Si, da usb riesco ad avviare ubuntu live, e con questo ho anche identificato il virus, ma anche cancellandolo si ripresenta, credo che dovrei cancellare le chiavi di registro.
Comunque grazie ora proverò questa strada da te indicata.
Buongiorno Vicky. Sono anche io alle prese con questo problema. Ho letto un pò di messaggi , cosi ho effettuato una scansione con FRST , e di seguito ti allego il resoconto . Cosa devo fare adesso ?
Grazie in anticipo per l'aiuto .
Scarica il file in allegato e copialo sulla pendrive dove hai FRST.
Riavvia FRST come hai fatto precedentemente,solo che questa volta clicca sul pulsante FIX una sola volta.
Allega il log fixlog.txt che troverai sulla pendrive.
Riavvia il pc in modalità normale e controlla che l'accesso a windows avvenga ora correttamente.
Ci sarà poi da sistemare il firewall perchè danneggiato.
Caro Vicky67,
ho avuto il virus Polizia Penitenziaria. Ho provato a partire in modalità provvisoria, ma dopo poco si riavviava normalmente e ripartiva la schermata che chiedeva soldi. Allora ho riavviato in modalità provvisoria con prompt dei comandi e ho fatto partire Combofix. Il problema sembrava risolto dopo combofix, ma adesso non mi si collega a internet né su cavo Lan, né in wi-fi.
Non sono molto esperta e ho grande bisogno del tuo aiuto ...
Allego il file di testo di Combofix e attendo con ansia uno dei tuoi procedimenti magici per risolvere se si può senza riformattare ...
Grazie
ciao marilu'
combofix è uno strumento molto invasivo che apporta modifiche al sistema.Nel caso di infezioni da ransom non và usato.
Ti indico una serie di punti da seguire.Nel caso non risolvi al punto precedente passa al successivo.
1)Segui il seguente percorso C:\Qoobox\Quarantine\Registry_backups\tcpip.reg.
Fai doppio click sul file tcpip.reg e dai conferma di aggiungere i valori al registro. Riavvial pc e controlla la connessione.
2)Dal log risulta installato un proxy.Navighi attraverso proxy?
Se si' ok,altrimenti togli il proxy dalle opzioni internet del browser.
3)Disinstalla l'antivirus.Riavvia e controlla.
4)Esegui una scansione con FSS con cavo connesso(usa il cavo lan).
Scarica Farbar Service Scanner Downloading Farbar Service Scanner
Metti la spunta a tutto
Premi "Scan".
Verrà creato un log (FSS.txt) nella stessa directory del tool
Allega il log.
grazie per la tua risposta. Mi sembra di capire dalle tue parole che non avrei dovuto usare combofix ...
Ho provato a fare in sequenza quello che mi hai detto ma ancora non si connette a internet.
Il proxy è installato perchè a volte mi devo collegare da casa al server del lavoro, ma è normalmente inattivo.
Ho fatto la scansione con FSS come mi hai detto con il cavo lan connesso, e il log è quello allegato.
Grazie ancora se potrai aiutarmi.
Bene
Ho individuato il problema che ti blocca la connessione.
C'è un file infetto che ha danneggiato un servizio relativo.(ha sfruttato una falla di avg per entrare)
Ora nel box bianco di FSS scrivi afd.sys e clicca su search Files.Allegami il log.
Ora esegui queste operazioni nell'ordine di come le ho scritte:
1)Scarica questo file sul desktop.
Eseguilo come amministratore(tasto dx sul file-esegui come amministratore).
Riceverai un log con la scritta file copiato.
Riavvia il pc.
2)Vai su start-nella barra di ricerca scrivi regedit.
Apri quindi l'editor del registro.
Portati a questa chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
tasto dx su Root e seleziona autorizzazioni
Clicca su avanzate.
Sotto il tab proprietario seleziona il tuo nome: esempio Vicky(Vicky-pc\vicky)
Metti un segno di spunta a "sostiuisci proprietario in sottocontenitore e oggetti" e clicca su Applica.Riceverai un messaggio"l'editor del registro non è stato in grado....."Ignora il messaggio e clicca su OK.
Nel tab sicurezza mentre everyone è selezionato metti la spunta a consenti in controllo completo.Clicca ok.
3)Scarica il file in allegato chiamato fix2.reg sul desktop.
Eseguilo e dai conferma di aggiungere i valori al registro.
Riavvia il pc e controlla la connessione.
Se hai fatto tutto correttamente dovresti essere in grado di accedere ad internet.
In caso contrario effettua una nuova scansione con FSS come hai fatto la prima volta.
Ultima modifica di vicky67; 06-04-2013 alle 09.45.43
SEI UN MITO !!!
Il pc ora si collega a internet !!!
Mi avevano detto che avrei dovuto riformattare, e invece tu sei riuscito a risolvere !
GRAZIE !
Grazie per avermi guidato passo passo, altrimenti non avrei saputo da dove cominciare ...
Se posso ancora approfittare della tua sapienza, ora cosa devo fare ? Devo far girare ancora FSS per vedere che sia tutto a posto ? E che antivirus e/o firewall è meglio mettere visto che quello di prima (che ho rimosso) ha fatto passare il virus ?
Ora torna di nuovo alla chiave root e mentre everyone è selezionato rimuovi il segno di spunta sotto permetti a controllo completo e chiudi il registro.
Non serve rieseguire FSS dato che hai fatto tutto correttamente.
Avg lascialo stare,come antivirus puoi mettere avira o avast entrambi free.
Per avere una migliore protezione sul web puoi seguire la guida che ho in firma "guida post rimozione"
In allegato metto il report fatto con farbar frst.exe
La situazione è Win7 32 bit NON avviabile in mod. provvisoria, nè prompt, nè con rete, nè in mod. a bassa risoluzione.
Qualsiasi modalità mi porta (dopo il bootlogo a bandiera di Win7) ad una schermata nera con il cursore mouse centrale, movibile, ma dove qualsiasi combinazione Ctrl+Alt+Canc, Ctrl+Shift+Esc, Win+L, Win+D, Win+R non funzionano.
Ho controllato il registro e Taskmanager non è inibito da nessuna voce, la shell è Explorer, la chiave Userinit, ha il valore userinit.exe, ...
Ho usato Kaspersky Rescue Disk 10, fatto un paio scansioni e rimosso virus ed adware da lui rilevati.
L'unico modo di smanettare nel Pc, è entrare nel Prompt dell'ambiente di ripristino (F8) / con Il cd di Kaspersky / accedendo al pc con Ubuntu che ho installato sullo stesso Pc.
Come procedo?
Grazie Mille, Marco a.k.a. Eklok88
Segnalibri