Buongiorno a tutti gli utenti del forum.
Questa è una cosa strana capitata a me e che per adesso non trova riscontro su internet.. oppure non ho cercato sufficientemente bene.

Ho un pc che ha preso il classico virus della polizia. Nulla di trascendentale.
Si pulisce facilmente... MA INVECE... ho trovato il pc pieno di files modificati da un virus (tutti con la data e l'ora dell'infezione) e sono praticamente inutilizabili.
Praticamente i files hanno tutti un prefisso locked- e poi un estensione a 4 lettere casuali.

esempio: locked-prova.doc.nlrr

Se rinomino il file in prova.doc, per esempio, il file risulta corrotto

Qualcuno sa qualcosa?
E' più una sfida tra me e il virus più che una esigenza di recupero files visto che non ci sono files vitali.

Grazie anticipatamente

Per prima cosa ti direi di andare in modalità provvisoria con rete ed eseguire Malwarebytes aggiornato con le ultime definizioni.

mmm mi sa che non hai capito bene.
Anzi mi sa che mi sono spiegato male io.
Il virus non c'è più nel sistema operativo. Il disco è pulito ma ho migliaia di files
inutilizzabili.
Volevo sapere se qulacuno ha avuto esperienze simili e se ha recuperato i files.
:)

mmm mi sa che non hai capito bene.
Anzi mi sa che mi sono spiegato male io.
Il virus non c'è più nel sistema operativo. Il disco è pulito ma ho migliaia di files
inutilizzabili.
Volevo sapere se qulacuno ha avuto esperienze simili e se ha recuperato i files.
:)

Ho capito, ma che il virus non ci sia più, non vuol dire che il problema sia risolto.
Se hai questo problema, vuol dire che ci sono ancora residui del virus. Non è che eliminando il file dannoso, credi che sia risolto il problema. Dalla tua descrizione, si evince che, molto probabilmente il registro di sistema ha alcune chiavi infette.

Se non si è pratici, è difficile scovarle e toglierle a mano. Ecco perché ti avevo consigliato di fare una scansione con un anti-malware.

Cmq prova prima a fare una scansione con Malwarebytes, se non ti trova niente, scaricati kaspersky rescue disk.
Qui trovi una guida sull'utilizzo:

http://www.hwupgrade.it/forum/showthread.php?t=1878747

le informazioni che hai fornito ritengo siano troppo generiche:
sono molti, infatti, i malware che hanno la capacità di cifrare dei file rendendoli ovviamente indisponibili.

Di conseguenza, sono diversi anche i tool di decifratura che si rivolgono a specifiche varianti.



Prova a fare qualche scansione per vedere se hai almeno un'indicazione sul nome di quello che potrebbe essere stato l'agente patogeno.

Imo

guarda semmai anche questa discussione dove chill-out indica un tool generico per la decifratura,
http://www.hwupgrade.it/forum/showthread.php?t=2462057

grazie nv 25
In realtà il virus si presentava con la schermata della polizia postale.
L'ho tolto usando mbam e combofix.
Il Problema sono i files con quella estensione.... oggi studio i link che mi hai dato e poi vi aggiorno.
:mc:

mmm Per adesso niente.. sembra che il "mio" virus sia diverso...

Allora il Nod32 lo chiama Win32/injector.qwv trojan horse.
Adesso studio il "maligno" e poi vi aggiorno

basta ci rinuncio... nel senso i files non sono così importanti...
in giro non ho trovato molto di simile..
PACE:)

basta ci rinuncio... nel senso i files non sono così importanti...
in giro non ho trovato molto di simile..
PACE:)

Ok, ma attrezzati di backup...che torna sempre utile !

Ah per la pace di tutti: nessun dato è andato perso, il pc è stato formattato e lavora egregiamente. Volevo soltanto capire per mia curiosità personale quale
"bestia" era stata presa. Non vorrete mica far vincere il virus

Oggi leggendo qua e la ho visto una cosa interessante...

citando http://makapp.net/security-computer-bloccato-dalla-polizia-postale/
Aggiornamento (8/05/12)

(Fonte: community McAfee – grazie alla segnalazione di un utente, Andi)

La nuova variante di questo virus è in stile Ransomware! Vi trovate con tutti file bloccati? Tipico dei virus Ransomware!
Cioè ogni file ha come prefisso “locked-”, nome del file, estensione originaria del file e un ulteriore estensione da noi non riconosciuta? Bhe, il file è stato criptato con una chiave a noi sconosciuta.

Esiste un modo per poter recuperare il file ma per poter riuscire nell’impresa bisogna avere una copia identica del file bloccato. Cercate nel vostro HDD dove fate i backup, cercate nell’HDD tramite un programma per recuperare i file cancellati se pensate di recuperare una copia cancellata, cercate di farvelo mandare tramite email nel caso l’avrete mandato a qualche cliente o amico…. l’importante è che avete una copia del file. Solo in questo modo (per il momento, poi non si sa se in futuro si riuscirà a trovare una soluzione migliore) si può recuperare il file.