Malware della Guardia di Finanza!

[sylienh]

Nell'account amministratore (ora scrivo da un altro account) è entrato un virus che ha bloccato tutte le funzionalità del pc: sullo schermo compare solo un finto avviso della Guardia di Finanza dove dice che per sbloccare il computer devo pagare 100 euro.

Su internet ho scoperto (neanche a dirlo!) che si tratta di un virus. Il problema è che non riesco a rimuoverlo!

Fortunatamente posso entrare in modalità provvisoria, perché la schermata non compare anche lì. Le guide però suggeriscono di eliminare direttamente i file incriminati... il problema è che io non li trovo/da me non ci sono!

La cartella "esecuzione automatica" appare vuota (anche se cliccando tasto destro--> impostazioni scopro che ci sono dei file nascosti), idem tutte le altre in cui suggeriscono di cercare.

Cosa posso fare? Vi prego, aiutatemi. Non capisco nulla di pc, ma devo assolutamente eliminare questo virus! Su internet molti vanno dicendo che eliminarlo è una cavolata, perché basta cancellare i file... sì, ma a trovarli!!!

[amvinfe]

ciao,

se non viene bloccato scarica la free di Malwarebytes http://it.malwarebytes.org/products/malwarebytes_free
dopo averlo aggiornato fai una scansione completa del pc.

Se invece viene bloccato, dovremo rimuovere tutto facendo uso, in parte, del prompt dei comandi, in questo caso la procedura va spiegata passo-passo.


Fammi sapere.

[ric.m]

Originariamente inviato da sylienh
Nell'account amministratore (ora scrivo da un altro account) è entrato un virus che ha bloccato tutte le funzionalità del pc: sullo schermo compare solo un finto avviso della Guardia di Finanza dove dice che per sbloccare il computer devo pagare 100 euro.

Su internet ho scoperto (neanche a dirlo!) che si tratta di un virus. Il problema è che non riesco a rimuoverlo!

Fortunatamente posso entrare in modalità provvisoria, perché la schermata non compare anche lì. Le guide però suggeriscono di eliminare direttamente i file incriminati... il problema è che io non li trovo/da me non ci sono!

La cartella "esecuzione automatica" appare vuota (anche se cliccando tasto destro--> impostazioni scopro che ci sono dei file nascosti), idem tutte le altre in cui suggeriscono di cercare.

Cosa posso fare? Vi prego, aiutatemi. Non capisco nulla di pc, ma devo assolutamente eliminare questo virus! Su internet molti vanno dicendo che eliminarlo è una cavolata, perché basta cancellare i file... sì, ma a trovarli!!!

ciao, sul sito GdiF è presente la procedura; io son riuscito a risolvere in questo modo (drastico). una volta acceso il pc da task manager ho interrotto il processo di 'sto virus che puoi indentificare con una sequenza di parecchi numeri e con.exe a questo punto puoi lavorare sul pc che io ho provveduto a formattare. se sei fortunato trovi il software tra i programmi di esecuzione automatica e lo ammazzi definitivamente da lì e poi fai girare un antivirus.

[amvinfe]

- esistono diverse varianti del malware, quelle che ti consentono di inserire la password, facilmente reperibile nei siti di aziende antivirus / vedi blog, dove parlano di questo malware riferendosi alle prime varianti.

- Quelle che ti permetto d'accedere in modalità provvisoria e risolvere il problema terminando l'eseguibile che blocca l'accensione in modalità normale.

- Quelle che non ti permettono d'accere in modalità provvisoria però ti permettono di dare comandi in modalità prompt.

- Quelle che non ti permettono nè la mod. provvisoria, nè la modalità prompt e crittano i file con algoritmo RC4 a 2048 PGP Key, quella che al momento lascia poche soluzioni e tanti problemi.


Le procedure presenti sul vero sito della GDF fanno riferimento solo alle prime varianti, quelle facilmente rimovibili.

[ric.m]

riguardo questo malware, fornendo assistenza ho riscontrato una versione che si attiva esclusivamente all'avvio della connessione internet e non all'accensione del pc.
all'avvio del pc il malware, identificabile con una serie di numeri, non si trova nè sul task manager e nemmeno nei programmi di esecuzione automatica. sicuramente è una versione "non eseguibile" ma la spiegazione tecnica del perchè si attiva solo al lancio della connessione quale può essere?

[R16]

Originariamente inviato da ric.m
sicuramente è una versione "non eseguibile" ma la spiegazione tecnica del perchè si attiva solo al lancio della connessione quale può essere?

Ciao.
L'eseguibile c'è sempre.
Magari nascosto, oppure sotto altra estensione, ma c'è.
Poi bisogna vedere quali software hai usato.
Se hai usato Combofix, non lo rileva.
Combofix, di solito elimina i collegamenti del virus, ma l'eseguibile non lo vede.
Spulciando un log di OTL, oppure Systemscan (se è compatibile con il S.O) lo dovresti vedere .
Di solito lo vedi in :
C:\Documents and Settings\All Users\Dati applicazioni\ lettere, caratteri e numeri random seguiti da un'estensione variabile) .

[ric.m]

Originariamente inviato da R16
Ciao.
L'eseguibile c'è sempre.
Magari nascosto, oppure sotto altra estensione, ma c'è.
Poi bisogna vedere quali software hai usato.
Se hai usato Combofix, non lo rileva.
Combofix, di solito elimina i collegamenti del virus, ma l'eseguibile non lo vede.
Spulciando un log di OTL, oppure Systemscan (se è compatibile con il S.O) lo dovresti vedere .
Di solito lo vedi in :
C:\Documents and Settings\All Users\Dati applicazioni\ lettere, caratteri e numeri random seguiti da un'estensione variabile) .

ma quale può essere la spiegazione che si attiva solo al lancio della connessione?

[R16]

Originariamente inviato da ric.m
ma quale può essere la spiegazione che si attiva solo al lancio della connessione?

Perchè il malware ha "agganciato" un servizio o un driver che riguarda la connessione.
E si attiva solo quando viene lanciata.
Per individuare quale servizio, o quale driver, servono tool appositi.

In ogni caso, stiamo "inquinando" un topic in cui l'utente sylienh interessa più a risolvere il suo problema che altro.
Chiedo scusa.