UFFICIALE Virus Polizia di Stato/Guardia di Finanzia/Ukash : rimozione e supporto

[paranto78]

Ciao a tutti!
purtroppo anch'io ho ricevuto questo bel "regalino" che prima era arma dei carabinieri, poi interpol, poi welcome to ngix e adesso di nuovo interpol.
Allora, premetto che ho Windows 7 e che ho anche altri dispositivi collegati alla rete di casa (cellulari e tablet android, pc con windows 8.1) che non hanno mai avuto problemi.
Dopo tanti tentativi di rimuovere il ransomware, per la disperazione, ho formattato il pc, sperando di risolvere il problema (anche perchè tutti gli antivirus/antimalware non mi trovavano nulla!)
Poi l'illuminazione (che mi avete dato col vostro forum) di resettare il modem router (un TPLINK di 4 anni fa).
Dunque, ho seguito la procedura in prima pagina (alla fine ho anche pulito col CCleaner) ho ottenuto questi logs che vi presento:
mbam-log-2014-10-13 (17-57-09).xml
logTDSSKiller.txt
FRST.txt
Addition.txt
.txt]AdwCleaner[S0].txt
.txt]AdwCleaner[R0].txt
protection-log-2014-10-13.xml
OTL.Txt

Come sto messo? Ho rimosso oppure devo ancora temere??
Grazie mille!

 

[Chiara Rizzo]

QUALCUNO POTREBBE AIUTARMI???? PER FAVORE IL MIO SAMSUNG S2 è STATO BLOCCATO DA QUESTO VIRUS UKASH E NON RIESCO A TROVARE UN MODO PER SBLOCCARLO.POTRESTE AIUTARMI PER FAVORE? GRAZIE MILLE IN ANTICIPO



- - - Updated - - -

QUALCUNO POTREBBE AIUTARMI???? PER FAVORE IL MIO SAMSUNG S2 è STATO BLOCCATO DA QUESTO VIRUS UKASH E NON RIESCO A TROVARE UN MODO PER SBLOCCARLO.POTRESTE AIUTARMI PER FAVORE? GRAZIE MILLE IN ANTICIPO

 

[felxen01]

Salve a tutti ^^

Premetto che non sono un super esperto di PC ma me la son sempre cavata con malware e virus vari.Non è la prima volta che vengo contagiato dal virus Ukash e le altre 2-3 volte che mi era capitato sono riuscito ad eliminarlo grazie all'accoppiata modalita provvisioria+combofix. Tre giorni fa si ripresenta il virus,come sempre riavvio,F8 provvisoria e lancio dalla chiavetta tramite prompt l'eseguibile di combofix.exe /killall. Riavvio,mi ricollego al browser (Chrome/Firefox) e il virus continua ad intaccare il PC. In 2 giorni ho letto svariate guide e provati infiniti programmi: malwarebyte,combofix,hitmanpro,farbar,adwcleaner,Junkware,superantispyware tutti rigorosamente in mod.provvisoria e senza networking.Ho addirittura lanciato uno scan completo del sistema tramite il mio AV Avira...Nulla da fare,eliminati alcuni PuP e Troyan ma il virus rimane.Devo utilizzare una procedura ben precisa? Ovviamente se necessario allego screen della schermata browser e report dei vari tools anti-malware =) Ringrazio anticipatamente chi sara disposto ad aiutarmi
@tecnico24:prima di postare ho visto una tua risposta di 2-3 giorni fa riguardo NSLOOKUP ed effettivamente mi segna Server:Unknown Addres:94:249.192.104 che (mi sembra) lo stesso address che appare in URL del browser 1 secondo prima che si apra la pagina del virus

 

[Marco971]

Maledetto virus....è tornato in una versione se possibile più "virulenta". Ora praticamente qualsiasi pagina io cerchi di caricare viene reindirizzata. la grafica della pagina del virus è leggermente cambiata ed anche le finistre di dialogo, tipo ricarica oppure inserisci il codice (vado un po' a memoria). Ora in pratica il browser è praticamente inutilizzabile perchè anche se riesco a richiamare il task manager di chrome nel brevissimo intervallo di tempo concessomi dalla pressione del tasto ricarica, difatto anche se termino la pagina farlocca poi viene comunque di nuovo fuori.....morale: devo ricominciare tutta la trafila da capo? Combofix non mi sembrava che funzionasse molto bene con il mio pc....lo salto? Oppure vado direttamente a lanciare OTLPENet da Cd, tralasciando anche Malwarebytes.
Speravo di cavarmela con il reset di Chrome ma sono stato ottimista.....sigh, e anche sob.
Pensare che ultimamente ho anche adottato uno stile di navigazione più sicuro (niente più siti zozzoni). Quando è venuto di nuovo fuori stavo navigando per cercare informazioni relative alle migrazioni di siti da un provider di hostng ad un altro.........
Mi sa che è venuta l'ora di cambiare Pc e soprattutto di mandare definitivamente in pensione Xp!!!!Oppure no?

 

[NixCrowd]

Salve Signori,
sto tentando di aiutare un amico a pulire uno dei pc che ha in ufficio, premetto che sono in rete.
Stavo installando una stampante multifunzione della xerox e al momento in cui ho scaricato i driver ed il software (EFI Fiery) all'improvviso si è aperta la "minacciosa" pagina di questo virus.
Mi ci ero imbattuto tempo fa su altro pc dove si blocco tutto windows e riuscii a risolvere utilizzando, dalla modalità provvisoria, Combofix e MBAM.

In questo caso invece il virus non ha bloccato nulla sul pc, apparte chrome (unico browser installato) che in maniera random si blocca reindirizzando alla pagina del virus. Dico random perchè a volte reindirizza ricerche su google quali "eliminare virus polizia" e a volte semplicemente cercando questo forum con la stringa "tomshw forum". Quando parte il reindirizzamento compare per pochi attimi un ip tipo "94:249.192.104" postato poco sopra da felxen01.

Comunque,
Ho seguito alla lettera la procedura descritta nella prima pagina di questo theard utilizzando sia ComboFix che MBAM (completamente aggiornato) poi adwcleaner e ccleaner usando sia la pulizia dei temporanei che quella di registro ... tutto ovviamente da provvisoria con rete e con vari riavvii, dopo ogni pulizia.

Il problema sembra risolto fin quando non si riprova a navigare e ricercare stringhe tipo "eliminare virus polizia" "rimuovere ukash" ecc.

In ultimo ho provato anche con OTL ma non mi dà da "fixare" nulla.

Allego qui di seguito i log di OTL e di Hijackthis e ringrazio quanti di voi vorranno provare ad aiutarmi! :D
OTL.Txt e hijackthis.log

 

[tecnico24]

@NixCrowd
Apri OTL
copia e incolla questo codice seguito da Run Fix

:otl
DRV - File not found [Kernel | On_Demand | Stopped] -- èÂ9\par1284.sys -- (PAR1284)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 94.249.192.104 8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7C2FA3BD-7F51-4802-AFB6-EECF5D6D19C7}: DhcpNameServer = 94.249.192.104 8.8.8.8

::Files
ipconfig /flushdns /c
netsh int ip reset c:\resetlog.txt /c
ipconfig /release /c
ipconfig /renew /c

:commands
[emptytemp]

posta il log dopo il riavvio del pc.
Prova a navigare e vedi se riappare.

 

[danielemela]

Ciao Tecnico24, vedo con piacere che hai risolto molti casi di Virus Ukash.Non riesco più a navigare da settimane perché il virus ha infettato tutti i Browser sul mio pc. Dimmi cosa devo fare ti prego !!Daniele

 

[NixCrowd]

Grazie @tecnico24!
Sto andando a provare ora lo script, ma ho bisogno di una delucidazione:
in questa riga dello script

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = [B]94.249.192.104[/B] 8.8.8.8

l'ip in grassetto devo sostituirlo con quello che esce nel reindirizzamento, prima che si blocchi il browser ... giusto?! ... te lo chiedo perchè non son sicuro che l'ip che ho postato prima sia giusto.

MOD: L'ip è proprio quello sopra riportato. Ho eseguito il fix con lo script postato e al primo colpo non ha aggiustato i dns ... di seguito il log: report1
C'erano un paio di spazi e due punti di troppo nello script postato, l'ho messo apposto e ho rilanciato il fix di OTL, e questo è il secondo log prodotto:
report2
In più ho controllato da cmd con nslookup ed esce. "Server:Unknown - Addres:94:249.192.104"
... e provando a navigare il problema non si è risolto ... @tecnico24 help me!!

MOD2: ho fatto anche varie pulizie con ccleaner ma nulla ed in più ho beccato lo stesso virus su un altro pc ... probabilmente si è spostato tramite la chiavetta usb che usavo per sfruttare OTL e gli altri tool ... mi chiedevo: posso usare anche su quest'altro lo stesso script ?!

 

[danielemela]

Ciao Tecnico24,
anche se non mi hai risposto ancora ti volevo ringraziare perche leggendo ilforum e seguendo i tuoi consigli sono riuscito a debellare il problema!
Grazie per il tempo che dedichi a tutti noi!!
Daniele

 

[tecnico24]

@danielemela
Purtoppo ho anche i miei impegni.Se avessi tempo , non esiterei a rispondere. @NixCrowd
Ho fatto un piccolo errore allo script.
Devi solo eseguire il run fix senza modificare nulla.
Ripetilo con questo e posta il report

:otl

:Files
ipconfig /flushdns /c
netsh int ip reset c:\resetlog.txt /c
ipconfig /release /c
ipconfig /renew /c

:commands
[emptytemp]


L'ultimo file postato tramite wikisend risulta inesistente.

 

[NixCrowd]

@danielemela
Purtoppo ho anche i miei impegni.Se avessi tempo , non esiterei a rispondere. @NixCrowd
Ho fatto un piccolo errore allo script.
Devi solo eseguire il run fix senza modificare nulla.
Ripetilo con questo e posta il report

:otl

:Files
ipconfig /flushdns /c
netsh int ip reset c:\resetlog.txt /c
ipconfig /release /c
ipconfig /renew /c

:commands
[emptytemp]


L'ultimo file postato tramite wikisend risulta inesistente.

@tecnico24 ora provo subito con questo nuovo fix ma cmq da cmd - nslookup rimane il solito ip incriminato. Poi sono andato a cercare direttamente nel registro quelle chiavi che avevi postato prima nello script e anche lì rimane quell'ip.

Altra cosa ... OTL io lo lancio da chiavetta usb ... dovrei per caso spostarlo sul desktop??

 

[tecnico24]

Lo devi lanciare dal desktop.
NON fare operazioni che non ti ho detto , se poi riscontrate problemi non venite a pregare sul forum.

- - - Updated - - -

QUALCUNO POTREBBE AIUTARMI???? PER FAVORE IL MIO SAMSUNG S2 è STATO BLOCCATO DA QUESTO VIRUS UKASH E NON RIESCO A TROVARE UN MODO PER SBLOCCARLO.POTRESTE AIUTARMI PER FAVORE? GRAZIE MILLE IN ANTICIPO



- - - Updated - - -

QUALCUNO POTREBBE AIUTARMI???? PER FAVORE IL MIO SAMSUNG S2 è STATO BLOCCATO DA QUESTO VIRUS UKASH E NON RIESCO A TROVARE UN MODO PER SBLOCCARLO.POTRESTE AIUTARMI PER FAVORE? GRAZIE MILLE IN ANTICIPO

Infettarsi tramite smartphone è veramente difficile.Prova con un ripristino di fabbrica.
NON utilizzare il grassetto quando scrivi sul forum.

 

[NixCrowd]

@tecnico24 ecco il log generato dall'ultimo script postato: 10152014_202655.log ... il problema non si è ancora risolto.

Comunque non ho fatto nessun passaggio oltre quelli da te consigliati!

 

[tecnico24]

Dal prompt dei comandi digita ipconfig /all rispettando lo spazio seguito da invio e posta la schermata per intero.

 

[NixCrowd]

@tecnico24 ecco il risultato di ipconfig /all:

[COLOR=#000000][FONT=Courier New]Microsoft Windows [Versione 6.1.7601]Copyright (c) 2009 Microsoft Corporation. Tutti i diritti riservati.C:\Users\Utente>ipconfig /allConfigurazione IP di Windows   Nome host . . . . . . . . . . . . . . : Utente-PC   Suffisso DNS primario . . . . . . . . :   Tipo nodo . . . . . . . . . . . . . . : Ibrido   Routing IP abilitato. . . . . . . . . : No   Proxy WINS abilitato . . . . . . . .  : NoScheda Ethernet Connessione alla rete locale (LAN):   Suffisso DNS specifico per connessione:   Descrizione . . . . . . . . . . . . . : Atheros L1 Gigabit Ethernet 10/100/1000Base-T Controller   Indirizzo fisico. . . . . . . . . . . : 00-1D-60-36-00-E9   DHCP abilitato. . . . . . . . . . . . : Sì   Configurazione automatica abilitata   : Sì   Indirizzo IPv6 locale rispetto al collegamento . : fe80::40cd:e023:5091:3529%11(Preferenziale)   Indirizzo IPv4. . . . . . . . . . . . : 192.168.1.6(Preferenziale)   Subnet mask . . . . . . . . . . . . . : 255.255.255.0   Lease ottenuto. . . . . . . . . . . . : mercoledì 15 ottobre 2014 20:28:26   Scadenza lease . . . . . . . . . . .  : sabato 18 ottobre 2014 21:52:08   Gateway predefinito . . . . . . . . . : 192.168.1.1   Server DHCP . . . . . . . . . . . . . : 192.168.1.1   IAID DHCPv6 . . . . . . . . . . . : 234888544   DUID Client DHCPv6. . . . . . . . : 00-01-00-01-1B-BB-2E-A0-00-1D-60-36-00-E9   Server DNS . . . . . . . . . . . . .  : 94.249.192.104                                           8.8.8.8   NetBIOS su TCP/IP . . . . . . . . . . : AttivatoScheda Tunnel Connessione alla rete locale (LAN)*:   Suffisso DNS specifico per connessione:   Descrizione . . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface   Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0   DHCP abilitato. . . . . . . . . . . . : No   Configurazione automatica abilitata   : Sì   Indirizzo IPv6 . . . . . . . . . . . . . . . . . : 2001:0:5ef5:79fd:2cfd:229d:3f57:fef9(Preferenziale)   Indirizzo IPv6 locale rispetto al collegamento . : fe80::2cfd:229d:3f57:fef9%12(Preferenziale)   Gateway predefinito . . . . . . . . . : ::   NetBIOS su TCP/IP . . . . . . . . . . : DisattivatoScheda Tunnel isatap.{7C2FA3BD-7F51-4802-AFB6-EECF5D6D19C7}:   Stato supporto. . . . . . . . . . . . : Supporto disconnesso   Suffisso DNS specifico per connessione:   Descrizione . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2   Indirizzo fisico. . . . . . . . . . . : 00-00-00-00-00-00-00-E0   DHCP abilitato. . . . . . . . . . . . : No   Configurazione automatica abilitata   : SìC:\Users\Utente>

[/FONT][/COLOR]