Cosa fare se infetti :
verificare la modalità provvisoria.
Se la modalità provvisoria funziona , abbiamo molte probabilità di successo.
Da start-tutti i programmi-esecuzione automatica troveremo uno o più file con nominativi estranei (con estensione .dll , .exe o .ink)
che va assolutamente eliminato.(alcune volte anche Ctfmon.exe di MS Office).
Una volta eliminato il sospetto , verifichiamo sempre se l'infezione è stata rimossa , altrimenti corriamo il rischio di rigenerarla.
Eseguire Combofix.
A questo punto , dopo l'opportuno controllo dei vari report , possiamo reputare il pc
"pulito".
Nei casi in cui invece la modalità provvisoria non FUNZIONA , il pc resta bloccato , l'infezione va eliminata sempre alla radice , ossia all'avvio di Windows.
Può modificare la shell di explorer e tante altre chiavi di registro , che nel caso dovremmo ripristinare.
PROCEDURA per Windows Vista/seven 32-64 bit
{module ads_articoli}
Procuratevi una pendrive USB formattata.
Scaricare uno dei due file a seconda del sistema operativo
http://download.bleepingcomputer.com/farbar/FRST64.exe 64 bit
http://download.bleepingcomputer.com/farbar/FRST.exe 32 bit
Inserirlo nella chiavetta.
Inserire la chiavetta nel Pc infetto
Riavviare il computer e premere ripetutamente F8
Cliccare su Ripristina il computer tra le opzioni da scegliere
Completare inserendo la lingua , account e altre informazioni
fino a scegliere il prompt dei comandi
scrivere notepad seguito da invio
Si aprirà un file di testo , cliccare in alto su file->apri e cercare la lettera in cui viene identificata la chiavetta.
Una volta identificata la lettera , nel prompt digitare
X:FRST.exe (o FRST64.exe se è il sistema e a 64 bit)dove X è la lettera che hai cercato in precedenza che identifica la chiavetta usb.
Cliccare invio
Il tool si avvierà
accettare le condizioni di contratto
premere su SCAN
Quando la scansione è finita, verrà prodotto un report delle operazioni salvato nella chiavetta stessa , chiamato FRST.TXT
FRST è compatibile anche con XP , ma è necessario creare una live CD di BART-PE.
Nel caso in cui verra chiesto , saranno disposte le dovute istruzioni.
PROCEDURA per Windows XP(32-64 bit)
Procuratevi un cd vuoto.
Scaricare OTLPENet
http://oldtimer.geekstogo.com/OTLPENet.exe
sul desktop
Aprirlo con un doppio click
Si aprirà imgburn per scrivere il file sul cd(assicuratevi quindi di aver già inserito un cd vuoto).
Una volta creato il cd , avviare il pc dal cd
Come modificare l'ordine di boot (e avviare da CD) [MegaLab.it]
Quando vi apparirà il desktop,fare doppio click su OTL.exe.
verrà chiesto Do you wish to load remote user profile(s) for scanning,
cliccare Yes
scegliere il nome utente e mettere la spunta su Automatically Load All Remaining Users
Cliccare su SCAN
Un'alternativa molto valida sia per XP che per Vista e Seven si chiama Kaspersky rescue Disk 10:
https://support.kaspersky.com/8093
la .iso va masterizzata e va avviato il CD impostato sempre come boot primario.
fonte: http://www.tomshw.it/forum/sicurezza/299860-virus-polizia-di-stato.html