-
.
Procedura di Rimozione virus Polizia Penitenziaria-Polizia di Stato-Carabinieri-ecc. con Modalità Provvisoria NON funzionante e pc bloccato all'avvio dalla schermata del virus(nel caso la modalità provvisoria funzioni eseguire FRST direttamente in modalità provvisoria)
Molto spesso questo tipo di infezione non consente l'avvio del Pc in Modalità Provvisoria, motivo per cui vi invito a seguire le procedure elencate, a seconda del vostro sistema operativo.
Non è consigliabile usare live cd in quanto molto spesso i file che infettano il pc sono file random e non riconosciuti dalle firme antivirus.
La procedura di rimozione è piuttosto veloce ,basta allegare il file di testo scaturito dalla scansione per ricevere un fix per rimuovere tale infezione.
Una volta ottenuti i log di Farbar Recovery Scan Tool o nel caso di windows xp OTLPE li allegherete in formato .txt nel thread ufficiale virus carabinieri,Polizia di Stato,Polizia Penitenziaria(RISOLTO) di questo forum per la rimozione dell'infezione.
Basta seguire la procedura da pc e solo se non aveste le opzioni di ripristino installate seguire quella da dvd.
Procedura di rimozione Ransomware con Modalità Provvisoria NON funzionante su Windows Vista/ Windows 7
-Procedura da PC
-Procedura da DVD
Procedura di rimozione Ransomware con Modalità Provvisoria NON funzionante su Windows 8
Procedura di rimozione Ransomware con Modalità Provvisoria NON funzionante su Windows XP
-Procedura con OTLPE(è preferibile questa prima procedura)
-Procedura con Live CD di Bart PE Builder
********************************************************************************************************************
PROCEDURA DI RIMOZIONE RANSOMWARE CON MODALITÀ PROVVISORIA NON FUNZIONANTE SU WINDOWS VISTA/ WINDOWS 7
Avviate il Pc con F8 e controllate se è presente l'opzione Ripristina il computer in Opzioni avanzate, che sarà presente se nel computer sono state preinstallate le opzioni di ripristino.
Se questa opzione è disponibile seguire il procedimento da Pc.
In caso contrario seguite la procedura da Dvd
PROCEDURA DA PC
Scaricare Farbar Recovery Scan Tool e salvarlo su una Pendrive formattata.
=> DOWNLOAD FARBAR RECOVERY PER SISTEMI A 32 BIT
=> DOWNLOAD FARBAR RECOVERY PER SISTEMI A 64 BIT
1. Inserire la Pendrive nel Pc
2. Avviare il Pc premendo ripetutamente F8 in fase di avvio.
3. Cliccare su Ripristina il computer tra le opzioni disponibili
4. Selezionare la lingua
5. Selezionare il proprio account
6. Saranno ora disponibili le seguenti opzioni
Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt
7. Selezionare Prompt Dei Comandi
Nel Prompt Dei Comandi scrivere notepad e premere Invio/Enter
8. Si aprirà un documento di testo del blocco note; nel Menu file selezionare Apri
9. Selezionare Computer e trovare la lettera che corrisponde alla vostra Pendrive e chiudere il documento di testo.
Questo passaggio serve solo a determinare quale lettera è stata assegnata alla vostra pendrive
10. Nel Prompt dei comandi scrivere:
Per i sistemi operativi a 32 Bit x:\frst.exe, dove x è la lettera che è stata assegnata alla vostra Pendrive, perciò nel comando sostituite ad x il valore ricavato precedentemente.
Per i sistemi operativi a 64 Bit x:\frst64.exe, dove x è la lettera che è stata assegnata alla vostra Pendrive, perciò nel comando sostituite ad x il valore ricavato precedentemente.
11. Premere Invio/Enter
12. Farbar si avvierà.Cliccare Yes per accettare le condizioni di contratto.
13. Premere su SCAN.
14. A scansione ultimata verrà prodotto un log sulla pendrive stessa, denominato FRST.TXT da allegare nel forum come descritto per le azioni successive
PROCEDURA DA DVD
Scaricare Farbar Recovery Scan Tool e salvarlo su una Pendrive formattata.
=> DOWNLOAD FARBAR RECOVERY PER SISTEMI A 32 BIT
=> DOWNLOAD FARBAR RECOVERY PER SISTEMI A 64 BIT
1. Inserire nel lettore CD/DVD del Computer il CD/DVD di Windows Vista/ Windows 7
2. Inserire la Pendrive nel Pc
3. Mettere nelle opzioni di Boot il lettore ottico come prima unità di Boot. Fare riferimento a => QUESTA GUIDA <=, se non si sa come fare.
4. Avviare il Pc da CD/DVD
5. Cliccare su Ripristina il computer tra le opzioni disponibili
6. Selezionare la lingua
7. Selezionare il proprio account
8. Saranno ora disponibili le seguenti opzioni
Ripristino all'avvio / Startup Repair
Ripristino configurazione di sistema / System Restore
Ripristino immagine di sistema / Windows Complete Pc Restore
Strumento di diagnostica memoria Windows / Windows Memory Diagnostic Tool
Prompt Dei Comandi / Command Prompt
9. Selezionare Prompt Dei Comandi
Nel Prompt Dei Comandi scrivere notepad e premere Invio/Enter
10. Si aprirà un documento di testo del blocco note; nel Menu file selezionare Apri
11. Selezionare Computer e trovare la lettera che corrisponde alla vostra Pendrive e chiudere il documento di testo.
Questo passaggio serve solo a determinare quale lettera è stata assegnata alla vostra pendrive
12. Nel Prompt dei comandi scrivere:
-Per i sistemi operativi a 32 Bit x:\frst.exe, dove x è la lettera che è stata assegnata alla vostra Pendrive, perciò nel comando sostituite ad x il valore ricavato precedentemente.
-Per i sistemi operativi a 64 Bit x:\frst64.exe, dove x è la lettera che è stata assegnata alla vostra Pendrive, perciò nel comando sostituite ad x il valore ricavato precedentemente.
13. Premere Invio/Enter
14. Farbar si avvierà.Cliccare Yes per accettare le condizioni di contratto.
15. Premere su SCAN.
16. A scansione ultimata verrà prodotto un log sulla pendrive stessa, denominato FRST.TXT da allegare nel forum per le azioni successive
*************************************************************************************************************
PROCEDURA DI RIMOZIONE RANSOMWARE CON MODALITÀ PROVVISORIA NON FUNZIONANTE SU WINDOWS 8.
Come accedere alle opzioni di ripristino in windows 8
Per accedere al prompt dei comandi premere F8 all'avvio.
Appariranno una serie di opzioni.
Cliccare su 1 per avviare ambiente di ripristino o simili
A volte se non è visualizzata l'opzione controllare che non ci sia un tasto per visualizzare altre opzioni tipo F10.
Clicca su RISOLUZIONE DEI PROBLEMI
Clicca quindi su OPZIONI AVANZATE.
Clicca su PROMPT DEI COMANDI
Dopo altre 2 schermate di selezione del vostro account e password vi apparirà il prompt dei comandi
• Nel Prompt Dei Comandi scrivere notepad e premere Invio/Enter
• Si aprirà un documento di testo del blocco note; nel Menu file selezionare Apri
• Selezionare Computer e trovare la lettera che corrisponde alla vostra Pendrive e chiudere il documento di testo.
Questo passaggio serve solo a determinare quale lettera è stata assegnata alla vostra pendrive
• Nel Prompt dei comandi scrivere:
Per i sistemi operativi a 32 Bit x:\frst.exe, dove x è la lettera che è stata assegnata alla vostra Pendrive, perciò nel comando sostituite ad x il valore ricavato precedentemente.
Per i sistemi operativi a 64 Bit x:\frst64.exe, dove x è la lettera che è stata assegnata alla vostra Pendrive, perciò nel comando sostituite ad x il valore ricavato precedentemente.
• Premere Invio/Enter
• Farbar si avvierà.Cliccare Yes per accettare le condizioni di contratto.
• Premere su SCAN.
• A scansione ultimata verrà prodotto un log sulla pendrive stessa, denominato FRST.TXT da allegare nel forum
**************************************************************************************************************************
PROCEDURA DI RIMOZIONE RANSOMWARE CON MODALITÀ PROVVISORIA NON FUNZIONANTE SU WINDOWS XP
Scaricare ==> OTLPENet <== (100Mb circa) e salvarlo sul desktop.
Una volta scaricato fare doppio click sul file. Questo aprirà imgburn per scrivere il file su cd (assicurarsi quindi di aver già inserito un cd vuoto da masterizzare).
Una volta creato il cd,avviare il pc da cd.
Quando si aprirà il desktop,fare doppio click su OTL.exe.(Se dopo l’avvio di OTL si apre la schermata browser for folder selezionare la cartella C:\Windows )
Verrà chiesto "Do you wish to load remote user profile(s) for scanning", selezionare Yes
Selezionare il proprio nome utente e mettere la spunta su "Automatically Load All Remaining Users"
Premere RUN SCAN.
Finita la scansione andare in C:\OTL.txt e allegare il log nel forum per le azioni successive
Edited by vicky67 - 30/3/2015, 09:54. -
.
NUOVO VIRUS INTERPOOL-CARABINIERI-POLIZIA DI STATO ecc.
Ultimamente è cambiato il sistema di infezione.Viene molto spesso infettato il router modificando i DNS del proprio provider con quelli del server infetto.
Chi è stato colpito da quest'infezione e riscontra soprattutto all'apertura del browser o durante la navigazione la comparsa della famosa pagina del ransom dovrà effettuare le seguenti operazioni:
Per verificare se il router è stato infettato:
Aprire START.Scrivere CMD.Cliccare in alto su cmd.exe.
Copiare(copia-incolla) la seguente stringa reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters
In caso il router non fosse stato infettato vi apparirà una schermata tipo questa con l'indirizzo del vostro router(di solito 192.168.0.1 ,192.168.1.1 ,192.168.1.254 ecc.)
Nel caso fosse stato infettato in DhcpNameServer troverete i dns infetti come nell'esempio
OPERAZIONI DA FARE IN CASO IL ROUTER FOSSE INFETTO
1)Aprire la pagina del router(chi non sà l'indirizzo,basta che apra il prompt dei comani "CMD" e scriva ipconfig)
Alla voce gateway troverete l'indirizzo del vostro router che dovrete copiare nella pagina degli indirizzi del vostro browser.
Recarsi alla pagina dei DNS(ho postato un esempio di un router,le vostre opzioni potrebbero essere differenti)
Modificare i DNS infetti sostituendoli con N/A reinserendo la voce automatica o meglio resettare il router.
Per resettare il vostro router leggete le istruzioni relative al vostro modello specifico(le potete anche trovare sul web)
Di solito si deve premere un pulsantino per alcuni secondi a secondo del reset(soft o hard).
In router di proprietà,non forni quindi dal vostro gestore sarà necessario riconfigurarli.Oggi la procedura è piuttosto semplice perchè dovrebbe essserci una procedutra automatica nelle impostazioni del router.
Aprire la vostra connessione di rete "apri centro connessioni di rete e condivisione"-"modifica impostazioni scheda"-andare sulla vostra connessione wireless-"proprietà"-"protocollo internet versione 4"-assicurarsi che sia settato "ottieni indirizzo server automaticamente".
Riavviare router e pc e controllare nuovamente se il nslookup da esito positivo.
2)Scaricare ed eseguire TFC BY OLD TIMER.(le istruzioni sono qui https://aiuto-pc.forumfree.it/?t=66300938).
3)Resettare o meglio disinstallare i browser con i relativi dati personali.Qui trovi una guida per il reset dei browser.
Nel caso riusciste a risolvere seguendo la relativa guida date sempre un feedback sul forum qui https://aiuto-pc.forumfree.it/?t=66109105&st=585.Grazie
In caso contrario postare sul forum e dire le operazioni che avete svolto allegando un log di Farbar recovery scan tool(il link è nella prima parte della guida) eseguito in modalità normale qualora il pc non fosse completamente bloccato.
Come avviene l' infezione ai router
L'infezione ai router avviene principalmente sfruttando un bug rom-0 di cui sono affetti alcuni modelli di router e in alcuni casi sfruttando password di default o password poco complesse.
COME PROTEGGERSI
1)La miglior cosa in caso di infezione ai router è aggiornare il firmware e cambiare la password di default d'accesso al router inserendone una complessa(numeri e lettere).
2)Dopo questa operazione si deve verificare su questa pagina http://rom-0.cz/ effettuando il test se il nostro router è rimasto comunque vulnerabile.
3)In tal caso è importante seguire questa guida per alcuni modelli di router TP LINK e KRAUN o quest'altra per altri modelli per inibire l’accesso al router dall’esterno.
In linea generale l'importanza dell'ACL sarà quella di bloccare l'intrusione dall'esterno:
Quindi se ACL:
è attivato l'IP che sarà contenuto in Access Control List potrà accedere al router.
è disattivato tutti i client possono accedere al router
In Secure IP Address:andrà inserito se lo vogliamo abilitare in wan(wireless) il nostro ip locale.
Con l'indirizzo di default 0.0.0.0 ogni client potrà accedere da remoto al router.
Dall'immagine abbiamo attivato ACL
Abbiamo inserito come secure ip address 0.0.0.0 (cio' significa qualsiasi indirizzo ip)
In Application abbiamo inserito qualsiasi applicazione
In interface la cosa più importante andrà inserito solo la LAN,in modo da escludere la WAN(wireless).
In questo modo per accedere al router si dovrà utilizzare il cavo ethernet.
Un test da effettuare è su questa pagina di questo sito www.yougetsignal.com/tools/open-ports/
La porta 80 è quella usata dall'amministrazione remota.
Eseguendo una scansione delle porte aperte sul nostro IP attuale se il nostro router presenta l'amministrazione remota raggiungibile dalla rete ci saranno alcune porte aperte all'accesso web della configurazione remota.
Al contrario se abbiamo chiuso l'accesso remoto del router le porte saranno chiuse.
4)inserire nelle proprietà del tcpip (internet versione 4) delle schede di rete dei vostri dispositivi i dns di google
Primario:8.8.8.8
Secondario:8.8.4.4
Edited by vicky67 - 28/3/2015, 16:37.
Guida alla rimozione virus Polizia Penitenziaria- Polizia di Stato-Carabinieri |