Visualizzazione Stampabile
-
@PH10
L'infezione è stata eliminata.
Per quanto riguarda i file bloccati devi rinominarli con il corretto nome e con la giusta estensione.
Fai la prova su un file e controlla se ti si apre.
es. un file di word devi rinominare con estensione docx(se usi office 2007 o sup.)
le foto se erano in formato jpg devi rinominarle con quel formato.
Fammi sapere.
-
Ok perfetto!
Io uso open office perchè mi è scaduta la licenza di Microsoft Office per cui l'ho rinominato in .odt ma niente:
Mi appare questo Image - TinyPic - Free Image Hosting, Photo Sharing & Video Hosting e quando apro il file questo Image - TinyPic - Free Image Hosting, Photo Sharing & Video Hosting, apro il file e appaiono solo simboli!
Per le immagini mi appare quanto scritto nella prima immagine e semplicemente non me la visualizza!
-
Ok
Quei file sono stati criptati dall'infezione.
hai una copia di backup(file originale) di uno di quei file criptati?
Puoi mandarmi in pm 2 o 3 di quei file con estensione diversa?
-
ciao a tutti - e in particolare a te vicky67 che sembri essere la salvezza di noi tutti - e scusate la mia più assoluta ignoranza nel campo informatico!
anche io ho avuto lo stesso problema col solito messaggio dei 100 euro, e il computer non riparte in modalità provvisoria (compare solo la freccetta con una schermata nera).
ora, ho provato a seguire la guida realizzata da vicky ma nel momento in cui inserisco la pendrive (su cui c'è farbar) e clicco su apri dopo aver fatto partire il notepad, noto che la pendrive viene riconosciuta, ma non compare alcun file all'interno. e se provo a scrivere I:\frst.exe mi compare una scritta che recita testualmente che "I:\frst.exe non è riconoscibile come comando interno o esterno, un programma eseguibile o un file batch".
dove potrebbe essere il problema?
grazie mille in anticipo!
-
ciao ???
Controlla su un altro pc che effettivamente FRST sia presente.
Formatta la pendrive e scarica nuovamente FRST copiandolo sulla pendrive
Tieni inserita la pendrive all'avvio del pc
Se dopo queste operazioni hai ancora problemi esegui quest'altra procedura
Post 70 e allega il log
A domani
-
ho già riprovato più volte, ora vado a vedere il post 70!
ah a proposito, ho windows 7.
ho seguito la procedura consigliata nel post 70 ma niente. la prima volta, dopo che il cd è partito correttamente (almeno credo!) ed era comparsa la scritta "Starting Reatogo-X-PE", si è presentata una schermata blu con scritte in bianco che diceva che il computer sarebbe stato riavviato per evitare danneggiamenti. la seconda e la terza volta si è proprio spento da solo dopo 5-10 secondi che era comparsa la stessa scritta. cosa posso fare ora?
scusate se continuo a tediarvi ma sono riuscito a entrare nella modalità provvisoria e in cima alla schermata c'è scritto "Microsoft (R) Windows (R) (Build 7600)", ma è l'unica cosa che riesco a vedere oltre alla scritta "modalità provvisoria" a tutti e quattro gli angoli e ovviamente alla schermata nera..
-
Vorrei analizzare l'mbr del disco.Vediamo se riesci a salvare sulla pendrive il backup dell'mbr.
Scarica GETxPUD.exe http://noahdfear.net/downloads/GETxPUD.exe
Avvia GETxPUD.exe
• Una nuova cartella apparirà sul desktop
• Apri la cartella GETxPUD e clicca su get&burn.bat
• Il programma scaricherà xpud_0.9.2.iso, e quando avrà finito aprirà BurnCDCC pronto per scrivere l’immagine.
• Clicca su Start e segui i comandi per scrivere l’immagine su cd.
• Rimuovi USB & CD e inseriscili nel pc infetto
• Avvia il pc da cd
• Il computer deve essere settato per l’avvio da cd
• Segui i comandi
• A Welcome to xPUD apparirà a schermo
• Premi File
• Espandi mnt
• sda1,2corrisponde di solito al tuo HDD
• sdb1 è di solito la tua USB
• Clicca sulla cartella che rappresenta l’usb (sdb1 ?)
• Premi Tool in alto
• Scegli Open Terminal
Copia e incolla il seguente commando
dd if=/dev/sda of=mbr.bin bs=512 count=1
Premi ENTER
Sulla pendrive troverai un file chiamato mbr.bin
Rinominalo a mbr.txt e allegalo.
-
Allegati: 1
ok, senza fare niente (ma aspettando almeno un'ora), il computer si è acceso e, anche se andava lentissimo, sono riuscito a far partire combofix. allego il log. grazie :)
leggendo un po' tra i post addietro ho notato che si consigliava di usare TDSSKiller: l'ho fatto e non ci sono stati i problemi. sto cercando di caricare il log, ma visto che pesa più di 200k l'ho caricato su wikifortio, ma ora non so come allegarlo! c'è qualcuno che mi può aiutare?
-
Non c'è traccia di infezioni,tranne questo c:\program files\setup.exe che è di solito associato a un rogue.(eliminalo).
Per allegare tdss killer dopo che lo hai caricato su wikifortio devi postare l'indirizzo per scaricarlo.
Esegui poi queste altre scansioni
• Malwarebytes Anti-Malware -> Malwarebytes Anti-Malware - Download.com
dopo averlo installato è necessario aggiornarlo e solo dopo eseguire la scansione completa del sistema, è altresì richiesto eliminare tutti gli oggetti identificati e salvare il log della scansione (il file di log da allegare per il controllo si trova nel Tab "File di log").Il file di log va preso solamente dopo aver eliminato gli oggetti.
• aswmbr sul desktop http://public.avast.com/~gmerek/aswMBR.exe e salva il log.
• Doppio click per avviarlo,aggiorna le firme.
• Clicca su "Scan" button per far partire lo scan
• Clicca sul pulsante save per salvare il log.
Allega i log richiesti
-
va bene così?
WikiFortio - Wikifortio
procedo ora con le altre scansioni.
comunque ho appena riavviato (per la prima volta dopo combofix e tdss killer) e mi sta dando gli stessi problemi in accensione!
-
il computer è di nuovo lentissimo (mentre prima del riavvio era tornato a velocità normale) e poco dopo l'ingresso in windows è comparso sulla destra un avviso di avira che diceva che era stato rilevato un malware chiamato "ADSPY.AdSpy.Gen2" in C:\programfiles86\intel\...\UNS.exe. volevo eliminarlo manualmente ma non ci sono ancora riuscito, il computer è troppo lento.
-
Salve a tutti pare che abbia rimosso il virus con combofix e tssdkiller.. il problema rimangono TUTTE le foto "locked" anche se rimetto l'estenzione originale non me le fa vedere... sono andate perse?
Grazie
-
@???
Quel file(UNS.exe) non è un'infezione,ma un falso positivo.
I log che ti avevo richiesto non sono stati allegati.Non posso sapere senza log se c'è qualcosa che non và.
Il fatto che il pc sia lento comunque non vuol dire necessariamente che sia infetto.
Il pc non è infetto da ransom,quindi siamo nella discussione sbagliata.
Continua qui
allegando i log richiesti insieme al file dat che ha generato aswmbr rinominandolo a .TXT e allegandolo.
-
@PH10 e @Gattobau
Siete stati infettati dalla stessa variante di ransom che cripta i documenti personali.Esistono diverse varianti di questa infezione che usano diverse chiavi di criptazione.Per il vostro problema è necessario usare questo software che potete scaricare qui
E' necessario avere almeno una copia originale di uno di quei file locked.
Una volta scaricato va eseguito(se volete una volta decriptati i file cancellare i file locked dovete cambiare l'opzione cliccando una volta aperto il programma su change parameters e mettere la spunta a "delete crypted files after decryption".
Quindi premere START SCAN-nella prossima videata cliccare su continue-selezionare il file originale e poi il file locked.
A questo punto inizierà la scansione per decriptare i vostri file.
Fate sempre sapere come è andata.Grazie
-
Allegati: 1
allego log FARBAR come richiesto da Vicky67 in PM