[RISOLTO] Rimuovere Virus Polizia Penitenziaria/Guardia di Finanza /Polizia Postale

kuntz
quando devi aggiungere qualcosa serviti del tasto modifica,non serve scrivere 3 post.
Adesso esegui una scansione online con eset Free ESET Online Antivirus Scanner

-Clicca sul pulsante eset online scanner
-Per browser alternativi(chi usa microsoft internet explorer può saltare questo passo)
1)clicca su esetsmartinstaller_enu.exe per scaricarlo.Salvalo sul desktop.
2)doppio click sulla sua icona.
-clicca Yes per accettare le condizioni
-clicca sul pulsante START
-spunta SCAN ARCHIVES
-clicca su setting e metti la spunta su
scan per potenziali applicazioni sospette.
-clicca sul pulsante START
-Eset installerà gli aggiornamenti e avvierà lo scan
-Quando lo scan ha finito premi su LIST OF found threats
-premi su EXPORT TO TEXT FILE e salvalo sul desktop.
-premi back button
-premi finish
-Allega il report

aswmbr ha creato sul desktop un file C:\Users\User\Desktop\MBR.dat(quest'ultimo file caricalo su Wikisend: free file sharing service e postami l'indirizzo per scaricarlo.

Nel prossimo post elencami i problemi rimasti sul pc.

Salve a tutti.
Di recente mi è capitata una cosa abbastanza fastidiosa. Navigavo tranquillo sul web quando, all'improvviso, succedono le seguenti cose (nell'ordine):

1. L'icona relativa alle reti nella TrayBar segnala connessione interrotta (sono connesso con cavo ethernet);
2. La connessione riappare subito, si apre una finestra popup con un processo Java in corso;
3. Si apre la cartella Documenti;
4. La barra del Menù Avvio da trasparente (uso Windows 7), diventa opaca;
5. Si apre una finestra del browser IE;
6. Il pc si blocca e compare una schermata della polizia di stato con scritto: "Attenzione, sul tuo computer sono state registrate attività illecite e contenuto di carattere pedopornografico e zoofilo. Inoltre, dalla tua mail sono stati inviati messaggi terroristici. Il SO operativo è stato bloccato. Se desideri sbloccarlo, paga una multa di 100 euro su questo conto..." (URKASH mi pare di ricordare).

Temendo una qualche forma di connessione in remoto, ho immediatamente spento il modem. Dopodiché ho proceduto con un'analisi del SO in Modalità Provvisoria con MBytes, che mi ha dato i seguenti rilevamenti:

- Trojan.Zbot.CBCGEN, relativo all'eseguibile di nome 0.7161138065937092.exe;
- Backdoor.Agent, depositato in una cartella Sun/Java/Deployment/Cache/6.0 relativo al file 5e1a3d8d-217c79b7

Ho eliminato i file riscontrati, ma ora sono un po' dubbioso. Avrei perciò per voi le seguenti domande;
1. potrebbe essere a rischio la mia connessione? nel senso, qualcuno potrebbe aver stabilito una connessione da remoto?
2. e di conseguenza, mi conviene resettare il modem?

Vi chiedo questo perché preferirei evitare il Reset, ho un modem di Alice e non vorrei sorgessero problemi visto che il trattamento della clientela da parte della Telecom è abbastanza "grottesco" in relazione alla "Risoluzione problemi di rete".
Ci tengo a sottolineare che sto attualmente scrivendo da un pc che si appoggia alla stessa rete sulla quale ero quando mi sono beccato la bestia, la connessione (wireless) è stabile e funziona tutto alla perfezione...

Non è che si resetta un router solo perchè c'è qualcosa che non và sul computer.
Un router infetto dà evidenti sintomi.
ll tuo problema era relativo a quel file 0.7161138065937092.exe che crea gli avvisi di cui sopra hai descritto.
Quindi se ora il pc non ha più problemi io starei tranquillo.In caso contrario effettueremo un'analisi più approfondita.ciao

Ok grazie Vicky...speriamo che resti tutto ok...

ciao vicky67
ho avuto lo stesso problema di kappa e ho eseguito tutte le istruzioni che gli hai dato, solo che quando sono arrivato a utilizzare TDSS killer dopo lo start scan non mi ha dato nessuna delle voci che erano elencate da te, a dire il vero non mi ha fatto niente..
cosa devo fare????
grazie mille

ciao Ferraioli

scarica aswmbr sul desktop http://public.avast.com/~gmerek/aswMBR.exe e salva il log.

• Doppio click per avviarlo
• Clicca su "Scan" button per far partire lo scan
• Clicca sul pulsante save per salvare il log.

Ciao a tutti!

È tornato il virus della guardia di finanza ad infettare il mio pc (prima lo eliminai con combofix + mbam), ma stavolta la faccenda è ben più complicata: quando faccio per avviare in modalità provvisoria (sia con rete che senza) il pc mi dà una schernata d'errore blu e si riavvia, lasciandomi soltanto accedere normalmente (dove il virus prende il sopravvento prima ancora che riesca a aprire task manager e msconfig). Cosa posso fare? Ho dentro un po' di dati che volevo backuppare prima di formattarlo, e alcuni sono salvati solo lí. Uso un portatile con Xp Home edition (Vista e 7 non mi garbano..)

Vi ringrazio di cuore se mi aiutate!

Dato che il pc è completamente bloccato,l'unica soluzione che hai per rimuovere l'infezione e volendo anche salvare i dati è scaricare un live cd tipo ubuntu entrare nella cartella C:\documents and setting\all user\menu avvio\programmi\esecuzione automatica
ed eliminare il file che ti blocca l'accesso.(sempre che sia l'infezione che ora stà girando).
Poi dovremmo effettuare una nuova scansione.

problema risolto effettuando un outspeed in accensione terminando il processo che appariva per pochi secondi disattivandone l'effetto. Trovarlo poi su system32 data la denominazione numerica è stato semplice, terrò comunque presente la tua soluzione per eventualità simili!

Ciao! Purtroppo anch'io ho lo stesso problema! Potresti spiegarmi meglio in cosa consiste questa procedura di outspeed in accensione? Grazie sin d'ora per la collaborazione.

Ciao a tutti. Sono nuovo e anche io ho lo stesso problema preso oggi. Anche a me e' successa la questione "polizia di stato...ecc." . Ho riavviato ma alla schermat a di win ripartiva il "blocco polizia di stato.."
Io ho riavviato in modalità provvisoria. Avast non si attivava allora ho avviato ccleaner ho fatto pulizia generale, ripristino registro, ma soprattuto bloccato all'avvio i che avevano una numerazione solo in system32 .exe
Riavviato ed e' partito tutto.
A questo punto sempre con ccleaner ho cancellato la chiave di avvio dei due programmi ...

Ora sembra che sia tutto a posto.
Come faccio a fare una bella scansione per eliminare ogni traccia? Avast basta aquesto punto ? Il pc e' di lavoro e non vorrei rischiare.
Grazie in anticipo

Salve a tutti,
mentre navigavo tranquillamente in internet con Firefox mi si è bloccato tutto e mi è comparsa la schermata con il logo della polizia postale e l'invito a pagare una multa di 100 euro, come accaduto ad altri utenti.

Inizialmente ho risolto il problema ripristinando il pc ad uno stato precedente.

Ho fatto la scanzione con Avira Free Antivirus il quale non ha rilevato niente.

Ho poi fatto scanzione con: aswMBR, tdsskiller ed infine con Combofix, secondo le modalità da voi indicate nei vari forum.
Allego i REPORT chiedendovi cortesemente se potete visionarli.

Grazie

ciao Mariko, dai log allegati il pc risulta in ordine : scarica otl==> http://oldtimer.geekstogo.com/OTL.exe , salvalo sul desktop, avvialo con due click, scegli la voce cleanup, quando il tool avra' terminato e' previsto un riavvio, dopo il riavvio ne' otl ne' combofix (e le relative cartelle)saranno piu' presenti, dopo il riavvio pulisci il sistema con CCleaner o simili.

salve a tutti,
intanto complimenti per il servizio perchè è grazie utenti come voi che si risolvono (o almeno si prova) problemi che diversamente sarebbero maggiori.
Venendo a me ho seguito le istruzioni relative a aswMBTR e TDSSKiller e fin qui tutto bene. Poi ho lanciato combofix e forse qui ho fatto del casino: non ho capito dove e come si doveva copiare la stringa ".... / killall" e cliccando 2 volte il porgramma è partito e fatto tutto da solo. Cancellato un po' di programmi (per la verità vecchi ma utili) e ad un certo punto si è fermato per un bel po'. Pensavo che avesse finito. Ho chiuso tutto e cercato il log. Ma nulla. L'ho rilanciato ma ora si ferma a "stage4-completato" e non va avanti.

Allego i report, mi potete aiutare?

Grazie.

AGGIORNAMENTO.
ri-lanciato Combofix ha praticamente (non ho capito se ha finito o no e dopo 30min. l'ho chiuso) concluso la verifica e il report. Allego anche quello. A questo punto c'è qualcuno che mi possa aiutare?

Grazie

Combofix non aveva finito, mi pare che il log sia interrotto ed incompleto.

Copiati queste istruzioni ed eseguile nell'ordine come sono.

Scarica OTL, salvalo sul desktop,doppio click sulla sua icona.
Clicca sul tab Cleanup.Alla fine della scansione verrà richiesto un riavvio.
Al termine ogni traccia di combofix e OTL verrà rimossa.
Usa ccleaner per pulire il sistema
Disattiva e riattiva il ripristino configurazione di sistema, dalle proprietà del sistema (dai Ok ed esci e riavvia, poi rientra, rimetti il segno di spunta e ridai Ok).

A questo punto ripassa Combofix.

Possibilmente con I.E., riscaricalo fresco fresco da:http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Salvalo sul desktop.

Chiudi tutte le finestre e programmi in esecuzione.
Disconnettiti dalla rete.
Chiudi o disabilita le protezioni in tempo reale di Antivirus, Antispyware e Firewall.
Clicca sulla tastiera il Tasto Windows (quello con la bandierina) più il tasto R
Nella finestra che si apre incolla o digita la seguente stringa, esattamente così senza levare/aggiungere nulla:

"%userprofile%\desktop\combofix.exe" /killall

Dai Ok, e rispondi NO alla domanda eventuale d'installazione della consolle di ripristino. elgi

Non fare assolutamente nulla durante la scansione, che può durare anche a lungo, dipende da quanto hai nel pc. Vai a dormire, se s'impalla lo saprai al risveglio. Se lo trovi sulla stessa schermata, allora c'é qualche errore che stoppa anche Combofix.
A scansione ultimata il Pc si sarà riavviato normalmente per completare la rimozione, invece troverai il tuo nrmale desktop.
Cerca in C: il suo report, "Combofix.txt" ed allegalo nel forum per interpretarlo.

Allega anche una scansione con DDS, come spiegato
=> QUI <=

Ripassa OTL per eliminare ogni traccia di Combofix