Come rimuovere il “Virus della Polizia”

Virus polizia postale

Guida per eliminare il “Virus della polizia”

 

Vediamo come eliminare il famoso Virus della polizia di stato o Guardia di finanza che sta terrorizzando gli utenti di internet da ormai diversi mesi.

In genere questo virus colpisce quando si naviga su siti che sfruttano il Java. Facendo una statistica basata sui casi a noi presentati la Web Mail di Libero è molto sensibile all’infezione.

In genere il virus nasconde il desktop, disabilita ogni funzionalità del pc tipo task manager, tasti funzione e la pressione di qualsiasi altro tasto.

L’unica opzione che sembra possibile è pagare 100 euro tramite servizi di pagamenti poco tracciabili.

Si può solamente premere il tasto di accensione del pc per procedere all’arresto dello stesso.

Di seguito una serie di metodi per tentare di ripulire il sistema, ma il virus si manifesta in maniere differenti, più o meno difficili da sistemare (può arrivare anche criptare i file sul computer rendendoli illeggibili). Alcuni di questi metodi sono stati presi direttamente su internet in quanto più o meno standard, ma solo il metodo 1 garantisce l’eliminazione del problema (mentre gli altri funzionavano fino a qualche mese fa, quando il Virus era nelle sue prime forme).

In conclusione il virus polizia dello stato – guardia di finanza può essere banale ma anche molto ostico e rischia di farvi perdere tutti i documenti presenti sui vostri pc quindi fate molta attenzione e soprattutto se non siete molto pratici con i pc non vi avventurate in queste soluzioni proposte ma fatelo fare a persone esperte.

 

Metodo 1 ( il migliore che abbia testato, nasce dalla nostra esperienza nella rimozione di questo Virus)

Per prima cosa scaricate CCleaner e Malwarebytes e copiateli su una chiavetta USB che andrete ad inserire a pc avviato.

  • Far avviare il computer in “MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto “MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI”
  • Una volta giunti al Prompt dei Comandi premere CTRL+ALT+CANC per avviare il Task Manager (che si avvierà senza problemi)
  • Inserire la chiavetta USB con i programmi precedentemente installati
  • A questo punto File – Esegui Nuova attività. Individuare la memoria USB ed installare entrambi i programmi
  • Lanciare CCleaner al termine della sua installazione ed effettuare una pulizia accurata dei file di sistema. Poi analizzare il Registro e procedere alla riparazione delle voci trovate. In Strumenti – Avvio disattivare TUTTE le voci.
  • Lanciare Malwarebytes (sempre da Esegui Nuova Attività e cercando nella cartella Programmi il relativo percorso) ed effettuare una scansione completa. Al termine riavviare il pc
  • Una volta eliminata la minaccia il desktop ritorna quello di sempre e ci permetterà di lavorare più a fondo per terminare la “pulizia”
  • Disattivare il Ripristino Configurazione di Sistema(XP)/Protezione Sistema(Vista, 7, 8) ed eliminare tutti i punti di ripristino creati in precedenza – Passo fondamentale per evitare che il virus riesca a riproporsi in quanto presente in qualche file di ripristino
  • Individuare la cartella dei file temporanei (XP – C:\Document and Settings\<nome utente>\Impostazioni Locali\Temp ; Vista, 7, 8 – C:\Utenti\<nome utente>\AppData\Local\Temp) ed eliminare TUTTI i files presenti
  • Svuotare il cestino immediatamente
  • Eseguire nuovamente CCleaner (Pulizia Files e Registro)
  • Eseguire Malwarebytes nuovamente – Scansione Completa
  • Riavviare
  • Eseguire nuovamente CCleaner e in Stumenti – Avvio riattivare le voci che si desiderano e riavviare. Il PC è ora pulito!

 

Metodo 2: (metodo trovato in rete che sfrutta Combofix, che funziona solo se parte la modalità provvisoria con prompt dei comandi)

  • Scaricate COMBOFIX, un ottimo antivirus utilissimo in questi casi e che farete eseguire una sola volta e che risolve al 100% il problema. Si può scaricare da qui
  • Copiatelo su una chiavetta USB
  • Far avviare il computer in “MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto “MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI”
  • Vi apparirà il prompt di comando. Spostatevi sul percorso della chiavetta dove avete salvato ComboFix digitando: cd F: (dove F: è la lettera che contraddistingue la vostra chiavetta e che può essere anche differente ovviamente) e premere INVIO
  • digitate: combofix.exe /killall e premere INVIO e fatelo girare. Quando ha finito riavviate e il virus potrebbe essere sparito.

 

Metodo 3: (modalità provvisoria non funzionante)

In questo caso il pc non riesce ad entrare in modalità provvisoria poiché il virus ha disabilitato la sua attivazione con tasto F8. Quello che tipicamente succede è che il pc si riavvia in continuazione se si prova ad accedere con la modalità provvisoria.

In questa modalità andiamo a modificare le chiavi di registro di sistema, vi consiglio di procedere con il cd di kaspersky che ha una interfaccia grafica abbastanza gradevole.

Per prima cosa scaricate Kaspersky Rescue Disk, dal seguente link e masterizzate su CD, DVD o unità USB l’immagine ISO appena scaricata (potrà essere utile questo programma) che sarà necessaria soprattutto quando non si riesce ad accendere con la modalità provvisoria.

Inseriamo il disco o la chiavetta USB di Kaspersky appena creata e avviamo il PC. Se non abbiamo impostato il cd/dvd come prima periferica di avvio facciamo dalle configurazioni del Bios (tasto funzione all’accensione del computer).

Quando il cd si avvia appare la schermata principale di Kaspersky Rescue Disk dove viene chiesto di selezionare la lingua, licenza d’uso, ecc.

Alla fine apparirà un sistema operativo LINUX e sul desktop verde eseguire l’aggiornamento delle definizioni dei virus (ovviamente dovrete essere connessi ad Internet) e subito dopo iniziate la scansione completa del sistema (ci vuole molto tempo…). Eliminare tutte le minacce rilevate.

In seguito eseguire Kaspersky Registry Editor.

Ora cerchiamo di sistemare le chiavi di registro corrotte dal virus:

Riattivare il TaskManager:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system e verificate il valore di DisableTaskMgr deve essere impostato a 0

Controllate le chiavi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx

e, se presenti, anche queste per tutti gli utenti presenti sul sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Tra queste chiavi ci sono i servizi che partono quando accendiamo il pc e quindi ci sarà sicuramente anche il nostro virus. Dunque individuate i nomi sospetti che sono presenti in tutte le chiavi e cancelliamole (tasto destro – elimina)

Prendete nota della chiave che cancellate, o meglio del loro valore in quanto c’è scritto il nome del file e la posizione…ci servirà nei passi successivi (questo perché è presente la posizione dei possibili file incriminati) ….andiamo ora a cancellarli!

Dal cd di Kaspersky ora esploriamo le cartelle di sistema (C o D) e andiamo nella cartella dove risiedono i file che ci siamo scritti, tipicamente sono in system32 dentro la cartella Windows.

Una volta trovati, prima di cancellarli, rinomiamoli ad esempio aggiungendo “old” prima o dopo il nome.

Questo metodo è più rischioso perché potremmo intaccare qualche file di Windows però ci garantisce di trovare sempre il file del virus in quanto lo ricaviamo dall’esecuzione automatica (non è detto che il virus abbia sempre lo stesso nome).

Fatto questo riavviate e dovrebbe essere tutto ok.

Ora se tutto funziona eliminiamo i file che in precedenza avevamo rinominato e procediamo con le varie scansioni di antivirus tipo Malwarebyte. Vi consiglio anche un controllo con Hijackthis.

 

Metodo 4: ormai obsoleto (in questo caso la modalità provvisoria funziona ed è il metodo consigliato sul sito della guardia di finanza)

Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto ‘Modalità provvisoria”

Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle applicazioni

All’apertura del menu a tendina verticale fare clic su “Tutti i programmi”, così da aprire l’elenco dei software installati

Cercare la cartella “Esecuzione automatica” e, una volta individuata, fare clic con il mouse sull’icona corrispondente

Sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer

Dovrebbe apparire, tra gli altri, il file “WPBT0.dll” oppure un file con nome identificativo del tipo “0..exe” (il file si può presentare in altre varianti sintattiche)

Selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer . Ad ogni modo vi consiglio di eliminare tutto ciò che non conoscete!

Selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware

Spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione

Al riavvio installate o aggiornate l’antivirus ed effettuate una scansione totale del sistema

24 Commentsto Come rimuovere il “Virus della Polizia”

  1. Luca ha detto:

    bravissimi ho seguito il metodo e ha funzionato, unica differenza che la chiavetta non funzionava sono passato con il cd.
    Grazie!

  2. Daniele ha detto:

    Ragazzi, ho risolto con il metodo 1, vi ringrazio infinitamente, siete stati preziosi!

  3. christian ha detto:

    ho seguito il metodo 2 sembrava il più semplice ed è andato benissimo grazie a voi ho risparmiato un po’ di quattrini grazie mille 🙂

  4. marco ha detto:

    grazie, ho usato la procedura 1 e credo di aver debellato la minaccia. mi rimane una domanda da farvi e un inconveniente da esporvi. forse potete aiutarmi.

    partiamo dall’inconveniente: al primo lancio di ccleaner, seguendo le vostre indicazioni, ho disattivato tutte le voci dal menu avvio in strumenti, compreso avast. se ora tento di riabilitare avast all’avvio non mi è permesso farlo. se provo tramite ccleaner (strumenti>avvio>colonna windows>avastUI.exe) ricevo un errore di accesso negato. se provo da msconfig io flaggo avast in avvio ma quando clicco su applica si deflagga automaticamente. è l’unico programma che non riesco a riattivare in avvio! ed è un problema, perché è l’unico che in avvio è davvero utile avere subito pronto.

    la domanda invece riguarda il ripristino configurazione di sistema. alla fine della procedura lo si può riattivare?

    spero mi rispondiate, grazie.

    • Vincenzo ha detto:

      Disinstallare Avast e dopo il riavvio reinstallarlo da zero.
      Il ripristino configurazione di sistema può essere riattivato quando si è sicuri al 100% di aver debellato la minaccia.

      Saluti

  5. marco ha detto:

    grazie per la risposta, vincenzo.
    in realtà avevo già provveduto tramite lo strumento “ripara” di avast. usato quello è tornato ad avviarsi automaticamente.
    il virus credo di averlo debellato. esiste una prova del 9 per esserne sicuro al 100%? tipo controllare se nella determinata cartella c’è ancora un file tal dei tali o cose del genere?
    ciao

  6. marco ha detto:

    allora direi che è tutto ok. avevo notato un rallentamento nel caricare alcune icone sul desktop durante i primi avvii dopo aver fatto la procedura. dalla terza-quarta accensione sembra tornato come prima.

  7. Francesco ha detto:

    Aiuto! Sei molto gentile a dare questi metodi, ma, sfortunatamente, non riesco a mettere in moto il PC. Ho windows 8.1. Ho provato con il combo, ma il mio Nod 32 non permette l’apertura. Ho provato ad aprire il Task, ma non funziona. Riesco, ovviamente, ad aprire la modalità provvisoria.
    Il ripristino? Non ne ho la più pallida idea!
    Puoi gentilmente aiutarmi?
    Grazie infinite.

    • Vincenzo ha detto:

      se riesce ad accedere in modalità porvvisoria con Windows 8 allora dovrebbe riuscire a seguire i passi della guida per eliminare la minaccia!

  8. CARLO ha detto:

    RAGAZZI DOPO AVER SEGUITO LA PROCEDURA N.1 IL VIRUS è SPARITO MA NON APRE PIU’ FACEBOOK E YOUTUBE. ORA CHE SI FA? GRAZIE.

  9. donato ha detto:

    come eliminare il virus dal router?

  10. nicolas ha detto:

    ciao a tutti ho provato con metodo 1 2 e 4 e nessuno di questi mi ha risolto.. il metodo 3 non posso perchè il mio pc non ha il lettore dvd.. non so piu dove sbattere la testa!! premetto che il file ctfmon lo avevo trovato e cancellato,ma non è servito.. come posso fare???? qualcuno mi aiuti sto impazzendo!

    • Vincenzo ha detto:

      Potrà utilizzare il metodo 3 con una pendrive usb al posto del cd.

      • Nicolas ha detto:

        Grazie per l’aiuto però alla fine ho risolto reinstallando Windows,i file li avevo tutti di hard disk esterno perciò non ci ho perso niente e il computer ora e più pulito!!

  11. […] abbiamo fatto qualche ricerca insieme all admin Jd, fate questa prova seguendo questo link : FDlab.it – Guida per eliminare il "Virus della Polizia" | FDlab.it e dopo aver sistemato il pc, ripristinare le impostazioni di rete del cellulare…mi raccomando, […]

Rispondi