Virus Arma dei Carabinieri.

[sologirasole]

Ciao a tutti, ho beccato il virus come da titolo, le sto provando tutte ma non riesco a toglierlo dal pc e puntualmente mi compare, cosa posso fare?

Un mio amico mi ha detto (prendendomi in gioro) che si becca solo guardando porno ma come è possibile? questo pc lo uso solo io, e fortuna o sfortuna vuole che non guardo più porno da anni (non ne ho più bisogno XD).
Quale può essere la fonte?

[Chill-Out]

Quote:

Originariamente inviato da sologirasole

Ciao a tutti, ho beccato il virus come da titolo, le sto provando tutte ma non riesco a toglierlo dal pc e puntualmente mi compare, cosa posso fare?

Un mio amico mi ha detto (prendendomi in gioro) che si becca solo guardando porno ma come è possibile? questo pc lo uso solo io, e fortuna o sfortuna vuole che non guardo più porno da anni (non ne ho più bisogno XD).
Quale può essere la fonte?

Fai un controllo con HITMANPRO http://www.hwupgrade.it/forum/showthread.php?t=2539794

[TheQ.]

Non ho capito se rilevi il virus sul pc, o semplicemente il browser apre la pagina fake della polziia (con le varianti fake dell'interpol ).

In questo secondo caso qualcuno (un virus sul pc, un crack che hai installato, un attacco hacking da internet o la navigazione su qualche sito malevolo) ha eseguito un attacco rom0 sul tuo router e modificato il DNS del router con un altro server.
Il server riceve le tue richieste di navigazione e ti dirotta verso la pagina fake della polizia.
Per risolverlo ti basta:
1) resettare il modem
2) entrare nel router e mettere DNS sicuri (ad esempio i DNS di Google 8.8.8.8 o 8.8.4.4)
... fino al prossimo attacco
Per risolvere totalmente il problema: aggiornare il firmware del router, individuare se la modifica dei DNS dipende da qualcosa installato sul PC.

A questa pagina trovi il test per verificare se il tuo router è vulnerabile.
http://rom-0.cz/

[sologirasole]

risulta molto probabilmente vulnerabile, ma non ho capito quale può essere la causa? giusto per fare in modo che non mi ricapiti di nuovo.

[TheQ.]

Puoi scansionare in modalità provvisoria, o meglio con una live usb o live dvd o togliere l'HDD e scansionarlo con un PC pulito.
Puoi provare: aswmbr.exe, lo scanner dos di avast e vedere cosa ti indica (segnalazioni in rosso, non ricordo se rimuove).
Puoi andare dentro le impostazioni del tuo router (vedi il manuale del roouter e metti l'IP sull'URL su un browser ed accedi con admin e password) e verificare sui DNS che IP ti segna e riportarlo qui.

Edit:
puoi installare un programma che modifica i DNS e forza l'uso di DNS che imponi - oppure installi uno fra questi due browser Comodo Dragon o Comodo Ice dragon ed al setup selezioni la modifica dei dei DNS per tutta la navigazione. Il router tenderà ad utilizzare i DNS di un "server infetto", il software spingerà a collegarsi al server Comodo che fa da filtro ed il ping al web non sarà eccezionale.... però temporanemanete risolvi il problema.

[cecco89]

io risolvo sempre con combofix.exe

lo metti un su usc, avvi in modalita provvisoria con prompt dei comandi (alcune versioni del virus inibiscono la modalita provvisoria comune, ma non riescono a fermare quella con prompt dei comandi.

poi ti appare il cursore del promt dei comandi.
provi tutte le lettere corrispondi alle periferiche finche non trovi quella assegnata alla tua usb, tipo F:, G:, H: ecc ecc escluso ovviamente C: e D: che sono sempre occupate.

poi per ulteriore verifica lanci il comando "dir" che ti mostra tutto cio che è, contenuto all'interno della usb cosi puoi verificare di aver scelto la lettera giusta.

poi usi il comando "combofix.exe /killall"
ovviamente prima assicurati di aver rinominato il download di combofix e di averlo chiamato appunto soltanto combofix.

io cosi ho sempre eliminato questo virus non c'e una volta che non ci sia riuscito...almeno per ora

[TheQ.]

Ecco un altro IP messo fra i DNS che è "infetto" e da togliere: 94.249.192.104
Però non ridireziona verso la pagina della polizia, ma verso pagine di spamming e pubblicità.