|
|
|
|
Strumenti |
27-12-2012, 17:51 | #81 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
in modalità Kickstart vedi http://www.youtube.com/watch?v=aBS902Qr0oc
__________________
Try again and you will be luckier.
|
|
29-12-2012, 02:16 | #82 | ||
Senior Member
Iscritto dal: May 2005
Messaggi: 407
|
Quote:
Quote:
Ho fatto la scansione con HitmanPro 3.7 E' stato velocissimo! Ci ha messo 2 minuti circa! Avira Antivirus ci mette 40-45 minuti! Andiamo ai risultati....Minacce rilevate: 0 Perciò "Nessuna minaccia rilevata" Questo basta per poter affermare con certezza matematica che il mio PC è al 100% "pulito" oppure devo fare altro? |
||
29-12-2012, 12:16 | #83 |
Junior Member
Iscritto dal: Dec 2012
Messaggi: 1
|
Buongiorno,
un virus cosi bastardo non mi era mai capitato di prenderlo. Disabilita tutto (anche la modalità provvisoria) e ha un sacco di varianti cosicchè a qualcuno funziona un certo metodo e ad altri no. Io penso di essere il caso più disperato, in quanto non mi funziona la modalità provvisoria, non mi va il "kav_rescue_10" di Karspersky e non riesco a fare partire il sistema operativo neanche con "HitmanPro 3.7 with Kickstart ". Quest'ultimo entra nella prima schermata dove ho le 2 opzioni "Bypass master boot record" ma mi appare poi la schermata di dos in cui il sistema mi dice che windows è stato chiuso in modo errato l'ultima volta e di scegliere quindi la modalità di riaccensione. Inutile dire che tutte le prove (modalità provvisoria, senza rete, con prompt dei comandi o normalmente) generano il blocco del pc. Schermata nera e tanti saluti. Non sono ancora riuscito ad andare oltre alla schermata di scelta della modalità di accensione di windows. Possibile che non ci sia una soluzione universale che bypassa completamente il problema? Avete dei suggerimenti? Grazie PS: leggevo in rete 3ds con la data di dicembre, perchè sembra che il virus si sia evoluto e blocca sempre di più le soluzioni che via via risultano fattibili, in cui si propone di usare UBUNTU da USB per poi entrare in wondows a cancellare manualmente i files infetti. Visto che per me linux rasenta l'arabo, c'è qualcuno che conosce i passi per questa o altre soluzioni? Grazie per un qualsiasi aiuto. Pietro |
31-12-2012, 15:41 | #84 |
Senior Member
Iscritto dal: Aug 2008
Messaggi: 4522
|
Ma sto runctf cosa fa oltre ad essere una scocciatura? Ruba informazioni informatiche? Bisognerebbe cambiare tutte le password se si è stati infetti?
|
31-12-2012, 16:00 | #85 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
chi ha difficoltà a rimuovere il malware in questione con HitmanPro, provi quantomeno a vedere se la modalità "forzata" riesce a sortire qualche effetto.
Qui potete vedere anche il filmato http://hitmanpro.wordpress.com/2010/...ce-breach-mode. Se non erro, cmq, da modalità amministratore è sufficiente tener premuto il tasto CTRL di sinistra mentre si lancia appunto HitmanPro. Ultima modifica di nV 25 : 31-12-2012 alle 16:03. |
31-12-2012, 16:49 | #86 |
Senior Member
Iscritto dal: Nov 2007
Città: VICENZA
Messaggi: 17074
|
@ blackline000
... tranquillo, è dal 1997 che ogni tanto capitano virus potenti... non è la prima volta e non sarà l'ultima questa L'unica accortezza è evitare i soliti siti, non aprire email non riconosciute ed eventualmente i popup chiuderli con ALT+F4 e non clickando sui pulsanti... insomma le solite 4 raccomandazioni di sempre |
02-01-2013, 16:00 | #87 |
Senior Member
Iscritto dal: Jan 2010
Messaggi: 404
|
Sarei interessato anche io ad avere una risposta alla tua domanda visto che sono stato colpito nei giorni precedenti da questo virus.Gentilmente qualcuno può darci una dritta?Grazie
|
03-01-2013, 08:32 | #88 | |
Senior Member
Iscritto dal: Mar 2006
Città: Roma-salario/montesacro
Messaggi: 1319
|
Quote:
la gestione è la seguente. Devi recuperare/creare un cd/usb di avvio con win7PE E' una versione ridotta di win7 (come era BartPE per xp..) ... Da questo sistema avviato da CD(o da usb) devi eliminare tutti i programmi che si avviano allo startup del sistema infetto. Per fare questo puoi usare hijackthis indirizzando il sistema infetto (oppure un regedit di sistema remoto). Una volta spuntate queste voci il virus diventa "innocuo". Puoi a quel punto eseguire la pulizia con qualsiasi antivirus da modalità provvisoria. Io l'ho ripulito con combofix da modalità provvisoria. Ultima modifica di marika43 : 03-01-2013 alle 10:55. |
|
03-01-2013, 10:18 | #89 |
Senior Member
Iscritto dal: Aug 2000
Messaggi: 393
|
Si può pure cercare in rete hiren's cd,contiene un sacco di programmi utili e anche un Windows live che aiuta in questi lavori
|
03-01-2013, 10:32 | #90 |
Senior Member
Iscritto dal: Jul 2009
Messaggi: 1181
|
qualcuno sa se funziona avg rescue cd?
|
05-01-2013, 10:19 | #91 |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
Ciao e Buon Anno Nuovo,
il malware in questione si prende navigando normalmente sia su siti comuni (apple.com, comune via, se vai su quel sito ti meriti tutto il male possibile) , che su siti "strani", io l'ho preso da delle pagine popup che apre il motore torrent "ilcorsaronero", ma un mio conoscente lo prende sempre (è abbonato) cercando in rete immagini erotiche (di dubbia moralità, ma secondo lui di alto valore artistico [questi illustratori, si inventano di tutto, pur di veder due culi]) . Io ho un Win7Pro originale aggiornato alle ultime patch che il Nod32 (avevo di 4.xx, quando l'ho preso) mi segnala sempre, credevo d'essere al sicuro, finchè è apparsa la schermata incriminata, ne ho tolti molti in giro, è il mio lavoro toglierlo, ma per ora di malware tenaci così non ne ho mai visti, non capisco che vulnerabilità (uso mozilla Firefox aggiornato) sfrutti per entrare nel sistema, aggiorno sempre i vari plug-ins quindi flash, shockwave, java, adobe reader, ecc. , cambio sempre i dns in uso adoperando gli opendns (208.67.220.220 - 208.67.222.222 o uso quelli di google 8.8.8.8 - 8.8.4.4). Consiglio a tutti il Firefox come browser, ma a quanto pare non serve a nulla visto che questa infezione si prende cmq, e poi il Firefox ormai è troppo commerciale ed utilizzato, cmq sempre meglio di IE. Di antivirus ho notato che nessuno riesce a fermarlo, però non ho ancora provato un antivirus col firewall, magari chissà, o magari un semplice antimalware che blocchi la scrittura nel registro. Per rimuoverlo la solita modalità provvisoria, e se non funziona, col Kaspersky rescue disk: http://rescuedisk.kaspersky-labs.com..._rescue_10.iso permette tra le altre cose (non ricordo se riconosce il malware in questione) di accedere al registro di Windows e rimuovere eventuali malware che si autoavviano. bye ps= gradirei conoscere la Vostra esperienza su questo malware. Stamani mi accingo a rimuoverlo un'ennesima volta dal conoscente illustratore che se le ripreso, quando un suo amico gli ha rimosso il Nod32 per far posto a quel elefantiaco AVG2012/3, mi sa che questo mio conoscente farà da cavia per le mie prove.
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 Ultima modifica di FiorDiLatte : 05-01-2013 alle 10:29. Motivo: varie |
05-01-2013, 11:01 | #92 |
Senior Member
Iscritto dal: Jul 2009
Messaggi: 1181
|
invece avg rescue cd non si sa. se dovesse capitarmi usero' Kaspersky rescue disk.
forse al conoscente sarebbe meglio installargli linuxmint per navigare. |
05-01-2013, 11:25 | #93 |
Senior Member
Iscritto dal: Aug 2000
Messaggi: 393
|
Si prende in tutti i modi anche se di solito, è più facile se uno naviga su siti ehmmm.. comunque si prende sia con avira, nod, avg, avast... non ho provato con virit che controlla pure i registri; comunque a livello di virus ho trovato di molto peggio :-)
Inviato dal mio GT-I9300 con Tapatalk 2 |
05-01-2013, 11:40 | #94 |
Senior Member
Iscritto dal: Aug 2000
Messaggi: 393
|
Evidentemente usano code java o framework non bloccabili dal browser, sicuramente non ActiveX visto che capita anche con Firefox o chrome. .
Effettivamente è una palla gigantesca Inviato dal mio GT-I9300 con Tapatalk 2 |
05-01-2013, 22:29 | #95 |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
[Bloccato il malware]
Ciao,
andato dal mio conoscente, dopo avergli rimosso il malware con il mio buon abc.exe (il comune combofix.exe che rinomino da mesi, quando lo scarico nella mia fidata pennina usb da 4 GByte con protezione dalla scrittura in hardware [una Imation]) dalla provvisoria, ho disinstallato con "gusto" il pessimo e pesante AVG2013 (l'Internet Security, tra l'altro), dopo il riavvio necessario ed una scansione col nuovo Malwarebyte (che non ha trovato nulla [ricordo che il combofix.exe una volta adoperato, andrebbe rimosso, semplicemente rinominando il file da combofix.exe a uninstall.exe, rilanciando il tool, sembra che rifaccia la scansione, ma invece di partire dal primo "stage", comunica che il programma è stato disinstallato, ed il file si autocancella, dopo l'ok]). Ho letto un pò in giro qui nei forum, per scovare un qualcosa che bloccasse tale malware, ma non ho trovato conferme o non avevo voglia ne tempo di perdere troppo tempo, quindi ho provato ad installare il buon "vecchio" Avira Antivirus 2013 Free con in coppia il "fantomatico" Emsisoft Online Armor Free Firewall, che conoscevo da un pò di tempo, ma visto la complessità di domande che potrebbe porre all'utente finale ho deciso di non installarlo mai a nessuno (troppo difficile per l'utente medio a mio parere), ma questa era l'occasione speciale per metterlo alla prova. Una volta installato, l'Online Armor fa una ricerca completa del sistema e dei suoi driver e dei programmi che si avviano automaticamente, dopo alcuni minuti (il pc del mio conoscente è un notebook economico con Win7, magari su un pc fisso più recente la fase di "autoapprendimento" è più veloce) il pc è pronto, dopo l'ennesimo riavvio, sono pronto a sperimentarlo. Subito mi fiondo nella cronologia di Firefox nei siti porno più disparati che il mio amico ha visitato ieri sera, et voilà, compare subito la finestrina di Online Armor che mi chiede di intervenire su due processi del genere "wgsdgsdgdsgsd" ecc. [mi sembra che sia partito tutto da un exploit Java], spunto la casella di ricordare la mia decisione e clicco su Blocca. Da lì, in poi, provo e riprovo a visualizzare altre immagini di questi siti, riavvio il pc, e riprovo nel tentativo di riprendere il malware ma niente, l'exploit "sembra" fixato grazie a l'OnlineArmorFree (ossia, è trial per 30 giorni la versione premium, dopodichè diventa freeware, mi pare d'aver capito, limitando alcune opzioni). Chiaramente l'Avira in tutto questo trambusto non ha rilevato un "fico secco", nemmeno l'installazione dell'OnlineArmor, forse limitando l'Avira nelle sue preferenze è possibile migliorare la reattività del sistema, disabilitando il controllo Hips di questo antivirus, opzione inutile se non riesce a bloccare malware del genere. (o magari optare per antivirus ancora più leggeri tipo il PandaCloud) In conclusione questo OnlineArmor "sembra" che faccia il suo dovere davvero, riuscendo a bloccare il malware in oggetto. Sembrerebbe facile sentenziare che quest'accoppiata OnlineArmor + antivirus free (leggero) sia quella più consona ed appropriata per chiunque, ma chissà, vedremo. bye
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
05-01-2013, 23:45 | #96 |
Senior Member
Iscritto dal: Aug 2008
Messaggi: 4522
|
Interessante esperienza, e mi rammarica che sul mio pc l'online armor aveva problemi a girare, ed ho messo zone allarm al suo posto, che come il buon avira non ha bloccato un fico secco.
|
07-01-2013, 20:44 | #97 | |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
Quote:
bye
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
|
08-01-2013, 09:05 | #98 |
Member
Iscritto dal: May 2010
Messaggi: 209
|
Buongiorno a tutti
Ho ceracato di leggere tutte le discussioni per evitare di ripetere sempre gli stessi argomenti, vi descrivo velocemente la mia situazione. Ho preso anch'io questo virus e, preso totalmente dal panico, leggendo qua e la sono andato in modalità provvisoria ed ho svuotato manualmente la cartella Temp. Il virus adesso sembra debellato, nel senso che funziona tutto; l'unico problema è che all'accensione del PC mi si apre la finestra che allego. Come devo fare per eliminare quest'ultima rogna? Grazie |
08-01-2013, 13:16 | #99 |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
Ciao,
Disabilita l'antivirus e lancia il combofix.exe: http://www.bleepingcomputer.com/download/combofix/ bye
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
08-01-2013, 13:20 | #100 |
Senior Member
Iscritto dal: May 2002
Città: Toscana
Messaggi: 3438
|
Cmq il combofix.exe può essere lanciato anche dal prompt di comando "combofix /killall" caricandolo da una pen drive usb, quindi il solito F8 all'avvio e poi si seleziona il prompt senza rete:
http://4.bp.blogspot.com/-W0u8sZhDuv...rovvisoria.jpg bye
__________________
ASUS TUF GAMING Z790-PRO WIFI (1424) + Intel i5@13600K + 32GB RAM DDR5 XMP3.0 6400MT/s CL32 FURY Renegade + SSD M2 990 PRO 1 TB + SSD M2 980 Pro 500GB + n°2 SSD 860 EVO 500GB + WD Blue 2 TB + MSI VENTUS 2X WHITE RTX 4060 8GB GDDR6 pci-ex4.0 + Scheda Audio Asus Xonar Phoebus Solo 7.1 |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 03:31.