UFFICIALE Virus Polizia di Stato/Guardia di Finanzia/Ukash : rimozione e supporto

Pubblicità
Sono connesso tramite cellulare.
Vai nella discussione "welcome to nginx" e segui le istruzioni del mio post dell'11 ottobre ore 14:49 riferito a ibanezzaro.
Domani continuiamo e fammi sapere se hai risolto.
 
Ora purtroppo anch'io sto sul cellulare e fino a domani non potrò provare su quella rete visto che alla fine me lo sono portato per aver più tempo per lavorarci ... ed ora altra domanda: se lo provo connettendolo sulla mia rete rischio d'infettarla?

- - - Updated - - -

Aggiornamento: Sto scrivendo dal computer incriminato e non ho più blocchi dei browser. Sono connesso però alla mia rete e non a quella dove fin ora stavo lavorando, quindi credo che tecnico24 avesse ragione ed è il router di quella rete ad essere infetto ... o meglio il problema al primo avvio mi si è presentato anche su questa connessione e ho seguito questi passaggi per risolvere:

- Avvio in mod. provvisoria con rete;
- Ho lanciato Mbam che non ha riscontrato problemi;
- Reimpostato chrome dalle impostazioni;
- Ho lanciato OTL ed inserito l'ultimo script postato da tecnico24 per reimpostare i dns nel registro e riavviato come da istruzioni a video (questo è il log finale generato: 10162014_164752.log);
- Ccleaner sia Pulizia della "spazzatura" sia pulizia del registro

... per sicurezza poi sono andato a controllare a mano nel registro se il dns si fosse messo apposto o fosse rimasto quello infetto e con piacere ho visto che finalmente otl ha fatto il suo dovere. @tecnico24 c'è qualcosa di sbagliato nei passaggi descritti in questo post?!

Ora resta da reimpostare il router infetto. Vi aggiorno appena completo anche quel passo.
 
Ultima modifica:
Simonemoog ha detto:
Ciao a tutti, ho contratto il cosidetto virus dell'arma dei carabinieri, premetto che ho windows 7 64-bit. Il virus non mi lascia accedere a certe pagine internet: ad esempio wikipedia riesco ad aprirlo, facebook e hotmail a volte sì, a volte no; cercando soluzioni al problema sul web, non riesco ad aprire alcuni siti, altri invece mi fanno apparire la classica schermata del virus, questo sito fortunatamente riesco a visualizzarlo. HO già tentato vari tool e programmi per la rimozione: malware-bytes, hitman, kaspersky removal tool, combo-fix, sia in modalità provvisoria che non. Ho avuto il dubbio che il virus non avesse infettato il router tp-link, è un evento possibile o no? Cosa posso fare? Grazie in anticipo.
Clicca per espandere...


Ciao a tutti,
sperando di esservi d'aiuto ho risolto ieri il problema ad un miao cliente che, nonostante la formattazione della partizione e re-installazione del Sistema Operativo (win vista) dopo pochi minuti di navigazione ha di nuovo avuto l'amara scoperta del blocco da parte della famigerata pagina della polizia postale.
Fatta anche scansione con un boot CD antivirus ma nulla...
ecco gli step che ho eseguito:

  1. ho preso nota dell'indirizzo web con cui si presentava la pagina
  2. sono andato ad editare il file hosts (windows/system32/driver/... ) , dopo averlo reso accessibile a me stesso (era protetto da utente trustmaster e non permetteva il salvataggio ...)
  3. ho inserito l'ip localhost ( 127.0.0.1 ) e indirizzo web del virus
  4. ho riaperto il browser, e dopo poco lo script ha tentato l'accesso all'url del sito che ovviamente non ha funzionato
  5. in quel breve lasso di tempo ho annotato l'IP che lanciava un file HTML (chk.html) che conteneva il javascript che indirizzava verso gli url (generati dinamicamente... non son mai gli stessi)o
  6. [FONT=arial, sans-serif]ho verificato il router (collegato ad infostrada) e ... sorpresa, il router aveva come DNS proprio qel'indirizzo IP !!![/FONT]
  7. rimosso e sostituito con DNS conosciuti ed ufficiali
  8. [FONT=arial, sans-serif]Scansionato il PC[/FONT]
  9. [FONT=arial, sans-serif]Modificata password ADMIN router[/FONT]
  10. [FONT=arial, sans-serif]Reinstallato Antivirus[/FONT]
[FONT=arial, sans-serif]
[/FONT]Per ora tutto OK
Speri sia stato utile
Saluti
 
Salve! Sto uscendo pazzo con questo dannato virus. Ovviamente si tratta del virus della polizia postale Ukash!

Il sistema è OK, posso: avviare in mod provvisoria, usare msconfig e regedit, avviare il Task Manager ed installare i file Exe.
NON POSSO avviare ComboFix nemmeno cambiandogli nome, mi da problemi di compatibilità con Win 8.1.

Nel frattempo, ecco il report di FRST: WikiFortio - Wikifortio

Ho già:
Disinstallato McAfee ed installato Avast, con scansione. Nessun oggetto rilevato;
Installato MalawareBytes ed eseguito la scansione: 5 chiavi di registro individuate e cancellate.
Svuotato le cartelle Temp e PreFetch.

Il problema persiste, ovvero Chrome mi re-indirizza alla dannata pagina della polizia. Noto però che quando mi re-indirizza, posso terminare l'attività dal Task Manager e successivamente riavviare Chrome, senza essere reindirizzato. Infatti adesso sto scrivendo dal PC infetto!
 
salve, sto combattendo con questo virus da un po' e ho problemi per quanto riguarda combofix in quanto mi dice non essere compatibile con windows 2000 (sebbene io abbia windows 8) e malwarebytes non riporta alcuna minaccia alla scansione. Avreste qualche consiglio?
 
tecnico24 ha detto:
Nuova guida
Rimuovere Virus ukash dai nostri broswer [GUIDA]
Clicca per espandere...


SAlve, combatto ormai da un paio di mesi contro questo virus, pc, table, smartphone, periodicamente mi ritrovo la pagina della interpol, momentaneamente risolvo da tablet riportando i dns a quelli di google, dopo che erano stati cambiati in 94.294.192.104, ma sistematicamente ricompare, o provato anche varie guide a cambiare impostazioni nel rooter, e antimalware bytes non trova nulla ;(
 
Pubblicità
Pubblicità
Indietro
Top