Virus Polizia Penitenziaria e Polizia di Stato

On 16 febbraio 2013 by Carlo
scritto da:
carlo

Reviewed by:
Rating:
5
On 16 febbraio 2013
Last modified:20 agosto 2013

Summary:

Come eliminare il Virus della Polizia Penitenziaria

Ultimo aggiornamento:  21/06/2013

Eliminare Virus Polizia Penitenziaria

E ci mancava solo la Polizia Penitenziaria…. ecco alcune foto di un pc che mi e’ arrivato stamane.. belle eh?

virus polizia penitenziaria

 

virus polizia penitenziaria polizia di stato

 

virus polizia di stato

Questa e’ una delle tante varianti del virus Polizia Di Stato oppure Guardia di Finanza.

Questi virus sono molto ingegnosi. Basta navigare su qualche sito, scaricarsi qualche contenuto (musica, video, immagini..) e POF!! In molti casi invece basta cliccare su un link di qualche email che vi arriva, spesso molto invitante..

Complice magari un anvirus obsoleto, fatto sta che al riavvio del PC ogni tanto può apparire una schermata simile alle precedenti dove vi invitano a ‘pagare’ per ripristinare il PC.. Un Virus banale ma molto originale.

Addirittura nella versione Polizia Di Stato vi attiva la WebCam e simpaticamente vi fa pensare di essere osservati…

Per disattivare il virus e ripristinare il pc vi sono diverse procedure.

Prima però consiglio di tentare con un RIPRISTINO DEL SISTEMA OPERATIVO a partire da un punto di ripristino di qualche giorno prima: talvolta funziona e ci vuole davvero poco.

Come fare? Premete F8 all’avvio e – se disponibile tra le scelte che vi si presentano (di solito la prima) selezionate “Ripristino del sistema” poi selezionate “Ripristino configurazione di sistema” e selezionate uno tra gli ultimi disponibili. Confermate e riavviate. Tempo di esecuzione: circa 5 minuti.

Altrimenti potete seguire le diverse procedure qui elencate a partire dalla prima.. o saltare al metodo 4 di sicuro il più efficace!

Metodo 1: (modalità provvisoria operativa – metodo pubblicato dalla VERA guardia di finanza)

  • Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto ‘Modalità provvisoria”
  • Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle applicazioni
  • All’apertura del menu a tendina verticale fare clic su “Tutti i programmi”, così da aprire l’elenco dei software installati
  • Cercare la cartella “Esecuzione automatica” e, una volta individuata, fare clic con il mouse sull’icona corrispondente
  • Sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer
  • Dovrebbe apparire, tra gli altri, il file “WPBT0.dll” oppure un file con nome identificativo del tipo “0.<una serie di altri numeri>.exe” (il file si può presentare in altre varianti sintattiche)
  • Selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer . Ad ogni modo vi consiglio di eliminare tutto ciò che non conoscete!
  • Selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware
  • Spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione
  • Al riavvio installate o aggiornate l’antivirus ed effettuate una scansione totale del sistema

Non funziona? Passate al metodo 2!

Metodo 2: (modalità provvisoria operativa)

  • Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto ‘Modalità provvisoria”
  • Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle applicazioni
  • Nella finestra ‘cerca programmi e file’ (oppure START–> ESEGUI se non c’è questa finestra) digitare: “msconfig.exe
  • Spostarsi nella 4a colonna “Servizi” e disattivare i servizi sospetti o comunque in cui come produttore non vi sia alcuna voce oppure il cui elemento di avvio abbia un nome incoerente (tipo: aaaaaaaeaeaaaaa.exe)
  • Cliccare su OK e riavviare.
  • Al riavvio installate o aggiornate l’antivirus ed effettuate una scansione totale del sistema

Non funziona? Passate al metodo 3!

Metodo 3: (modalità provvisoria non funzionante)

In questo caso il pc non riesce ad entrare in modalità provvisoria poichè il virus ha disabilitato la sua attivazione con tasto F8.

Punto 1

 

Prima di perdere un sacco di tempo con il cd kaspersky, provate a vedere se entra nella MODALITA’ PROVVISORIA CON PROMPT DI COMANDO.

 

Se riuscite, vi apparirà una schermata nera con il prompt (cursore). in questo caso potete dal prompt di comandi eseguire: “regedit.exe” e saltare direttamente al punto 3 per editare il registro (in questo caso il registro sarà editato direttamente da ‘regedit.exe’ piuttosto che dal cd di kaspersky – il meccanismo è identico).

Se non funziona il prompt dei comandi passate al punto 2.

Punto 2

Dobbiamo quindi scaricarci (da un altro pc ovviamente…) l’immagine di un disco antivirus fatto apposta, come quello presente sul sito kaspersky:

http://support.kaspersky.com/faq/?qid=208282173

e successivamente masterizzare il file .iso con un qualsiasi programma di masterizzazione.

Il cd/dvd sarà autoeseguibile dal boot del pc.

Una volta effettuata la masterizzazione dell’immagine ISO, bisogna avviare il PC con il CD appena creato.

Di solito la configurazione di avvio del PC prevede come impostazione predefinita l’avvio dall’unità CD/DVD ma se non dovesse essere così, all’accensione entrate nel bios e modificate questa impostazione.

Su alcuni pc è anke possibile premere un tasto all’inizio per selezionare l’unità di avvio.

A questo punto se avete impostato correttamente l’avvio, il CD viene letto e appare la schermata principale di Kaspersky Rescue Disk dove viene chiesto di selezionare la lingua, licenza d’uso, ecc.

Alla fine apparirà un desktop verde; eseguire Kaspersky Registry Editor presente su di esso.

Punto 3

Con molta attenzione, bisogna modificare alcune chiavi di registro.

Posizionatevi sulla seguente chiave per riattivare il TaskManager:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system e verificate il valore DisableTaskMgr deve essere impostato a 0 (zero).

Se non presente potete aggiungere il nuovo valore di tipo DWORD 32bit / REG_DWORD chiamandolo DisableTaskMgr ed assegnandogli valore 0 (zero).

Controllate le seguenti chiavi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx

e, se presenti, anche queste:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Analizzandole, all’interno (sulla destra) possiamo notare dei puntamenti a programmi eseguibili con nomi strani.

Successivamente sempre dal desktop del sistema Kaspersky provate a:

-navigare sul disco C:

-cercare sul disco C:

-eliminare dal disco C (oppure rinominarli semplicemente) i seguenti file:

mahmud.exe

skype.dat (di norma il file-virus risiede in C:\users\utente\AppData\Roaming oppure C:\Documents and Settings\utente\Dati applicazioni\)

icq.dat

 

Non funziona? Passate al metodo 4! (sperando sia la volta buona!!)

Metodo 4: (se non vi funziona ancora un tubo…)

Un ultima evoluzione di questo virus mi ha fatto perdere un sacco di tempo. Malgrado abbia disattivato tutti i programmi che partivano al boot, riattivato il TaskManager, effettuato un ripristino di sistema (inutile… nel migliore dei casi si avvia un paio di volte poi riappare il magico virus..) alla fine ci sono riuscito.

All’avvio (anche in modalità provvisoria) mi appariva la schermata bianca e poi dopo poco nuovamente la pagina della finta polizia di stato. In questo caso seguite questa procedura:

- Scaricatevi con un altro pc COMBOFIX, un ottimo antivirus utilissimo in questi casi e che farete eseguire una sola volta e che risolve al 100% il problema.

Scaricatelo da questo sito:

http://www.bleepingcomputer.com/combofix/how-to-use-combofix

- Copiatelo su una chiavetta (esempio F:) poi fate partire il pc questa volta con MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI (vi sembrerà strano..ma questa è l’unica modalità che mi ha fatto eseguire.

- Vi apparirà il prompt di comando. Spostatevi sulla chiavetta dove avete salvato ComboFix digitando:

cd F: (dove F: è la lettera che contraddistingue la vostra chiavetta e che può essere anche differente ovviamente)

Poi digitate:

combofix.exe /killall

e fatelo girare fino alla fine… dopo un riavvio vi risolverà il problema!! TESTATO

Note:

dal prompt di comando, volendo, riuscite anche a visualizzare il desktop, digitando:

explorer.exe

oppure l’editor di registro con:

regedit.exe

Non funziona ancora? Chiamatemi per un appuntamento se siete di Napoli…

piuttosto che pagare inutilmente 100 euro!! Ve le faccio risparmiare volentieri..

Virus Polizia Penitenziaria e Polizia di Stato

Comments are closed.