FabioBonanni

Assistenza informatica e Sviluppo Web...

Rimozione virus polizia di stato guardia di finanza, anche con avvio modalità provvisoria bloccata

 

Oggi parliamo di come eliminare il famoso virus della polizia di stato o guardia di finanza che terrorizza gli utenti di internet.
In genere questo virus è facilmente scaricabile quando si naviga su siti pornografici, con contenuti hard oppure su siti dove si possono guardare film in straming... insomma tutti i siti dove si sfrutta il fattore paura.
In genere il virus nasconde il desktop, disabilita ogni funzionalità del pc tipo task manager, tasti funzione e la pressione di qualsiasi altro tasto.
L'unica opzione che sembra possibile è pagare 100 euro tramite servizi di pagamenti poco tracciabili.
Se anche tu hai pensato "aiuto la polizia mi ha beccato" e pensi che con 100 euro si possa risolvere la cosa allora questa guida non serve, se invece vuoi eliminare in maniera definitiva il problema prova a seguire uno dei seguenti medoti.
Il virus si manifesta in maniere differenti, più o meno diffici da sistemare, può arrivare anche criptare i file sul computer rendoli illegibili.
Alcuni di questi metodi sono stati presi su internet in quanto più o meno standard. Ho aggiunto un ulteriore metodo molto manuale derivato da una mia esperienza personale di rimozione su un pc per il quale il proprietario aveva perso le speranze.
Per prima cosa scaricate Kaspersky rescue disk, dal seguente linke e masterizzate su CD o DVD l’iso, questo programma è molto utile soprattutto quando non si riesce ad accendere con la modalità provvisoria.
Metodo 1: (in questo caso la modalità provvisoria funziona ed è il metodo consigliato sul sito della guardia di finanza)
Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà
visualizzato un elenco di scelte, selezionare appunto ‘Modalità provvisoria”
Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle
applicazioni
All’apertura del menu a tendina verticale fare clic su “Tutti i programmi”, così da aprire l’elenco dei software installati
Cercare la cartella “Esecuzione automatica” e, una volta individuata, fare clic con il mouse sull’icona corrispondente
Sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer
Dovrebbe apparire, tra gli altri, il file “WPBT0.dll” oppure un file con nome identificativo del tipo “0..exe” (il file si può presentare in
altre varianti sintattiche)
Selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer . Ad ogni modo vi
consiglio di eliminare tutto ciò che non conoscete!
Selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota
cestino” così da procedere alla definitiva eliminazione del malware
Spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione
Al riavvio installate o aggiornate l’antivirus ed effettuate una scansione totale del sistema
Metodo 2: (modalità provvisoria funzionante)
Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà
visualizzato un elenco di scelte, selezionare appunto ‘Modalità provvisoria”
Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle
applicazioni
Cliccando su START–> ESEGUI digitare: “msconfig.exe“
Spostarsi nella colonna “Servizi” e disattivare i servizi sospetti o comunque in cui come produttore non vi sia alcuna voce oppure il cui elemento di avvio
abbia un nome strano tipo: aaaaaaaeaeaaaaa.exe
Poi cliccate sulla colonna Avvio e deselezionate tutti i programmi che hanno nomi sospetti.
Cliccare su OK e riavviare.
Al riavvio installate o aggiornate l’antivirus ed effettuate una scansione totale del sistema.
Metodo 3: (altro metodo trovato in rete che sfrutta combofix, che funziona solo se parte la modalità provvisoria con prompt dei comandi)
- Scaricate COMBOFIX, un ottimo antivirus utilissimo in questi casi e che farete eseguire una sola volta e che risolve al 100% il problema.
Si può scaricare da
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
- Copiatelo su una chiavetta (esempio F:) poi fate partire il pc con MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI 
- Vi apparirà il prompt di comando. Spostatevi sulla chiavetta dove avete salvato ComboFix digitando:
cd F: (dove F: è la lettera che contraddistingue la vostra chiavetta e che può essere anche differente ovviamente)
Poi digitate:
combofix.exe /killall
e fatelo girare. Quando ha finito riavviate e il virus potrebbe essere sparito.
Metodo 4: (modalità provvisoria non funzionante)
In questo caso il pc non riesce ad entrare in modalità provvisoria poichè il virus ha disabilitato la sua attivazione con tasto F8. Quello che tipicamente succede è che il pc si riavvia in continuazione se si prova ad accedere con la modalità provvisoria.
In questa modalità andiamo a modificare le chiavi di registro di sistema, vi consiglio di procedere con il cd di kaspersky che ha una interccia grafica abbastanza gradevole.
Inseriamo il disco di Kaspersky creato e avviamo il PC. Se non abbiamo impostato il cd/dvd come prima periferica di avvio facciamo dalle configurazioni del bios (F2 all'accensione del computer).
Quando il cd si avvia appare la schermata principale di Kaspersky Rescue Disk dove viene chiesto di
selezionare la lingua, licenza d’uso, ecc.
Alla fine apparirà una simulazione di sistema operativo e sul desktop verde eseguire Kaspersky Registry Editor.
Ora cerchiamo di sistemare le chiavi di registro corrotte dal virus:
Riattivare il TaskManager:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system e verificate il valore di DisableTaskMgr deve essere impostato a 0
Controllate le chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
e, se presenti, anche queste per tutti gli utenti presenti sul sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Tra queste chiavi ci sono i servizi che partono quando accendiamo il pc e quindi ci sarà sicuramente anche il nostro virus. Dunque individuate i nomi sospetti che sono presenti in tutte le chiavi e cancelliamole (tasto destro - elimina)
Prendete nota della chiave che cancellate, o meglio del loro valore in quanto c'è scritto il nome del file e la posizione...ci servirà nei metodi successivi.
Fatto questo riavviate e dovrebbe essere tutto ok.
Metodo 5 (per utenti un po' più esperti e per chi vuole rischiare il tutto per tutto)
Nella fine del metodo precedente vi ho detto di prendere nota del valore della chiave eliminata: questo perchè è presente la posizione dei possibili file incriminati....andiamo a cancellarli.
Dal cd di Kaspersky ora esploriamo le cartelle di sistema (C o D) e andiamo nella cartella dove risiedono i file che ci siamo scritti, tipicamente sono in system32 dentro la cartella Windows.
Una volta trovati, prima di cancellarli, rinomiamoli ad esempio aggiungendo "old" prima o dopo il nome.
Questo metodo è più rischioso perchè potremmo intaccare qualche file di windows però ci garantisce di trovare sempre il file del virus in quanto lo ricaviamo dall'esecuzione automatica (non è detto che il virus abbia sempre lo stesso nome).
Ora possiamo riavviare il pc e se tutto funziona eliminiamo i file che in precedenza avevamo rinominato e procediamo con le varie scansioni di antivirus tipo Antivir e Malwarebyte. Vi consiglio anche un controllo con Hijackthis.
In conclusione il virus polizia dello stato - guardia di finanza può essere banale ma anche molto ostico e rischia di farvi perdere tutti i documenti presenti sui vostri pc quindi fate molta attenzione e soprattutto se non siete molto pratici con i pc non vi avventurate in queste soluzioni proposte ma fatelo fare a persone esperte.

 

Oggi parliamo di come eliminare il famoso virus della polizia di stato o guardia di finanza che terrorizza gli utenti di internet.

In genere questo virus è facilmente scaricabile quando si naviga su siti pornografici, con contenuti hard oppure su siti dove si possono guardare film in straming... insomma tutti i siti dove si sfrutta il fattore paura.

In genere il virus nasconde il desktop, disabilita ogni funzionalità del pc tipo task manager, tasti funzione e la pressione di qualsiasi altro tasto.

L'unica opzione che sembra possibile è pagare 100 euro tramite servizi di pagamenti poco tracciabili.

Se anche tu hai pensato "aiuto la polizia mi ha beccato" e pensi che con 100 euro si possa risolvere la cosa allora questa guida non serve, se invece vuoi eliminare in maniera definitiva il problema prova a seguire uno dei seguenti medoti.

Il virus si manifesta in maniere differenti, più o meno diffici da sistemare, può arrivare anche criptare i file sul computer rendoli illegibili.

Alcuni di questi metodi sono stati presi su internet in quanto più o meno standard. Ho aggiunto un ulteriore metodo molto manuale derivato da una mia esperienza personale di rimozione su un pc per il quale il proprietario aveva perso le speranze.

 

Per prima cosa scaricate Kaspersky rescue disk, dal seguente link e masterizzate su CD o DVD l’iso, questo programma è molto utile soprattutto quando non si riesce ad accendere con la modalità provvisoria.

 

Metodo 1: (in questo caso la modalità provvisoria funziona ed è il metodo consigliato sul sito della guardia di finanza)

Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto ‘Modalità provvisoria”

Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle applicazioni

All’apertura del menu a tendina verticale fare clic su “Tutti i programmi”, così da aprire l’elenco dei software installati

Cercare la cartella “Esecuzione automatica” e, una volta individuata, fare clic con il mouse sull’icona corrispondente

Sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer

Dovrebbe apparire, tra gli altri, il file “WPBT0.dll” oppure un file con nome identificativo del tipo “0..exe” (il file si può presentare in altre varianti sintattiche)

Selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer . Ad ogni modo vi consiglio di eliminare tutto ciò che non conoscete!

Selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware

Spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione

Al riavvio installate o aggiornate l’antivirus ed effettuate una scansione totale del sistema

 

Metodo 2: (modalità provvisoria funzionante)

Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto ‘Modalità provvisoria”

Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle applicazioni

Cliccando su START–> ESEGUI digitare: “msconfig.exe“

Spostarsi nella colonna “Servizi” e disattivare i servizi sospetti o comunque in cui come produttore non vi sia alcuna voce oppure il cui elemento di avvio abbia un nome strano tipo: aaaaaaaeaeaaaaa.exe

 

Poi cliccate sulla colonna Avvio e deselezionate tutti i programmi che hanno nomi sospetti.

Cliccare su OK e riavviare.

Al riavvio installate o aggiornate l’antivirus ed effettuate una scansione totale del sistema.

 

Metodo 3: (altro metodo trovato in rete che sfrutta combofix, che funziona solo se parte la modalità provvisoria con prompt dei comandi)

- Scaricate COMBOFIX, un ottimo antivirus utilissimo in questi casi e che farete eseguire una sola volta e che risolve al 100% il problema.

Si può scaricare da

http://www.bleepingcomputer.com/combofix/how-to-use-combofix

- Copiatelo su una chiavetta (esempio F:) poi fate partire il pc con MODALITA’ PROVVISORIA CON PROMPT DEI COMANDI 

- Vi apparirà il prompt di comando. Spostatevi sulla chiavetta dove avete salvato ComboFix digitando:

cd F: (dove F: è la lettera che contraddistingue la vostra chiavetta e che può essere anche differente ovviamente)

Poi digitate:

combofix.exe /killall

e fatelo girare. Quando ha finito riavviate e il virus potrebbe essere sparito.

 

Metodo 4: (modalità provvisoria non funzionante)

In questo caso il pc non riesce ad entrare in modalità provvisoria poichè il virus ha disabilitato la sua attivazione con tasto F8. Quello che tipicamente succede è che il pc si riavvia in continuazione se si prova ad accedere con la modalità provvisoria.

In questa modalità andiamo a modificare le chiavi di registro di sistema, vi consiglio di procedere con il cd di kaspersky che ha una interccia grafica abbastanza gradevole.

Inseriamo il disco di Kaspersky creato e avviamo il PC. Se non abbiamo impostato il cd/dvd come prima periferica di avvio facciamo dalle configurazioni del bios (F2 all'accensione del computer).

Quando il cd si avvia appare la schermata principale di Kaspersky Rescue Disk dove viene chiesto di selezionare la lingua, licenza d’uso, ecc.

Alla fine apparirà una simulazione di sistema operativo e sul desktop verde eseguire Kaspersky Registry Editor.

Ora cerchiamo di sistemare le chiavi di registro corrotte dal virus:

Riattivare il TaskManager:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system e verificate il valore di DisableTaskMgr deve essere impostato a 0

Controllate le chiavi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx

e, se presenti, anche queste per tutti gli utenti presenti sul sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

 

Tra queste chiavi ci sono i servizi che partono quando accendiamo il pc e quindi ci sarà sicuramente anche il nostro virus. Dunque individuate i nomi sospetti che sono presenti in tutte le chiavi e cancelliamole (tasto destro - elimina)

 

Prendete nota della chiave che cancellate, o meglio del loro valore in quanto c'è scritto il nome del file e la posizione...ci servirà nei metodi successivi.

Fatto questo riavviate e dovrebbe essere tutto ok.

 

Metodo 5 (per utenti un po' più esperti e per chi vuole rischiare il tutto per tutto)

Nella fine del metodo precedente vi ho detto di prendere nota del valore della chiave eliminata: questo perchè è presente la posizione dei possibili file incriminati....andiamo a cancellarli.

 

Dal cd di Kaspersky ora esploriamo le cartelle di sistema (C o D) e andiamo nella cartella dove risiedono i file che ci siamo scritti, tipicamente sono in system32 dentro la cartella Windows.

Una volta trovati, prima di cancellarli, rinomiamoli ad esempio aggiungendo "old" prima o dopo il nome.

Questo metodo è più rischioso perchè potremmo intaccare qualche file di windows però ci garantisce di trovare sempre il file del virus in quanto lo ricaviamo dall'esecuzione automatica (non è detto che il virus abbia sempre lo stesso nome).

Ora possiamo riavviare il pc e se tutto funziona eliminiamo i file che in precedenza avevamo rinominato e procediamo con le varie scansioni di antivirus tipo Antivir e Malwarebyte. Vi consiglio anche un controllo con Hijackthis.

 

In conclusione il virus polizia dello stato - guardia di finanza può essere banale ma anche molto ostico e rischia di farvi perdere tutti i documenti presenti sui vostri pc quindi fate molta attenzione e soprattutto se non siete molto pratici con i pc non vi avventurate in queste soluzioni proposte ma fatelo fare a persone esperte.

replica watches uk, replica watches, cartier replica

 

 

 

 

 

 

 


Share |