Virus polizia di stato variante

M

massimo283

Digital-Forum New User
Registrato
10 Febbraio 2013
Messaggi
14
ciao a tutti,

riprovo a scrivere il mio msg.
Mi chiamo Massimo e sono un vecchio utente di digital forum, ma non ho piu il mio vecchio pc con i miei dati.

vi scrivo per chiedervi aiuto per risolvere il problema con il fastidisissimo
virus della polizia di stato, quello con variante anti modalità provvisoria.

le sto provando tutte:

ho scaricato l'app della kaspersky che mi da accesso al regedit, ma le chiavi incriminate i paiono ok... ma posso sbagliare!
una sola volta son riuscito a batterlo sul tempo e caricare all'avvio msconfig e a disabilitare l'avvio automatico su tutti i programmi, ma invano.... al riavvio il virus si è ripresentato.

ho provato a fare una chiavetta usb di avvio con ubuntu e UNeboot ( un utente la consigliava) a a parte che non lo conosco come programma, ma non mi parte al boot... mi da un errore di file kernel corrupt.

insomma, son 2 giorni che le provo tutte, ma non ne esco a capo...
non vorrei formattare, il pc non è mio e non esistono dischi di recupero o drive di installazione, senza contare che non si ricorda nessuna delle pass che usa. Ormai sono salvate e va avanti così da anni.

Come posso cercare ad ingannare questo virus??

grazie a tutti

massimo
 
Purtroppo è successa la stessa cosa a me.
Chiavi registro Ok
In modalità provvisoria non era possibile partire.
Ho provato anche io con msconfig e batterlo nel tempo, ma nulla da fare.
Sai come ho risolto?
Ho aggiunto un nuovo Hard Disk e caricato lì il Sistema Operativo, senza formattare il vecchio, così da poter recuperare tutti i miei dati.
 
ERCOLINO ha scritto:
Hai un mp

Prova con combofix
Clicca per espandere...


ciao ercolino... letto grazie ;)

ho letto anche di combofix, ma sai se posso mettere una versione bootloader su usb? altrimenti non posso installarla, il virus non mi da tempo di fare nulla all'avvio, ho massimo 5 secondi tempo e poi salta fuori la pagina.
 
GioTag ha scritto:
Purtroppo è successa la stessa cosa a me.
Chiavi registro Ok
In modalità provvisoria non era possibile partire.
Ho provato anche io con msconfig e batterlo nel tempo, ma nulla da fare.
Sai come ho risolto?
Ho aggiunto un nuovo Hard Disk e caricato lì il Sistema Operativo, senza formattare il vecchio, così da poter recuperare tutti i miei dati.
Clicca per espandere...


Ciao Gio

interessante la tua soluzione, ma non so se ne sarei capace...:icon_redface:
questo incriminato è un portatile, come lo installo un'altro hd.... che tra l'altro non ho.
 
massimo283 ha scritto:
ciao ercolino... letto grazie ;)

ho letto anche di combofix, ma sai se posso mettere una versione bootloader su usb? altrimenti non posso installarla, il virus non mi da tempo di fare nulla all'avvio, ho massimo 5 secondi tempo e poi salta fuori la pagina.
Clicca per espandere...

Si è possibile lanciarlo anche da USB
 
io quel virus sul PC di un amico l'ho aggirato poichè ha un suo grosso limite (il virus, intendo): se sulla installazione di windows sono definiti più utenti, è possibile accedere con uno degli altri account e da lì il virus non parte in automatico. Sembra incredibile, ma è così: il virus ha effetto solo sull'account infettato. Francamente non so dirvi se questo succede solo su una tra le varianti del virus. Mi ero fatto tempo addietro un secondo account sul PC incriminato, proprio per aver modo di lavorare tranquillamente quando il mio amico mi chiedeva consulenza, e quando mi comunicò di aver preso il virus della polizia di stato la prima cosa che ho fatto è stato controllare se con il mio account il PC funzionava tranquillamente: ed in effetti così è stato.
 
ERCOLINO ha scritto:
Si è possibile lanciarlo anche da USB
Clicca per espandere...

ciao ercolino...

scusa la domanda stupida, ma se è un exe, lui, se è messo su una chiavetta, mi parte al boot???
in teoria dovrei partire dalla modalità provvisoria... il problema principalòe è che non parte.

Ho provato a leggermi tutto la discussione sul link che mi hai passato, ma anche li sono pareri tutti discordanti e cmq hanno soluzioni efficaci (??) solo per chi ha la possibilità di entrare in modalità provvisoria... grrrr
 
ANDREMALES ha scritto:
io quel virus sul PC di un amico l'ho aggirato poichè ha un suo grosso limite (il virus, intendo): se sulla installazione di windows sono definiti più utenti, è possibile accedere con uno degli altri account e da lì il virus non parte in automatico. Sembra incredibile, ma è così: il virus ha effetto solo sull'account infettato. Francamente non so dirvi se questo succede solo su una tra le varianti del virus. Mi ero fatto tempo addietro un secondo account sul PC incriminato, proprio per aver modo di lavorare tranquillamente quando il mio amico mi chiedeva consulenza, e quando mi comunicò di aver preso il virus della polizia di stato la prima cosa che ho fatto è stato controllare se con il mio account il PC funzionava tranquillamente: ed in effetti così è stato.
Clicca per espandere...


purtroppo c'è un unico user......
 
ANDREMALES ha scritto:
io quel virus sul PC di un amico l'ho aggirato poichè ha un suo grosso limite (il virus, intendo): se sulla installazione di windows sono definiti più utenti, è possibile accedere con uno degli altri account e da lì il virus non parte in automatico. Sembra incredibile, ma è così: il virus ha effetto solo sull'account infettato. Francamente non so dirvi se questo succede solo su una tra le varianti del virus. Mi ero fatto tempo addietro un secondo account sul PC incriminato, proprio per aver modo di lavorare tranquillamente quando il mio amico mi chiedeva consulenza, e quando mi comunicò di aver preso il virus della polizia di stato la prima cosa che ho fatto è stato controllare se con il mio account il PC funzionava tranquillamente: ed in effetti così è stato.
Clicca per espandere...
Nel caso di mio cugino tra l'altro il virus si attivata quando attivavo la connessione internet.

Se spegnevo il router funzionava tranquillamente

Cancellato, com'è capitato a te, con il secondo account "pulito".
 
VIANELLO_85 ha scritto:
Nel caso di mio cugino tra l'altro il virus si attivata quando attivavo la connessione internet.

Se spegnevo il router funzionava tranquillamente

Cancellato, com'è capitato a te, con il secondo account "pulito".
Clicca per espandere...


sì, avevo letto anche di questa variante.... ma questo ha un semplice e vecchio modem , ma non son sicuro, a 56k. un digicom michelangelo su usb che cmq ora non è attaccato.

Ho individuato il file che viene lanciato in esecuzione automatica. si chiama runctf e ha l'icona di un file di registro.
se chiedo le proprietà e trova destinazione mi porta in system32 ma poi si evidenzia il file rundle32 che naturalmente non mi fa eliminare perchè in esecuzione. inutile cercare di terminarlo perchè a questo punto è passato troppo tempo e si attiva il virus.

Ho fatto ripartire kaspersky rescue disk 10 e ho cercato quel file nel registro.
lo trovo in msconfig, lo elimino, ma al riavvio si ripresenta. altre voci con quel nome non ne trova.

suggerimenti?
 
Riesci a fare un ripristino di configurazione?

Forse se sei veloce riesci ,purtroppo è molto rognosa questa cosa.

Tienilo scollegato da internet.
 
ERCOLINO ha scritto:
Riesci a fare un ripristino di configurazione?

Forse se sei veloce riesci ,purtroppo è molto rognosa questa cosa.

Tienilo scollegato da internet.
Clicca per espandere...

Vi aggiorno un pò.... piano piano ci sto arrivando:

in esecuzione automatica nella stringa del collegamento al file incriminato, ho fatto in tempo a tempo a leggere un 1384578.exe :)))))

rifaccio partire kaspersky e sia nel registro che in "c", riesco a beccare sto maledetto e l'ho cancellato.
ho cancellato dal registro anche la stringa completa al "runctf" e a qualsiasi riferimento che iniziasse per ctf (trovato ctfmon)

Apro system 32 e termino ed elimino anche da qui ctfmon

riavvio e...... per ora non si è vista la schermata!!!! allleeeeeluiaaaaaa :)) ma si è ricreato il ctfmon in system32 e in msconfig trovo il comando per avviarlo

Ho eliminano il vecchio antivirus avira desktop per installare conbofix che, anche con antivirus eliminato, mi riconosce e mi avvisa del probabile conflitto... (amen, ci sto provando lo stesso.... l'antivirus nn c'è e nn so cosa veda lui)
in questo momento sta facendo una scansione....
cosa fa sto programma, cura da solo gli errori o fa solo una scansione e posta un file riassuntivo???

avevo provato hijackthis ma non funziona..... fa la scansione ma si ferma a 3/4 e nn va piu avanti
 
Robertz ha scritto:
con AVIRA ANTIVIR RESCUE SYSTEM avviabile da boot CD.
http://www.avira.com/it/download/product/avira-antivir-rescue-system

In Configuration spunta l'opzione "Try to repair infected files" e metti le spunte su ogni casella in "Extended risk categories".
Poi clicca su Virus scanner...
Clicca per espandere...


in teoria era installato avira!! ma nn so se funzionava.
penso che l'abbia messo il tipo che prima di me aveva cercato di risolvere il problema.
Ora provo a continuare sulla strada intrapresa... se nn funziona provo il tuo consiglio, grazie!!!
 
massimo283 ha scritto:
avevo provato hijackthis ma non funziona..... fa la scansione ma si ferma a 3/4 e nn va piu avanti
Clicca per espandere...


riprovato hijack, funziona ed ecco il log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22.10.36, on 10/02/2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
E:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Documents and Settings\Pasquale\Dati applicazioni\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programmi\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

--
End of file - 2930 bytes
 
Devi accedere o registrarti per poter rispondere.
Indietro
Alto Basso