[RISOLTO] Rimuovere Virus Polizia Penitenziaria/Guardia di Finanza /Polizia Postale

[Albe67]

Ciao Vicky67, sei grande!!! Ho eliminato il file e non si è più riformato.
Rimane la fastidiosa richiesta di installare SafeGuard Secure client 4.50.2, e ovviamente mi dice anche che non sono l'amministratore del sistema e qunidi non posso farlo.
La richiesta sopradescritta, è la prima cosa che appare sul monitor, dopo il ctrl+alt+canc e password, me lo chiede almeno 4 volte, poi quando apro internet explorer, me lo chiede altre 4/5 volte.
Purtroppo non riesco a disinstallare questo software, il pannello di controllo non mi propone tale possibilità, e CCleaner dice che è impossibile rimuovere (accesso negato - errore 5)

Hai qualche idea su come eliminare anche questa rottura?

Grazie,

[vicky67]

@Albe67
Per eliminare quel software(informati se non sia stato il tuo amministratore ad installarlo) scarica il file in allegato sul desktop,trascinalo nel box bianco di OTL e clicca su RUN FIX.
Controlla se hai ancora quel messaggio ed allega il log del fix di OTL.

[vicky67]

@rino
Prova a formattare la pendrive in fat anzichè fat32.
Altrimenti prova ad usare wintoflash al posto di usbprep Malekal's forum • OTLPE sur Clef USB via WintoFlash : Tutorials Windows
Se hai un altro pc prova anche con quello non vorrei che fosse qualche software di protezione che dà problemi.

[Albe67]

Ciao Vicky67 il software è stato installato dall'amministratore, tuttavia ho deciso di spazzarlo via.
i messaggi di errore me li da lo stesso....

Ecco il lig file.

Ciao,

[vicky67]

C'è un problema di diritti d'amministrazione con quel software in quanto sei loggato non come amministratore.
Il software è stato eliminato ma le voci nel registro sono rimaste
Viene impedita la modifica al registro.
Sono rimaste queste voci all'avvio ed altre sempre nel registro.
O4 - HKLM..\Run: [EdWizard] "C:\Program Files\Utimaco\SafeGuard Easy\EdWizard.exe" as File not found
O4 - HKLM..\Run: [SgeEcView] "C:\Program Files\Utimaco\SafeGuard Easy\Ecview.exe" File not found
O4 - HKLM..\Run: [SGEState] "C:\Program Files\Utimaco\SGEState.vbs" File not found
Per rimuovere quel software devi avere i diritti d'amministratore,quindi devi essere loggato come amministratore.Per ora ti saluto anche perchè sono in partenza

[Uragano26]

nessuno saprebbe aiutarmi? ...

[Albe67]

Grazie ancora vicky67, ti auguro buonissime vacanze!!!

[pinogino]

Ciao a tutti!

Scusate non sono un esperto di informatica, sono stato colpito dal virus ctfmon, e nella cartella ...Startmenu\ctfmon.lnk

Ho provato a seguire le vostre istruzioni, ma non riesco a fare nulla, non posso formattare il pc (portatile) e ho scaricato OTLPE 7-zip e eeepcfr, ma purtroppo non mi riconosce la USB perché non ho XP come sistema operativo, ma vista...

cosa devo fare?

vi allego alcuni file .txt che ho prodotto durante i vari tentativi...

Grazie mille in anticipo!

[dottor105]

ragazzi ho provato a rimuovere questo virus con combofix, e sembrerebbe che sia sparito, o almeno non si apre piu quando accendiamo il pc...
però ora quando avviamo il computer, appare una finestra di errore:

Errore durante il caricamento di C:\docume..1\Propie..\impost..1\Temp\toip0_tmp.exe

e in esecuzione automatica teoricamente non dovrebbe esserci niente di tutto ciò....bho!!

questo è il LOG
ComboFix.txt

[bobix]

Ciao,


ho eseguito la procedura indicata al link http://forum.swzone.it/sicurezza/138...nzionante.html
(PROCEDURA DI RIMOZIONE RANSOMWARE CON MODALITÀ PROVVISORIA NON FUNZIONANTE SU WINDOWS VISTA/ WINDOWS 7) e ti allego il log FRST.TXT.

Cosa devo fare ora?

[robyfreccia]

OTL.txt

[CharmeZx]

Buonasera a tutti,
Ho bisogno di una delucidazione e di un vostro aiuto sebbene non possa essere preciso al massimo in quanto il pc infettato da questo virus non è a mia disposizione ma è quello di mio padre... In pratica in questo caso il pc si accende anche in modalità normale e solo a volte compare la scritta "Polizia di stato", sembra che accada casualmente ma come dico oltre che in modalità provvisoria il pc funziona anche in modalità normalme... l'unica cosa che potevo fare è stata quella di far fare a mio padre la scansione con malwarebytes aggiornato che ha trovato il virus "Ransomware" e altri 2 file sospetti (ma come dico telefonicamente non sono riuscito a sapere il percorso preciso del file anche perchè mio padre non se ne intende).
Ho proceduto a farglieli eliminare e, malwarebytes ha richiesto per tale operazione il riavvio del pc... Riavviato il quale gli ho fatto rieseguire la scansione completa sempre con lo stesso programma che non ha trovato piu' nulla. Ripulito con CCleaner, fatta fare scansione col nod32 e l'antivirus ha trovato 2 file "expoit" da quanto ho capito in Java.. Eliminati anche quelli con l'antivirus.

Ho chiesto il vostro aiuto per una questione, mi rendo conto che non posso postare informazioni precise perchè sono lontano da mio padre e non ho il pc tra le mani e quindi so che per voi non è facile darmi una mano ma provvisoriamente (prima cioè di poter agire personalmente sul pc) potrei stare tranquillo per oerpazioni di home banking che mio padre usa spesso o devo evitare? Posso fare ancora qualcosa (nei limiti della distanza e dell'interlocutore che ormai ha una certa età )

Vi ringrazio come sempre.

[macliven]

scarica il file allegato direttamente nella chiavetta , avvia FRST e clicca sul pulsante fix

Il tool creerà un log sulla flashdrive (Fixlog.txt) Allegalo qui nel forum

[iname1030]

Ciao a tutti,
allego frst.txt per altro pc infetto "polizia di stato"
p.s.:
posso usare un file fix.txt per Windows Xp ho devo attendere il vs fixlist.txt?
(Sono nei guai)
Grazie

FRST.txt

[macliven]

iname1030

stessa procedura a nche per te

scarica il file allegato direttamente nella chiavetta dove hai messo FRST, avvialo e clicca sul pulsante fix

Il tool creerà un log sulla flashdrive (Fixlog.txt) Allegalo qui nel forum