransomware: sempre più ricattati per sbloccare PC - Tom's Hardware
Gli utenti sono pregati gentilmente di postare qui per tutte le verifiche che verranno richieste.
Le varianti di questi Ransomware sono moltepici , a partire da quella più banale per finire a quella più ostica.
Cosa fare se infetti :
verificare la modalità provvisoria.
Se la modalità provvisoria funziona , abbiamo molte probabilità di successo.
Da start-tutti i programmi-esecuzione automatica troveremo uno o più file con nominativi estranei (con estensione .dll , .exe o .ink)
che va assolutamente eliminato.(alcune volte anche Ctfmon.exe di MS Office).
Una volta eliminato il sospetto , verifichiamo sempre se l'infezione è stata rimossa , altrimenti corriamo il rischio di rigenerarla.
A questo punto seguire questa guida di riferimento:
http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html
Eseguire Combofix come da istruzioni e postare il report.
Eseguire MalwareBytes come da istruzioni ( ricordatevi di aggiornarlo , è importante) e postare il report.

A questo punto , dopo l'opportuno controllo dei vari report , possiamo reputare il pc "pulito".

Nei casi in cui invece la modalità provvisoria non FUNZIONA , il pc resta bloccato , l'infezione va eliminata sempre alla radice , ossia all'avvio di Windows.
Può modificare la shell di explorer e tante altre chiavi di registro , che nel caso dovremmo ripristinare.
PROCEDURA per Windows Vista/seven 32-64 bit

Procuratevi una pendrive USB formattata.

Scaricare uno dei due file a seconda del sistema operativo
http://download.bleepingcomputer.com/farbar/FRST64.exe 64 bit

http://download.bleepingcomputer.com/farbar/FRST.exe 32 bit

Inserirlo nella chiavetta.
Inserire la chiavetta nel Pc infetto
Riavviare il computer e premere ripetutamente F8
Cliccare su Ripristina il computer tra le opzioni da scegliere
Completare inserendo la lingua , account e altre informazioni
fino a scegliere il prompt dei comandi
scrivere notepad seguito da invio
Si aprirà un file di testo , cliccare in alto su file->apri e cercare la lettera in cui viene identificata la chiavetta.
Una volta identificata la lettera , nel prompt digitare
X:\FRST.exe (o FRST64.exe se è il sistema e a 64 bit)dove X è la lettera che hai cercato in precedenza che identifica la chiavetta usb.
Cliccare invio
Il tool si avvierà
accettare le condizioni di contratto
premere su SCAN
Quando la scansione è finita, verrà prodotto un report delle operazioni salvato nella chiavetta stessa , chiamato FRST.TXT
postarlo qui in allegato tramite:
WikiFortio - Wikifortio
Wikisend: free file sharing service
funzione gestione allegati del forum
I log copia-incollati saranno rimossi.

Una volta postato il report di FRST , seguiranno istruzioni per procedere all'eliminazione.
FRST è compatibile anche con XP , ma è necessario creare una live CD di BART-PE.
Nel caso in cui verra chiesto , saranno disposte le dovute istruzioni.

PROCEDURA per Windows XP(32-64 bit)

Procuratevi un cd vuoto.

Scaricare OTLPENet
http://oldtimer.geekstogo.com/OTLPENet.exe
sul desktop
Aprirlo con un doppio click
Si aprirà imgburn per scrivere il file sul cd(assicuratevi quindi di aver già inserito un cd vuoto).
Una volta creato il cd , avviare il pc dal cd
Come modificare l'ordine di boot (e avviare da CD) [MegaLab.it]
Quando vi apparirà il desktop,fare doppio click su OTL.exe.
verrà chiesto Do you wish to load remote user profile(s) for scanning,
cliccare Yes
scegliere il nome utente e mettere la spunta su Automatically Load All Remaining Users
Cliccare su SCAN
allegare il log C:\OTL.txt

Un'alternativa molto valida sia per XP che per Vista e Seven si chiama Kaspersky rescue Disk 10:
https://support.kaspersky.com/8093
la .iso va masterizzata e va avviato il CD impostato sempre come boot primario.
Qualsiasi dubbio o informazione , chiedete in questo topic , poichè altre discussioni verranno automaticamente chiuse.

 

[tecnico24]

@Albix00
per windows xp è necessario utilizzare OTLPE.
@ciellea

Il fix da eseguire con FRST è in allegato (se hai dubbi vedi le indicazioni date agli altri utenti).

Ritornato sul desktop , effettua una scansione con malwarebytes aggiornato.
posta sia fixlog.txt generato da FRST nella pendrive che il report di malwarebytes.

 

[texwiller2013]

Buongiorno,
purtroppo sono una nuova vittima del virus POLIZIA di STATO, con l'aggravante che non mi parte nemmeno in modalità provvisoria, quindi ho scaricato l'eseguibile OTLPENet.exe e seguendo le tue istruzioni ho salvato il file otl.txt che allego.
Grazie

 

[MaPa]

Ma come viene infettato il pc ? Quali sono i siti visitati e le azioni fatte su di essi dagli utenti per prendere il virus ? Sarebbe utile avere queste informazioni per informare gli utenti sui principali canali di diffusione . Meglio prevenire che curare .