-
Uhmmm...intanto grazie...con BartPE parte in automatico windows xp live...da li poi ho la possibilità di andare sul prompt...ma sempre sotto windows...è lo stesso?
Spero vada bene...
WikiFortio - Wikifortio
Ultima modifica di bonovox767; 12-04-2012 alle 18.09.43
Motivo: UNIONE DI 2 POST IN 1
-
SWZone Staff - Moderatore
Un bruttissimo ramsomware.
Scarica il file in allegato e copialo nella pennetta.
Avvia FRST come prima e premi il pulsante Fix una volta e aspetta
Il tool creerà un log sulla flashdrive (Fixlog.txt) Allegalo.
Riavvia e vedi se il pc si avvia normalmente.Allega il log.
Ultima modifica di vicky67; 15-04-2012 alle 18.15.37
-
Ok vedo se riesco a farlo subito...per curiosità...visto che l'ha preso una collega qui in ufficio...è andata su qualche sito strambo lei? O può succedere anche se navighi su siti sicuri? Grazie!
P.S. Come si "legge" il txt? Cioè, come si capisce che è un ramsomware??
-
scusa bonovox..io ho scaricato ubunto e l'ho estratto..tu ni avevi detto che ra un iso ma estraendolo io ho visto delle cartelle e dei file. di solito di iso io ho scaricato e masterizzato giochi ma era un file solo... faccio un cd iso e ci metto dentro direttamente la cartella estratta con tutti i file all'interno?
-
Software Zone Fanatic
Ciao Turturici,
non dovevi estrarre la iso, ma masterizzarla così com'è..in Nero Burning rom la voce la trovi sul menù Masterizzatore/Scrivi immagine, ma spesso basta che fai doppio click sulla iso perchè si apra il programma di masterizzazione, a meno che l'estensione iso non sia stata associata con altri programmi...
Comunque, quella di Ubuntu che ti ho descritto è una prova che puoi eventualmente fare per riuscire poi ad avviare il Pc.
Purtroppo, come ha giustamente sottolineato Vicky, ultimamente alcune varianti di Ransomware inseriscono l'infezione in altre directory, rendendo spesso inutile questa procedura.
Altrimenti segui qesta procedura di Vicky:
=> POST 204 <=
Ultima modifica di bonovox767; 13-04-2012 alle 17.45.24
-
Eccomi qua...all'inizio sembrava funzionare, ma dopo 30 secondi è riapparso...prima del fix me lo dava immediato, ora ho questi 30 secondi di pace...poi ritorna la schermata! Posto il log.
Fixlog.txt
-
SWZone Staff - Moderatore
C'è qualcosa allora che lo rigenera.
Riesegui un'altra volta la scansione come la prima volta e allega il log.
-
-
scusate per quanto riguarda il pc io ho un cd che è l aggiornamento dell edizione di windows vista.... con questo posso ripararlo dal virus... accidenti potessi entrare in modalita provvisoria farei una bella scansione con combofix ma non posso!!!!!!
-
SWZone Staff - Moderatore
@alastre
Una parte dell'infezione è stata eliminata.
Ora riavvia il pc con il disco e segui questi percorsi.Devi trovare in documents and settings in tutti gli utenti e administrator seguendo il percorso indicato un file contrassegnato da numeri e lettere.exe ed eliminarlo.(purtroppo il log non me lo dà ma dovrebbe esserci).Poi elimina anche winsh320 321 322 323 come ti ho scritto sotto in system32.Riavvia e controlla.Se ancora non va vedi se ora parte la mod.provvisoria.Dimmi se sei riuscito a trovare quei file.
File da eliminare
C:\documents and settings\Administrator\impostazioni locali\Temp\numeri e lettere casuali.exe,(puoi anche cancellare tutto il contenuto della cartella temp)
C:\documents and settings\MassimoZecchinelli\impostazioni locali\Temp\numeri e lettere casuali.exe(esempio 4A7DE4666052AD44198A.exe)
C:\documents and settings\Veronica\impostazioni locali\Temp\numeri e lettere casuali.exe,(esempio 4A7DE4666052AD44198A.exe)
Elimina anche questi
C:\Windows\System32\winsh323
C:\Windows\System32\winsh322
C:\Windows\System32\winsh321
C:\Windows\System32\winsh320
Ultima modifica di vicky67; 14-04-2012 alle 10.02.09
-
Io ho risolto in una maniera abbastanza semplice...
premetto che a me partiva la modalità provvisoria
Per solidarietà sto scrivendo su molto forum la risoluzione al problema:
Necessario: la funzione di modalità provvisoria
entrare in windows in modalità provvisoria, pannello di controllo, ripristino e scegliete uno dei ripristini fatti.
c'è ne sta semrpe almeno uno che è quello automatico. a me era di 2 giorni fa e una volta ripristinato nn ho avuto + alcun problema
-
Ciao Vicky, provato le tue ultime istruzioni e funziona...unici due nei: il primo, di poco conto, due messaggi di errore perché non trova ovviamente più i file exe che ho cancellato...non riesco a capire dove andare ad eliminare l'esecuzione automatica...l'altro un pò più rognoso mi dice che il server di exchange non è in linea e non funzioona piu la posta interna...
-
SWZone Staff - Moderatore
Perfetto riguardo al ramsomware che abbiamo eliminato.Il messaggio d'errore possiamo eliminarlo andando a cancellare la chiave del registro che crea il messaggio.
Per l'altro problema vorrei sapere quindi se non ti riesci più a connettere alla rete o ti dà comunque connesso e non puoi accedere ad internet e alla posta interna
Esegui comunque queste 2 scansioni e allega i log
•scarica combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe , rinominalo in abc.exe, salvalo sul desktop , disconnettiti dalla rete e disattiva il tuo antivirus
Una volta posizionato il programma sul desktop incolla nello spazio bianco di esegui questo comando, cosi' com'e':
"%userprofile%\desktop\abc.exe" /killall <==copia e incolla
Premi OK, partirà la scansione.Durante questa fase non fare assolutamente niente con il pc.
Apparirà una schermata di esonero garanzie sul software-clicca su si,
Apparirà una schermata (solo per chi usa windows xp) per installare la console di ripristino,clicca su no.
Al termine apparirà a schermo il log di combofix che potrai anche trovare in C:\combofix.txt .Allegalo nel prossimo post.
Scarica Farbar Service Scanner http://download.bleepingcomputer.com/farbar/FSS.exe
Metti la spunta su internet service-windows firewall-report windows version full
Premi "Scan". (cavo connesso)
Verrà creato un log (FSS.txt) nella stessa directory del tool
Allega il log.
Ultima modifica di vicky67; 16-04-2012 alle 11.41.45
-
Qualcuno mi aiuti.. .)
Salve.
Anche io sono reduce della stessa esperienza.
Il mio problema è che non riesco ad avviare il pc in modalità provvisoria perchè si riavvia.
Non posso formattarlo.Rischio di perdere troppo materiale.
Avete una soluzione??
Grazie mille
-
Software Zone Fanatic
Nel 1° post di questo thread è evidenziato il link alla nostra guida sul come agire in questo caso:
http://forum.swzone.it/sicurezza/138...nzionante.html
Tag per Questa Discussione
Permessi di Scrittura
- Tu non puoi inviare nuove discussioni
- Tu non puoi inviare risposte
- Tu non puoi inviare allegati
- Tu non puoi modificare i tuoi messaggi
-
Regole del Forum
Segnalibri