Tag: rimozione virus
Come rimuovere il “Virus della Polizia”
Guida per eliminare il “Virus della polizia”
Vediamo come eliminare il famoso Virus della polizia di stato o Guardia di finanza che sta terrorizzando gli utenti di internet da ormai diversi mesi.
In genere questo virus colpisce quando si naviga su siti che sfruttano il Java. Facendo una statistica basata sui casi a noi presentati la Web Mail di Libero è molto sensibile all’infezione.
In genere il virus nasconde il desktop, disabilita ogni funzionalità del pc tipo task manager, tasti funzione e la pressione di qualsiasi altro tasto.
L’unica opzione che sembra possibile è pagare 100 euro tramite servizi di pagamenti poco tracciabili.
Si può solamente premere il tasto di accensione del pc per procedere all’arresto dello stesso.
Di seguito una serie di metodi per tentare di ripulire il sistema, ma il virus si manifesta in maniere differenti, più o meno difficili da sistemare (può arrivare anche criptare i file sul computer rendendoli illeggibili). Alcuni di questi metodi sono stati presi direttamente su internet in quanto più o meno standard, ma solo il metodo 1 garantisce l’eliminazione del problema (mentre gli altri funzionavano fino a qualche mese fa, quando il Virus era nelle sue prime forme).
In conclusione il virus polizia dello stato – guardia di finanza può essere banale ma anche molto ostico e rischia di farvi perdere tutti i documenti presenti sui vostri pc quindi fate molta attenzione e soprattutto se non siete molto pratici con i pc non vi avventurate in queste soluzioni proposte ma fatelo fare a persone esperte.
Metodo 1 ( il migliore che abbia testato, nasce dalla nostra esperienza nella rimozione di questo Virus)
Per prima cosa scaricate CCleaner e Malwarebytes e copiateli su una chiavetta USB che andrete ad inserire a pc avviato.
- Far avviare il computer in “MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto “MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI”
- Una volta giunti al Prompt dei Comandi premere CTRL+ALT+CANC per avviare il Task Manager (che si avvierà senza problemi)
- Inserire la chiavetta USB con i programmi precedentemente installati
- A questo punto File – Esegui Nuova attività. Individuare la memoria USB ed installare entrambi i programmi
- Lanciare CCleaner al termine della sua installazione ed effettuare una pulizia accurata dei file di sistema. Poi analizzare il Registro e procedere alla riparazione delle voci trovate. In Strumenti – Avvio disattivare TUTTE le voci.
- Lanciare Malwarebytes (sempre da Esegui Nuova Attività e cercando nella cartella Programmi il relativo percorso) ed effettuare una scansione completa. Al termine riavviare il pc
- Una volta eliminata la minaccia il desktop ritorna quello di sempre e ci permetterà di lavorare più a fondo per terminare la “pulizia”
- Disattivare il Ripristino Configurazione di Sistema(XP)/Protezione Sistema(Vista, 7, 8) ed eliminare tutti i punti di ripristino creati in precedenza – Passo fondamentale per evitare che il virus riesca a riproporsi in quanto presente in qualche file di ripristino
- Individuare la cartella dei file temporanei (XP – C:\Document and Settings\<nome utente>\Impostazioni Locali\Temp ; Vista, 7, 8 – C:\Utenti\<nome utente>\AppData\Local\Temp) ed eliminare TUTTI i files presenti
- Svuotare il cestino immediatamente
- Eseguire nuovamente CCleaner (Pulizia Files e Registro)
- Eseguire Malwarebytes nuovamente – Scansione Completa
- Riavviare
- Eseguire nuovamente CCleaner e in Stumenti – Avvio riattivare le voci che si desiderano e riavviare. Il PC è ora pulito!
Metodo 2: (metodo trovato in rete che sfrutta Combofix, che funziona solo se parte la modalità provvisoria con prompt dei comandi)
- Scaricate COMBOFIX, un ottimo antivirus utilissimo in questi casi e che farete eseguire una sola volta e che risolve al 100% il problema. Si può scaricare da qui
- Copiatelo su una chiavetta USB
- Far avviare il computer in “MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto “MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI”
- Vi apparirà il prompt di comando. Spostatevi sul percorso della chiavetta dove avete salvato ComboFix digitando: cd F: (dove F: è la lettera che contraddistingue la vostra chiavetta e che può essere anche differente ovviamente) e premere INVIO
- digitate: combofix.exe /killall e premere INVIO e fatelo girare. Quando ha finito riavviate e il virus potrebbe essere sparito.
Metodo 3: (modalità provvisoria non funzionante)
In questo caso il pc non riesce ad entrare in modalità provvisoria poiché il virus ha disabilitato la sua attivazione con tasto F8. Quello che tipicamente succede è che il pc si riavvia in continuazione se si prova ad accedere con la modalità provvisoria.
In questa modalità andiamo a modificare le chiavi di registro di sistema, vi consiglio di procedere con il cd di kaspersky che ha una interfaccia grafica abbastanza gradevole.
Per prima cosa scaricate Kaspersky Rescue Disk, dal seguente link e masterizzate su CD, DVD o unità USB l’immagine ISO appena scaricata (potrà essere utile questo programma) che sarà necessaria soprattutto quando non si riesce ad accendere con la modalità provvisoria.
Inseriamo il disco o la chiavetta USB di Kaspersky appena creata e avviamo il PC. Se non abbiamo impostato il cd/dvd come prima periferica di avvio facciamo dalle configurazioni del Bios (tasto funzione all’accensione del computer).
Quando il cd si avvia appare la schermata principale di Kaspersky Rescue Disk dove viene chiesto di selezionare la lingua, licenza d’uso, ecc.
Alla fine apparirà un sistema operativo LINUX e sul desktop verde eseguire l’aggiornamento delle definizioni dei virus (ovviamente dovrete essere connessi ad Internet) e subito dopo iniziate la scansione completa del sistema (ci vuole molto tempo…). Eliminare tutte le minacce rilevate.
In seguito eseguire Kaspersky Registry Editor.
Ora cerchiamo di sistemare le chiavi di registro corrotte dal virus:
Riattivare il TaskManager:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system e verificate il valore di DisableTaskMgr deve essere impostato a 0
Controllate le chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
e, se presenti, anche queste per tutti gli utenti presenti sul sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Tra queste chiavi ci sono i servizi che partono quando accendiamo il pc e quindi ci sarà sicuramente anche il nostro virus. Dunque individuate i nomi sospetti che sono presenti in tutte le chiavi e cancelliamole (tasto destro – elimina)
Prendete nota della chiave che cancellate, o meglio del loro valore in quanto c’è scritto il nome del file e la posizione…ci servirà nei passi successivi (questo perché è presente la posizione dei possibili file incriminati) ….andiamo ora a cancellarli!
Dal cd di Kaspersky ora esploriamo le cartelle di sistema (C o D) e andiamo nella cartella dove risiedono i file che ci siamo scritti, tipicamente sono in system32 dentro la cartella Windows.
Una volta trovati, prima di cancellarli, rinomiamoli ad esempio aggiungendo “old” prima o dopo il nome.
Questo metodo è più rischioso perché potremmo intaccare qualche file di Windows però ci garantisce di trovare sempre il file del virus in quanto lo ricaviamo dall’esecuzione automatica (non è detto che il virus abbia sempre lo stesso nome).
Fatto questo riavviate e dovrebbe essere tutto ok.
Ora se tutto funziona eliminiamo i file che in precedenza avevamo rinominato e procediamo con le varie scansioni di antivirus tipo Malwarebyte. Vi consiglio anche un controllo con Hijackthis.
Metodo 4: ormai obsoleto (in questo caso la modalità provvisoria funziona ed è il metodo consigliato sul sito della guardia di finanza)
Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto ‘Modalità provvisoria”
Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle applicazioni
All’apertura del menu a tendina verticale fare clic su “Tutti i programmi”, così da aprire l’elenco dei software installati
Cercare la cartella “Esecuzione automatica” e, una volta individuata, fare clic con il mouse sull’icona corrispondente
Sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer
Dovrebbe apparire, tra gli altri, il file “WPBT0.dll” oppure un file con nome identificativo del tipo “0..exe” (il file si può presentare in altre varianti sintattiche)
Selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer . Ad ogni modo vi consiglio di eliminare tutto ciò che non conoscete!
Selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware
Spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione
Al riavvio installate o aggiornate l’antivirus ed effettuate una scansione totale del sistema