UFFICIALE Virus Polizia di Stato/Guardia di Finanzia/Ukash : rimozione e supporto

tecnico24

Utente Èlite
10,706
1,072
Apriamo un nuovo topic inerente a questi ransomware
Per capirne di più : Ransomware: sempre più ricattati per sbloccare PC - Tom's Hardware
Gli utenti sono pregati gentilmente di postare qui per tutte le verifiche che verranno richieste.
Le varianti di questi Ransomware sono moltepici , a partire da quella più banale per finire a quella più ostica.
Cosa fare se infetti :
verificare la modalità provvisoria.
Se la modalità provvisoria funziona , abbiamo molte probabilità di successo.
Da start-tutti i programmi-esecuzione automatica troveremo uno o più file con nominativi estranei (con estensione .dll , .exe o .ink)
che va assolutamente eliminato.(alcune volte anche Ctfmon.exe di MS Office).
Una volta eliminato il sospetto , verifichiamo sempre se l'infezione è stata rimossa , altrimenti corriamo il rischio di rigenerarla.
A questo punto seguire questa guida di riferimento:
http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html
Eseguire Combofix come da istruzioni e postare il report.
Eseguire MalwareBytes come da istruzioni ( ricordatevi di aggiornarlo , è importante) e postare il report.

A questo punto , dopo l'opportuno controllo dei vari report , possiamo reputare il pc "pulito".

Nei casi in cui invece la modalità provvisoria non FUNZIONA , il pc resta bloccato , l'infezione va eliminata sempre alla radice , ossia all'avvio di Windows.
Può modificare la shell di explorer e tante altre chiavi di registro , che nel caso dovremmo ripristinare.

PROCEDURA PER WINDOWS VISTA/7

Procuratevi una pendrive USB formattata.

Scaricare uno dei due file a seconda del sistema operativo
http://download.bleepingcomputer.com/farbar/FRST64.exe 64 bit

http://download.bleepingcomputer.com/farbar/FRST.exe 32 bit

Inserirlo nella chiavetta.
Inserire la chiavetta nel Pc infetto
Riavviare il computer e premere ripetutamente F8
Cliccare su Ripristina il computer tra le opzioni da scegliere
Completare inserendo la lingua , account e altre informazioni
fino a scegliere il prompt dei comandi
scrivere notepad seguito da invio
Si aprirà un file di testo , cliccare in alto su file->apri e cercare la lettera in cui viene identificata la chiavetta.
Una volta identificata la lettera , nel prompt digitare
X:\FRST.exe (o FRST64.exe se è il sistema e a 64 bit)dove X è la lettera che hai cercato in precedenza che identifica la chiavetta usb.
Cliccare invio
Il tool si avvierà
accettare le condizioni di contratto
premere su SCAN
Quando la scansione è finita, verrà prodotto un report delle operazioni salvato nella chiavetta stessa , chiamato FRST.TXT
postarlo qui in allegato tramite:
WikiFortio - Wikifortio
Wikisend: free file sharing service
funzione gestione allegati del forum
I log copia-incollati saranno rimossi.

Una volta postato il report di FRST , seguiranno istruzioni per procedere all'eliminazione.
FRST è compatibile anche con XP , ma è necessario creare una live CD di BART-PE.
Nel caso in cui verra chiesto , saranno disposte le dovute istruzioni.

PROCEDURA per WINDOWS 8
scrivere opzioni dalla barra di ricerca
opzioni di avvio avanzate
nel tab generale cliccare su Riavvia ora
Cliccare su risoluzione problemi
cliccare opzioni avanzate
cliccare prompt dei comandi
seguire la procedura soprastante per windows 7 per individuare la lettera della pendrive e il restante per poi arrivare al logfile.

sfcwindows0414_04.png
PROCEDURA per WINDOWS XP(32-64 bit)

Procuratevi un cd vuoto.

Scaricare OTLPENet
http://oldtimer.geekstogo.com/OTLPENet.exe
sul desktop
Aprirlo con un doppio click
Si aprirà imgburn per scrivere il file sul cd(assicuratevi quindi di aver già inserito un cd vuoto).
Una volta creato il cd , avviare il pc dal cd
Come modificare l'ordine di boot (e avviare da CD) [MegaLab.it]
Quando vi apparirà il desktop,fare doppio click su OTL.exe.
verrà chiesto Do you wish to load remote user profile(s) for scanning,
cliccare Yes
scegliere il nome utente e mettere la spunta su Automatically Load All Remaining Users
Cliccare su SCAN
allegare il log C:\OTL.txt

Un'alternativa molto valida sia per XP che per Vista e Seven si chiama Kaspersky rescue Disk 10:
https://support.kaspersky.com/8093
la .iso va masterizzata e va avviato il CD impostato sempre come boot primario.
Qualsiasi dubbio o informazione , chiedete in questo topic , poichè altre discussioni verranno automaticamente chiuse.
 
Ultima modifica:

tecnico24

Utente Èlite
10,706
1,072
Ciao t_klax
Il pc non è infetto dal virus polizia , ma da vari Adware , tra l'altro anche il file hosts risulta infetto.
Apri OTL
apri fix.txt in allegato
copia-incolla tutto il contenuto in custom scans/fixes di OTL
clicca RUN FIX
aspetta il riavvio del pc
posta il log.

Poi utilizza adwcleaner scegliendo l'opzione elimina
http://www.tomshw.it/forum/sicurezz...omputer-infetto-leggere-prima-di-postare.html
posta anche il suo log.
 

Allegati

  • fix.txt
    1.8 KB · Visualizzazioni: 792

tecnico24

Utente Èlite
10,706
1,072
Bene.
Adesso apri Adwcleaner e clicca su "Disinstalla" per la rimozione.
Apri OTL e clicca in alto su "Cleanup" per la disinstallazione dei vari tool utilizzati.

Usa
Ccleaner ->>
Download
Sezione Pulizia , analizza e pulisci tutto ciò che trova.
Pulisci il registro di sistema effettuando il backup.

Disattiva e riattiva il ripristino configurazione (tasto destro su risorse del computer - scheda ripristino) e poi crea un nuovo punto di ripristino.
 

t_klax

Nuovo Utente
10
0
perfetto. una velocità all'avvio spaventosa.
ti ringrazio ancora per l'aiuto e ti auguro buona giornata.
 

tecnico24

Utente Èlite
10,706
1,072
Ciao lizvanness
Scarica fixlist.txt in allegato qui in basso sulla chiavetta dove hai salvato FRST.
Avvia FRST e clicca sul pulsante FIX per una volta sola
Al termine ti rilascierà un report nella chiavetta stessa , chiamato Fixlog.txt , postalo
 

Allegati

  • fixlist.txt
    451 bytes · Visualizzazioni: 959
  • Mi piace
Reazioni: lizvanness

jmc_rookie

Nuovo Utente
3
0
Venerdì mi è comparsa la schermata. Ho letto tutti i post in materia e ho provato nell'ordine a fare le seguenti cose, ma nulla da fare. Inizio a disperare.
1. far partire in safe mode ma niente da fare
2. far partire velocemente msconfig e disabilitare tutti i processi d'avvio. Una volta ci sono riuscito. Sono rientrato, ma poi il PC è andato nuovamente in blocco con la differenza che ora parte solo una schermata bianca. Che ha lo stesso effetto della schermata con Polizia.
3. Rescue disk di Kasperski non ha trovato niente
4. Rescue disk di AVG non ha trovato niente
5. Ho eseguito OTLPE. A questo link il file OTL.txt http://sdrv.ms/TM4CKo.

A una prima occhiata non vedo nulla ma non sono esperto. Potresti aiutarmi?

Grazie davvero.
 

tecnico24

Utente Èlite
10,706
1,072
Bene lizvanness , non dovresti riscontrare problemi.
Pulisci il registro e i file temporanei con Ccleaner :
CCleaner - Download

@jmc_rookie
Riavvia OTLPE
copia-incolla il codice contenuto in fix nel box bianco di OTL
Clicca RUN FIX
aspetta il riavvio
posta il log e verifica.
 

Allegati

  • fix.txt
    983 bytes · Visualizzazioni: 695
  • Mi piace
Reazioni: jmc_rookie

jmc_rookie

Nuovo Utente
3
0
Ho eseguito il fix ma alla visualizzazione del log, mi è arrivato un messaggio di errore.
Il PC si è riavviato correttamente, ma non so se a questo punto mi conviene rieseguire OTL.
 

Ci sono discussioni simili a riguardo, dai un'occhiata!

Entra

oppure Accedi utilizzando
Discord Ufficiale Entra ora!

Discussioni Simili