HTML.it è il sito italiano del web publishing

HTML.it forum : Powered by vBulletin version 2.3.6 HTML.it forumSistemi operativi e softwareSicurezza informatica e virusMalware della Guardia di Finanza!

Malware della Guardia di Finanza!
scegli un altro forum
    Indietro   Ricarica   Avanti Invia una risposta

Autore
Discussione     
sylienh
Utente di HTML.it



Registrato il: Jun 2012

Provenienza:

Messaggi: 1


ICQ:

MSN:

Skype:


Aiuto urgente!!! Malware della Guardia di Finanza!
Nell'account amministratore (ora scrivo da un altro account) è entrato un virus che ha bloccato tutte le funzionalità del pc: sullo schermo compare solo un finto avviso della Guardia di Finanza dove dice che per sbloccare il computer devo pagare 100 euro.

Su internet ho scoperto (neanche a dirlo!) che si tratta di un virus. Il problema è che non riesco a rimuoverlo!

Fortunatamente posso entrare in modalità provvisoria, perché la schermata non compare anche lì. Le guide però suggeriscono di eliminare direttamente i file incriminati... il problema è che io non li trovo/da me non ci sono!

La cartella "esecuzione automatica" appare vuota (anche se cliccando tasto destro--> impostazioni scopro che ci sono dei file nascosti), idem tutte le altre in cui suggeriscono di cercare.

Cosa posso fare? Vi prego, aiutatemi. Non capisco nulla di pc, ma devo assolutamente eliminare questo virus! Su internet molti vanno dicendo che eliminarlo è una cavolata, perché basta cancellare i file... sì, ma a trovarli!!!

Segnala ad un moderatore | IP: Collegato | Permalink
sylienh è offline Old Post 06-06-2012 10:26
Clicca qui per vedere il profilo dell'utente sylienh Clicca qui per inviare all'utente sylienh un messaggio privato Visualizza ulteriori messaggi scritti dall'utente sylienh Aggiungi l'utente sylienh alla tua lista degli utenti amici Modifica / Cancella il messaggio Rispondi quotando   Torna su
amvinfe
Moderatore di Sicurezza informatica e virus



Registrato il: May 2002

Provenienza: Dietro il tuo monitor a farti cucù

Messaggi: 6558


ICQ :

MSN :

Skype :


ciao,

se non viene bloccato scarica la free di Malwarebytes http://it.malwarebytes.org/products/malwarebytes_free
dopo averlo aggiornato fai una scansione completa del pc.

Se invece viene bloccato, dovremo rimuovere tutto facendo uso, in parte, del prompt dei comandi, in questo caso la procedura va spiegata passo-passo.


Fammi sapere.


__________________
Pensi d'avere un file infetto?
Invialo a SuspectFile
==
http://amvinfe.altervista.org
==

Segnala ad un moderatore | IP: Collegato | Permalink
amvinfe è offline Old Post 06-06-2012 20:46
Clicca qui per vedere il profilo dell'utente amvinfe Clicca qui per inviare all'utente amvinfe un messaggio privato Visita l'homepage dell'utente amvinfe Visualizza ulteriori messaggi scritti dall'utente amvinfe Aggiungi l'utente amvinfe alla tua lista degli utenti amici Modifica / Cancella il messaggio Rispondi quotando   Torna su
ric.m
Utente di HTML.it



Registrato il: Apr 2012

Provenienza: Ivrea

Messaggi: 140


ICQ :

MSN :

Skype :


Re: Aiuto urgente!!! Malware della Guardia di Finanza!
Citazione:
Originariamente inviato da sylienh
Nell'account amministratore (ora scrivo da un altro account) è entrato un virus che ha bloccato tutte le funzionalità del pc: sullo schermo compare solo un finto avviso della Guardia di Finanza dove dice che per sbloccare il computer devo pagare 100 euro.

Su internet ho scoperto (neanche a dirlo!) che si tratta di un virus. Il problema è che non riesco a rimuoverlo!

Fortunatamente posso entrare in modalità provvisoria, perché la schermata non compare anche lì. Le guide però suggeriscono di eliminare direttamente i file incriminati... il problema è che io non li trovo/da me non ci sono!

La cartella "esecuzione automatica" appare vuota (anche se cliccando tasto destro--> impostazioni scopro che ci sono dei file nascosti), idem tutte le altre in cui suggeriscono di cercare.

Cosa posso fare? Vi prego, aiutatemi. Non capisco nulla di pc, ma devo assolutamente eliminare questo virus! Su internet molti vanno dicendo che eliminarlo è una cavolata, perché basta cancellare i file... sì, ma a trovarli!!!



ciao, sul sito GdiF è presente la procedura; io son riuscito a risolvere in questo modo (drastico). una volta acceso il pc da task manager ho interrotto il processo di 'sto virus che puoi indentificare con una sequenza di parecchi numeri e con.exe a questo punto puoi lavorare sul pc che io ho provveduto a formattare. se sei fortunato trovi il software tra i programmi di esecuzione automatica e lo ammazzi definitivamente da lì e poi fai girare un antivirus.


__________________
ric.m

Segnala ad un moderatore | IP: Collegato | Permalink
ric.m è offline Old Post 14-06-2012 07:26
Clicca qui per vedere il profilo dell'utente ric.m Clicca qui per inviare all'utente ric.m un messaggio privato Visualizza ulteriori messaggi scritti dall'utente ric.m Aggiungi l'utente ric.m alla tua lista degli utenti amici Modifica / Cancella il messaggio Rispondi quotando   Torna su
amvinfe
Moderatore di Sicurezza informatica e virus



Registrato il: May 2002

Provenienza: Dietro il tuo monitor a farti cucù

Messaggi: 6558


ICQ :

MSN :

Skype :


- esistono diverse varianti del malware, quelle che ti consentono di inserire la password, facilmente reperibile nei siti di aziende antivirus / vedi blog, dove parlano di questo malware riferendosi alle prime varianti.

- Quelle che ti permetto d'accedere in modalità provvisoria e risolvere il problema terminando l'eseguibile che blocca l'accensione in modalità normale.

- Quelle che non ti permettono d'accere in modalità provvisoria però ti permettono di dare comandi in modalità prompt.

- Quelle che non ti permettono nè la mod. provvisoria, nè la modalità prompt e crittano i file con algoritmo RC4 a 2048 PGP Key, quella che al momento lascia poche soluzioni e tanti problemi.


Le procedure presenti sul vero sito della GDF fanno riferimento solo alle prime varianti, quelle facilmente rimovibili.


__________________
Pensi d'avere un file infetto?
Invialo a SuspectFile
==
http://amvinfe.altervista.org
==

Segnala ad un moderatore | IP: Collegato | Permalink
amvinfe è offline Old Post 14-06-2012 13:28
Clicca qui per vedere il profilo dell'utente amvinfe Clicca qui per inviare all'utente amvinfe un messaggio privato Visita l'homepage dell'utente amvinfe Visualizza ulteriori messaggi scritti dall'utente amvinfe Aggiungi l'utente amvinfe alla tua lista degli utenti amici Modifica / Cancella il messaggio Rispondi quotando   Torna su
ric.m
Utente di HTML.it



Registrato il: Apr 2012

Provenienza: Ivrea

Messaggi: 140


ICQ :

MSN :

Skype :


riguardo questo malware, fornendo assistenza ho riscontrato una versione che si attiva esclusivamente all'avvio della connessione internet e non all'accensione del pc.
all'avvio del pc il malware, identificabile con una serie di numeri, non si trova nè sul task manager e nemmeno nei programmi di esecuzione automatica. sicuramente è una versione "non eseguibile" ma la spiegazione tecnica del perchè si attiva solo al lancio della connessione quale può essere?


__________________
ric.m

Segnala ad un moderatore | IP: Collegato | Permalink
ric.m è offline Old Post 24-06-2012 18:13
Clicca qui per vedere il profilo dell'utente ric.m Clicca qui per inviare all'utente ric.m un messaggio privato Visualizza ulteriori messaggi scritti dall'utente ric.m Aggiungi l'utente ric.m alla tua lista degli utenti amici Modifica / Cancella il messaggio Rispondi quotando   Torna su
R16
Utente di HTML.it



Registrato il: May 2010

Provenienza:

Messaggi: 855


ICQ :

MSN :

Skype :


Citazione:
Originariamente inviato da ric.m
sicuramente è una versione "non eseguibile" ma la spiegazione tecnica del perchè si attiva solo al lancio della connessione quale può essere?

Ciao.
L'eseguibile c'è sempre.
Magari nascosto, oppure sotto altra estensione, ma c'è.
Poi bisogna vedere quali software hai usato.
Se hai usato Combofix, non lo rileva.
Combofix, di solito elimina i collegamenti del virus, ma l'eseguibile non lo vede.
Spulciando un log di OTL, oppure Systemscan (se è compatibile con il S.O) lo dovresti vedere .
Di solito lo vedi in :
C:\Documents and Settings\All Users\Dati applicazioni\ lettere, caratteri e numeri random seguiti da un'estensione variabile) .

Segnala ad un moderatore | IP: Collegato | Permalink
R16 è offline Old Post 26-06-2012 17:42
Clicca qui per vedere il profilo dell'utente R16 Clicca qui per inviare all'utente R16 un messaggio privato Visualizza ulteriori messaggi scritti dall'utente R16 Aggiungi l'utente R16 alla tua lista degli utenti amici Modifica / Cancella il messaggio Rispondi quotando   Torna su
ric.m
Utente di HTML.it



Registrato il: Apr 2012

Provenienza: Ivrea

Messaggi: 140


ICQ :

MSN :

Skype :


Citazione:
Originariamente inviato da R16
Ciao.
L'eseguibile c'è sempre.
Magari nascosto, oppure sotto altra estensione, ma c'è.
Poi bisogna vedere quali software hai usato.
Se hai usato Combofix, non lo rileva.
Combofix, di solito elimina i collegamenti del virus, ma l'eseguibile non lo vede.
Spulciando un log di OTL, oppure Systemscan (se è compatibile con il S.O) lo dovresti vedere .
Di solito lo vedi in :
C:\Documents and Settings\All Users\Dati applicazioni\ lettere, caratteri e numeri random seguiti da un'estensione variabile) .


ma quale può essere la spiegazione che si attiva solo al lancio della connessione?


__________________
ric.m

Segnala ad un moderatore | IP: Collegato | Permalink
ric.m è offline Old Post 26-06-2012 18:02
Clicca qui per vedere il profilo dell'utente ric.m Clicca qui per inviare all'utente ric.m un messaggio privato Visualizza ulteriori messaggi scritti dall'utente ric.m Aggiungi l'utente ric.m alla tua lista degli utenti amici Modifica / Cancella il messaggio Rispondi quotando   Torna su
R16
Utente di HTML.it



Registrato il: May 2010

Provenienza:

Messaggi: 855


ICQ :

MSN :

Skype :


Citazione:
Originariamente inviato da ric.m
ma quale può essere la spiegazione che si attiva solo al lancio della connessione?

Perchè il malware ha "agganciato" un servizio o un driver che riguarda la connessione.
E si attiva solo quando viene lanciata.
Per individuare quale servizio, o quale driver, servono tool appositi.

In ogni caso, stiamo "inquinando" un topic in cui l'utente sylienh interessa più a risolvere il suo problema che altro.
Chiedo scusa.

Ultima modifica ad opera dell'utente R16 il 26-06-2012 alle 20:54

Segnala ad un moderatore | IP: Collegato | Permalink
R16 è offline Old Post 26-06-2012 20:45
Clicca qui per vedere il profilo dell'utente R16 Clicca qui per inviare all'utente R16 un messaggio privato Visualizza ulteriori messaggi scritti dall'utente R16 Aggiungi l'utente R16 alla tua lista degli utenti amici Modifica / Cancella il messaggio Rispondi quotando   Torna su
Tutte le ore sono con fuso orario CET. Ora sono le 14:42.     

    Ultima discussione   Prossima discussione Invia una risposta
Versione per la stampa | Invia il thread via email | Ricevi aggiornamenti sul thread | Scarica il thread
 

Cerchi un argomento specifico e hai fretta? Usa il motore di ricerca