Virus Guardia di Finanza o Virus Polizia di Stato

Eliminare Virus Finanza o Polizia di Stato

Aggiornamento 22 giugno 2013:

IL SUO COMPUTER E’ STATO BLOCCATO A CAUSA DELLA CYBERATTIVITA’ VIETATA.

Bellissimo… sembra una frase uscita da Blade Runner…  e invece è un altro di quelli che a Napoli chiamiamo “PACCO”….

A guardare l’evoluzione di questo virus viene da pensare che sotto ci siano italiani e non rumeni….

Ecco alcune schermate della recentissima versione….

virus-guardia-di-finanza

Hanno pensato di rendere più realistico il virus per cui abbiamo ora una bella foto con poliziotti in tenuta quasi antisommossa,   scritte più grosse in evidenza, e vari articoli legislativi (non ho controllato poi se fanno capo a leggi vere) che hanno l’obiettivo di intimorire…

Poi a destra vi è la solita finestra UKASH / PaysafeCard per pagare sti maledetti le famose 100€ di multa….  o meglio TRUFFA…  con un bel timer che quasi mette paura.. manco se allo scadere del tempo (ci danno 48 ore di vita…) dovesse scoppiare il pc…  oppure vi mandano i NAS in casa facendoli tuffare dall’elicottero direttamente nei vetri delle vostre finestre come nei migliori film americani…  ahah..

virus-guardia-di-finanza

In basso a sinistra c’è sempre la solita ripresa della vostra webcam però questa volta c’è anche un “REGISTRAZIONE VIDEO: INIZIO” per spaventarvi…   ma ovviamente non siamo stupidi e tutto ciò può anke farci sorridere: con tutto ciò che c’è in giro figuriamoci se dobbiamo preoccuparci di “cause penali” intraprese chissà da chi e per quali motivazioni…

La chicca però c’è alla fine: questa volta hanno aggiunto tutti i loghi dei maggiori antivirus in commercio con la seguente diceria:

“Per aumentare l’efficacia del lavoro di polizia, nello smascherare i criminali informatici, il 04 dicembre 2012 è stato firmato un accordo internazionale con le aziende produttrici di software antivirus.”

GRANDE BALLA ma tanto di cappello per fantasia!!

Come eliminarlo?? Restano valide sempre le stesse informazioni riportate sotto per le vecchie versioni.

Schermata del virus della Guardia di Finanza

Virus Polizia Di Stato

Questi virus sono molto ingegnosi. Basta navigare su qualche sito, scaricarsi qualche contenuto (musica, video, immagini..) e POF!! In molti casi invece basta cliccare su un link di qualche email che vi arriva, spesso molto invitante..

Complice magari un anvirus obsoleto, fatto sta che al riavvio del PC ogni tanto può apparire una schermata simile alle precedenti dove vi invitano a ‘pagare’ per ripristinare il PC..     Un Virus banale ma molto originale.

Addirittura nella versione Polizia Di Stato vi attiva la WebCam e simpaticamente vi fa pensare di essere osservati…

Per disattivare il virus e ripristinare il pc vi sono diverse procedure.

Prima però consiglio di tentare con un RIPRISTINO DEL SISTEMA OPERATIVO a partire da un punto di ripristino di qualche giorno prima: talvolta funziona e ci vuole davvero poco. 

Come fare?  Premete F8 all’avvio e – se disponibile tra le scelte che vi si presentano (di solito la prima) selezionate “Ripristino del sistema” poi selezionate “Ripristino configurazione di sistema” e selezionate uno tra gli ultimi disponibili. Confermate e riavviate. Tempo di esecuzione: circa 5 minuti.

Altrimenti potete seguire le diverse procedure qui elencate a partire dalla prima.. o saltare al metodo 4 di sicuro il più efficace!

Metodo 1: (modalità provvisoria operativa – metodo pubblicato dalla VERA guardia di finanza)

  • Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto ‘Modalità provvisoria”
  • Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle applicazioni
  • All’apertura del menu a tendina verticale fare clic su “Tutti i programmi”, così da aprire l’elenco dei software installati
  • Cercare la cartella “Esecuzione automatica” e, una volta individuata, fare clic con il mouse sull’icona corrispondente
  • Sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer
  • Dovrebbe apparire, tra gli altri, il file “WPBT0.dll” oppure un file con nome identificativo del tipo “0.<una serie di altri numeri>.exe” (il file si può presentare in altre varianti sintattiche)
  • Selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer . Ad ogni modo vi consiglio di eliminare tutto ciò che non conoscete!
  • Selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware
  • Spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione
  • Al riavvio installate o aggiornate l’antivirus ed effettuate una scansione totale del sistema

Non funziona?  Passate al metodo 2!

Metodo 2: (modalità provvisoria operativa)

  • Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto ‘Modalità provvisoria”
  • Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle applicazioni
  • Nella finestra ‘cerca programmi e file’ (oppure START–> ESEGUI se non c’è questa finestra) digitare: “msconfig.exe
  • Spostarsi nella 4a colonna “Servizi” e disattivare i servizi sospetti o comunque in cui come produttore non vi sia alcuna voce oppure il cui elemento di avvio abbia un nome incoerente (tipo: aaaaaaaeaeaaaaa.exe)
  • Cliccare su OK e riavviare.
  • Al riavvio installate o aggiornate l’antivirus ed effettuate una scansione totale del sistema

Non funziona?  Passate al metodo 3!

Metodo 3: (modalità provvisoria non funzionante)

In questo caso il pc non riesce ad entrare in modalità provvisoria poichè il virus ha disabilitato la sua attivazione con tasto F8.

Punto 1

Prima di perdere un sacco di tempo con il cd kaspersky, provate a vedere se entra nella MODALITA’ PROVVISORIA CON PROMPT DI COMANDO.

Se riuscite, vi apparirà una schermata nera con il prompt (cursore). in questo caso potete dal prompt di comandi eseguire: “regedit.exe” e saltare direttamente al punto 3 per editare il registro (in questo caso il registro sarà editato direttamente da ‘regedit.exe’ piuttosto che dal cd di kaspersky – il meccanismo è identico).

Se non funziona il prompt dei comandi passate al punto 2.

Punto 2

Dobbiamo quindi scaricarci (da un altro pc ovviamente…) l’immagine di un disco antivirus fatto apposta, come quello presente sul sito kaspersky:

http://support.kaspersky.com/faq/?qid=208282173

e successivamente masterizzare il file .iso con un qualsiasi programma di masterizzazione.

Il cd/dvd sarà autoeseguibile dal boot del pc.

Una volta effettuata la masterizzazione dell’immagine ISO, bisogna avviare il PC con il CD appena creato.

Di solito la configurazione di avvio del PC prevede come impostazione predefinita l’avvio dall’unità CD/DVD ma se non dovesse essere così, all’accensione entrate nel bios e modificate questa impostazione.

Su alcuni pc è anke possibile premere un tasto all’inizio per selezionare l’unità di avvio.

A questo punto se avete impostato correttamente l’avvio, il CD viene letto e appare la schermata principale di Kaspersky Rescue Disk  dove viene chiesto di selezionare la lingua, licenza d’uso, ecc.

Alla fine apparirà un desktop verde; eseguire Kaspersky Registry Editor presente su di esso.

Punto 3

Con molta attenzione, bisogna modificare alcune chiavi di registro.

Posizionatevi sulla seguente chiave per riattivare il TaskManager:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system e verificate il valore DisableTaskMgr deve essere impostato a 0 (zero).

Se non presente potete aggiungere il nuovo valore di tipo DWORD 32bit / REG_DWORD chiamandolo DisableTaskMgr ed assegnandogli valore 0 (zero).

Controllate le seguenti chiavi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx

e, se presenti, anche queste:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Analizzandole, all’interno (sulla destra) possiamo notare dei puntamenti a programmi eseguibili con nomi strani.

Successivamente sempre dal desktop del sistema Kaspersky provate a:

-navigare sul disco C:

-cercare sul disco C:

-eliminare dal disco C (oppure rinominarli semplicemente) i seguenti file:

mahmud.exe

skype.dat (di norma il file-virus risiede in C:\users\utente\AppData\Roaming oppure C:\Documents and Settings\utente\Dati applicazioni\)

icq.dat

Non funziona? Passate al metodo 4! (sperando sia la volta buona!!)

Metodo 4: (se non vi funziona ancora un tubo…)

Un ultima evoluzione di questo virus mi ha fatto perdere un sacco di tempo.  Malgrado abbia disattivato tutti i programmi che partivano al boot, riattivato il TaskManager, effettuato un ripristino di sistema (inutile… nel migliore dei casi si avvia un paio di volte poi riappare il magico virus..) alla fine ci sono riuscito.

All’avvio (anche in modalità provvisoria) mi appariva la schermata bianca e poi dopo poco nuovamente la pagina della finta polizia di stato. In questo caso seguite questa procedura:

– Scaricatevi con un altro pc COMBOFIX, un ottimo antivirus utilissimo in questi casi e che farete eseguire una sola volta e che risolve al 100% il problema.

Scaricatelo da questo sito:

http://www.bleepingcomputer.com/combofix/how-to-use-combofix

– Copiatelo su una chiavetta (esempio F:) poi fate partire il pc questa volta con MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI (vi sembrerà strano..ma questa è l’unica modalità che mi ha fatto eseguire.

– Vi apparirà il prompt di comando. Spostatevi sulla chiavetta dove avete salvato ComboFix digitando:

cd  F:   (dove F: è la lettera che contraddistingue la vostra chiavetta e che può essere anche differente ovviamente)

Poi digitate:

combofix.exe  /killall

 e fatelo girare fino alla fine…  dopo un riavvio vi risolverà il problema!! TESTATO

Note:

dal prompt di comando, volendo, riuscite anche a visualizzare il desktop, digitando:

explorer.exe

oppure l’editor di registro con:

regedit.exe

 Non funziona ancora?  Chiamatemi per un appuntamento se siete di Napoli…

piuttosto che pagare inutilmente 100 euro!! Ve le faccio risparmiare volentieri..


Per contatti telefonici o WhatsApp:

numero assistenza apple PC


La nostra mail:
assistenza@informaticanapoli.com


OPPURE CLICCA QUI PER IL FORM CONTATTI

Per Info & Preventivi: