Oltre al blocco del pc viene richiesto un pagamento mascherato da multa per aver effettuato attività illegali con il pc. Ovviamente è tutto falso e non va pagato assolutamente nulla.
Di Seguito vi allego la procedura (consigliata proprio dalla guardia di finanza) per la rimozione sicura del virus:
Primo Metodo:
1. spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto (per la fase di accensione) il tasto “F8”; 2. cliccare con il mouse su START (oppure AVVIO o ancora sull'icona di Windows) posto in basso a sinistra della barra delle applicazioni; 3. all’apertura del menu a tendina verticale fare clic su "Tutti i programmi", così da aprire l’elenco dei software installati; 4. cercare la cartella "Esecuzione automatica" e, una volta individuata, fare clic con il mouse sull’icona corrispondente; 5. sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer senza intervento di chi è alla tastiera; 6. dovrebbe apparire, tra gli altri, il file "WPBT0.dll" oppure un file con nome identificativo del tipo "0.< una serie di altri numeri >.exe" (il file si può presentare in altre varianti sintattiche); 7. selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer; 8. selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware; 9. spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione; 10. provvedere all’installazione (e al costante aggiornamento) di un programma antivirus che possa preservare da futuri analoghi inconvenienti.
Secondo Metodo: 1) dal prompt digitare: regedit.exe (dopo premere invio)
2) Selezionare la voce: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonDoppio click su: shell
compare la finestra di modifica: %user%\Dati Applicazioni\mahmud.exeModificare in: EXPLORER.EXE
3) Uscire da regedit
dove %user% è :
per Windows 2000/Xp e Server 2003
c:\documents and settings\<nome utente>
per Windows Vista/7 e Server 2008 2008
c:\users\<nome utente>
4) Cancellare il file infetto con i comandi dos:
5) riavviare il computer, dal prompt digitare:
a. con Windows 2000/XP/Server 2003:
i. cd "Dati Applicazioni"
ii. del mahmud.exe
b. Con Windows Vista/Seven/2008:
i. cd Appdata
ii. cd roaming
iii. del mahmud.exe
shutdown -r -t 0AGGIORNAMENTO DEL 24 GENNAIO 2013 NUOVO METODO PER ELIMINARE QUALSIASI VERSIONE O VARIANTE DI QUESTO VIRUS LEGGI IL MIO POST
Come Rimuovere tutte le varianti del Virus POLIZIA DI STATO-GUARDIA DI FINANZA
Sei un grande! Grazie alla tua guida ho risolto il problema. Grazie!
RispondiEliminaGrazie a voi per aver letto e apprezzato i miei articoli!!
Eliminanon si può eliminare semplicemente avviando in modalità provvisoria e cancellando il virus con anti-virus
EliminaGrazie a me a funzionato anche se si chiamava cfmon.exe
Eliminacome "anonimo" ho trovato nella cartella "esecuzione automatica" il file cfmon lo metto nel cestino ma ritorna...come posso fare?
Eliminagrazie
Credo che sia youtube o facebook che infetta quindi attenzione anche solo navigarci, con windows7 ho risolto sempolicemente ripristinando il computer a una settimana fa...
EliminaSpiegazione perfetta, ha funzionato senza problemi con Windows 7. Grazie Michele
EliminaSei un grandeeeeeeeeeeeeeeeeeeeeeeeeeeee ci sono riuscito sono andato su registro di sistema modificato in explorer e poi ho cancellato il file su esecuzione automatica e comunque il file infetto resta sempre ? come lo cancello definitivamente ? per info aggiungimi su skype domenico.thebest e fammi sapere grazie mille risolto
EliminaA me alla cartella esecuzione automatica mi dice che è vuota aiutatemi per favore
Eliminanon so' esattamente come ho fatto ma ci sono riuscito, fortunatamente, e dire che mi era cacato addosso, ma prima parlando con un amico che mi ha detto che era un virus e poi seguendo varie procedure (ripristino configurazione, modalità provvisoria etc...) fatto sta dentro la cartella windows ho trovato dei file che oltretutto attraverso crl alt canc erano di colore blu....comunque in un paio d'ore sono riuscito a risolvere il problema...
Eliminacomunque penso che tramite e-mule abbia preso il virus...stavo scaricando un certo tyca....
che la polizia possa arrestare tutti i pedofili bastardi, nel modo in cui questo virus si manifesta...
pace a tutti
Non funziona..ho trovato il file shell gia' nominato Explorer.exe!! E non riesco ad entrare in modalita' provvisoria!! Come risolvo?!?!
Eliminami è successo ieri ed proprio adesso ho scoperto come risolvere il tutto: basta andare nella cartella temp del propio account e cercare il file sospetto (io ho trovato WPBT0.dll) e con un programma come unlocker eliminarlo. vi dice di riavviare il computer aspettate e in meno di 10 minuti si risolve tutto. e pensare che un mio amico si è formattato l'hd solo per questa fesseria...
Eliminaecco l'intelligente di turno ..sei un grande.. e come ci sei andato nella cartella temp?
Eliminaproblema risolto in un attimo, grazie daccero. Prendere chi mette in giro i virus e mandarli a spaccare le pietre!
EliminaIo so solo che quello che ha infettato il mio credo sia una versione piu aggressiva...... e un bel bastardone e ancora ci sto dietro......tutti i metodi citati nei forum sembrano essere inutili, anchre quello ufficiale della polizia postale...... speriamo di non dover riformattare tutto.... c'è qualcuno che ha consigli da darmi...???
Eliminase hai windows 7 prova a riportare il pc a un punto di ripristino di qualche giorno fa ( per sicurezza io l'ho messo a 2 settimane fa..) poi riavvii e vedi che nella cartella esecuzione automatica non ti compare più la scritta che c'era prima. per fare qs però non devi ssere connesso a internet in modalità wifi.
EliminaRagazzi, purtroppo sono incappata anch'io in qs bastardo di virus....ma ora sono disperata ho fatto tutto il procedimento (secondo metodo)....e sorpresa! Lo schermo è nero!!!! Ho fatto il shutdown del pc mi chiede la password ma una volta inserita niente buio totale! Aiutoooooooo.
EliminaIl primo metodo ha funzionato, grazie mille!
Eliminabuonasera a tutti
Eliminaanche a me e successo la stessa cosa, solo che adesso non riesco più ad entrare in internet, come devo fare? mi potete aiutare?
Un amico mi consigliato di usare malwarebytes. Fatta la scansione , ha eliminato i processi incriminati. Tutto ok. Ciaoooo.
Eliminascusate io non riesco ad entrare in modalità provvisoria..come devo fare?
Elimina1) Scaricate il programmino "combofix" e tenetelo pronto su una chiavetta o sullo stesso pc. 2) appena il virus attacca chiudete la connessione,(se wifi spegnete il modem) riavviate normalmente windows e lanciate combofix facendo prima attenzione a disattivare tutti gli antivirus,antispyware ecc ecc che avete installati sul pc. Combofix deve girare solo. Fate lavorare Combofix senza interromperlo mai,dovesse lavorare anche 20 minuti,non interrompetelo. A fine lavoro combofix avrà risolto tutto,riavviate il pc,riaprite la connessione e il problema non ci sarà più.
Eliminaio ho windows 7, usando la seconda modalità..quando sono in shell cosa devo scrivere? il mio nome utente è elisa..cosa devo scrivere precisamente? grazie!
RispondiEliminagrazie guida molto utile, che mi ha risparmiato altre bestemmie!
RispondiEliminaE se in modalità provvisoria non ci va? A me succede così!!!
RispondiEliminasuccede anche a me, scollegalo dalla rete e segui le indicazioni, ma poi
Eliminaquando ti ricolleghi ritorna il blocco ??
dopo l'eliminazione del virus, il pc si avvia normalmente, ma mi ritrovo tutti i file dati ( anche dell'unità d: ) con delle lettere a caso dopo l'estensione del file. Cancellando tali lettere il file viene associato al relativo programma ma non viene aperto perchè danneggiato. = PERDITA DATI e RIFORMATTARE.
RispondiEliminaA me in provvisoria non andava. Ho dovuto collegare l'hard disk come secondario in un altro PC, ho lanciato regedit e caricato l'hive SOFTWARE dell'HD infetto (e:\windows\system32\config\software).
RispondiEliminaNel mio caso la chiave di registro modificata era la Userinit invece che la Shell... l'ho riportata al valore normale come mostra la tua foto e rilasciato l'hive.
Ho fatto andare il NOD32 sull'intero HD rilevando e cancellando una decina di virus e trojan.
Ora è tutto funzionante, grazie per avermi indirizzato sul problema.
Mi ha telefonato un'amica che ha preso questo virus, ma seguendo le mie istruzioni telefoniche la voce di registro indicata da questo sito (e da altri 5 siti), è normale.
RispondiEliminaHo provato a verificare su altre voci di registro, ma non trovo quella "infetta"
Evidentemente è nascosto su un'altra voce.
io ho fatto un ripristino al giorno precedente e sembra essere andato a posto, ho scaricato un nuovo antivirus e non ha trovato niente, solo che poi mi rendo conto che nessun browser apre alcuna pagina di internet se non quella di facebook... ho pingato gli altri siti e li vede ma non apre niente,la pagina rimane bianca con la rotellina che continua a girare. Ho quindi provato la tua procedura tramite il prompt per vedere se era rimasto il virus ma non ha trovato niente. per di più ora in wireless senza il cavo non vede neanche la rete... cosa posso fare?
RispondiEliminaA me non compare nessun file di tipo 0.####.exe mahmud.exe però il virus resta.
RispondiEliminaHa per caso un altro nome non facilmente riconoscibile?
In modalità provvisoria ho il controllo della macchina ma non so come operare.
Le sarei grato se potesse darmi qualche altro suggerimento.
Grazie mille.
effettua il ripristino ad uno stato precedente funziona...quando riavvii il computer non devi essere collegato ad internet in nessun modo
EliminaRagazzi nn complicatevi la vita modalità provvisoria e mandatelo indietro di un giorno e' il problema e' risolto
Eliminagia ma se in modalità provvisoria non ci va?? a me si riavvia il pc quando cerco di mandarlo in modalità provvisoria
EliminaPer me, meriti di essere santo subito
RispondiEliminasalve, stesso problema ...ma tra i file in esecuzione automatica nessuno ha quel nome ...come posso fare? altri nomi usati quali sono ? la ringrazio
RispondiEliminaa me non va in modalità provvisoria, quando avvio modalità provvisoria, analizza il disco c e si ferma a 128" , avvia poi normalmente da solo ed esce di nuovo la schermata del virs. come devo fare a levarlo se non mi parte la modalità provvisori?
RispondiEliminaSeguite le semplicissime indicazioni e risolverete..!!! io che non sono di certo un asso del pc.. c'è l'ho fatta..!!(grazie al Metodo uno) Grazie.. Grazie.. Grazie.. Grazie.. Grazie..!! :)
RispondiEliminaMa come faccio clicco sull' icona dentro esecuzione automatica ma Nn mi compare nulla! Come faccio?
EliminaIo ho risolto in questo modo:
Eliminariavviare il pc e farlo andare in modalità provvisoria non in rete premendo il tasto F8;
Andare su start/avvio esecuzione automatica e cancellare il file con estensione 0.%%%%%.exe, ed il file ctfmon e successivamente eliminarli dal cestino;
Riavvire nuovamente in modalità provvisoria non in rete e lanciare una bella scansione antivirus .... io ho usato AVG.......
Con queste procedure ho eliminato il malware della Polizia di Stato
Anche a me è capitata la stessa cosa però non riesco a capire il perchè del fatto che ho eliminato ctfmon e continuava ad apparirmi allora ho cliccato col tasto destro la cartella esecuzione automatica e ho eliminato il tutto. ora riesco ad entrare in internet però questa cosa non mi convince...ho battuto il virus in velocità cercando di far diventare amministratore un'altro utente e per cancellare il programma in esecuzione automatica. ora devo solo vedere se riavviando il pc e entrando di nuovo nel mio utente il virus non si ripresenti. Non è la prima volta che questo virus mi entra nel pc quindi state attenti
Eliminaraga aiutoooo mi si e bloccato il computer ma scusate dove devo andare per trovare esecuzione automatica????
EliminaGrazieeee Mille :D !!!
RispondiEliminaCiao sto impazzendo con sta cosa e non riesco potresti aiutarmi con la prima procedura in esecuzione automatica mi compare un file ctfmon e anche se provo a cancellarlo ricompare con la seconda procedura il file mahmud.exe dice impossibile trovare spero che mi puoi aiutare
RispondiEliminaE' vero, da me il nome incriminato in esecuzione automatica è cftmon, ed è eliminabile da modalità provvisoria, ma non basta.
EliminaEsso infatti è associato a un eseguibile la cui locazione è determinabile vedendo la riga di comando. Per vederla bisogna lanciare msconfig da "esegui" e andare su avvio; alla voce ctfmon, alla colonna "Comando", è presente una cosa del tipo
rundll32.exe \file.exe --> questo file va eliminato.
Il problema è che ogni tanto ritorna, e sto cercando di capire come evitarlo... Adesso ho provato banalmente acreare un file col suo stesso nome; vediamo se lo frego... :)
ottimo ringrazio con molto piacere
Eliminagrazie milleee virus eliminato!!!
EliminaQuando cerco di cancellare il file rundll32 si apre una finestra con scritto:
EliminaImpossibile eliminare rundll32:Accesso negato.
Controllare che il disco non sia pieno o protetto da scrittura e che il file non sia attualmente in uso.
Cosa posso fare?
Ciao ho avuto anch io questo probllema poco fa, ma questo virus e' pericoloso? Può accedere ai miei dati come password o carte di credito? Grazie
RispondiEliminaCiao, in effetti il virus non è pericoloso è solo molto fastidioso.
EliminaDi fatto non ruba dati personali e non provoca danni irreparabili se seguite bene le indicazioni che ho illustrato riuscirete a liberarvene.
Grazie
Elimina...1000.stamattina mi è preso un colpo...ho provato il primo metodo speriamo bene
Ciao io ho seguito tutto il procedimento del 2 metodo però nel prompt dei comandi dopo aver dato i comandi i. cd "Dati Applicazioni"
Eliminaii. del mahmud.exe mi dice impossibile trovare c documents and settings/ administrator/mahmud.exe ecc.ecc. perchè e come posso fare ????
Fetemi sapere se avete una risposta grazie
PS ovviamente ho provato gia il metodo 1 e anche combofix ma nnt ??????
Ciao!! Sono riuscita ad arrivare fino al punto dove bisogna modificare shell..ma non riesco a capire cosa devo fare dopo, ho Windows vista. Grazie in anticipo
RispondiEliminaSalve, ho un problema con la rimozione del malware, con il primo metodo ho trovato un programma installato proprio nel giorno in cui è apparso il virus, pensando fosse quello l'ho eliminato, ma non ho risolto nulla, in quanto il virus si presenta ancora, e solamente quando accedo a internet dal modem, se non mi collego il virus non appare. ho cercato con il secondo metodo di rimediare, ma a parte il fatto che in modalità provvisoria non mi ci va, non trovo file infetti nè file denominati mahmud.exe nel registro. è possibile individuare il file danneggiato in modo rapido? non so più cosa fare. se può darmi un qualche suggerimento le sarei grato.
RispondiEliminaAnche a me solo quando mi collego a internet salta fuori
RispondiEliminaAnche a me è arrivato questo virus targato Polizia di Stato di San Giuliano Milanese e con attivata la mia webcam, ma solo se con rete attiva.
RispondiEliminaSono andato su Esecuzione Automatica ed ho eliminato il link ctfmon che rimandava ad un file contenuto in C:\Users\MyName\AppData\Local\Temp e denominato save_0_in-exe
Ho restartato e tutto era a posto. Ho analizzato il file save_0_in-exe con Avast e me la messo nel cetino (precedentemente non riconosceva).
Ora sembra che tutto funzioni, o almeno spero.
Ciao
anche a me si e' attivata la webcam ma nel panico non me ne sono accorto subito ho portato subito il computer dal tecnico che lo ha sistemato ma quello che mi chiedo e' c'e' il rischio che ci sia in rete il video che miriprende????sono un po' preoccupato....
Eliminaciao a me è successa la tua stessa identica cosa...una volta avviato in modalità provvisoria ho selezionato la cartella esecuzione automatica ed è uscito il file ctfmon il problema è che non me lo apre o altro io allora l'ho eliminato e ho svuotato il cestino ma al riavvio mi ritrovo la stessa schermata della polizia di stato...sto andando ai pazzi
EliminaIl file nel menù di esecuzione automatica viene creato all'avvio dal file save_0_in-exe (nel mio caso era si chiamava O_OlU.exe ed era sempre nella cartella C:\Users\MyName\AppData\Local\Temp), quindi fino a quando non lo eliminate all'apertura di windows continua ad apparire e a dare lo stesso problema.
EliminaIl file .exe è però caricato in memoria quindi non ve lo farà cancellare, per eliminarlo bisogna confonderlo! Per fortuna è facile, clikka con il pulsante destro su "ctfmon" nel menù di Esecuzione automatica ("Startup" nella versione inglese) e poi su "proprietà".
Ti si aprirà una scheda dove trovi alla voce "target" o "indirizzo" la cartella in cui è effettivamente il file e il suo nome. Vai li, clikka 1 volta con il sinistro e cambiagli il nome, poi riavvia.
Già cosi il problema è risolto, se lo vuoi togliere del tutto ora lo potrai cancellare e cancellando "ctfmon" non riapparirà più.
anche io ho avuto il virus oggi, in esecuzione automatica c'era il collegamento al ctfmon, ho cliccato sul collegamento e guardando le proprietà rimandava a un file .exe in c: windows system32 ....
Eliminail file non era eliminabile perchè in esecuzione e il task non andava, ma selezionandolo e usando "sposta file" dal menù a sx in windows xp, l'ho spostato sul desktop, ho spento il pc, e al riavvio, mi è arrivato il messaggio di errore che non si trova il file .exe, quindi da esecuzione automatica ho eliminato il collegamento e poi dal desktop il file che non era più in esecuzione..vuotato il cestino e ora sembra tutto ok...una bella scansione cmq per sicurezza la faccio
che dire:-) beccato anche io ma grazie a voi risolto. un bacio a tutti. eli
Eliminaappena risolo con il consiglio del 5/7 17:37!!!
EliminaGrazie
..questo mi sembra il metodo + semplice e veloce oltre che efficace..io ho risolto così!!! grazie mille
EliminaMarco
grazie mille per il tutorial, avevo pensato addirittura di riformattare il disco.
RispondiEliminagrazie ancora
ciao - Stefano
Anche io beccato.Quando vado in esecuzione automatica mi compare il file ctfmon , lo elimino ma resta sempre li.Come faccio??
RispondiEliminaSe ti interessa ho risposto più giù. Data: 3 Luglio.
Eliminaanche a me lo stesso problema, mi rimane e il percorso sembra portare a system32, da lì non riesco a eliminarlo nemmeno col file shredder di spybot...
RispondiEliminaPERFETTO!!!! Istruzioni semplici e precise. Problema ELIMINATO!!!
RispondiEliminaGRAZIE!!!!
Ragazzi..se non riuscite..digitate dal prompt dei comandi (in off line perche' on lune il virus vi blocca il pc)
RispondiEliminamsconfig e ripristinate l'ultima configurazione di sistema..naturalmente antecedente al giorno in cui vi siete imbattuti nel virus...vedrete che tutto ritornera'alla normalita'
io ho fatto un "ripristina" da una data di una settimana precedente...può esere che abbia risolto così?
RispondiEliminaGrazie, le indicazioni sono semplici e precise per la rimozione di questo virus, quale antivirus mi consigliate?
RispondiEliminaGrazie a te per aver apprezzato i miei articoli. Come Antivirus io consiglio AVG Free prelevabile da qui: http://free.avg.com/it-it/free-antivirus-download
EliminaCiao e grazie
gentile Michele,
EliminaDAVVERO non so come ringraziarla: ero praticamente disperata, oramai rassegnata a dover spendere, anzi sprecare più di 100-150 € (questa è la cifra che mi è stata chiesta...) per eliminare questo "famoso" malware della polizia... e il tecnico a cui ho telefonato per informarmi, lo sapeva di sicuro che si trattava di una vera e propria sciocchezza che Io - grazie al Suo preziosissimo aiuto - ho potuto risolvere in pochissimi minuti !
ancora un sincero grazie di cuore,
Margherita✿
Ciao a tutti..ho applicato tutti i vostri consigliE sono riuscito ad individuare il file,il problema e' che nn riuscivo a cancellarlo nemmeno dal prompt dei comandi...alla fine ci sono riuscito creando un altro account e lavorando da li...se a qualcuno può essere utile...grazie cmq dei vostri consigli
RispondiEliminagrazie!!!!!!!il mio pc era completamente bloccato da questo virus, seguendo queste indicazioni alla lettera ha ripreso a funzionare
RispondiEliminasalve a tutti, a me è arrivato il suddetto virus ho provato a fare come suggerito da sig. balzano cioè aprire in provisorio e tuttoil resto ma il virus no non mi da il tempo per cliccare su avvio o su l'icona windows di consequenza non riesco a rimuovere il virus, a parte il fastidio non vi dico il danno economico visto che si è presentato sul pc del negozio se pootete aiutarmi vi ringrazio anticipatamente
RispondiEliminaDisconnetti il pc dalla rete prima di fare qualsiasi cosa, il virus parte quando sei collegato.
EliminaGrazie infinite! Pare tutto ripartito, ti devo una cena come minimo!
RispondiEliminasalve... a me è apparsa una schermata simile, ma in sostanza elencava una serie di articoli che presumibilmente avrei violato, con le varie sanzioni e anni di reclusione.. e per evitare il procedimento penale devo versare 100 euro tramite ukash o paysafecard, insomma chiede sempre questi 100 €... dite che è lo stesso virus?... il logo è della polizia di stato, ed ora sto scrivendo in modalità provvisoria! grazie mille!
RispondiEliminaMarco
Ringrazio Michele per le preziose informazioni. Vorrei segnalare che il mio pc non si blocca all'avvio, ma si blocca solo se lo metto in rete. Essendo presenti sul pc 3 account, ho provato dagli altri due e non si blocca, neppure se accedo alla rete. In questo caso devo seguire comunque questa procedura o posso fare altri controlli, attraverso qualche programmino da scaricare?
RispondiEliminaQuesta notte ho provveduto a fare una scansione completa con l'antivisrus AVIRA, ma non è stato trovato nulla.
Ringrazio anticipatamente per la risposta.
Giacomo
Vorrei segnalare a tutti voi una nuova variante di questo file che infetta i nostri pc. Ieri mi ha chiamato un amico e mi ha detto che riscontrava il problema già citato, ho provato a cercare e cancellare i files già conosciuti ma di loro nessuna traccia ma ciò che mi ha incuriosito è che nella cartella "esecuzione automatica" c'era il file ctfmon.exe. Cliccandoci col destro e poi andando in proprietà ho notato che il collegamento faceva riferimento ad un file presente nella cartella "Temp" con nome "O_Ol_u.exe" (se non erro).
EliminaQuindi come da solita procedura: Modalità Provvisioria -> Apri Esegui dal menu Start e digita %temp% -> cerca il file con il nome già citato e cancellalo -> elimina ctfmon.exe da "Esecuzione automatica" -> Svuota cestino.
Spero di essere stato utile.
Grazie, oggi mi è comparso e nn riuscivo in nessun modo a levarlo, ora funziona tutto.
EliminaA me non fa cancellare nemmeno il file quando vado su esegui e digito %temp%! come mai?
Eliminagrazie mille!! non sapevo proprio come fare a toglierlo.. Comunque anche il mio pc si bloccava quando cercavo di andare in rete. Grazie ancora sei un grande!!
RispondiEliminasei un grandissimo...mi stavo seriamente preoccupando :)
RispondiEliminaSAlve. ho trovato una l'altra variante: ctfmon.exe presente in esecuzione automatica, da proprieta il nome del file contenuto nella cartella Temp era
RispondiEliminaroper0dun.exe.fq10.
come indicato andate in modalità provvisoria poi andate su Start => esegui e digitate %temp% e cancelalte il file poi cancellate da esecuzione automatica ctfmon.exe , piccolo consiglio per eliminarlo tasto desto mouse e prima di cliccare su elimina premete il tasto shift (mauscolo) così il file non massa nemmeno nel cestino ma viene subito eliminato definitivamente
Confermo sia il nome del file che il modo per eliminarlo.
EliminaAnch'io confermo sia il nome del file che il modo per eliminarlo.
EliminaPurtroppo il giorno dopo è riapparso, ma l'eseguibile non si chiamava più roper0dun.exe ma wgsdgsd....exe
ragazzi anche io sull altro pc ho preso lo stesso virus..ho provato con il primo metodo xo non mi fa partire la modalità provvisoria...ho provato anche modalità provvisoria con prompt di comandi ma niente...cosa possso fare per togliere questo virus??
RispondiEliminaHo elimimato il virus in modalita provvisoria facendo partire l'antivirus.
RispondiEliminaMa ora all'avvio di windows 7 mi appare questa norifica""""ERRORE DURANTE L'AVVIO
c\user\gianni~1\app data \local\temp\roper0dun.exe""""""
Qualcuno mi sa dire cos'e'???
e come devo fare per ripristinare......
Grazie........gianni
io ho provato col metodo 1, ma niente, la cartella ''esecuzione automatica'' rimane vuota!
RispondiEliminapuò centrare il fatto che ho un altro account pc? forse dovrei eliminarlo?
Trovato ed eliminato !
RispondiEliminaHo windows 7 che ho fato partire in modalità provvisoria.Non era nella cartella "Esecuzione automatica" ma in Roaming raggiungibile a questo percorso:
"Mario" /AppAData/Roaming In questa cartella ci sono molte altre cartelle di programmi da me installati e in fondo 3-4 files tra cui il file O_Ou_I.exe che come data di ultimo accesso o creazione corrispondeva al momento in cui ho beccato il virus . Quindi senza indugio l'ho eliminato prima nel cestino e poi definitivamente.
Ho spento e riavviato tutto alla perfezione.
Anche una volta individuato l'avevo dato in pasto ad Avira e all'ultimo aggiornamento di Malwarebytes ma non me lo davano come maligno.
Ciao e grazie a tutti
arrivato ieri....ho avviato modalita provisoria e fatto il ripristino pc non totale ma per soi 2 giorni.metodo faile e veloce
RispondiEliminaBuongiorno,
RispondiEliminaringrazio tutti per la partecipazione e per le soluzioni alternative che postate.
Sicuramente grazie al lavoro comune stiamo permettendo a molti lettori di salvare il loro computer e di mettere al sicuro i loro dati. Questo articolo è stato letto 65.000 volte e ha ricevuto circa 3500 email tra ringraziamenti e upgrade al problema.
Il mio lavoro è gratificato dalla partecipazione dei miei lettori e dallo spirito che li accomuna.
un mio motto è : "Tante gocce formano il mare"
Grazie a tutti
Michele Balzano
ho pure scoperto che mio marito visita certi siti non molto graditi dove il virus fa capolino grazie a te sono riuscita a sbloccare il pc ma ho avuto la brutta sorpresa di capire dove lo aveva preso ora consigliami su come comportarmi!!!!!!!!!!!!
EliminaCiao... Ho appena beccato sto virus.... Con la prima modalità
RispondiEliminaNon riesco a farlo, poichè la cartella esecuzione automatica risulta vuota.
Con la se onda modalità arrivo al punto in cui clicco su Shell... Ma dopo non ho ben capito cosa devo fare. Quando clicco su Shell compare giá,nei dati valori, explorer.exe
Dove devo inserire c:\users\ ?
Grazie infinite
Ciao a tutti;
RispondiEliminaanch'io ho preso questo virus; ho come OS XP e non riesco ad andare in modalità provvisoria nè tantomeno modalità provvisoria con prompt dei comandi in quanto il sistema operativo ritorna sempre alla scelta della modalità. Qualcuno mi sa dare un consiglio su cosa poter fare? Ho letto tutte le casistiche. Mi sembra che qualcuno abbia risolto partendo con un HD esterno ? E' l'unica soluzione ? e pensare che è un computer di lavoro con licenza attiva di antivirus NOD32.
Grazie
Volevo lasciar traccia di come ho risolto il problema dopo una domenica pomeriggio a far prove non potendo entrare in modalità provvisoria. Tramite info nei vari blog la prova risolutiva è stata scaricare come suggeriva la GdF un Rescue CD; il promo provato non ha avuto esito mentre il Kaspersky CD Rescue mi ha individuato il trojan eliminandolo. Devo dire che fino a mezzogiorno non ne sapevo niente di queste Rescue CD ma diventano la soluzione quando il virus ti inchioda il sistema operativo. Lungi da me nel fare pubblicità, ma il fatto che sia grafico e con windows bloccato ti fa fare l'upgrade dalla rete è veramente una valida soluzione. Bisogna sapere l'Inglese :-)
Eliminaciao a tutti, successo ieri sera tardi, stamattina ho provato con il classico metodo 1 e sembra funzionare !!!
RispondiEliminaPurtroppo su un oc windows 7 professional, installato in una rete di uno studio professionale. sono presenti sulla macchina più profili locali e di dominio.
RispondiEliminaLe istruzioni del metodo 1 erano inapplicabili (esecuzione automatica vuota su tutti i profili).
Il metodo 2 idem (non sono riuscito ad applicare l'istruzione "compare la finestra di modifica: %user%\Dati Applicazioni\mahmud.exeModificare in: EXPLORER.EXE" perchè non compariva la finestra di modifica segnalata. Non c'era alcun parametro fuori posto in shell. Utilizzato VirIt Lite aggiornato ad ieri, nulla. Utilizzato Kaspersky Rescue Disk 10.0 aggiornato ad oggi con CD .iso di boot(ha trovato 34 minaccie, eliminate), ma nessun effetto per questo virus. Utilizzato Malwarebytes aggiornato ad ieri, nulla!! Nessun nome di file .exe citato su questo preziosissimo forum è presente su questo PC. Quindi il problema persiste. Avviando però in modalità provvisoria ed accedendo esattamente all'utente infetto (attenzione se si tratta di account di dominio di rete aziendale specificare nell'id utente nomedominio\nomeutente) eseguito "msconfig" da "esegui" e disabilitare dal menù "servizio" ed "avvio" i comandi che, nel mio caso, risultano da produttore "sconosciuto", il simpatico file che si chiamava ipnor.exe. è stato eliminato dalla cartella (dell'utente infetto) appdata\roaming eliminata anche la sua cartella. Dopo alcuni riavvio il problema sembra risolto. Rimangono traccie nel registro che devo ancora capire come ripulire per bene. Fin ora ho lavorato fuori rete. Sperem...
ottime dritte ma da oggi facendo l'analisi completa del disco C con Malwarebytes Anti-Malware, lo becca subito!
RispondiEliminaSi prende in genere con Youporn, quando clicchi su un video si apre una una finestra di firefox.
Se si é veloci basta disabilitare immediatamente la connessione ad internet!
Comunque grazie grazie
E' successo anche a meeeee!! Sono andata nel panico!! Non sono una pedofila :'( avevo anche paura che la polizia mi arrestasse...ma non ho fatto proprio niente!!! Comunque sto risolvendo..grazie!
RispondiEliminaGRAZIEEEEEEEEEEEEEEEE!!!!!!!!!!!!! a me è successo 2 volte ma con la vostra guida mio padre (ke x la cronaca è un esperto in materia) è riscito a risolvermi il problema!!!!!!!!!!!ma io mi chiedo chi cavolo è ke si spaccia x uno della polizia di stato o della guardia di finanza x far sganciare 100 euro senza motivo con delle false accuse? io non sono certo ne una che scarica,carica e vede video porno o pedofili nè tantomeno una che viola i copyright!!!!!!il vero reato è quello ke fa lui non le persone che navigano!!!!!!!!!!! se lei ha un'idea di chi può essere stato mi avvisi!!!!!!!!!GRAZIE ANCORAAAAAAAAAAAA!!!!!!!!!!!!!!!!!!!!!!!!
RispondiEliminaSalve ho Windows 7 con le istruzioni dette non troviamo winlogon,le cartelle terminano con Window NT.(con la seconda procedura)ch bisogna. Fare? Grazie
RispondiEliminaSalve,
RispondiEliminaChiedo il vostro aiuto perché pure io ho beccato questo virus. L'ho rimosso ma mi ha lasciato come souvenir migliaia di file inservibili, con nomi assurdi e senza estensione. Sono riuscita a recuperare solo i file mp3 aggiungendo l'estensione e poi provando ad aprirli. Con gli altri file non sto avendo successo (parlo di doc, xls, pdf, jpg, ecc.). Purtroppo, alcuni di questi non l'avevo salvati da nessun'altra parte.
Grazie
Claudia
Non ho la cartella chiamata "shell", altre alternative per quanto riguarda il nome????? grazie
RispondiEliminaMa io appena accendo il pc mi compare questa scritta e nn poaao uscirne.come faccio.aiutatemi z favore
RispondiEliminaAitatemi x favore.nn mi da la modalita provvisoria xk ho la password al pc e quindi appena difito la passwird allora esce dirwttamente la scritta del virus polizia di stato e le scritte di quello k abeei violato ecc.k devo fare
RispondiEliminaX ora funziona ce lho fatta. e cmq grazie mille per le indicazioni, senza di voi nn ce l'vrei mai fatta. grazie grazie
RispondiEliminaGRAZIE !!!!!!!!!!!!!
RispondiEliminaQuesta mattina a mio marito mentre lavorava li si é aperto il "file" quando mi sono alzata lui era in panico, ho seguito le tue istruzioni, eliminato, sei un grande e ti ringrazio per condividere le tue conoscenza con chi ne ha di meno
Carmen
ci sarebbe una terza opzione: in modalità provvisoria O fate il ripristino di sistema oppure usate il backup. io ho fatto così e ha funzionato.
RispondiEliminaX il ripristino di sistema usate un giorno in cui il PC vi funzionava senza problemi..
Grazie per le dritte, alla fine sono riuscito entrando con il secondo profilo e scaricando su chiavetta combofix e malwarebytes e poi rientrando come amministratore ed alla fine tutto funziona. Grazie Grazie
RispondiEliminaGrazie!!! Ha funzionato! Per individuare il file, sono andata sulle proprietà.
RispondiEliminaè SUCCESSo ANCHE A ME E SI è ATTIVATA LA WEBCAM...NON è CHE RIPRENDE E CHE SONO IN RETE DA QUALCHE PARTE?AIUTOOOOOOO
RispondiEliminaciao io ho effettuato la seconda modalità ma dopo aver fatto tutto e riavviato il pc non ho piu nulla non vengono fuori neanch epiu le icone è solo schermo nero
RispondiEliminacome posso fare?
stacca il pc dal cavo di alimentazione torgli la batteria per un attimo e poi riavvia in modalita' provvisoria ...prova cosi
Eliminaragazzi sono apena riuscito a trovare il virus WPP (questa la sigla del virus nel mio caso), ho provato a seguire sia la modalitaì consigliata prima ke seconda e nn riuscivo a trovare il vrus, con tanta pazienza ho cercato in tutte le cartelle e dopo tre ore ci sono riuscito. un consiglio???? se nn funziona con i metodi consigliati in cima cercate DAPPERTUTTO. CICCIO!!!
RispondiEliminati amooo...dopo due giorni di panico sono riuscito, con il primo metodo, a far andare il mio pc..grazie!!!
RispondiEliminaGrazie se posso aiuterò tutti rispondendo singolarmente
EliminaCiao,
RispondiEliminasono di nuovo io.
Vedo che nessuno mi può aiutare; devo buttare via tutti i file o qualcuno ne capisce più di me????? Aiutatemi per favore!!! Possibile vinca il virus?
Claudia
Monta l'hdd in parallelo su un'altro pc e poi scansiona con Malwarebytes Anti-Malware ci pensa a tutto lui...
EliminaMonta l'hdd in parallelo su un'altro pc e poi scansiona con Malwarebytes Anti-Malware ci pensa a tutto lui...
RispondiEliminaGrazieeee! Una guida utilissima! I miei si stavano disperando! In pochi istanti tutto è tornato alla normalità, se dovesse succedere a qualcuno che conosco citerò sicuramente la tua guida! Grazie davvero e complimenti!
RispondiEliminaGrazie a te per aver letto i miei articoli.
Elimina:-)
Ciao
Michele
il mio problema e' che non trovo il nome sopra descritto all'avvio dei programmi non ce'
RispondiEliminasapete dirmi qualche nome possibile ?
RispondiEliminaGrazieeeeeeeeeeeeeeee
RispondiEliminaMitikooooo
1abbraccio,fraterno e pieno di stima!
Questa è l'italia che ci piace!
;-)
grazie mille virus eliminatooooo!!!
RispondiEliminagrazie mille!!!ieri ho preso una paura!!!
RispondiEliminaGrazie per i consigli :)
Grazie, però non riesco a eliminare C:\WINDOWS\system32\ctfmon.exe.
RispondiEliminaHo provato a rinominarlo.
Non riesco neanche ad acquisirne la proprietà (mi dice che il comando "takeown /f" non è riconosciuto). Ho provato ad acquisirne la proprietà in vari modi ma niente.
Devo dire che quelli che hanno creato questo virus sono davvero dei criminali, veramente da galera. Allucinante.
Grazie e saluti.
Sei semplicemente un grande
RispondiEliminaQuando cerco di cancellare il file rundll32 si apre una finestra con scritto:
RispondiEliminaImpossibile eliminare rundll32:Accesso negato.
Controllare che il disco non sia pieno o protetto da scrittura e che il file non sia attualmente in uso.
Cosa posso fare?
Read more: http://balzanomichele.blogspot.com/2012/03/rimuovere-il-virus-con-schermata.html#ixzz21kFCH400
Siate più chiari il passo due Nn mi è chiaro poi perché mi da impossibile trovare c:/users/m/appdata ecc.? Aiutooooo invece nel primo metodo il file si chiama ctfmon ma Nn lo cancella dice che e necessario l'autorizzaZione da TrustedInstaller cosa devo fare
RispondiEliminaGrazie bastava cancellare la cartella esecuzione automatica!!! Perché il file direttamente Nn lo cancellava
RispondiEliminasalve... ho seguito le vostre istruzioni ma una volta entrato in esecuzione automatica non ho trovato alcun file.. come posso fare
RispondiEliminaBella guida è stata davvero utile grazie 1000!!
RispondiEliminaun sentito ringraziamento per la tua esauriente e chiarissima spiegazione un saluto a te e grazie ancora.
RispondiEliminaGRAZIE!!!!
Eliminagrazie!!! prima opzione funzionante con w7
EliminaNUOVA VERSIONE ! IO HO PRESO IERI IL VIRUS. VEDO SU ESECUZIONE AUTOMATICA IL LINK CTFMON E SULLA CARTELLA TEMP UN'APPLICAZIONE deo0_sar.exe,FQ10
RispondiEliminaQuest'utlimo file non si elimina andando sulla cartela Temp perchè dice che è in uso e non riesco neanche ad eliminare il collegamento su esecuzione automatica. Qualcuno sa aiutarmi ? Com malwarebytes non trova nulla ma l'ho scaricato con l'aggiornamento a 28 gionri fa. Inutile anche NOD32 che rivelava un virus chiamato WIN32/Reveton.H Trojan horse ma non riesce a disifettare il computer. Non posso tornare a punti di ripristino oprecedenti perchè li ho cancellati nel tentativo di cancellare il virus sapendo che moltissime volte si annida proprio nei punti di ripristino e che i virus ricompaiono quando si riavvia il computer proprio grazie a questi. Vi chiedo di aiutarmi. Grazie
Anch'io ho preso deo0_sar.exe: debellato con Avira, fuori rete. Dopo aver riavviato il pc è necessaria un'altra scansione dell'antivirus... a me sembra andata bene, in bocca al lupo
EliminaGrazie! Metodo 1 - ha funzionato brillantemente.
RispondiEliminaPer sopostaare il file di esecuzione automatica ho dovuto ripetere più volte l'operazione; alla fine ho effettuato lo spostamento nel cestino e svuotato lo stesso in "velocità" ! ok ora sembra funzionare bene; speriamo che lo sia anche dopo l'avvio dell'antivirus.
Scusate.... Io ho trovato nella esecuzione automatica un file di nome cmtfon ( o qualcosa del genere) lo devo eliminare??
RispondiEliminaRisolto cancellando il file CTFMON dalla cartella ESECUZIONE AUTOMATICA.
RispondiEliminaPer chi può interessare con il wifi disattivato e con CCLEANER andare in STRUMENTI/AVVIO/WINDOWS e cancellare i due programmi con CTFMON si riesce ad andare in internet fino a che non si riavvia il pc, questo mi ha permesso di cancellare il file dalla cartella sopra menzionata.
Spero di essere stato utile a qualcuno.
Ciao
vi ringrazio tantissimo. è capitato a mio figlio e siamo andati in panico ! per fortuna abbiamo 2 pc e ho trovato voi. effettivamente entrando con la rete sconnessa funziona tutto, ho cercato ctfmon l'ho cancellato, ho fatto scansione con antivirus e ora funziona tutto benissimo GRAZIE DI CUORE
RispondiEliminasei un grande!
RispondiEliminail primo metodo ha funzionato perfettamente per Windows Vista.
Capitato anche a me lo stesso problema, ed è la seconda volta!
RispondiEliminaIn entrambi i casi ho risolto scaricando l'ultima versione di MalwareByte, andando il modalità provvisoria ed eseguendo una scansione completa con il suddetto software. Alla fine della scansione ho rimosso i file infetti individuati dal software, ho riavvito e tutto è ritornato come prima.
Ciao Ragazzi, sono Edo. Sto togliendo queto virus per la quarta volta, stavolta ad un amico di un amico che ha WINDOWS VISTA.... in C:\user\nomeutente\appdata\roaming\low era presente il virus di m.... che si chiamava wSQj.exe che ha eliminato AVIRA ANITIVIRUS e MALWAREBYTE ma purtroppo il virus è rimasto, è stato psostato in quarantena e non riesco a eliminarlo! ora non so dov 'è finito!! qualcuno mi puo aiutare?? se lo cerco non lo trova...ma se avvio la scheda di rete...pam!! mi sbatte in faccia polizia diu stato...e che cazz...... grazie raga
RispondiEliminaCiao,
RispondiEliminaCon Windows 7 ed il metodo 1 ho risolto.
Il file trovato era il cfmon.
Molte grazie.
PS Che spavento
WIN XP, provato combofix e Malwarebyte in modalità provvisoria. Non è scomparso. Poi seguito le indicazioni suggerite. Nulla da fare! il malefico rimane sempre.
RispondiEliminaForse si è evoluto negli ultimi giorni
Qualcuno ha trovato un tool idoneo?
grazie
PC BLOCCATO MULTA DA POLIZIA, FINANZA, ECC SEGUI LE ISTRUZIONI SOTTO
RispondiEliminaPER CANCELLARE QUESTO VIRUS O MALEWEAR A SECONDO COME LO VOGLIAMO CHIAMARE, BISOGNA :1) RIAVVIARE IL PC IN MODALITà PROVVISORIA.
ANDARE IN:
2) COMPUTER --- 3)DISCO LOCALE---- -4)WINDOWS ----- 5)NELLA CARTELLA" PREFETCH " ELIMINATE PROPRIO TUTTO QUELLO CHE è STATO CREATO OGGI E SOLO OGGI CON EXE.
6)CONTROLLATE BENE CHE I FILE E CARTELLA NON SIANO STATE CREATE GG PRIMA O MESI PRIMA QUELLE LASCIATELE.
Io ho trovato questa cartella HOS32 che non sò che cosa era e l'ho eliminata dopo aver elimiato altro.
7) Aprite il cestino lo svuotate e riavviate tutto.
8)Poi riavviate ....... a me ha funzionato benissimo.
Ciao da Paolo
Un sentito ringraziamento alla polizia di stato, senza di voi non sarei riuscito. GRAZIE
RispondiEliminaA me ha funzionato il primo metodo anche se il nome del file era ctfmon.
RispondiEliminaGrazie mille per l'aiuto.
Domenica scorsa la "Polizia di Stato" mi ha bloccato il pc.
RispondiEliminaLunedì ho fatto presente la cosa alla Polizia (quella vera): mi hanno detto che era cosa vecchia e nota, e di cercare (da altro pc) le istruzioni per rimediare sul loro sito. Poiché, contrariamente a quanto ivi descritto, nella cartella Esecuzione Automatica non ho trovato praticamente niente, e visto che in modalità provvisoria il pc funzionava, mi sono messo (meglio, perso) a leggere alcuni miliardi di forum, senza peraltro provare ulteriori tentativi, per le mie conoscenze (?) troppo impegnativi. Nel frattempo sono riuscito a eseguire una scansione completa (che non ha trovato nient'altro che i soliti cuchis) e ad aggiornare il Bigdefender. Ad ogni tentativo di riaccensione normale durante la giornata si è sempre ripresentato il solito blocco all'avvio, mentre in modalità provvisoria potevo usare il pc. Fino a quando, all'ennesimo avvio normale, l'antivirus ha beccato GEN:VARIANT.GRAFTOR.40697 accesso da rundll32.exe ubicazione C:\Documents and Settings\Proprietario\Dati Applicazioni\dllexp.dll.
Da allora il pc sembra funzionare normalmente, tranne che per l'errore in avvio perchè non trova dllexp.dll. Può essere che la "Polizia di Stato" sia stata sconfitta? Posso fare in modo che non sia rilevato l'errore in avvio? Dllexp.dll serviva a qualcosa? Grazie comunque a tutti per la buona volontà.
devi disattivare dllexp dall'avvio.
Eliminavai su msconfig poi avvio. Lo troverai li
Grazie, ho provato (ho XP) ma: msconfig, poi avvio: dllexp non c'è. infatti il messaggio di BitDefender diceva, a proposito del virus bloccato, "accesso da rundll32.exe" (che infatti nell'"avvio" c'è). Il messaggio di errore in fase di avvio del pc è visualizzato in una finestra dal nome "rundll", e dice: "errore durante il caricamento di C:\Documents and Settings\Proprietario\Dati Applicazioni\dllexp.dll
EliminaImpossibile trovare il modello specificato". Sembra di capire che il dllexp.dll è già stato eliminato dall'antivirus, e quindi non lo troverò, come non lo trova rundll32.exe. Dovrei semmai dire a quest'ultimo di non cercarlo più, ma non so come fare. E non mi pare il caso di disattivarlo da msconfig, come suggerito per dllexp.dll, senza sapere a che cos'altro serve. Rimane da sapere a che cosa serviva dllexp.dll (senza virus) e, se del caso, come può essere ripristinato.
salve a tutti io ho risolto la questione con l'anti malware epiù precisamente Malwarebyes fatta la scansione non è più comparsa la finestra della polizia di stato saluti maurizio
RispondiEliminaSalve a tutti, che scocciatura, so che domenica passerò tutta la giornata a caccia del virus, maremma! infatti con me f8 non va ergo... dovrò scaricare un rescue CD. e pensare che nel mio lavoro aiuto la gente a non cadere in truffe informatiche... che idiota! Vi aggiornerò domenica pomeriggio A.I.U.T.O
RispondiEliminaio l'ho eliminato dal menù avvio. win 7
RispondiEliminaavvio modalità provvisoria
star
msconfig
avvio
ho disattivato dllexp
frenzis se hai win 7 ctrl alt canc clicca su disconnetti e poi subito su annulla
RispondiEliminaMi sa che mi son beccato una variante di sto maledetto malware, prechè non mi fà neanche entrare in modalità provvisoria.....soluzioni?? GRAZIE
RispondiEliminaGrazie mille... io avevo il virus roper0dum.exe.. cancellato avviando in modalità provvisoria (premendo F8 all'avvio) e cancellando il link nella barra dei programmi in Esecuzione automatica e, poi, cancellando il file stesso dal PC
RispondiEliminaGrazie!
Anch'io oggi ho avuto lo stesso problema e risolto con il primo metodo
RispondiEliminaHo win7 e non sono esperto di pc, al riavvio non compare nessun messaggio della polizia ed al momento sto navigando tranquillamente..
Ma ho tre dubbi:
1) come faccio a sapere se ho davvero risolto il problema?
2) cosa può aver causato il virus? Si rischiano clonazioni di dati o cose del genere?
3) prima di risolvere da solo il problema, ho chiamato un negozio di pc, il quale mi ha risposto che l'operazione di "eliminazione" non era una cosa semplice e soprattutto non rapida..Perchè da questa mail, sembrerebbe che servano solo pochi minuti?
ciao ieri ho bechato il virus di polizia di stato era anche un videocamera dove si apre automaticamente che mi filmava e vero che e sito ufficale o e un virus grazie spero di aiutarmi sto in ansia
RispondiEliminagentile Michele,
RispondiEliminaDAVVERO non so come ringraziarla: ero praticamente disperata, oramai rassegnata a dover spendere, anzi sprecare più di 100-150 € (questa è la cifra che mi è stata chiesta...) per eliminare questo "famoso" malware della polizia... e il tecnico a cui ho telefonato per informarmi, lo sapeva di sicuro che si trattava di una vera e propria sciocchezza che Io - grazie al Suo preziosissimo aiuto - ho potuto risolvere in pochissimi minuti !
ancora un sincero grazie di cuore,
Margherita
Ciao Margherita ti ringrazio perchè il tuo commento che mi ripaga degli sforzi fatti e mi conferma di aver mantenuto fede all’obiettivo del mio Blog: "Spiegare come usare meglio il computer e come difendersi dai pericoli della rete”.
EliminaGrazie ancora e divulga il mio blog.
Ciao Michele ;-)
Io ho Windows Vista ma non riesco a trovare la cartella "Temp", come devo fare?
RispondiEliminaGrazie di cuore e acciuffate questi cialtroni che mi hanno tenuto una nottata sveglio!
RispondiEliminaGrazie !! in 15 minuti ho risolto...
RispondiEliminaHo usato il metodo di:
- ridenominare l'exe
- riavviare
- rimuovere l'exe e anche il collegamento ctfmon
Per trovare le cartelle correte consiglio una "search" su tutto C:, oppure sulla cartella dell'utente, cercando "ctfmon".. quello incriminato (nel vero senso della parola) è il collegamento (quello con la freccettina nell'icona).
Grazie ancora. Davide
ciao, il metodo più consigliato è di entrare in modalità provvisoria via F8 e seguire le varie procedure...
RispondiEliminama come succedeva anche a me poi questo virus non mi dava il tempo di fare nulla, perchè entrava dopo qualche secondo in azione.
quindi mi viene da pensare che ci sia una versione aggiornata più malefica della precedente.
io ho windows XP e
COMUNQUE HO RISOLTO COSI':
1 ho staccato il modem per la connessione ad internet (anche se probabilmente non ha influito questo)
2 all'avvio premere F8(modalità provvisoria)
3 appena si apre windows qui viene il bello!!! parte la corsa contro il tempo perchè si hanno davvero pochi secondi prima che il "malefico" blocchi tutto con la sua schermata POLIZIA ECC
START------TUTTI I PROGRAMMI------ESECUZIONE AUTOMATICA----tasto destro del mouse su CFMON.exe----ELIMINA
se ci riuscite inoltre ma è difficile, svuotate subito dopo anche il cestino!!!!
Insomma è una corsa nell'eliminare CFMON.EXE che si trova nella cartella ESECUZIONE AUTOMATICA raggiungibile tramite START e poi TUTTI I PROGRAMMI
IO CI SONO RIUSCITO DOPO DIVERSI TENTATIVI PERCHè LA SCHERMATA DEL VIRUS ERA PIU' VELOCE DI ME!!!
POI PRIMA DI RIAVVIARE IL PC HO RIPRISTINATO IL PC AD UN PUNTO DI RIPRISTINO PRECEDENTE A QUANDO HO PRESO IL VIRUS ED IL GIOCO E' FATTO!!! (•Andare in Menù Start poi in Programmi
•In seguito in Accessori e in fine in Strumenti del sistema •Scegliere Ripristino del sistema e scegliete il punto da dove ripartire)
vi saluto spero di essere stato utile...
Paolo LT
basta commenti che dicono di andare in modalità provvisoria..
RispondiEliminail virus aggiornato non fa andare in modalità provvisoria lo volete capire?
E il task manager è bloccato.
Collegando l'hard disk ad un altro pc o facendolo partire con un resque disk i casi sono : o non mi fa accedere alle cartelle di sistema o non mi vede proprio l'hard disk o (tramite appositi programmi di recupero dati) non trova il file da eliminare.
Ciao Dante, è probabile che si tratta di un malfunzionamento Hardware!
EliminaE' difficile che un virus renda indisponibile a livello di bios l'hardware.
Verifica bene!!
Grazie mille! Ho risolto con il primo metodo indicato eliminando il virus su un PC con Win7.
RispondiEliminaComplimenti per la professionalità.
Grazie, Grazie, Mille volte Grazie
EliminaHo xp home edition,non riesco ad risolvere, se avvio kaspersky live da cd windows non lo riconosce e parte normalmente,se tento con pendrive me ne esce una schermata linux grub e qualsiasi cosa io tenti di fare non funziona,ho provato restore ripristini falliti ma nulla in questo momento non riesco ad risolvere.
RispondiEliminaHo preso il virus ieri e fino a stamani riuscivo almeno ad entrare in modalità provvisoria. Ho visto ieri che la cartella esecuzione automatica è vuota. Ora non mi dà tempo di fare niente che compare la schermata bianca. Il pc da cui lavoro è in rete con quello bloccato, riesco a fare niente da qui? Spero che qualcuno riesca ad aiutarmi!
RispondiEliminafai il ripristino del sistema!
EliminaGuarda, anche io ho questo virus e sono nella tua stessa situazione. Nel momento in cui entro in modalità provvisoria mi compare la schermata bianca e non posso più far nulla! Qualcuno può aiutarci per favore? Come faccio a fare il ripristino del sistema? Grazie in anticipo
EliminaDi solito la modalità provvisoria si attiva "per forza" solo dopo aver spento il pc, e quando il pc viene spento non completamente la meglio è togliere la spina e premere il pulsante di accensione per scaricare completamente l'alimentatore.
RispondiEliminaDopo potete ricollegare l'alimentazione alla 220 e premere in modo impulsivo il tasto F( al momento dell'accensione.
Non scegliete la modalità provvisoria con rete. evitando di fare collegare il virus ugualmente.
Per il resto seguite i precedenti punti.
Salve signor Balzano, salve a tutti, vorrei chiedere se i metodi 1 e 2 che lei specifica, valgono anche per questo virus che mi son beccata, Gen:Variant.Graftor.12450, grazie mille in anticipo
RispondiEliminaUn ringraziamento particolare alla generosità di Carmen e Massimo.
RispondiEliminaanche io ho questo virus,Nel momento in cui entro mi compare la schermata bianca e non posso più far nulla! Qualcuno può aiutarci per favore? Come faccio a fare il ripristino del sistema? Grazie in
RispondiEliminaciao a tutti, io ho risolto così: tolto il collegamento in internet, appena acceso il pc ho fatto partire subito malwarebytes e intanto che faceva la scansione ho trovato in esecuzione automatica CTFMON.EXE e l'ho cancellato. l'anti-malware mi ha trovato 4 trojan, li ho cancellati e riavviato. tutto a posto. spero di essere stato utile.
RispondiEliminaDovete accedere in modalità provvisoria con prompt dei comandi e premere contemporanemente ctrl alt canc....poi cliccare su file nuova attività e digitare con windows vista rstrui.exe, si aprirà la finestra del ripristino configurazione di sistema. A questo punto basta portare il pc ad uno stato precedente ed il gioco è fatto
RispondiEliminaMio dio,grazie per quello che hai scritto,perchè è successo anche alla mia fidanzata,che per fortuna aveva un pc piccolo di riserva e ho potuto copiarle il metodo di eliminazio @@ Però ci era venuta una strizza assurda...
RispondiEliminaNon aspettarti nessuna donazione.
RispondiEliminaLa.prossima volta fai lavorare a noi del settore e fai il tuo lavoro.
Grazie grazie grazie! ho usato il primo metodo e ha funzionato alla perfezione... mi era già capitato e mi avevano formattato il pc... a saperlo facevo da sola :-)
RispondiEliminaGRAZIE MILLE, STAVO IMPAZZENDO! HO SEGUITO IL PRIMO METODO E HA FUNZIONATO! GRAZIE ANCORA. Luca di Milano.
RispondiEliminaBuongiorno Michele mi chiamo Cristian io il Malw si è associato al broswer, perciò si blocca solo quando lo lancio.
RispondiEliminaDomanda:visto che posso accedere al sistema op. potrei semplicemente fare un ripristino?
Grazie ancora
Buongiorno Michele la informo che caricando il suo sito ho sempre un problema nel caricamento script...devo forzatamente interromperlo altrimenti si blocca explorer.
RispondiEliminaIl problema si ripropone su un qualsiasi PC presente nel laboratorio informatico
Salve a tutti e grazie per i suggerimenti. Anch'io purtroppo (proprio ieri) sono incappato in questo trojan...Ho Windows XP SP1 x86. Dato che cmq il sistema si avvia regolarmente e che avevo già da tempo programmato una formattazione completa del mio pc, posso copiare tutti i miei files in una chiavetta USB o in un disco rigido esterno; il mio dubbio è quindi il seguente: questo trojan infetterebbe anche la chiavetta USB o il disco rigido esterno?
RispondiEliminaSono cmq riuscito a bloccarlo ed a connettermi tranquillamente ad Internet rinominando il file "WPBT0.dll" con un altro nome: così facendo, al riavvio del pc, il trojan non riesce a caricare la libreria (compare infatti un messaggio d'errore) e quindi non è più in grado di bloccare il pc.
In attesa di una risposta alla mia domanda
Buona serata
Lorenzo
Proprio oggi ho preso questo virus... Ho riavviato il computer in modalita' normale non so come ma il virus non si e' avviato ho installato Malwarebytes Anti-Malware aggiornato ho fatto una scansione completa e mi ha travato il virus ho eliminato le minacce riavviato e tutto perfetto non e' la prima volta che mi salva questo programma se riuscite ad avviarlo fidatevi che ve lo elimina ;-) P.S. Spero che chi ha creato questo virus abbia una morte lenta e dolorosa...
RispondiEliminaAppena risolto grazie ai tuoi consigli! Grazie mille! :)
RispondiEliminaPer rimuovere virus guardia di finanza dall windows Xp . Avvio , premere F8 , modalità provvisoria ma a me non funzionava perchè il virus si era gia diffuso. dopo ben 5 gg di tentativi , ho staccato i fili al HD , o montato un vecchio HD IDE caricato Windows , riavviato e ho riattaccato il disco infetto in modalità SLAVE , (schiavo sata) . Cosi il computer mi vede disco tipo ''archivio'' e con comodo ho fatto esame in manuale e ricerca e ho rimosso il file infetto ''wgsdgsdgdsgsd'' una applicazione dal peso di 152 kb . Andare su cartella window\sistem32 e cercare un file datato proprio al momento che è comparso il virus. Il mio era nominato ….. (tolto questo grave l'infezione c'era ancora latente) pertanto: Dopo ho riavviato solo il disco infetto , sono andato subito in windows\pchealth\helpctr\binaries e avviare ''msconfig'' per mettere in modalità minima (cosi' in caso di blocco da virus ricarico le opzioni minime .). Ho installato cosi' Malwarebytes Anti-Malware e antivirus , dopo ho avviato gli virus. Trovato il troian che si chiama Trojan.Deld e Trojan.Ransom.Gem , si trovano sotto la voce C:\Documents and Settings\All Users\Dati applicazioni\lsass.exe (Trojan.Delf) e c\Documenti and Setting \''mymame'' \Menu Avvio \Programmi\Esecuzione Automatica\ctfmon.Ink . Questi dati io non riuscivo a vedere, li ha visti l'Antimaware e li ho rimossi. Raccomando: salvare dati e password sempre e solo su un foglio di carta , c'è gente che riesce a copiare dati sensibili .
RispondiEliminail problema è che se vado in modalità provvisoria non faccio in tempo a cliccare su start che già riappare la schermata del virus. qulcuno sa darmi indicazioni precise su cosa digitare dal prompt dei comandi? ho windows vista, e la schermata iniziale recita
RispondiEliminaC:\Windows\system32>
GRAZIEEEE!
buongiorno raga....io ho preso il virus qualke giorno fa...l ho eliminato cancellando il file da esecuzione automatica e si era risolto....stamattina riapro il pc e il virus é riomparso....il problema è ke non mi fa entrarein nessuna modalitá provvisoria...come faccio??????????
RispondiEliminaSAlve a tutti...oggi é toccato a me imbattersi in questo virus(già sono alle prese con uno intestinale...!!!):
RispondiElimina1) il metodo 1 non mi funziona: la cartella esecuzione automatica é vuota...
2) nemmeno il metodo 2... la finestra"modifica stringa é già ok...mi ritrovo di già la dicitura explorer.exe...
Help!!!
Sei riuscito a risolvere? Sono nella tua condizione. Altre volte ho risolto con il primo metodo, ma stavolta è più bastardo. Fammi sapere!
Eliminasalve, volevo ringraziare l'utente anonimo che ha scritto come togliere il virus tramite modalità provvisoria prompt dei programmi(non potevo utilizzare la modalità provvisoria normale) e riportare il pc ad una data precedente l'infezione , tempo impiegato 5 minuti .....grazie mille!....grazie infinite del vostro aiuto! adesso il pc sembra funzionare perfettamente....
RispondiEliminasalve, a me è apparso ieri, ma non so cosa fare: non ho il tempo di applicare nessuno dei metodi perché nel giro di una ventina di secondi, in modalità provvisoria, il computer (seven) si riavvia, e non so come impedirlo.
RispondiElimina