virus polizia postale senza modalità provvisoria

[Chill-Out]

Quote:

Originariamente inviato da Pedoneisolato

ragazzi io l-ho beccato ieri questo bastardo e devo dire che si e evoluto perche l-avevo gia beccato l-anno scorso

Entrando con il disco di ubunto l-ho scovato e si trova il windows system 32 con il nome wgsdgsdgdsgsd.exe
solo che non riesco a levarlo manualemente perche non sono esperto di ubuntu e non so proprio come fare ad eliminare un file .exe di windows dal disco

questo e uno dei piu bastardi virus che abbia mai trovato, mi ha bloccato modalita provvisorai e sono falliti tentativi di eliminazione avviando chiavetta usb

help help

HitmanPro 3.7 with Kickstart http://www.surfright.nl/en/downloads

in modalità Kickstart vedi http://www.youtube.com/watch?v=aBS902Qr0oc

[bigbeat]

Quote:

Originariamente inviato da bigbeat

Io sul mio notebook ho Windows 7 SP1 sempre aggiornato con gli ultimi aggiornamenti sulla sicurezza rilasciati mensilmente da Microsoft. Come browser ho Internet Explorer 9. Stamattina ho fatto una scansione del sistema con Avira Antivirus Premium 2012 e mi ha trovato in "C:\Utenti\NomeUtente" un file chiamato "wgsdgsdgdsgsd.exe" e mi ha detto che tale file fosse infetto con il cavallo di troia "TR/Reveton.F.44". L'azione consigliata è stata quella di spostare il file in quarantena, cosa che ho fatto (cioè che ha fatto Avira dopo avergli dato l'OK).

Devo fare altro? Adesso sono terrorizzato che questo virus possa aver già fatto danni, come aver modificato il registro di Windows o altro!
Però trovo doveroso precisare che io non ho nessun problema di quelli da voi citati. A me il task manager funziona, non ho blocchi di nessun tipo e non mi appare nessuna schermata. Zero problemi! Non ne ho adesso problemi e non ne avevo nemmeno prima che Avira mi trovasse sto file (wgsdgsdgdsgsd.exe) e me lo mettesse in quarantena. Ho fatto la scansione con Avira solo perchè la eseguo una volta al mese per vedere se c'è qualche virus (e ne trovo rarissimamente). Ho postato il mio quesito in questo thread perchè ho fatto una ricerca sù Google e diversi fonti danno il file "wgsdgsdgdsgsd.exe" collegato col "virus della polizia" e simili.

Che mi dite?

Quote:

Originariamente inviato da Chill-Out

Fai un controllo con HitmanPro 3.7 http://www.surfright.nl/it/downloads/

NB: non prevede installazione
NB1: non attivare la licenza

Ho fatto la scansione con HitmanPro 3.7 E' stato velocissimo! Ci ha messo 2 minuti circa! Avira Antivirus ci mette 40-45 minuti!
Andiamo ai risultati....Minacce rilevate: 0
Perciò "Nessuna minaccia rilevata"
Questo basta per poter affermare con certezza matematica che il mio PC è al 100% "pulito" oppure devo fare altro?

[blackline000]

Buongiorno,

un virus cosi bastardo non mi era mai capitato di prenderlo. Disabilita tutto (anche la modalità provvisoria) e ha un sacco di varianti cosicchè a qualcuno funziona un certo metodo e ad altri no.

Io penso di essere il caso più disperato, in quanto non mi funziona la modalità provvisoria, non mi va il "kav_rescue_10" di Karspersky e non riesco a fare partire il sistema operativo neanche con "HitmanPro 3.7 with Kickstart ".
Quest'ultimo entra nella prima schermata dove ho le 2 opzioni "Bypass master boot record" ma mi appare poi la schermata di dos in cui il sistema mi dice che windows è stato chiuso in modo errato l'ultima volta e di scegliere quindi la modalità di riaccensione. Inutile dire che tutte le prove (modalità provvisoria, senza rete, con prompt dei comandi o normalmente) generano il blocco del pc.
Schermata nera e tanti saluti.

Non sono ancora riuscito ad andare oltre alla schermata di scelta della modalità di accensione di windows.

Possibile che non ci sia una soluzione universale che bypassa completamente il problema?

Avete dei suggerimenti?
Grazie

PS: leggevo in rete 3ds con la data di dicembre, perchè sembra che il virus si sia evoluto e blocca sempre di più le soluzioni che via via risultano fattibili, in cui si propone di usare UBUNTU da USB per poi entrare in wondows a cancellare manualmente i files infetti.

Visto che per me linux rasenta l'arabo, c'è qualcuno che conosce i passi per questa o altre soluzioni?

Grazie per un qualsiasi aiuto.

Pietro

[gerko]

Ma sto runctf cosa fa oltre ad essere una scocciatura? Ruba informazioni informatiche? Bisognerebbe cambiare tutte le password se si è stati infetti?

[nV 25]

chi ha difficoltà a rimuovere il malware in questione con HitmanPro, provi quantomeno a vedere se la modalità "forzata" riesce a sortire qualche effetto.

Qui potete vedere anche il filmato http://hitmanpro.wordpress.com/2010/...ce-breach-mode.
Se non erro, cmq, da modalità amministratore è sufficiente tener premuto il tasto CTRL di sinistra mentre si lancia appunto HitmanPro.

[ais001]

@ blackline000
... tranquillo, è dal 1997 che ogni tanto capitano virus potenti... non è la prima volta e non sarà l'ultima questa


L'unica accortezza è evitare i soliti siti, non aprire email non riconosciute ed eventualmente i popup chiuderli con ALT+F4 e non clickando sui pulsanti... insomma le solite 4 raccomandazioni di sempre

[Shark_rb]

Quote:

Originariamente inviato da gerko

Ma sto runctf cosa fa oltre ad essere una scocciatura? Ruba informazioni informatiche? Bisognerebbe cambiare tutte le password se si è stati infetti?

Sarei interessato anche io ad avere una risposta alla tua domanda visto che sono stato colpito nei giorni precedenti da questo virus.Gentilmente qualcuno può darci una dritta?Grazie

[marika43]

Quote:

Originariamente inviato da blackline000

Buongiorno,

un virus cosi bastardo non mi era mai capitato di prenderlo. Disabilita tutto (anche la modalità provvisoria) e ha un sacco di varianti cosicchè a qualcuno funziona un certo metodo e ad altri no.

Io penso di essere il caso più disperato, in quanto non mi funziona la modalità provvisoria, non mi va il "kav_rescue_10" di Karspersky e non riesco a fare partire il sistema operativo neanche con "HitmanPro 3.7 with Kickstart ".
Quest'ultimo entra nella prima schermata dove ho le 2 opzioni "Bypass master boot record" ma mi appare poi la schermata di dos in cui il sistema mi dice che windows è stato chiuso in modo errato l'ultima volta e di scegliere quindi la modalità di riaccensione. Inutile dire che tutte le prove (modalità provvisoria, senza rete, con prompt dei comandi o normalmente) generano il blocco del pc.
Schermata nera e tanti saluti.

Non sono ancora riuscito ad andare oltre alla schermata di scelta della modalità di accensione di windows.

Possibile che non ci sia una soluzione universale che bypassa completamente il problema?

Avete dei suggerimenti?
Grazie

PS: leggevo in rete 3ds con la data di dicembre, perchè sembra che il virus si sia evoluto e blocca sempre di più le soluzioni che via via risultano fattibili, in cui si propone di usare UBUNTU da USB per poi entrare in wondows a cancellare manualmente i files infetti.

Visto che per me linux rasenta l'arabo, c'è qualcuno che conosce i passi per questa o altre soluzioni?

Grazie per un qualsiasi aiuto.

Pietro

mi è capitato di eliminare dal pc di mia nipote questo virus nelle condizioni in cui era tutto disabilitato anche la modalità provvisoria..
la gestione è la seguente.
Devi recuperare/creare un cd/usb di avvio con win7PE
E' una versione ridotta di win7 (come era BartPE per xp..) ...
Da questo sistema avviato da CD(o da usb) devi eliminare tutti i programmi che si avviano allo startup del sistema infetto. Per fare questo puoi usare hijackthis indirizzando il sistema infetto (oppure un regedit di sistema remoto). Una volta spuntate queste voci il virus diventa "innocuo". Puoi a quel punto eseguire la pulizia con qualsiasi antivirus da modalità provvisoria. Io l'ho ripulito con combofix da modalità provvisoria.

[ferrorules]

Si può pure cercare in rete hiren's cd,contiene un sacco di programmi utili e anche un Windows live che aiuta in questi lavori

[vic_20]

qualcuno sa se funziona avg rescue cd?

[FiorDiLatte]

Ciao e Buon Anno Nuovo,

il malware in questione si prende navigando normalmente sia su siti comuni (apple.com, comune via, se vai su quel sito ti meriti tutto il male possibile) , che su siti "strani", io l'ho preso da delle pagine popup che apre il motore torrent "ilcorsaronero", ma un mio conoscente lo prende sempre (è abbonato) cercando in rete immagini erotiche (di dubbia moralità, ma secondo lui di alto valore artistico [questi illustratori, si inventano di tutto, pur di veder due culi]) .
Io ho un Win7Pro originale aggiornato alle ultime patch che il Nod32 (avevo di 4.xx, quando l'ho preso) mi segnala sempre, credevo d'essere al sicuro, finchè è apparsa la schermata incriminata, ne ho tolti molti in giro, è il mio lavoro toglierlo, ma per ora di malware tenaci così non ne ho mai visti, non capisco che vulnerabilità (uso mozilla Firefox aggiornato) sfrutti per entrare nel sistema, aggiorno sempre i vari plug-ins quindi flash, shockwave, java, adobe reader, ecc. , cambio sempre i dns in uso adoperando gli opendns (208.67.220.220 - 208.67.222.222 o uso quelli di google 8.8.8.8 - 8.8.4.4). Consiglio a tutti il Firefox come browser, ma a quanto pare non serve a nulla visto che questa infezione si prende cmq, e poi il Firefox ormai è troppo commerciale ed utilizzato, cmq sempre meglio di IE.
Di antivirus ho notato che nessuno riesce a fermarlo, però non ho ancora provato un antivirus col firewall, magari chissà, o magari un semplice antimalware che blocchi la scrittura nel registro.

Per rimuoverlo la solita modalità provvisoria, e se non funziona, col Kaspersky rescue disk:

http://rescuedisk.kaspersky-labs.com..._rescue_10.iso

permette tra le altre cose (non ricordo se riconosce il malware in questione) di accedere al registro di Windows e rimuovere eventuali malware che si autoavviano.

bye

ps= gradirei conoscere la Vostra esperienza su questo malware. Stamani mi accingo a rimuoverlo un'ennesima volta dal conoscente illustratore che se le ripreso, quando un suo amico gli ha rimosso il Nod32 per far posto a quel elefantiaco AVG2012/3, mi sa che questo mio conoscente farà da cavia per le mie prove.

[vic_20]

invece avg rescue cd non si sa. se dovesse capitarmi usero' Kaspersky rescue disk.
forse al conoscente sarebbe meglio installargli linuxmint per navigare.

[ferrorules]

Si prende in tutti i modi anche se di solito, è più facile se uno naviga su siti ehmmm.. comunque si prende sia con avira, nod, avg, avast... non ho provato con virit che controlla pure i registri; comunque a livello di virus ho trovato di molto peggio :-)

Inviato dal mio GT-I9300 con Tapatalk 2

[ferrorules]

Evidentemente usano code java o framework non bloccabili dal browser, sicuramente non ActiveX visto che capita anche con Firefox o chrome. .
Effettivamente è una palla gigantesca

Inviato dal mio GT-I9300 con Tapatalk 2

[FiorDiLatte]

Ciao,

andato dal mio conoscente, dopo avergli rimosso il malware con il mio buon abc.exe (il comune combofix.exe che rinomino da mesi, quando lo scarico nella mia fidata pennina usb da 4 GByte con protezione dalla scrittura in hardware [una Imation]) dalla provvisoria, ho disinstallato con "gusto" il pessimo e pesante AVG2013 (l'Internet Security, tra l'altro), dopo il riavvio necessario ed una scansione col nuovo Malwarebyte (che non ha trovato nulla [ricordo che il combofix.exe una volta adoperato, andrebbe rimosso, semplicemente rinominando il file da combofix.exe a uninstall.exe, rilanciando il tool, sembra che rifaccia la scansione, ma invece di partire dal primo "stage", comunica che il programma è stato disinstallato, ed il file si autocancella, dopo l'ok]). Ho letto un pò in giro qui nei forum, per scovare un qualcosa che bloccasse tale malware, ma non ho trovato conferme o non avevo voglia ne tempo di perdere troppo tempo, quindi ho provato ad installare il buon "vecchio" Avira Antivirus 2013 Free con in coppia il "fantomatico" Emsisoft Online Armor Free Firewall, che conoscevo da un pò di tempo, ma visto la complessità di domande che potrebbe porre all'utente finale ho deciso di non installarlo mai a nessuno (troppo difficile per l'utente medio a mio parere), ma questa era l'occasione speciale per metterlo alla prova.
Una volta installato, l'Online Armor fa una ricerca completa del sistema e dei suoi driver e dei programmi che si avviano automaticamente, dopo alcuni minuti (il pc del mio conoscente è un notebook economico con Win7, magari su un pc fisso più recente la fase di "autoapprendimento" è più veloce) il pc è pronto, dopo l'ennesimo riavvio, sono pronto a sperimentarlo. Subito mi fiondo nella cronologia di Firefox nei siti porno più disparati che il mio amico ha visitato ieri sera, et voilà, compare subito la finestrina di Online Armor che mi chiede di intervenire su due processi del genere "wgsdgsdgdsgsd" ecc. [mi sembra che sia partito tutto da un exploit Java], spunto la casella di ricordare la mia decisione e clicco su Blocca. Da lì, in poi, provo e riprovo a visualizzare altre immagini di questi siti, riavvio il pc, e riprovo nel tentativo di riprendere il malware ma niente, l'exploit "sembra" fixato grazie a l'OnlineArmorFree (ossia, è trial per 30 giorni la versione premium, dopodichè diventa freeware, mi pare d'aver capito, limitando alcune opzioni). Chiaramente l'Avira in tutto questo trambusto non ha rilevato un "fico secco", nemmeno l'installazione dell'OnlineArmor, forse limitando l'Avira nelle sue preferenze è possibile migliorare la reattività del sistema, disabilitando il controllo Hips di questo antivirus, opzione inutile se non riesce a bloccare malware del genere. (o magari optare per antivirus ancora più leggeri tipo il PandaCloud)

In conclusione questo OnlineArmor "sembra" che faccia il suo dovere davvero, riuscendo a bloccare il malware in oggetto. Sembrerebbe facile sentenziare che quest'accoppiata OnlineArmor + antivirus free (leggero) sia quella più consona ed appropriata per chiunque, ma chissà, vedremo.

bye

[gerko]

Interessante esperienza, e mi rammarica che sul mio pc l'online armor aveva problemi a girare, ed ho messo zone allarm al suo posto, che come il buon avira non ha bloccato un fico secco.

[FiorDiLatte]

Quote:

Originariamente inviato da gerko

Interessante esperienza, e mi rammarica che sul mio pc l'online armor aveva problemi a girare, ed ho messo zone allarm al suo posto, che come il buon avira non ha bloccato un fico secco.

Ma ZoneAlarm mi sembra più pesante di OnlineArmor.


bye

[Liku Fanele]

Buongiorno a tutti

Ho ceracato di leggere tutte le discussioni per evitare di ripetere sempre gli stessi argomenti, vi descrivo velocemente la mia situazione.
Ho preso anch'io questo virus e, preso totalmente dal panico, leggendo qua e la sono andato in modalità provvisoria ed ho svuotato manualmente la cartella Temp.

Il virus adesso sembra debellato, nel senso che funziona tutto; l'unico problema è che all'accensione del PC mi si apre la finestra che allego.

Come devo fare per eliminare quest'ultima rogna? Grazie

[FiorDiLatte]

Ciao,

Disabilita l'antivirus e lancia il combofix.exe:

http://www.bleepingcomputer.com/download/combofix/


bye

[FiorDiLatte]

Cmq il combofix.exe può essere lanciato anche dal prompt di comando "combofix /killall" caricandolo da una pen drive usb, quindi il solito F8 all'avvio e poi si seleziona il prompt senza rete:

http://4.bp.blogspot.com/-W0u8sZhDuv...rovvisoria.jpg

bye