giovedì 29 marzo 2012

Rimuovere il Virus con schermata POLIZIA DI STATO-GUARDIA DI FINANZA

Si sta sempre più diffondendo un malware che blocca il computer con una schermata che utilizza i loghi della Guardia di Finanza o della Polizia di Stato. Polizia di stato italia
Oltre al blocco del pc viene richiesto un pagamento mascherato da multa per aver effettuato attività illegali con il pc. Ovviamente è tutto falso e non va pagato assolutamente nulla.
Di Seguito vi allego la procedura (consigliata proprio dalla guardia di finanza) per la rimozione sicura del virus:
Primo Metodo:
1.    spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto (per la fase di accensione) il tasto “F8”; 2.     cliccare con il mouse su START (oppure AVVIO o ancora sull'icona di Windows) posto in basso a sinistra della barra delle applicazioni; 3.    all’apertura del menu a tendina verticale fare clic su "Tutti i programmi", così da aprire l’elenco dei software installati; 4.     cercare la cartella "Esecuzione automatica" e, una volta individuata, fare clic con il mouse sull’icona corrispondente; 5.    sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer senza intervento di chi è alla tastiera; 6.    dovrebbe apparire, tra gli altri, il file "WPBT0.dll" oppure un file con nome identificativo del tipo "0.< una serie di altri numeri >.exe" (il file si può presentare in altre varianti sintattiche); 7.    selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer; 8.     selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware; 9.    spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione; 10.          provvedere all’installazione (e al costante aggiornamento) di un programma antivirus che possa preservare da futuri analoghi inconvenienti. 
Secondo Metodo:
1) dal prompt digitare: regedit.exe (dopo premere invio)
2) Selezionare la voce: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonDoppio click su: shell
compare la finestra di modifica:
%user%\Dati Applicazioni\mahmud.exeModificare in: EXPLORER.EXE
image

image

dove %user% è :
per Windows 2000/Xp e Server 2003
c:\documents and settings\<nome utente>
per Windows Vista/7 e Server 2008 2008
c:\users\<nome utente>
3) Uscire da regedit
4) Cancellare il file infetto con i comandi dos:

a. con Windows 2000/XP/Server 2003:
i. cd "Dati Applicazioni"
ii. del mahmud.exe

image
b. Con Windows Vista/Seven/2008:
i. cd Appdata
ii. cd roaming
iii. del mahmud.exe

image
5) riavviare il computer, dal prompt digitare:
shutdown -r -t 0
image
AGGIORNAMENTO DEL 24 GENNAIO 2013 NUOVO METODO PER ELIMINARE QUALSIASI VERSIONE O VARIANTE DI QUESTO VIRUS LEGGI IL MIO POST
Come Rimuovere tutte le varianti del Virus POLIZIA DI STATO-GUARDIA DI FINANZA

229 commenti:

  1. Sei un grande! Grazie alla tua guida ho risolto il problema. Grazie!

    RispondiElimina
    Risposte
    1. Grazie a voi per aver letto e apprezzato i miei articoli!!

      Elimina
    2. non si può eliminare semplicemente avviando in modalità provvisoria e cancellando il virus con anti-virus

      Elimina
    3. Grazie a me a funzionato anche se si chiamava cfmon.exe

      Elimina
    4. come "anonimo" ho trovato nella cartella "esecuzione automatica" il file cfmon lo metto nel cestino ma ritorna...come posso fare?
      grazie

      Elimina
    5. Credo che sia youtube o facebook che infetta quindi attenzione anche solo navigarci, con windows7 ho risolto sempolicemente ripristinando il computer a una settimana fa...

      Elimina
    6. Spiegazione perfetta, ha funzionato senza problemi con Windows 7. Grazie Michele

      Elimina
    7. Sei un grandeeeeeeeeeeeeeeeeeeeeeeeeeeee ci sono riuscito sono andato su registro di sistema modificato in explorer e poi ho cancellato il file su esecuzione automatica e comunque il file infetto resta sempre ? come lo cancello definitivamente ? per info aggiungimi su skype domenico.thebest e fammi sapere grazie mille risolto

      Elimina
    8. A me alla cartella esecuzione automatica mi dice che è vuota aiutatemi per favore

      Elimina
    9. non so' esattamente come ho fatto ma ci sono riuscito, fortunatamente, e dire che mi era cacato addosso, ma prima parlando con un amico che mi ha detto che era un virus e poi seguendo varie procedure (ripristino configurazione, modalità provvisoria etc...) fatto sta dentro la cartella windows ho trovato dei file che oltretutto attraverso crl alt canc erano di colore blu....comunque in un paio d'ore sono riuscito a risolvere il problema...
      comunque penso che tramite e-mule abbia preso il virus...stavo scaricando un certo tyca....
      che la polizia possa arrestare tutti i pedofili bastardi, nel modo in cui questo virus si manifesta...
      pace a tutti

      Elimina
    10. Non funziona..ho trovato il file shell gia' nominato Explorer.exe!! E non riesco ad entrare in modalita' provvisoria!! Come risolvo?!?!

      Elimina
    11. mi è successo ieri ed proprio adesso ho scoperto come risolvere il tutto: basta andare nella cartella temp del propio account e cercare il file sospetto (io ho trovato WPBT0.dll) e con un programma come unlocker eliminarlo. vi dice di riavviare il computer aspettate e in meno di 10 minuti si risolve tutto. e pensare che un mio amico si è formattato l'hd solo per questa fesseria...

      Elimina
    12. ecco l'intelligente di turno ..sei un grande.. e come ci sei andato nella cartella temp?

      Elimina
    13. problema risolto in un attimo, grazie daccero. Prendere chi mette in giro i virus e mandarli a spaccare le pietre!

      Elimina
    14. Io so solo che quello che ha infettato il mio credo sia una versione piu aggressiva...... e un bel bastardone e ancora ci sto dietro......tutti i metodi citati nei forum sembrano essere inutili, anchre quello ufficiale della polizia postale...... speriamo di non dover riformattare tutto.... c'è qualcuno che ha consigli da darmi...???

      Elimina
    15. se hai windows 7 prova a riportare il pc a un punto di ripristino di qualche giorno fa ( per sicurezza io l'ho messo a 2 settimane fa..) poi riavvii e vedi che nella cartella esecuzione automatica non ti compare più la scritta che c'era prima. per fare qs però non devi ssere connesso a internet in modalità wifi.

      Elimina
    16. Ragazzi, purtroppo sono incappata anch'io in qs bastardo di virus....ma ora sono disperata ho fatto tutto il procedimento (secondo metodo)....e sorpresa! Lo schermo è nero!!!! Ho fatto il shutdown del pc mi chiede la password ma una volta inserita niente buio totale! Aiutoooooooo.

      Elimina
    17. Il primo metodo ha funzionato, grazie mille!

      Elimina
    18. buonasera a tutti

      anche a me e successo la stessa cosa, solo che adesso non riesco più ad entrare in internet, come devo fare? mi potete aiutare?

      Elimina
    19. Un amico mi consigliato di usare malwarebytes. Fatta la scansione , ha eliminato i processi incriminati. Tutto ok. Ciaoooo.

      Elimina
    20. scusate io non riesco ad entrare in modalità provvisoria..come devo fare?

      Elimina
    21. 1) Scaricate il programmino "combofix" e tenetelo pronto su una chiavetta o sullo stesso pc. 2) appena il virus attacca chiudete la connessione,(se wifi spegnete il modem) riavviate normalmente windows e lanciate combofix facendo prima attenzione a disattivare tutti gli antivirus,antispyware ecc ecc che avete installati sul pc. Combofix deve girare solo. Fate lavorare Combofix senza interromperlo mai,dovesse lavorare anche 20 minuti,non interrompetelo. A fine lavoro combofix avrà risolto tutto,riavviate il pc,riaprite la connessione e il problema non ci sarà più.

      Elimina
  2. io ho windows 7, usando la seconda modalità..quando sono in shell cosa devo scrivere? il mio nome utente è elisa..cosa devo scrivere precisamente? grazie!

    RispondiElimina
  3. grazie guida molto utile, che mi ha risparmiato altre bestemmie!

    RispondiElimina
  4. E se in modalità provvisoria non ci va? A me succede così!!!

    RispondiElimina
    Risposte
    1. succede anche a me, scollegalo dalla rete e segui le indicazioni, ma poi
      quando ti ricolleghi ritorna il blocco ??

      Elimina
  5. dopo l'eliminazione del virus, il pc si avvia normalmente, ma mi ritrovo tutti i file dati ( anche dell'unità d: ) con delle lettere a caso dopo l'estensione del file. Cancellando tali lettere il file viene associato al relativo programma ma non viene aperto perchè danneggiato. = PERDITA DATI e RIFORMATTARE.

    RispondiElimina
  6. A me in provvisoria non andava. Ho dovuto collegare l'hard disk come secondario in un altro PC, ho lanciato regedit e caricato l'hive SOFTWARE dell'HD infetto (e:\windows\system32\config\software).
    Nel mio caso la chiave di registro modificata era la Userinit invece che la Shell... l'ho riportata al valore normale come mostra la tua foto e rilasciato l'hive.
    Ho fatto andare il NOD32 sull'intero HD rilevando e cancellando una decina di virus e trojan.
    Ora è tutto funzionante, grazie per avermi indirizzato sul problema.

    RispondiElimina
  7. Mi ha telefonato un'amica che ha preso questo virus, ma seguendo le mie istruzioni telefoniche la voce di registro indicata da questo sito (e da altri 5 siti), è normale.
    Ho provato a verificare su altre voci di registro, ma non trovo quella "infetta"
    Evidentemente è nascosto su un'altra voce.

    RispondiElimina
  8. io ho fatto un ripristino al giorno precedente e sembra essere andato a posto, ho scaricato un nuovo antivirus e non ha trovato niente, solo che poi mi rendo conto che nessun browser apre alcuna pagina di internet se non quella di facebook... ho pingato gli altri siti e li vede ma non apre niente,la pagina rimane bianca con la rotellina che continua a girare. Ho quindi provato la tua procedura tramite il prompt per vedere se era rimasto il virus ma non ha trovato niente. per di più ora in wireless senza il cavo non vede neanche la rete... cosa posso fare?

    RispondiElimina
  9. A me non compare nessun file di tipo 0.####.exe mahmud.exe però il virus resta.
    Ha per caso un altro nome non facilmente riconoscibile?
    In modalità provvisoria ho il controllo della macchina ma non so come operare.
    Le sarei grato se potesse darmi qualche altro suggerimento.
    Grazie mille.

    RispondiElimina
    Risposte
    1. effettua il ripristino ad uno stato precedente funziona...quando riavvii il computer non devi essere collegato ad internet in nessun modo

      Elimina
    2. Ragazzi nn complicatevi la vita modalità provvisoria e mandatelo indietro di un giorno e' il problema e' risolto

      Elimina
    3. gia ma se in modalità provvisoria non ci va?? a me si riavvia il pc quando cerco di mandarlo in modalità provvisoria

      Elimina
  10. Per me, meriti di essere santo subito

    RispondiElimina
  11. salve, stesso problema ...ma tra i file in esecuzione automatica nessuno ha quel nome ...come posso fare? altri nomi usati quali sono ? la ringrazio

    RispondiElimina
  12. a me non va in modalità provvisoria, quando avvio modalità provvisoria, analizza il disco c e si ferma a 128" , avvia poi normalmente da solo ed esce di nuovo la schermata del virs. come devo fare a levarlo se non mi parte la modalità provvisori?

    RispondiElimina
  13. Seguite le semplicissime indicazioni e risolverete..!!! io che non sono di certo un asso del pc.. c'è l'ho fatta..!!(grazie al Metodo uno) Grazie.. Grazie.. Grazie.. Grazie.. Grazie..!! :)

    RispondiElimina
    Risposte
    1. Ma come faccio clicco sull' icona dentro esecuzione automatica ma Nn mi compare nulla! Come faccio?

      Elimina
    2. Io ho risolto in questo modo:
      riavviare il pc e farlo andare in modalità provvisoria non in rete premendo il tasto F8;
      Andare su start/avvio esecuzione automatica e cancellare il file con estensione 0.%%%%%.exe, ed il file ctfmon e successivamente eliminarli dal cestino;
      Riavvire nuovamente in modalità provvisoria non in rete e lanciare una bella scansione antivirus .... io ho usato AVG.......
      Con queste procedure ho eliminato il malware della Polizia di Stato

      Elimina
    3. Anche a me è capitata la stessa cosa però non riesco a capire il perchè del fatto che ho eliminato ctfmon e continuava ad apparirmi allora ho cliccato col tasto destro la cartella esecuzione automatica e ho eliminato il tutto. ora riesco ad entrare in internet però questa cosa non mi convince...ho battuto il virus in velocità cercando di far diventare amministratore un'altro utente e per cancellare il programma in esecuzione automatica. ora devo solo vedere se riavviando il pc e entrando di nuovo nel mio utente il virus non si ripresenti. Non è la prima volta che questo virus mi entra nel pc quindi state attenti

      Elimina
    4. raga aiutoooo mi si e bloccato il computer ma scusate dove devo andare per trovare esecuzione automatica????

      Elimina
  14. Ciao sto impazzendo con sta cosa e non riesco potresti aiutarmi con la prima procedura in esecuzione automatica mi compare un file ctfmon e anche se provo a cancellarlo ricompare con la seconda procedura il file mahmud.exe dice impossibile trovare spero che mi puoi aiutare

    RispondiElimina
    Risposte
    1. E' vero, da me il nome incriminato in esecuzione automatica è cftmon, ed è eliminabile da modalità provvisoria, ma non basta.
      Esso infatti è associato a un eseguibile la cui locazione è determinabile vedendo la riga di comando. Per vederla bisogna lanciare msconfig da "esegui" e andare su avvio; alla voce ctfmon, alla colonna "Comando", è presente una cosa del tipo

      rundll32.exe \file.exe --> questo file va eliminato.

      Il problema è che ogni tanto ritorna, e sto cercando di capire come evitarlo... Adesso ho provato banalmente acreare un file col suo stesso nome; vediamo se lo frego... :)

      Elimina
    2. ottimo ringrazio con molto piacere

      Elimina
    3. grazie milleee virus eliminato!!!

      Elimina
    4. Quando cerco di cancellare il file rundll32 si apre una finestra con scritto:

      Impossibile eliminare rundll32:Accesso negato.

      Controllare che il disco non sia pieno o protetto da scrittura e che il file non sia attualmente in uso.

      Cosa posso fare?

      Elimina
  15. Ciao ho avuto anch io questo probllema poco fa, ma questo virus e' pericoloso? Può accedere ai miei dati come password o carte di credito? Grazie

    RispondiElimina
    Risposte
    1. Ciao, in effetti il virus non è pericoloso è solo molto fastidioso.
      Di fatto non ruba dati personali e non provoca danni irreparabili se seguite bene le indicazioni che ho illustrato riuscirete a liberarvene.

      Elimina
    2. Grazie
      ...1000.stamattina mi è preso un colpo...ho provato il primo metodo speriamo bene

      Elimina
    3. Ciao io ho seguito tutto il procedimento del 2 metodo però nel prompt dei comandi dopo aver dato i comandi i. cd "Dati Applicazioni"
      ii. del mahmud.exe mi dice impossibile trovare c documents and settings/ administrator/mahmud.exe ecc.ecc. perchè e come posso fare ????
      Fetemi sapere se avete una risposta grazie
      PS ovviamente ho provato gia il metodo 1 e anche combofix ma nnt ??????

      Elimina
  16. Ciao!! Sono riuscita ad arrivare fino al punto dove bisogna modificare shell..ma non riesco a capire cosa devo fare dopo, ho Windows vista. Grazie in anticipo

    RispondiElimina
  17. Salve, ho un problema con la rimozione del malware, con il primo metodo ho trovato un programma installato proprio nel giorno in cui è apparso il virus, pensando fosse quello l'ho eliminato, ma non ho risolto nulla, in quanto il virus si presenta ancora, e solamente quando accedo a internet dal modem, se non mi collego il virus non appare. ho cercato con il secondo metodo di rimediare, ma a parte il fatto che in modalità provvisoria non mi ci va, non trovo file infetti nè file denominati mahmud.exe nel registro. è possibile individuare il file danneggiato in modo rapido? non so più cosa fare. se può darmi un qualche suggerimento le sarei grato.

    RispondiElimina
  18. Anche a me solo quando mi collego a internet salta fuori

    RispondiElimina
  19. Anche a me è arrivato questo virus targato Polizia di Stato di San Giuliano Milanese e con attivata la mia webcam, ma solo se con rete attiva.

    Sono andato su Esecuzione Automatica ed ho eliminato il link ctfmon che rimandava ad un file contenuto in C:\Users\MyName\AppData\Local\Temp e denominato save_0_in-exe

    Ho restartato e tutto era a posto. Ho analizzato il file save_0_in-exe con Avast e me la messo nel cetino (precedentemente non riconosceva).

    Ora sembra che tutto funzioni, o almeno spero.

    Ciao

    RispondiElimina
    Risposte
    1. anche a me si e' attivata la webcam ma nel panico non me ne sono accorto subito ho portato subito il computer dal tecnico che lo ha sistemato ma quello che mi chiedo e' c'e' il rischio che ci sia in rete il video che miriprende????sono un po' preoccupato....

      Elimina
    2. ciao a me è successa la tua stessa identica cosa...una volta avviato in modalità provvisoria ho selezionato la cartella esecuzione automatica ed è uscito il file ctfmon il problema è che non me lo apre o altro io allora l'ho eliminato e ho svuotato il cestino ma al riavvio mi ritrovo la stessa schermata della polizia di stato...sto andando ai pazzi

      Elimina
    3. Il file nel menù di esecuzione automatica viene creato all'avvio dal file save_0_in-exe (nel mio caso era si chiamava O_OlU.exe ed era sempre nella cartella C:\Users\MyName\AppData\Local\Temp), quindi fino a quando non lo eliminate all'apertura di windows continua ad apparire e a dare lo stesso problema.
      Il file .exe è però caricato in memoria quindi non ve lo farà cancellare, per eliminarlo bisogna confonderlo! Per fortuna è facile, clikka con il pulsante destro su "ctfmon" nel menù di Esecuzione automatica ("Startup" nella versione inglese) e poi su "proprietà".
      Ti si aprirà una scheda dove trovi alla voce "target" o "indirizzo" la cartella in cui è effettivamente il file e il suo nome. Vai li, clikka 1 volta con il sinistro e cambiagli il nome, poi riavvia.
      Già cosi il problema è risolto, se lo vuoi togliere del tutto ora lo potrai cancellare e cancellando "ctfmon" non riapparirà più.

      Elimina
    4. anche io ho avuto il virus oggi, in esecuzione automatica c'era il collegamento al ctfmon, ho cliccato sul collegamento e guardando le proprietà rimandava a un file .exe in c: windows system32 ....
      il file non era eliminabile perchè in esecuzione e il task non andava, ma selezionandolo e usando "sposta file" dal menù a sx in windows xp, l'ho spostato sul desktop, ho spento il pc, e al riavvio, mi è arrivato il messaggio di errore che non si trova il file .exe, quindi da esecuzione automatica ho eliminato il collegamento e poi dal desktop il file che non era più in esecuzione..vuotato il cestino e ora sembra tutto ok...una bella scansione cmq per sicurezza la faccio

      Elimina
    5. che dire:-) beccato anche io ma grazie a voi risolto. un bacio a tutti. eli

      Elimina
    6. appena risolo con il consiglio del 5/7 17:37!!!
      Grazie

      Elimina
    7. ..questo mi sembra il metodo + semplice e veloce oltre che efficace..io ho risolto così!!! grazie mille
      Marco

      Elimina
  20. grazie mille per il tutorial, avevo pensato addirittura di riformattare il disco.
    grazie ancora
    ciao - Stefano

    RispondiElimina
  21. Anche io beccato.Quando vado in esecuzione automatica mi compare il file ctfmon , lo elimino ma resta sempre li.Come faccio??

    RispondiElimina
    Risposte
    1. Se ti interessa ho risposto più giù. Data: 3 Luglio.

      Elimina
  22. anche a me lo stesso problema, mi rimane e il percorso sembra portare a system32, da lì non riesco a eliminarlo nemmeno col file shredder di spybot...

    RispondiElimina
  23. PERFETTO!!!! Istruzioni semplici e precise. Problema ELIMINATO!!!
    GRAZIE!!!!

    RispondiElimina
  24. Ragazzi..se non riuscite..digitate dal prompt dei comandi (in off line perche' on lune il virus vi blocca il pc)
    msconfig e ripristinate l'ultima configurazione di sistema..naturalmente antecedente al giorno in cui vi siete imbattuti nel virus...vedrete che tutto ritornera'alla normalita'

    RispondiElimina
  25. io ho fatto un "ripristina" da una data di una settimana precedente...può esere che abbia risolto così?

    RispondiElimina
  26. Grazie, le indicazioni sono semplici e precise per la rimozione di questo virus, quale antivirus mi consigliate?

    RispondiElimina
    Risposte
    1. Grazie a te per aver apprezzato i miei articoli. Come Antivirus io consiglio AVG Free prelevabile da qui: http://free.avg.com/it-it/free-antivirus-download
      Ciao e grazie

      Elimina
    2. gentile Michele,
      DAVVERO non so come ringraziarla: ero praticamente disperata, oramai rassegnata a dover spendere, anzi sprecare più di 100-150 € (questa è la cifra che mi è stata chiesta...) per eliminare questo "famoso" malware della polizia... e il tecnico a cui ho telefonato per informarmi, lo sapeva di sicuro che si trattava di una vera e propria sciocchezza che Io - grazie al Suo preziosissimo aiuto - ho potuto risolvere in pochissimi minuti !
      ancora un sincero grazie di cuore,
      Margherita✿

      Elimina
  27. Ciao a tutti..ho applicato tutti i vostri consigliE sono riuscito ad individuare il file,il problema e' che nn riuscivo a cancellarlo nemmeno dal prompt dei comandi...alla fine ci sono riuscito creando un altro account e lavorando da li...se a qualcuno può essere utile...grazie cmq dei vostri consigli

    RispondiElimina
  28. grazie!!!!!!!il mio pc era completamente bloccato da questo virus, seguendo queste indicazioni alla lettera ha ripreso a funzionare

    RispondiElimina
  29. salve a tutti, a me è arrivato il suddetto virus ho provato a fare come suggerito da sig. balzano cioè aprire in provisorio e tuttoil resto ma il virus no non mi da il tempo per cliccare su avvio o su l'icona windows di consequenza non riesco a rimuovere il virus, a parte il fastidio non vi dico il danno economico visto che si è presentato sul pc del negozio se pootete aiutarmi vi ringrazio anticipatamente

    RispondiElimina
    Risposte
    1. Disconnetti il pc dalla rete prima di fare qualsiasi cosa, il virus parte quando sei collegato.

      Elimina
  30. Grazie infinite! Pare tutto ripartito, ti devo una cena come minimo!

    RispondiElimina
  31. salve... a me è apparsa una schermata simile, ma in sostanza elencava una serie di articoli che presumibilmente avrei violato, con le varie sanzioni e anni di reclusione.. e per evitare il procedimento penale devo versare 100 euro tramite ukash o paysafecard, insomma chiede sempre questi 100 €... dite che è lo stesso virus?... il logo è della polizia di stato, ed ora sto scrivendo in modalità provvisoria! grazie mille!
    Marco

    RispondiElimina
  32. Ringrazio Michele per le preziose informazioni. Vorrei segnalare che il mio pc non si blocca all'avvio, ma si blocca solo se lo metto in rete. Essendo presenti sul pc 3 account, ho provato dagli altri due e non si blocca, neppure se accedo alla rete. In questo caso devo seguire comunque questa procedura o posso fare altri controlli, attraverso qualche programmino da scaricare?
    Questa notte ho provveduto a fare una scansione completa con l'antivisrus AVIRA, ma non è stato trovato nulla.
    Ringrazio anticipatamente per la risposta.
    Giacomo

    RispondiElimina
    Risposte
    1. Vorrei segnalare a tutti voi una nuova variante di questo file che infetta i nostri pc. Ieri mi ha chiamato un amico e mi ha detto che riscontrava il problema già citato, ho provato a cercare e cancellare i files già conosciuti ma di loro nessuna traccia ma ciò che mi ha incuriosito è che nella cartella "esecuzione automatica" c'era il file ctfmon.exe. Cliccandoci col destro e poi andando in proprietà ho notato che il collegamento faceva riferimento ad un file presente nella cartella "Temp" con nome "O_Ol_u.exe" (se non erro).
      Quindi come da solita procedura: Modalità Provvisioria -> Apri Esegui dal menu Start e digita %temp% -> cerca il file con il nome già citato e cancellalo -> elimina ctfmon.exe da "Esecuzione automatica" -> Svuota cestino.
      Spero di essere stato utile.

      Elimina
    2. Grazie, oggi mi è comparso e nn riuscivo in nessun modo a levarlo, ora funziona tutto.

      Elimina
    3. A me non fa cancellare nemmeno il file quando vado su esegui e digito %temp%! come mai?

      Elimina
  33. grazie mille!! non sapevo proprio come fare a toglierlo.. Comunque anche il mio pc si bloccava quando cercavo di andare in rete. Grazie ancora sei un grande!!

    RispondiElimina
  34. sei un grandissimo...mi stavo seriamente preoccupando :)

    RispondiElimina
  35. SAlve. ho trovato una l'altra variante: ctfmon.exe presente in esecuzione automatica, da proprieta il nome del file contenuto nella cartella Temp era
    roper0dun.exe.fq10.
    come indicato andate in modalità provvisoria poi andate su Start => esegui e digitate %temp% e cancelalte il file poi cancellate da esecuzione automatica ctfmon.exe , piccolo consiglio per eliminarlo tasto desto mouse e prima di cliccare su elimina premete il tasto shift (mauscolo) così il file non massa nemmeno nel cestino ma viene subito eliminato definitivamente

    RispondiElimina
    Risposte
    1. Confermo sia il nome del file che il modo per eliminarlo.

      Elimina
    2. Anch'io confermo sia il nome del file che il modo per eliminarlo.
      Purtroppo il giorno dopo è riapparso, ma l'eseguibile non si chiamava più roper0dun.exe ma wgsdgsd....exe

      Elimina
  36. ragazzi anche io sull altro pc ho preso lo stesso virus..ho provato con il primo metodo xo non mi fa partire la modalità provvisoria...ho provato anche modalità provvisoria con prompt di comandi ma niente...cosa possso fare per togliere questo virus??

    RispondiElimina
  37. Ho elimimato il virus in modalita provvisoria facendo partire l'antivirus.
    Ma ora all'avvio di windows 7 mi appare questa norifica""""ERRORE DURANTE L'AVVIO
    c\user\gianni~1\app data \local\temp\roper0dun.exe""""""
    Qualcuno mi sa dire cos'e'???
    e come devo fare per ripristinare......
    Grazie........gianni

    RispondiElimina
  38. io ho provato col metodo 1, ma niente, la cartella ''esecuzione automatica'' rimane vuota!

    può centrare il fatto che ho un altro account pc? forse dovrei eliminarlo?

    RispondiElimina
  39. Trovato ed eliminato !
    Ho windows 7 che ho fato partire in modalità provvisoria.Non era nella cartella "Esecuzione automatica" ma in Roaming raggiungibile a questo percorso:
    "Mario" /AppAData/Roaming In questa cartella ci sono molte altre cartelle di programmi da me installati e in fondo 3-4 files tra cui il file O_Ou_I.exe che come data di ultimo accesso o creazione corrispondeva al momento in cui ho beccato il virus . Quindi senza indugio l'ho eliminato prima nel cestino e poi definitivamente.
    Ho spento e riavviato tutto alla perfezione.
    Anche una volta individuato l'avevo dato in pasto ad Avira e all'ultimo aggiornamento di Malwarebytes ma non me lo davano come maligno.
    Ciao e grazie a tutti

    RispondiElimina
  40. arrivato ieri....ho avviato modalita provisoria e fatto il ripristino pc non totale ma per soi 2 giorni.metodo faile e veloce

    RispondiElimina
  41. Buongiorno,
    ringrazio tutti per la partecipazione e per le soluzioni alternative che postate.
    Sicuramente grazie al lavoro comune stiamo permettendo a molti lettori di salvare il loro computer e di mettere al sicuro i loro dati. Questo articolo è stato letto 65.000 volte e ha ricevuto circa 3500 email tra ringraziamenti e upgrade al problema.
    Il mio lavoro è gratificato dalla partecipazione dei miei lettori e dallo spirito che li accomuna.
    un mio motto è : "Tante gocce formano il mare"
    Grazie a tutti
    Michele Balzano

    RispondiElimina
    Risposte
    1. ho pure scoperto che mio marito visita certi siti non molto graditi dove il virus fa capolino grazie a te sono riuscita a sbloccare il pc ma ho avuto la brutta sorpresa di capire dove lo aveva preso ora consigliami su come comportarmi!!!!!!!!!!!!

      Elimina
  42. Ciao... Ho appena beccato sto virus.... Con la prima modalità
    Non riesco a farlo, poichè la cartella esecuzione automatica risulta vuota.
    Con la se onda modalità arrivo al punto in cui clicco su Shell... Ma dopo non ho ben capito cosa devo fare. Quando clicco su Shell compare giá,nei dati valori, explorer.exe
    Dove devo inserire c:\users\ ?
    Grazie infinite

    RispondiElimina
  43. Ciao a tutti;

    anch'io ho preso questo virus; ho come OS XP e non riesco ad andare in modalità provvisoria nè tantomeno modalità provvisoria con prompt dei comandi in quanto il sistema operativo ritorna sempre alla scelta della modalità. Qualcuno mi sa dare un consiglio su cosa poter fare? Ho letto tutte le casistiche. Mi sembra che qualcuno abbia risolto partendo con un HD esterno ? E' l'unica soluzione ? e pensare che è un computer di lavoro con licenza attiva di antivirus NOD32.

    Grazie

    RispondiElimina
    Risposte
    1. Volevo lasciar traccia di come ho risolto il problema dopo una domenica pomeriggio a far prove non potendo entrare in modalità provvisoria. Tramite info nei vari blog la prova risolutiva è stata scaricare come suggeriva la GdF un Rescue CD; il promo provato non ha avuto esito mentre il Kaspersky CD Rescue mi ha individuato il trojan eliminandolo. Devo dire che fino a mezzogiorno non ne sapevo niente di queste Rescue CD ma diventano la soluzione quando il virus ti inchioda il sistema operativo. Lungi da me nel fare pubblicità, ma il fatto che sia grafico e con windows bloccato ti fa fare l'upgrade dalla rete è veramente una valida soluzione. Bisogna sapere l'Inglese :-)

      Elimina
  44. ciao a tutti, successo ieri sera tardi, stamattina ho provato con il classico metodo 1 e sembra funzionare !!!

    RispondiElimina
  45. Purtroppo su un oc windows 7 professional, installato in una rete di uno studio professionale. sono presenti sulla macchina più profili locali e di dominio.
    Le istruzioni del metodo 1 erano inapplicabili (esecuzione automatica vuota su tutti i profili).
    Il metodo 2 idem (non sono riuscito ad applicare l'istruzione "compare la finestra di modifica: %user%\Dati Applicazioni\mahmud.exeModificare in: EXPLORER.EXE" perchè non compariva la finestra di modifica segnalata. Non c'era alcun parametro fuori posto in shell. Utilizzato VirIt Lite aggiornato ad ieri, nulla. Utilizzato Kaspersky Rescue Disk 10.0 aggiornato ad oggi con CD .iso di boot(ha trovato 34 minaccie, eliminate), ma nessun effetto per questo virus. Utilizzato Malwarebytes aggiornato ad ieri, nulla!! Nessun nome di file .exe citato su questo preziosissimo forum è presente su questo PC. Quindi il problema persiste. Avviando però in modalità provvisoria ed accedendo esattamente all'utente infetto (attenzione se si tratta di account di dominio di rete aziendale specificare nell'id utente nomedominio\nomeutente) eseguito "msconfig" da "esegui" e disabilitare dal menù "servizio" ed "avvio" i comandi che, nel mio caso, risultano da produttore "sconosciuto", il simpatico file che si chiamava ipnor.exe. è stato eliminato dalla cartella (dell'utente infetto) appdata\roaming eliminata anche la sua cartella. Dopo alcuni riavvio il problema sembra risolto. Rimangono traccie nel registro che devo ancora capire come ripulire per bene. Fin ora ho lavorato fuori rete. Sperem...

    RispondiElimina
  46. ottime dritte ma da oggi facendo l'analisi completa del disco C con Malwarebytes Anti-Malware, lo becca subito!
    Si prende in genere con Youporn, quando clicchi su un video si apre una una finestra di firefox.
    Se si é veloci basta disabilitare immediatamente la connessione ad internet!
    Comunque grazie grazie

    RispondiElimina
  47. E' successo anche a meeeee!! Sono andata nel panico!! Non sono una pedofila :'( avevo anche paura che la polizia mi arrestasse...ma non ho fatto proprio niente!!! Comunque sto risolvendo..grazie!

    RispondiElimina
  48. GRAZIEEEEEEEEEEEEEEEE!!!!!!!!!!!!! a me è successo 2 volte ma con la vostra guida mio padre (ke x la cronaca è un esperto in materia) è riscito a risolvermi il problema!!!!!!!!!!!ma io mi chiedo chi cavolo è ke si spaccia x uno della polizia di stato o della guardia di finanza x far sganciare 100 euro senza motivo con delle false accuse? io non sono certo ne una che scarica,carica e vede video porno o pedofili nè tantomeno una che viola i copyright!!!!!!il vero reato è quello ke fa lui non le persone che navigano!!!!!!!!!!! se lei ha un'idea di chi può essere stato mi avvisi!!!!!!!!!GRAZIE ANCORAAAAAAAAAAAA!!!!!!!!!!!!!!!!!!!!!!!!

    RispondiElimina
  49. Salve ho Windows 7 con le istruzioni dette non troviamo winlogon,le cartelle terminano con Window NT.(con la seconda procedura)ch bisogna. Fare? Grazie

    RispondiElimina
  50. Salve,
    Chiedo il vostro aiuto perché pure io ho beccato questo virus. L'ho rimosso ma mi ha lasciato come souvenir migliaia di file inservibili, con nomi assurdi e senza estensione. Sono riuscita a recuperare solo i file mp3 aggiungendo l'estensione e poi provando ad aprirli. Con gli altri file non sto avendo successo (parlo di doc, xls, pdf, jpg, ecc.). Purtroppo, alcuni di questi non l'avevo salvati da nessun'altra parte.
    Grazie
    Claudia

    RispondiElimina
  51. Non ho la cartella chiamata "shell", altre alternative per quanto riguarda il nome????? grazie

    RispondiElimina
  52. Ma io appena accendo il pc mi compare questa scritta e nn poaao uscirne.come faccio.aiutatemi z favore

    RispondiElimina
  53. Aitatemi x favore.nn mi da la modalita provvisoria xk ho la password al pc e quindi appena difito la passwird allora esce dirwttamente la scritta del virus polizia di stato e le scritte di quello k abeei violato ecc.k devo fare

    RispondiElimina
  54. X ora funziona ce lho fatta. e cmq grazie mille per le indicazioni, senza di voi nn ce l'vrei mai fatta. grazie grazie

    RispondiElimina
  55. GRAZIE !!!!!!!!!!!!!
    Questa mattina a mio marito mentre lavorava li si é aperto il "file" quando mi sono alzata lui era in panico, ho seguito le tue istruzioni, eliminato, sei un grande e ti ringrazio per condividere le tue conoscenza con chi ne ha di meno
    Carmen

    RispondiElimina
  56. ci sarebbe una terza opzione: in modalità provvisoria O fate il ripristino di sistema oppure usate il backup. io ho fatto così e ha funzionato.
    X il ripristino di sistema usate un giorno in cui il PC vi funzionava senza problemi..

    RispondiElimina
  57. Grazie per le dritte, alla fine sono riuscito entrando con il secondo profilo e scaricando su chiavetta combofix e malwarebytes e poi rientrando come amministratore ed alla fine tutto funziona. Grazie Grazie

    RispondiElimina
  58. Grazie!!! Ha funzionato! Per individuare il file, sono andata sulle proprietà.

    RispondiElimina
  59. è SUCCESSo ANCHE A ME E SI è ATTIVATA LA WEBCAM...NON è CHE RIPRENDE E CHE SONO IN RETE DA QUALCHE PARTE?AIUTOOOOOOO

    RispondiElimina
  60. ciao io ho effettuato la seconda modalità ma dopo aver fatto tutto e riavviato il pc non ho piu nulla non vengono fuori neanch epiu le icone è solo schermo nero
    come posso fare?

    RispondiElimina
    Risposte
    1. stacca il pc dal cavo di alimentazione torgli la batteria per un attimo e poi riavvia in modalita' provvisoria ...prova cosi

      Elimina
  61. ragazzi sono apena riuscito a trovare il virus WPP (questa la sigla del virus nel mio caso), ho provato a seguire sia la modalitaì consigliata prima ke seconda e nn riuscivo a trovare il vrus, con tanta pazienza ho cercato in tutte le cartelle e dopo tre ore ci sono riuscito. un consiglio???? se nn funziona con i metodi consigliati in cima cercate DAPPERTUTTO. CICCIO!!!

    RispondiElimina
  62. ti amooo...dopo due giorni di panico sono riuscito, con il primo metodo, a far andare il mio pc..grazie!!!

    RispondiElimina
    Risposte
    1. Grazie se posso aiuterò tutti rispondendo singolarmente

      Elimina
  63. Ciao,
    sono di nuovo io.
    Vedo che nessuno mi può aiutare; devo buttare via tutti i file o qualcuno ne capisce più di me????? Aiutatemi per favore!!! Possibile vinca il virus?
    Claudia

    RispondiElimina
    Risposte
    1. Monta l'hdd in parallelo su un'altro pc e poi scansiona con Malwarebytes Anti-Malware ci pensa a tutto lui...

      Elimina
  64. Monta l'hdd in parallelo su un'altro pc e poi scansiona con Malwarebytes Anti-Malware ci pensa a tutto lui...

    RispondiElimina
  65. Grazieeee! Una guida utilissima! I miei si stavano disperando! In pochi istanti tutto è tornato alla normalità, se dovesse succedere a qualcuno che conosco citerò sicuramente la tua guida! Grazie davvero e complimenti!

    RispondiElimina
    Risposte
    1. Grazie a te per aver letto i miei articoli.
      :-)
      Ciao
      Michele

      Elimina
  66. il mio problema e' che non trovo il nome sopra descritto all'avvio dei programmi non ce'

    RispondiElimina
  67. sapete dirmi qualche nome possibile ?

    RispondiElimina
  68. Grazieeeeeeeeeeeeeeee
    Mitikooooo
    1abbraccio,fraterno e pieno di stima!
    Questa è l'italia che ci piace!
    ;-)

    RispondiElimina
  69. grazie mille virus eliminatooooo!!!

    RispondiElimina
  70. grazie mille!!!ieri ho preso una paura!!!
    Grazie per i consigli :)

    RispondiElimina
  71. Grazie, però non riesco a eliminare C:\WINDOWS\system32\ctfmon.exe.
    Ho provato a rinominarlo.
    Non riesco neanche ad acquisirne la proprietà (mi dice che il comando "takeown /f" non è riconosciuto). Ho provato ad acquisirne la proprietà in vari modi ma niente.
    Devo dire che quelli che hanno creato questo virus sono davvero dei criminali, veramente da galera. Allucinante.
    Grazie e saluti.

    RispondiElimina
  72. Sei semplicemente un grande

    RispondiElimina
  73. Quando cerco di cancellare il file rundll32 si apre una finestra con scritto:

    Impossibile eliminare rundll32:Accesso negato.

    Controllare che il disco non sia pieno o protetto da scrittura e che il file non sia attualmente in uso.

    Cosa posso fare?

    Read more: http://balzanomichele.blogspot.com/2012/03/rimuovere-il-virus-con-schermata.html#ixzz21kFCH400

    RispondiElimina
  74. Siate più chiari il passo due Nn mi è chiaro poi perché mi da impossibile trovare c:/users/m/appdata ecc.? Aiutooooo invece nel primo metodo il file si chiama ctfmon ma Nn lo cancella dice che e necessario l'autorizzaZione da TrustedInstaller cosa devo fare

    RispondiElimina
  75. Grazie bastava cancellare la cartella esecuzione automatica!!! Perché il file direttamente Nn lo cancellava

    RispondiElimina
  76. salve... ho seguito le vostre istruzioni ma una volta entrato in esecuzione automatica non ho trovato alcun file.. come posso fare

    RispondiElimina
  77. Bella guida è stata davvero utile grazie 1000!!

    RispondiElimina
  78. un sentito ringraziamento per la tua esauriente e chiarissima spiegazione un saluto a te e grazie ancora.

    RispondiElimina
  79. NUOVA VERSIONE ! IO HO PRESO IERI IL VIRUS. VEDO SU ESECUZIONE AUTOMATICA IL LINK CTFMON E SULLA CARTELLA TEMP UN'APPLICAZIONE deo0_sar.exe,FQ10
    Quest'utlimo file non si elimina andando sulla cartela Temp perchè dice che è in uso e non riesco neanche ad eliminare il collegamento su esecuzione automatica. Qualcuno sa aiutarmi ? Com malwarebytes non trova nulla ma l'ho scaricato con l'aggiornamento a 28 gionri fa. Inutile anche NOD32 che rivelava un virus chiamato WIN32/Reveton.H Trojan horse ma non riesce a disifettare il computer. Non posso tornare a punti di ripristino oprecedenti perchè li ho cancellati nel tentativo di cancellare il virus sapendo che moltissime volte si annida proprio nei punti di ripristino e che i virus ricompaiono quando si riavvia il computer proprio grazie a questi. Vi chiedo di aiutarmi. Grazie

    RispondiElimina
    Risposte
    1. Anch'io ho preso deo0_sar.exe: debellato con Avira, fuori rete. Dopo aver riavviato il pc è necessaria un'altra scansione dell'antivirus... a me sembra andata bene, in bocca al lupo

      Elimina
  80. Grazie! Metodo 1 - ha funzionato brillantemente.
    Per sopostaare il file di esecuzione automatica ho dovuto ripetere più volte l'operazione; alla fine ho effettuato lo spostamento nel cestino e svuotato lo stesso in "velocità" ! ok ora sembra funzionare bene; speriamo che lo sia anche dopo l'avvio dell'antivirus.

    RispondiElimina
  81. Scusate.... Io ho trovato nella esecuzione automatica un file di nome cmtfon ( o qualcosa del genere) lo devo eliminare??

    RispondiElimina
  82. Risolto cancellando il file CTFMON dalla cartella ESECUZIONE AUTOMATICA.
    Per chi può interessare con il wifi disattivato e con CCLEANER andare in STRUMENTI/AVVIO/WINDOWS e cancellare i due programmi con CTFMON si riesce ad andare in internet fino a che non si riavvia il pc, questo mi ha permesso di cancellare il file dalla cartella sopra menzionata.
    Spero di essere stato utile a qualcuno.

    Ciao

    RispondiElimina
  83. vi ringrazio tantissimo. è capitato a mio figlio e siamo andati in panico ! per fortuna abbiamo 2 pc e ho trovato voi. effettivamente entrando con la rete sconnessa funziona tutto, ho cercato ctfmon l'ho cancellato, ho fatto scansione con antivirus e ora funziona tutto benissimo GRAZIE DI CUORE

    RispondiElimina
  84. sei un grande!
    il primo metodo ha funzionato perfettamente per Windows Vista.

    RispondiElimina
  85. Capitato anche a me lo stesso problema, ed è la seconda volta!
    In entrambi i casi ho risolto scaricando l'ultima versione di MalwareByte, andando il modalità provvisoria ed eseguendo una scansione completa con il suddetto software. Alla fine della scansione ho rimosso i file infetti individuati dal software, ho riavvito e tutto è ritornato come prima.

    RispondiElimina
  86. Ciao Ragazzi, sono Edo. Sto togliendo queto virus per la quarta volta, stavolta ad un amico di un amico che ha WINDOWS VISTA.... in C:\user\nomeutente\appdata\roaming\low era presente il virus di m.... che si chiamava wSQj.exe che ha eliminato AVIRA ANITIVIRUS e MALWAREBYTE ma purtroppo il virus è rimasto, è stato psostato in quarantena e non riesco a eliminarlo! ora non so dov 'è finito!! qualcuno mi puo aiutare?? se lo cerco non lo trova...ma se avvio la scheda di rete...pam!! mi sbatte in faccia polizia diu stato...e che cazz...... grazie raga

    RispondiElimina
  87. Ciao,

    Con Windows 7 ed il metodo 1 ho risolto.
    Il file trovato era il cfmon.
    Molte grazie.

    PS Che spavento

    RispondiElimina
  88. WIN XP, provato combofix e Malwarebyte in modalità provvisoria. Non è scomparso. Poi seguito le indicazioni suggerite. Nulla da fare! il malefico rimane sempre.
    Forse si è evoluto negli ultimi giorni
    Qualcuno ha trovato un tool idoneo?
    grazie

    RispondiElimina
  89. PC BLOCCATO MULTA DA POLIZIA, FINANZA, ECC SEGUI LE ISTRUZIONI SOTTO



    PER CANCELLARE QUESTO VIRUS O MALEWEAR A SECONDO COME LO VOGLIAMO CHIAMARE, BISOGNA :1) RIAVVIARE IL PC IN MODALITà PROVVISORIA.
    ANDARE IN:
    2) COMPUTER --- 3)DISCO LOCALE---- -4)WINDOWS ----- 5)NELLA CARTELLA" PREFETCH " ELIMINATE PROPRIO TUTTO QUELLO CHE è STATO CREATO OGGI E SOLO OGGI CON EXE.
    6)CONTROLLATE BENE CHE I FILE E CARTELLA NON SIANO STATE CREATE GG PRIMA O MESI PRIMA QUELLE LASCIATELE.
    Io ho trovato questa cartella HOS32 che non sò che cosa era e l'ho eliminata dopo aver elimiato altro.
    7) Aprite il cestino lo svuotate e riavviate tutto.
    8)Poi riavviate ....... a me ha funzionato benissimo.
    Ciao da Paolo

    RispondiElimina
  90. Un sentito ringraziamento alla polizia di stato, senza di voi non sarei riuscito. GRAZIE

    RispondiElimina
  91. A me ha funzionato il primo metodo anche se il nome del file era ctfmon.
    Grazie mille per l'aiuto.

    RispondiElimina
  92. Domenica scorsa la "Polizia di Stato" mi ha bloccato il pc.
    Lunedì ho fatto presente la cosa alla Polizia (quella vera): mi hanno detto che era cosa vecchia e nota, e di cercare (da altro pc) le istruzioni per rimediare sul loro sito. Poiché, contrariamente a quanto ivi descritto, nella cartella Esecuzione Automatica non ho trovato praticamente niente, e visto che in modalità provvisoria il pc funzionava, mi sono messo (meglio, perso) a leggere alcuni miliardi di forum, senza peraltro provare ulteriori tentativi, per le mie conoscenze (?) troppo impegnativi. Nel frattempo sono riuscito a eseguire una scansione completa (che non ha trovato nient'altro che i soliti cuchis) e ad aggiornare il Bigdefender. Ad ogni tentativo di riaccensione normale durante la giornata si è sempre ripresentato il solito blocco all'avvio, mentre in modalità provvisoria potevo usare il pc. Fino a quando, all'ennesimo avvio normale, l'antivirus ha beccato GEN:VARIANT.GRAFTOR.40697 accesso da rundll32.exe ubicazione C:\Documents and Settings\Proprietario\Dati Applicazioni\dllexp.dll.
    Da allora il pc sembra funzionare normalmente, tranne che per l'errore in avvio perchè non trova dllexp.dll. Può essere che la "Polizia di Stato" sia stata sconfitta? Posso fare in modo che non sia rilevato l'errore in avvio? Dllexp.dll serviva a qualcosa? Grazie comunque a tutti per la buona volontà.

    RispondiElimina
    Risposte
    1. devi disattivare dllexp dall'avvio.
      vai su msconfig poi avvio. Lo troverai li

      Elimina
    2. Grazie, ho provato (ho XP) ma: msconfig, poi avvio: dllexp non c'è. infatti il messaggio di BitDefender diceva, a proposito del virus bloccato, "accesso da rundll32.exe" (che infatti nell'"avvio" c'è). Il messaggio di errore in fase di avvio del pc è visualizzato in una finestra dal nome "rundll", e dice: "errore durante il caricamento di C:\Documents and Settings\Proprietario\Dati Applicazioni\dllexp.dll
      Impossibile trovare il modello specificato". Sembra di capire che il dllexp.dll è già stato eliminato dall'antivirus, e quindi non lo troverò, come non lo trova rundll32.exe. Dovrei semmai dire a quest'ultimo di non cercarlo più, ma non so come fare. E non mi pare il caso di disattivarlo da msconfig, come suggerito per dllexp.dll, senza sapere a che cos'altro serve. Rimane da sapere a che cosa serviva dllexp.dll (senza virus) e, se del caso, come può essere ripristinato.

      Elimina
  93. salve a tutti io ho risolto la questione con l'anti malware epiù precisamente Malwarebyes fatta la scansione non è più comparsa la finestra della polizia di stato saluti maurizio

    RispondiElimina
  94. Salve a tutti, che scocciatura, so che domenica passerò tutta la giornata a caccia del virus, maremma! infatti con me f8 non va ergo... dovrò scaricare un rescue CD. e pensare che nel mio lavoro aiuto la gente a non cadere in truffe informatiche... che idiota! Vi aggiornerò domenica pomeriggio A.I.U.T.O

    RispondiElimina
  95. io l'ho eliminato dal menù avvio. win 7
    avvio modalità provvisoria
    star
    msconfig
    avvio
    ho disattivato dllexp

    RispondiElimina
  96. frenzis se hai win 7 ctrl alt canc clicca su disconnetti e poi subito su annulla

    RispondiElimina
  97. Mi sa che mi son beccato una variante di sto maledetto malware, prechè non mi fà neanche entrare in modalità provvisoria.....soluzioni?? GRAZIE

    RispondiElimina
  98. Grazie mille... io avevo il virus roper0dum.exe.. cancellato avviando in modalità provvisoria (premendo F8 all'avvio) e cancellando il link nella barra dei programmi in Esecuzione automatica e, poi, cancellando il file stesso dal PC

    Grazie!

    RispondiElimina
  99. Anch'io oggi ho avuto lo stesso problema e risolto con il primo metodo
    Ho win7 e non sono esperto di pc, al riavvio non compare nessun messaggio della polizia ed al momento sto navigando tranquillamente..
    Ma ho tre dubbi:
    1) come faccio a sapere se ho davvero risolto il problema?
    2) cosa può aver causato il virus? Si rischiano clonazioni di dati o cose del genere?
    3) prima di risolvere da solo il problema, ho chiamato un negozio di pc, il quale mi ha risposto che l'operazione di "eliminazione" non era una cosa semplice e soprattutto non rapida..Perchè da questa mail, sembrerebbe che servano solo pochi minuti?

    RispondiElimina
  100. ciao ieri ho bechato il virus di polizia di stato era anche un videocamera dove si apre automaticamente che mi filmava e vero che e sito ufficale o e un virus grazie spero di aiutarmi sto in ansia

    RispondiElimina
  101. gentile Michele,
    DAVVERO non so come ringraziarla: ero praticamente disperata, oramai rassegnata a dover spendere, anzi sprecare più di 100-150 € (questa è la cifra che mi è stata chiesta...) per eliminare questo "famoso" malware della polizia... e il tecnico a cui ho telefonato per informarmi, lo sapeva di sicuro che si trattava di una vera e propria sciocchezza che Io - grazie al Suo preziosissimo aiuto - ho potuto risolvere in pochissimi minuti !
    ancora un sincero grazie di cuore,
    Margherita

    RispondiElimina
    Risposte
    1. Ciao Margherita ti ringrazio perchè il tuo commento che mi ripaga degli sforzi fatti e mi conferma di aver mantenuto fede all’obiettivo del mio Blog: "Spiegare come usare meglio il computer e come difendersi dai pericoli della rete”.
      Grazie ancora e divulga il mio blog.
      Ciao Michele ;-)

      Elimina
  102. Io ho Windows Vista ma non riesco a trovare la cartella "Temp", come devo fare?

    RispondiElimina
  103. Grazie di cuore e acciuffate questi cialtroni che mi hanno tenuto una nottata sveglio!

    RispondiElimina
  104. Grazie !! in 15 minuti ho risolto...

    Ho usato il metodo di:
    - ridenominare l'exe
    - riavviare
    - rimuovere l'exe e anche il collegamento ctfmon

    Per trovare le cartelle correte consiglio una "search" su tutto C:, oppure sulla cartella dell'utente, cercando "ctfmon".. quello incriminato (nel vero senso della parola) è il collegamento (quello con la freccettina nell'icona).

    Grazie ancora. Davide

    RispondiElimina
  105. ciao, il metodo più consigliato è di entrare in modalità provvisoria via F8 e seguire le varie procedure...
    ma come succedeva anche a me poi questo virus non mi dava il tempo di fare nulla, perchè entrava dopo qualche secondo in azione.
    quindi mi viene da pensare che ci sia una versione aggiornata più malefica della precedente.
    io ho windows XP e
    COMUNQUE HO RISOLTO COSI':

    1 ho staccato il modem per la connessione ad internet (anche se probabilmente non ha influito questo)

    2 all'avvio premere F8(modalità provvisoria)

    3 appena si apre windows qui viene il bello!!! parte la corsa contro il tempo perchè si hanno davvero pochi secondi prima che il "malefico" blocchi tutto con la sua schermata POLIZIA ECC
    START------TUTTI I PROGRAMMI------ESECUZIONE AUTOMATICA----tasto destro del mouse su CFMON.exe----ELIMINA
    se ci riuscite inoltre ma è difficile, svuotate subito dopo anche il cestino!!!!
    Insomma è una corsa nell'eliminare CFMON.EXE che si trova nella cartella ESECUZIONE AUTOMATICA raggiungibile tramite START e poi TUTTI I PROGRAMMI
    IO CI SONO RIUSCITO DOPO DIVERSI TENTATIVI PERCHè LA SCHERMATA DEL VIRUS ERA PIU' VELOCE DI ME!!!
    POI PRIMA DI RIAVVIARE IL PC HO RIPRISTINATO IL PC AD UN PUNTO DI RIPRISTINO PRECEDENTE A QUANDO HO PRESO IL VIRUS ED IL GIOCO E' FATTO!!! (•Andare in Menù Start poi in Programmi
    •In seguito in Accessori e in fine in Strumenti del sistema •Scegliere Ripristino del sistema e scegliete il punto da dove ripartire)
    vi saluto spero di essere stato utile...
    Paolo LT

    RispondiElimina
  106. basta commenti che dicono di andare in modalità provvisoria..
    il virus aggiornato non fa andare in modalità provvisoria lo volete capire?
    E il task manager è bloccato.
    Collegando l'hard disk ad un altro pc o facendolo partire con un resque disk i casi sono : o non mi fa accedere alle cartelle di sistema o non mi vede proprio l'hard disk o (tramite appositi programmi di recupero dati) non trova il file da eliminare.

    RispondiElimina
    Risposte
    1. Ciao Dante, è probabile che si tratta di un malfunzionamento Hardware!
      E' difficile che un virus renda indisponibile a livello di bios l'hardware.
      Verifica bene!!

      Elimina
  107. Grazie mille! Ho risolto con il primo metodo indicato eliminando il virus su un PC con Win7.

    Complimenti per la professionalità.

    RispondiElimina
  108. Ho xp home edition,non riesco ad risolvere, se avvio kaspersky live da cd windows non lo riconosce e parte normalmente,se tento con pendrive me ne esce una schermata linux grub e qualsiasi cosa io tenti di fare non funziona,ho provato restore ripristini falliti ma nulla in questo momento non riesco ad risolvere.

    RispondiElimina
  109. Ho preso il virus ieri e fino a stamani riuscivo almeno ad entrare in modalità provvisoria. Ho visto ieri che la cartella esecuzione automatica è vuota. Ora non mi dà tempo di fare niente che compare la schermata bianca. Il pc da cui lavoro è in rete con quello bloccato, riesco a fare niente da qui? Spero che qualcuno riesca ad aiutarmi!

    RispondiElimina
    Risposte
    1. fai il ripristino del sistema!

      Elimina
    2. Guarda, anche io ho questo virus e sono nella tua stessa situazione. Nel momento in cui entro in modalità provvisoria mi compare la schermata bianca e non posso più far nulla! Qualcuno può aiutarci per favore? Come faccio a fare il ripristino del sistema? Grazie in anticipo

      Elimina
  110. Di solito la modalità provvisoria si attiva "per forza" solo dopo aver spento il pc, e quando il pc viene spento non completamente la meglio è togliere la spina e premere il pulsante di accensione per scaricare completamente l'alimentatore.
    Dopo potete ricollegare l'alimentazione alla 220 e premere in modo impulsivo il tasto F( al momento dell'accensione.
    Non scegliete la modalità provvisoria con rete. evitando di fare collegare il virus ugualmente.

    Per il resto seguite i precedenti punti.

    RispondiElimina
  111. Salve signor Balzano, salve a tutti, vorrei chiedere se i metodi 1 e 2 che lei specifica, valgono anche per questo virus che mi son beccata, Gen:Variant.Graftor.12450, grazie mille in anticipo

    RispondiElimina
  112. Un ringraziamento particolare alla generosità di Carmen e Massimo.

    RispondiElimina
  113. anche io ho questo virus,Nel momento in cui entro mi compare la schermata bianca e non posso più far nulla! Qualcuno può aiutarci per favore? Come faccio a fare il ripristino del sistema? Grazie in

    RispondiElimina
  114. ciao a tutti, io ho risolto così: tolto il collegamento in internet, appena acceso il pc ho fatto partire subito malwarebytes e intanto che faceva la scansione ho trovato in esecuzione automatica CTFMON.EXE e l'ho cancellato. l'anti-malware mi ha trovato 4 trojan, li ho cancellati e riavviato. tutto a posto. spero di essere stato utile.

    RispondiElimina
  115. Dovete accedere in modalità provvisoria con prompt dei comandi e premere contemporanemente ctrl alt canc....poi cliccare su file nuova attività e digitare con windows vista rstrui.exe, si aprirà la finestra del ripristino configurazione di sistema. A questo punto basta portare il pc ad uno stato precedente ed il gioco è fatto

    RispondiElimina
  116. Mio dio,grazie per quello che hai scritto,perchè è successo anche alla mia fidanzata,che per fortuna aveva un pc piccolo di riserva e ho potuto copiarle il metodo di eliminazio @@ Però ci era venuta una strizza assurda...

    RispondiElimina
  117. Non aspettarti nessuna donazione.
    La.prossima volta fai lavorare a noi del settore e fai il tuo lavoro.

    RispondiElimina
  118. Grazie grazie grazie! ho usato il primo metodo e ha funzionato alla perfezione... mi era già capitato e mi avevano formattato il pc... a saperlo facevo da sola :-)

    RispondiElimina
  119. GRAZIE MILLE, STAVO IMPAZZENDO! HO SEGUITO IL PRIMO METODO E HA FUNZIONATO! GRAZIE ANCORA. Luca di Milano.

    RispondiElimina
  120. Buongiorno Michele mi chiamo Cristian io il Malw si è associato al broswer, perciò si blocca solo quando lo lancio.
    Domanda:visto che posso accedere al sistema op. potrei semplicemente fare un ripristino?
    Grazie ancora

    RispondiElimina
  121. Buongiorno Michele la informo che caricando il suo sito ho sempre un problema nel caricamento script...devo forzatamente interromperlo altrimenti si blocca explorer.
    Il problema si ripropone su un qualsiasi PC presente nel laboratorio informatico

    RispondiElimina
  122. Salve a tutti e grazie per i suggerimenti. Anch'io purtroppo (proprio ieri) sono incappato in questo trojan...Ho Windows XP SP1 x86. Dato che cmq il sistema si avvia regolarmente e che avevo già da tempo programmato una formattazione completa del mio pc, posso copiare tutti i miei files in una chiavetta USB o in un disco rigido esterno; il mio dubbio è quindi il seguente: questo trojan infetterebbe anche la chiavetta USB o il disco rigido esterno?
    Sono cmq riuscito a bloccarlo ed a connettermi tranquillamente ad Internet rinominando il file "WPBT0.dll" con un altro nome: così facendo, al riavvio del pc, il trojan non riesce a caricare la libreria (compare infatti un messaggio d'errore) e quindi non è più in grado di bloccare il pc.
    In attesa di una risposta alla mia domanda
    Buona serata


    Lorenzo

    RispondiElimina
  123. Proprio oggi ho preso questo virus... Ho riavviato il computer in modalita' normale non so come ma il virus non si e' avviato ho installato Malwarebytes Anti-Malware aggiornato ho fatto una scansione completa e mi ha travato il virus ho eliminato le minacce riavviato e tutto perfetto non e' la prima volta che mi salva questo programma se riuscite ad avviarlo fidatevi che ve lo elimina ;-) P.S. Spero che chi ha creato questo virus abbia una morte lenta e dolorosa...

    RispondiElimina
  124. Appena risolto grazie ai tuoi consigli! Grazie mille! :)

    RispondiElimina
  125. Per rimuovere virus guardia di finanza dall windows Xp . Avvio , premere F8 , modalità provvisoria ma a me non funzionava perchè il virus si era gia diffuso. dopo ben 5 gg di tentativi , ho staccato i fili al HD , o montato un vecchio HD IDE caricato Windows , riavviato e ho riattaccato il disco infetto in modalità SLAVE , (schiavo sata) . Cosi il computer mi vede disco tipo ''archivio'' e con comodo ho fatto esame in manuale e ricerca e ho rimosso il file infetto ''wgsdgsdgdsgsd'' una applicazione dal peso di 152 kb . Andare su cartella window\sistem32 e cercare un file datato proprio al momento che è comparso il virus. Il mio era nominato ….. (tolto questo grave l'infezione c'era ancora latente) pertanto: Dopo ho riavviato solo il disco infetto , sono andato subito in windows\pchealth\helpctr\binaries e avviare ''msconfig'' per mettere in modalità minima (cosi' in caso di blocco da virus ricarico le opzioni minime .). Ho installato cosi' Malwarebytes Anti-Malware e antivirus , dopo ho avviato gli virus. Trovato il troian che si chiama Trojan.Deld e Trojan.Ransom.Gem , si trovano sotto la voce C:\Documents and Settings\All Users\Dati applicazioni\lsass.exe (Trojan.Delf) e c\Documenti and Setting \''mymame'' \Menu Avvio \Programmi\Esecuzione Automatica\ctfmon.Ink . Questi dati io non riuscivo a vedere, li ha visti l'Antimaware e li ho rimossi. Raccomando: salvare dati e password sempre e solo su un foglio di carta , c'è gente che riesce a copiare dati sensibili .

    RispondiElimina
  126. il problema è che se vado in modalità provvisoria non faccio in tempo a cliccare su start che già riappare la schermata del virus. qulcuno sa darmi indicazioni precise su cosa digitare dal prompt dei comandi? ho windows vista, e la schermata iniziale recita
    C:\Windows\system32>

    GRAZIEEEE!

    RispondiElimina
  127. buongiorno raga....io ho preso il virus qualke giorno fa...l ho eliminato cancellando il file da esecuzione automatica e si era risolto....stamattina riapro il pc e il virus é riomparso....il problema è ke non mi fa entrarein nessuna modalitá provvisoria...come faccio??????????

    RispondiElimina
  128. SAlve a tutti...oggi é toccato a me imbattersi in questo virus(già sono alle prese con uno intestinale...!!!):
    1) il metodo 1 non mi funziona: la cartella esecuzione automatica é vuota...
    2) nemmeno il metodo 2... la finestra"modifica stringa é già ok...mi ritrovo di già la dicitura explorer.exe...
    Help!!!

    RispondiElimina
    Risposte
    1. Sei riuscito a risolvere? Sono nella tua condizione. Altre volte ho risolto con il primo metodo, ma stavolta è più bastardo. Fammi sapere!

      Elimina
  129. salve, volevo ringraziare l'utente anonimo che ha scritto come togliere il virus tramite modalità provvisoria prompt dei programmi(non potevo utilizzare la modalità provvisoria normale) e riportare il pc ad una data precedente l'infezione , tempo impiegato 5 minuti .....grazie mille!....grazie infinite del vostro aiuto! adesso il pc sembra funzionare perfettamente....

    RispondiElimina
  130. salve, a me è apparso ieri, ma non so cosa fare: non ho il tempo di applicare nessuno dei metodi perché nel giro di una ventina di secondi, in modalità provvisoria, il computer (seven) si riavvia, e non so come impedirlo.

    RispondiElimina

Post più popolari