Condividi:        

virus "polizia di stato" e seguente blocco lan

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

virus "polizia di stato" e seguente blocco lan

Postdi thedream » 27/08/12 09:49

Salve a tutti, nella giornata di ieri ho eliminato il virus "polizia di stato" riuscendo a fermare il processo in quei pochi secondi prima della sua partenza allo start di windows.. a seguire pulizia con avira e poi in modalità provvisoria con combofix e malwarebytes. Il problema è che il computer che ha subito il virus non ha più internet utilizzabile: si accende, non compaiono i computerini in basso a dx, e solo se disabilito e poi riabilito la scheda di rete mi compare la connessione lan in "connessioni di rete". Il problema è che seppur dica di essere connessa e firewalled non carica le pagine web. Sta un'ora a caricare a vuoto. Se invece mi collego in wireless allo stesso router la connessione va a meraviglia, quindi il problema è chiaramente del pc in lan. Mi sapreste dare dei consigli? Dei tentativi da fare? Grazie per un'eventuale risposta.
thedream
Utente Junior
 
Post: 81
Iscritto il: 27/08/12 09:48

Sponsor
 

Re: virus "polizia di stato" e seguente blocco lan

Postdi thedream » 27/08/12 09:50

Se possono essere utili queste informazioni:

Indirizzo fisico: 00-13-8F-31-64-82
Indirizzo IP: 192.168.1.128
Subnet Mask: 255.255.255.0
Gateway predefinito: 192.168.1.254
Server DHCP: 192.168.1.254
Server DNS: 62.101.93.101
83.103.25.250
Server WINS: 192.168.1.254

Il modem (non router sorry) è un SELEX Elsag v 1.0 della fastweb

Ho provato ad eseguire net view \\192.168.1.254 da cmd e mi da "errore di sistema 53"
thedream
Utente Junior
 
Post: 81
Iscritto il: 27/08/12 09:48

Re: virus "polizia di stato" e seguente blocco lan

Postdi FrancescoFDAC » 27/08/12 10:09

Il computer è infetto dal Virus Guardia di Finanza: una finestra popup si visualizza automaticamente dopo avere acceso il computer, mostrando:
● il logo della GdF, con lo slogan Insieme per la legalità
● una scritta che avverte l'utente che nel Computer sono presenti contenuti illegali
● la richiesta di un pagamento di 100 euro per ripristinare il corretto funzionamento di Windows

Si tratta esattamente del Trojan.Win32.FakeGdF.A (e relative varianti, pressochè identiche), noto RansomeWare da poco affermatosi nel mondo dei Virus informatici. Ovviamente non dovrai sborsare un centesimo per rimuoverlo, ecco qui la guida disponibile in PDF:
http://www.gat.gdf.it/istruzioni.pdf
FrancescoFDAC
Utente Senior
 
Post: 1048
Iscritto il: 13/08/11 10:53

Re: virus "polizia di stato" e seguente blocco lan

Postdi thedream » 27/08/12 10:32

Ciao Francesco, il virus sono riuscito a rimuoverlo, il problema è la lan che non va. Cioè è connessa ma le pagine stallano ad infinitum
thedream
Utente Junior
 
Post: 81
Iscritto il: 27/08/12 09:48

Re: virus "polizia di stato" e seguente blocco lan

Postdi FrancescoFDAC » 27/08/12 10:42

Scarica ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
● posiziona il file scaricato sul Desktop
disattiva l'Antivirus in uso, dall'icona presente sulla Traybar (accanto all'orologio di Windows)
disattiva il Firewall eventualmente installato, dall'icona presente sulla Traybar (accanto all'orologio di Windows)

Eseguiti i passaggi indicati sopra:
● lancia ComboFix con un doppio click
● una volta avviato clicca il pulsante Accetto: conferma cliccando Ok due volte
● segui le istruzioni che verranno rilasciate per eseguire la scansione:
"Tipicamente non impiega più di 10 minuti
Su pc molto infetti il tempo di scansione può raddoppiare facilmente"
● nel caso tu abbia Windows XP, verrà richiesta l'installazione della Console di ripristino di emergenza: non la installare (clicca il pulsante No)
senza eseguire nessuna altra operazione, lascia che il tool completi il suo lavoro

Note - durante la scansione:
● potrebbero comparire alcuni file sul Desktop, e poi eliminati
● spariranno, per un attimo, tutte le icone presenti sul Desktop: nulla di cui preoccuparsi
● potrebbe venire rilasciato un messaggio in relazione all'Antivirus in uso: prosegui ignorando il messaggio
● il firewall potrebbe rilasciare un avviso circa la rimozione di alcuni driver: consenti
● potrebbe apparire sul Desktop l'icona di Internet Explorer

Quando ComboFix avrà concluso l'operazione di scansione:
● il sistema verrà riavviato automaticamente: in caso contrario, riavvialo te
● vai in Disco Locale C:, cerca il file di testo dal nome ComboFix.txt ed allegalo

Nota - riguardo al programma:
● per eseguire correttamente ComboFix su Windows Vista e Windows Seven, clicca con il tasto destro del mouse sull'icona del programma e, dal menù contestuale, scegli la voce Esegui come Amministratore
sUBs, la software house che distribuisce ComboFix, non è responsabile di qualsiasi danno causato dopo l'utilizzo del programma stesso.
Esso non dovrebbe essere utilizzato a meno che non venga espressamente richiesto da un esperto
ComboFix disabilita l'esecuzione automatica delle unità USB (Chiavette, Hard Disk Esterni, Lettori MP3...) per prevenire future minacce: quando inserisci una Pendrive, dovrai avviarla manualmente dalle Risorse del computer.
FrancescoFDAC
Utente Senior
 
Post: 1048
Iscritto il: 13/08/11 10:53

Re: virus "polizia di stato" e seguente blocco lan

Postdi thedream » 27/08/12 11:20

Come ho scritto nel primo post già ho utilizzato combofix in mod. provvisoria
thedream
Utente Junior
 
Post: 81
Iscritto il: 27/08/12 09:48

Re: virus "polizia di stato" e seguente blocco lan

Postdi Luke57 » 27/08/12 12:37

Ciao, allora posta il report qui:
http://wikisend.com/

così capiamo qual è il sistema operativo, eventuali cancellazioni fatte, ecc.
Luke57
Moderatore
 
Post: 6244
Iscritto il: 11/08/05 20:10

Re: virus "polizia di stato" e seguente blocco lan

Postdi thedream » 27/08/12 14:25

eccolo!

ComboFix.txt

tx
thedream
Utente Junior
 
Post: 81
Iscritto il: 27/08/12 09:48

Re: virus "polizia di stato" e seguente blocco lan

Postdi Luke57 » 27/08/12 18:31

Ciao, apri un file di testo, al suo interno copia e incolla il seguente script in neretto:


Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"XSECVA"=-

Folder::
c:\documents and settings\desk\Dati applicazioni\xsecva
c:\docume~1\desk\IMPOST~1\Temp


chiama questo file obbligatoriamente CFScript.txt e mettilo sul desktop dove hai messo combofix.

Trascinalo con il puntatore del mouse sull'icona di combofix; il programma avvierà una nuova scansione. Al termine di essa, posta il nuovo report su wikisend.
Luke57
Moderatore
 
Post: 6244
Iscritto il: 11/08/05 20:10

Re: virus "polizia di stato" e seguente blocco lan

Postdi thedream » 27/08/12 19:06

ciao quando lo trascino il file su combofix parte l'eseguibile e mi dice che questo combofix è del 27/08/2012 e quindi scaduto (??) e da eliminare per scaricarne uno nuovo. Se premo "no" si chiude e basta, se premo "si" mi cancella combofix.
thedream
Utente Junior
 
Post: 81
Iscritto il: 27/08/12 09:48

Re: virus "polizia di stato" e seguente blocco lan

Postdi Luke57 » 27/08/12 21:33

Ciao, vai qui:
http://swandog46.geekstogo.com/avenger2/download.php

scarica avenger sul desktop, dezzippalo in un cartella, avvialo
spunta la voce "scan for rootkits", nel box bianco (input script here) copia e incolla il seguente script:

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Xsecva

Folders to delete:
c:\documents and settings\desk\Dati applicazioni\xsecva
c:\docume~1\desk\IMPOST~1\Temp



clicca sul tasto "Execute"
Rispondi Si all'avviso e il computer verrà riavviato
Al riavvio il tool rilascrà un log con i dettagli delle operazioni, che troverai anche in C:\ con il nome Avenger.txt
copialo e incollalo in un post
Luke57
Moderatore
 
Post: 6244
Iscritto il: 11/08/05 20:10

Re: virus "polizia di stato" e seguente blocco lan

Postdi thedream » 28/08/12 09:19

Fatto!

avenger.txt

quest'oggi la lan non dice nemmeno di essere collegata, c'è il messaggio "connettività limitata o assente" mentre come al solito il pc in wireless attraccato allo stesso modem va.
thedream
Utente Junior
 
Post: 81
Iscritto il: 27/08/12 09:48

Re: virus "polizia di stato" e seguente blocco lan

Postdi FrancescoFDAC » 28/08/12 10:16

Prova cosi:
Scarica ed installa XP TCP/IP Repair: http://www.xp-smoker.com/downloads/xptcprep.exe
● doppio click sul tool per avviarlo
● comparirà la finestra principale del programma
● clicca su Reset/TCP/IP ed attendi che completi il passaggio
● clicca su Repair Winsock ed attendi che completi il passaggio
riavvia il sistema
FrancescoFDAC
Utente Senior
 
Post: 1048
Iscritto il: 13/08/11 10:53

Re: virus "polizia di stato" e seguente blocco lan

Postdi thedream » 28/08/12 10:31

Ciao! Il programma che mi scarica è un downloader, ed io sul pc incriminato non posso fargli scaricare il programma. Esiste in versione già completa?
thedream
Utente Junior
 
Post: 81
Iscritto il: 27/08/12 09:48

Re: virus "polizia di stato" e seguente blocco lan

Postdi thedream » 28/08/12 10:36

Che senso ha per un'azienda dare un downloader del proprio file ad una persona che ha bisogno di installare questo programma su di un pc con internet difettoso? Boh!
thedream
Utente Junior
 
Post: 81
Iscritto il: 27/08/12 09:48

Re: virus "polizia di stato" e seguente blocco lan

Postdi thedream » 28/08/12 10:43

Ok ho trovato il pacchetto completo eseguibile! Fatte entrambe le operazioni, riavviato, tutto come prima: connettività limitata o assente.
thedream
Utente Junior
 
Post: 81
Iscritto il: 27/08/12 09:48

Re: virus "polizia di stato" e seguente blocco lan

Postdi Luke57 » 28/08/12 12:55

Ciao, dobbiamo verificare che l'infezione non ci sia più e ne dubito. Vai qui:
http://forum.html.it/forum/showthread.p ... genumber=1

leggi le istruzione relative all'uso di frst.exe (32 bit); al termine della procedura, dovrai aver ottenuto un report, Frst.txt. Inseriscilo su wikisend.

Per comodità, ti riepilogo la procedura:

scarica in una pennetta formattata, questo file:

http://download.bleepingcomputer.com/farbar/FRST64.exe (per S.O a 64 bit)

http://download.bleepingcomputer.com/farbar/FRST.exe (per S.O a 32 bit)è il tuo caso

Inserisci la Pendrive nel Pc infetto.
Avvia il pc in Modalità provvisoria. (f8)
Clicca su Ripristina il computer tra le opzioni disponibili (in alto)
Seleziona la lingua
Seleziona il tuo account
Saranno ora disponibili le seguenti opzioni

=====================================================================
Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt
=====================================================================

Seleziona Prompt Dei Comandi

Nel Prompt dei Comandi scrivi notepad e premi Invio.

Si aprirà un file di testo

Nel menu in alto clicca file e seleziona Apri.

Cerca la lettera a cui è riferita la pennetta usb.

Questa operazione serve per verificare con certezza quale lettera è assegnata alla pennetta.

Una volta identificata la lettera della pennetta:

Nel Prompt dei comandi digita E: \frst.exe dove E è la lettera che è stata assegnata alla tua Pendrive, per cui nel comando sostituisci E con la lettera a cui si riferisce la pennetta usb.

Clicca Invio

Il tool si avvierà.

Clicca Yes per accettare le condizioni di contratto.
Premi su SCAN.
A scansione finita, verrà prodotto un log sulla pendrive stessa, chiamato FRST.TXT
Luke57
Moderatore
 
Post: 6244
Iscritto il: 11/08/05 20:10

Re: virus "polizia di stato" e seguente blocco lan

Postdi thedream » 28/08/12 14:41

luke non ho chiaro questo passaggio:

"Clicca su Ripristina il computer tra le opzioni disponibili (in alto)"

dove andrebbe premuto "ripristina il computer"? Io la modalità provvisoria la posso aprire solamente da msconfig impostando /safeboot perchè l'f8 allo start non ha mai funzionato, è lo stesso?
thedream
Utente Junior
 
Post: 81
Iscritto il: 27/08/12 09:48

Re: virus "polizia di stato" e seguente blocco lan

Postdi thedream » 28/08/12 14:59

per ammazzare il tempo ho fatto uno scan con FRST in mod. provvisoria, non ho idea se possa essere utile fatto in questo modo, ma nel frattempo meglio di niente:

FRST.txt
thedream
Utente Junior
 
Post: 81
Iscritto il: 27/08/12 09:48

Re: virus "polizia di stato" e seguente blocco lan

Postdi Luke57 » 28/08/12 16:46

Ciao, in quel modo il log è incompleto come avevi già intuito ;) e se non ti funziona f8 .........

scarica OTL, e salvalo sul desktop:

http://oldtimer.geekstogo.com/OTL.exe

Clicca sull'icona di OTL che trovi sul tuo desktop .

Metti la spunta su SCAN ALL USERS.

Sotto output, metti la spunta : minimal output

Clicca sulla freccettina di File Age e seleziona 60 Days
Clicca su RUN SCAN

Lascia fare la scansione senza interferire.

Al termine della scansione trovi 2 log sul desktop. OTL.txt ed Extras.txt, salvali e caricali su Wikisend, per postarli sul forum.
Luke57
Moderatore
 
Post: 6244
Iscritto il: 11/08/05 20:10

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "virus "polizia di stato" e seguente blocco lan":


Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti