giovedì 24 gennaio 2013

Come Rimuovere tutte le varianti del Virus POLIZIA DI STATO-GUARDIA DI FINANZA

Oggi vi parlerò di un nuovo modo che ho sperimentato per eliminare dal vostro computer tutte le varianti del virus POLIZIA DI STATO-GUARDIA DI FINANZA. Questo virus Colpisce da più di un anno e nel corso del tempo si è presentato sempre con schermate diverse
Tutte le schermate virus polizia di stato - guardia di finanza
facendo riferimento a forze di polizia come, POLIZIA DI STATO - GUARDIA DI FINANZA – POLIZIA POSTALE, e in alcuni casi si è presentato come  forze di polizia inesistenti che  lottano contro i crimini informatici.
 
Rassicuratevi perché al di là della variante e al di là della schermata in effetti il virus non è molto pericoloso in fin dei conti si tratta solo di una schermata che si mette sopra al desktop e non permette di vedere cosa c’è sotto, disabilitando tutti i comandi che ci permetterebbero di chiudere il virus.
In molti mi hanno chiesto come mai non viene rilevato dagli antivirus. Bè la risposta è semplice : NON E’ UN VIRUS infatti non si trasmette autonomamente e non è in grado di replicarsi autonomamente non infetta i file di sistema e non utilizza le connessioni di rete. Diciamo che evita ad HOC tutto ciò che farebbe insospettire l’antivirus.
 
Si tratta più che di un virus di una gran “bastardata” ad opera di principianti. Di fatto è solo un programma aperto a tutto schermo che non permette di essere chiuso.
 
In effetti fa finta di essere un virus per estorcere 100 euro che anche se pagati non servirebbero per sbloccare il computer. Il virus si inserisce nell’Autorun di Windows pertanto ad ogni riavvio del computer verrà riavviato. Ed è proprio questo il suo punto debole noi dovremo intervenire in quei 6-7 secondi che windows attende prima di eseguire il virus. E vi posso assicurare…Bastano!!! Occhiolino
 
Il principio di questo metodo è : cercare di chiuderlo prima che si esegua, per poi rimuoverlo successivamente.
 
Di seguito vi mostrerò delle immagini che vi faranno capire quali operazioni vanno fatte al momento dell'accensione del computer ed esattamente dopo l'inserimento della password o dopo aver cliccato sul utente per il login Figura 1 (accesso a windows).
windows-7-screenshot-login-screen tutorial informatici POLIZIA DI STATO
Procedura universale per rimuovere tutte le versioni e tutte le varianti del virus polizia guardia di finanza

Subito dopo aver cliccato sull’utente all’apertura di Windows premiamo ripetutamente control + alt + canc si presenterà il desktop senza icone e si aprirà la finestra del Gestione Attività  (per chi ha windows xp si chiama Task Manager).
 
Da questo momento in poi dobbiamo essere molto veloci: 
1. Clicchiamo su file
Rimozione universale Virus Guardia di finanza 1
2. Clicchiamo sul menù Nuova attività (Esegui…)
Rimozione universale Virus Guardia di finanza 2
3. Si aprirà una finestra “Crea una nuova attività”
Rimozione universale Virus Guardia di finanza 3
4. Quindi digitiamo msconfig e clicchiamo su OK
Rimozione universale Virus Guardia di finanza 4
5. Si aprirà la finestra della Configurazione di sistema
Rimozione universale Virus Guardia di finanza 5 Bis
6. Clicchiamo sul tastino Avvio (in alto)
Rimozione universale Virus Guardia di finanza 5
7. Ci troveremo davanti una nuova  finestra e da qui scegliamo Disabilita tutto (giù in basso a destra).
Rimozione universale Virus Guardia di finanza 6
8. Clicchiamo su Applica
Rimozione universale Virus Guardia di finanza 7
9. e successivamente su ok.
Rimozione universale Virus Guardia di finanza 8
A questo punto si sarà aperta la schermata del virus ma non dobbiamo far altro che riavviare il computer.
 
al riavvio del computer il virus non sì manifesta più, ma attenzione è ancora presente nel computer. Quindi aggiorniamo l'antivirus e facciamo la scansione approfondita di tutto il computer ripetiamo più volte e se necessario anche con un altro antivirus.
 
Le azioni che ho descritto vanno eseguite molto velocemente in termini di tempo si tratta di 5 o 6 secondi. Questo è il tempo che occorre al virus per eseguirsi e bloccare l'uso del task manager – Gestione Attività.
 
Può sembrare molto poco tempo ma vi posso assicurare che dopo un paio di tentativi ci  riuscirete tranquillamente.
 
Negli ultimi 3 mesi ho sperimentato personalmente questo mia nuova procedura su almeno 50 computer con il 100% di successi.
 
Inutile dire che il virus non ha rubato i vostri dati non è capace di fare questo, non ha eliminato i vostri dati e non vi ha ripreso con la webcam se sapesse far questo qualsiasi antivirus lo avrebbe etichettato come VIRUS…Occhiolino
 
 
Arrivederci al prossimo articolo
Michele Balzano














85 commenti:

  1. provata la soluzione ma non funziona....riappare la schermata....come faccio?

    RispondiElimina
    Risposte
    1. basta fare partire un antivirus da cdrom ho gia sbloccato diversi pc tutto è andato a buon fine

      Elimina
  2. ciao, purteoppo col metodo ctrl+alt+canc non riesco, forse nn sono abbastanza veloce, il modalità provvisoria (senza rete) quando lo avvio poi si riavvia il pc e non riesco a proseguire.
    riesci a darmi qualche dritta?

    RispondiElimina
    Risposte
    1. Riprova ancora e nel caso segui l'ottimo consiglio di Shidu.
      Ciao e grazie per aver scelto il mio Blog

      Elimina
  3. Per avere più tempo a disposizione, quando aprite il task manager, come prima cosa killate il processo EXPLORER.EXE selezionandolo e cliccando canc. Ora si può procedere con tranquillità alla descrizione di questa guida.

    RispondiElimina
    Risposte
    1. Ottimo Shidu ho testato quello che hai scritto e penso di integrarlo nella guida.
      Questi sono i commenti che servono Grazie!!

      Elimina
    2. Suggerimento sublime. Da integrare istantaneamente nella guida

      Elimina
    3. ormai è videntata una persecuzione è dovunque ,tanto innocua non è perche ora ti fà la foto con la webcam ti indica il tuo ip e addirittura il tuo gestore telefonico,quindi a me pare che riesce a sapere parecchie cose per essere innocuo.cmq io è da tempo che lo combatto con una procedura molto più semplice ed efficace al 100%.
      staccare corrente andare in modalita provvisoria ,fare ripristino di sistema e il problema è risolto,ora però si è fatto più furbo,e avvolte bisogna forzare l'avvio staccando corrente nei primi secondi dell'accensione per far passare automaticamente windows al ripristino di sistema by passando la modalita provvisoria.garantito al 100% con vista.

      Elimina
  4. ciao io è da ieri che provo senza risultato. sto tentando dal prompt ma mi dice che non trova l'exe da cancellare.....mi aiutate? grazie

    RispondiElimina
  5. Ciao a tutti,

    ho provato la procedura descritta ma per me non ha funzionato: con il mio PC non avevo il tempo materiale per killare EXPLORER.EXE dopo aver fatto login, in quanto mi presentava la schermata bianca e bloccante del virus entro 3-4 secondi.

    Per fortuna, sono riuscito a RISOLVERE IN ALTRO MODO, simile ma non uguale a quanto da te descritto nell'altro post (http://balzanomichele.blogspot.it/2012/03/rimuovere-il-virus-con-schermata.html#axzz2IsoTr9wd).

    Innanzitutto è doveroso specificare che nel mio caso, rilevato il 25 Gennaio 2013, si trattava di una VARIANTE INEDITA del virus "Polizia di Stato": il file infetto si chiama "LDR.MCB" e nel mio caso era memorizzato sotto "c:\documents and settings\nome_utente\dati applicazioni".

    Ecco come ho risolto:
    - avviare il PC in modalità provvisoria (premere il tasto "F8" subito dopo l'avvio del PC, prima cha appaia il logo Windows)
    - lanciare Registry Editor di Windows: Start -> run -> regedt32
    + ispezionare tutti gli utenti sotto il gruppo HKEY_USERS fino a trovare quello che nella chiave HKEY_USERS -> id_utente -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon -> Shell
    ha un valore diverso da "explorer.exe"
    (l'operazione di ricerca tra tutti gli utenti è necessaria in quanto il nome utente è codificato e quindi non si sa a priori quale sia)
    + la chiave nel mio caso conteneva questa stringa sospetta: "ldr.mcb,explorer.exe"
    + editare la chiave cancellando tutto quello che non è "explorer.exe" e premere OK
    - riavviare il computer in modalità normale
    - cercare sul disco il file infetto e cancellarlo, avendo cura di svuotare il cestino dopo l'operazione

    RispondiElimina
    Risposte
    1. (sono sempre io...)
      Ulteriori informazioni sulla variante "LDR.MCB" del virus "Polzia di Stato":
      http://www.malekal.com/2012/12/07/en-and-an-other-ransomware-fake-police/

      A quanto pare si tratta di una variante recente e non ancora diffusa in Italia (quantomeno non ho trovato fonti italiane).

      Elimina
    2. (...anche qui sono sempre io...)

      Nel caso in cui la modalità provvisoria non funzioni o il virus si presenti anche in quelle condizioni, ecco come fare:

      - Smontare l'hard disk del PC e attaccarlo ad un PC non infetto, a seconda dei casi via enclosure USB o direttamente dentro il PC desktop;
      - lanciare Registry Editor di Windows: start -> run -> regedt32
      - importare file di registro dell'utente infetto:
      + regedt32 -> file -> carica hive
      + quando richiesto, dare un nome al registro importato (suggerisco di usare il nome dell'utente in questione, es. "utente_infetto")
      + selezionare questa chiave: HKEY_USERS -> utente_infetto -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon -> Shell
      + la chiave nel mio caso conteneva questa stringa sospetta: "ldr.mcb,explorer.exe"
      + editare la chiave cancellando tutto quello che non è "explorer.exe" e premere OK
      + IMPORTANTE, ricordatevi di chiudere il file di registro dell'utente infetto prima di fare logout: regedt32 -> file -> scarica hive
      - rimettere l'hard disk nel computer originale
      - fare login con l'utente infetto e verificare che il problema è risolto
      - cercare sul disco il file infetto e cancellarlo, avendo cura di svuotare il cestino dopo l'operazione

      Elimina
    3. (scusate... sempre io)

      ERRATA CORRIGE dell'ultimo commento, manca il passo intermedio:

      [...]
      + regedt32 -> file -> carica hive
      + selezionare dal disco infetto (es. "F:") il file di registro dell'utente infetto: "F:\documents and settings\utente_infetto\NTUSER.DAT"
      + quando richiesto, dare un nome al registro importato (suggerisco di usare il nome dell'utente in questione, es. "utente_infetto")
      [...]

      Elimina
    4. sto provando a fare ciò che hai scritto nel primo post...solo che mi sono fermata a hkey user...no riesco ad andare olter...come faccio????

      Elimina
    5. Anonimo 26 gennaio... Lei scrive "+ ispezionare tutti gli utenti sotto il gruppo HKEY_USERS fino a trovare quello che nella chiave HKEY_USERS -> id_utente -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon -> Shell
      ha un valore diverso da "explorer.exe" "

      Io sono andato in RegEdit dopo aver avviato in modalità provvisoria con prompt comandi, come suggerito in un altro post più recente, però, seguendo il percorso HKEY_USERS -> id_utente -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon , non trovo la sotto cartella Shell...

      Elimina
    6. Buon giorno a tutti. Ho lo stesso problema non trovo la cartella shell

      Elimina
    7. Volevo ringraziarti, sono tecnico informatico infatti non ho avuto problemi ad attacare il disco ad un altro pc e (altra soluzione alternativa) cercare tutti i .exe, dopodiché ordinarli semplicemente per data e trovare quindi quello maligno e cancellarlo, fatto quello si riesce a far ripartire il pc, poi ho sistemato nel regedit l'avvio del task manager, d' ogni modo ad ogni avvio si avviava da solo CMD.EXE e non si trovava in nessuna voce d'avvio, poi ho letto qua sopra che era nella chiave HKEY_USERS -> id_utente -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon -> Shell
      e ho risolto quel problema.
      Comunque non sarà un virus ma mi sembra una porcata tra le più avanzate di questi tempi.
      E IL PRIMO VIRUS che vedo che modifica la shell e che nell' ultima variante CAUSA LA CHIUSURA IMMEDIATA DELLA MODALITA PROVVISORIA, ingannando pure bellamente Seven Utilmate e gli antivirus,
      ditemi voi se è poco............................

      Elimina
  6. Ciao.. Io ho preso il virus oggi.. Ho provato con la tua guida ma quando premo ctrl alt canc non si avvia niente.. Mi si apre la schermata blu con 'cambia utente disconnetti ecc'.. Come posso fare? Se avvio in modalità provvisoria mi si apre comunque la schermata..mi puoi aiutare?
    Grazie

    Elena

    RispondiElimina
  7. Ciao, ho preso il virus oggi. non riesco ad accendere il task manager subito dopo il login e la modalità provvisoria si riavvia automaticamente. l'unica modalità che regge è "modalità provvisoria con prompt dei comandi". da qui lanciando il comando "regedt32" mi si apre l'editor del registro di sistema, ma la stringa di connessione è già explorer.exe quindi il file infetto sta da un'altra parte. consigli?

    RispondiElimina
  8. aggiornamento :
    Testato su windows 7

    all'avvio premere F8 e selezionare " MODALITà PROVVISORIA CON PROMPT DEI COMANDI", attendere l'avvio di CMD.EXE , premere ctrl+alt+canc e selezionare "AVVIO GESTIONE ATTIVITà" una volta aperta cliccare su " File " e selezionare " nuova attività ESEGUI.." digitare regedit e flaggare in " Crea Attività con privilegi amministrativi" , premere Ok.
    una volta aperto regedit su in alto cliccare su " modifica" e poi trova, digitare " LDR.MCB ".

    Dovrebbe avere una estensione tipo LDR.MCB.EXPLORER.EXE, trovata e selezionata la chiave rimuovere la stringa.

    Riavviare ora il pc in modalità normale o provvisoria ( come si preferisce), adesso e possibile lavorarci senza che vada più via il dektop, come si è sempre fatto, procedere alla pulizia con i soliti strumenti di rimozione malware .

    RispondiElimina
    Risposte
    1. ciao,io ho eseguito questa procedura però quando cerco "LDR.MCB" mi dice : "è stata portata a termine la ricerca nel registro di sistema". io clicco su OK però non mi compare nessuna stringa..cosa devo fare? grazie a chi risponde
      Michael

      Elimina
  9. Ciao! Ti ringrazio! Ho seguito le tue indicazioni e sono riuscito a rimuoverlo, eseguendo le operazioni in modo molto veloce.
    Sono rimasto molto soddisfatto, anche perchè, essendo uno che ci capisce molto poco, sono riuscito a risolvere un problema da solo!
    Grazie mille.
    Ciao Elio

    RispondiElimina
    Risposte
    1. Grazie a te Elio per aver dato fiducia ai miei articoli.
      Continua a seguirmi e fammi pubblicità

      Elimina
  10. se non è un file come qui indicato da avvio diretto (cioè un EXE camuffato)
    il sistema lo fa partire come EXE anche se con estensione differente attraverso la procedura "shell" impostata nel registro sotto le chiavi winlogon;
    basta quindi avviare il sistema in modalità provvisoria con prompt; scrivere sul dos Regedit; ricercare tutte le chiavi Winlogon (solo le chiavi che state meno!)
    e se trovate la direttiva shell...explorer ...qualcosa (io avevo skype.dat) saprete dove si trova il virus (eliminatelo) e togliete la chiave di registro shell.
    riavviate con il pc pulito.

    RispondiElimina
    Risposte
    1. Buonasera, sono andato in Regedit da modalità provvisoria con prompt di comandi, ma non mi è chiaro cosa bisogni fare poi. Purtroppo, non sono pratico di chiavi di registro.
      Sperando in un ulteriore aiuto, vi ringrazio.
      Ho provato gli altri metodi descritti, ma senza successo: una volta tolto il file sospetto da Esecuzione automatica, il virus vi ritorna, e parte anche avviando in modalità provvisoria, entro pochissimi secondi.

      Elimina
    2. Ancora una cosa: nella cartella Esecuzione automatica ho un collegamento runctf.lnk , che ho provato ad eliminare, ma vi ritorna.
      Provo a chiedere: non sarebbe sufficiente eliminare il file a cui il link punta, immaginando abbia lo stesso nome?
      Pensavo di fare una ricerca con il nome del file (runctf), ma non trovo il comando per cercare file in DOS...

      Elimina
    3. Ciao ho seguito il Tuo suggerimento ed ho risolto anche il mio era (skype.dat)

      Elimina
  11. Io ho risolto diversamente, ho collegato l'hard disk in un box esterno ad un altro computer, ho eseguito la scansione con l'antivirus, ricollegato il tutto si è avviato tranquillamente dopodichè utilizzando combofix e fatto una pulizia del disco è ritornato funzionante come prima.
    Saluti
    Gennaro

    RispondiElimina
  12. Bravo Anonimo del 30 gennaio, è proprio come avevi detto tu !!!
    Complimenti anche all'autore del blog, ci voleva proprio con tutti questi virus

    RispondiElimina
  13. Aiutooo ho appena preso sto.coso.pure io!.sn impedita! Ho provato a fare come.dici ma nn riesco! E nn me lo fa partire nemmeno in modalita' provvisoria con il.tasto F8.. come.faccio? Aiuuutooooo sn impeditaaaaa e nn voglio formattare il.pc :(

    RispondiElimina
  14. grazie!!! perfettamente riuscito

    RispondiElimina
  15. L'ho fatto per ben due volte, ma non funziona..... aiutoooooo

    RispondiElimina
  16. Non so se ho risolto il problema, ma quanto meno ho fatto passi avanti. Il mio procedimento è stato:
    1)Seguire la procedura qui sopra, con la variante di terminare il processo explorer.exe.
    2)L'unico programma in avvio era runctf.lnk, unico programma in avvio nonostante avessi già disattivato tutto e riavviato il computer in un fallimentare tentativo precedente (in più era anche l'unico file presente in C:\Documents and Settings\Administrator\menu avvio\programmi\esecuzione automatica). Ho cercato un po' su internet e mi sa che è di una versione appena arrivata in Italia.
    3)Cercando su regedit mi dava solo una cartella di avvio, che ho eliminato, e da allora eseguendo explorer non mi torna più la schermata.
    Grazie mille a tutti voi, penso che senza mi sarei ridotto a dare pugni allo schermo e soffiare dentro le porte USB.

    RispondiElimina
  17. Sono quello del messaggio di prima. Io non ne so molto di computer, ma leggendo un po' di cose qua e là mi è sembrato regolare che nella cartella C:\Documents and Settings\Administrator\menu avvio\programmi\esecuzione automatica c'è sempre il file infetto, indipendentemente dal nome che ha la variante del momento.

    RispondiElimina
  18. Scusate per la fretta, stamattina il problema si è ripresentato

    RispondiElimina
  19. Ciao a tutti,
    stesso problema qui.
    LA cosa strana è che nel registro i valori sono corretti, in esecuzione automatica non ho nulla. Ho fatto decine di tentativi, ma ancora niente, in msconfig non ho nessuna entry sospetta.
    Qualsiasi suggerimento è il benvenuto

    RispondiElimina
  20. piccolo problema, sopra a task manager nn esce nulla ne file ne altro, come faccio?


    RispondiElimina
  21. il file si chiama Skype.dat com'era segnalato... tolto quello e Skype.ini dovrebbe tornare tutto a posto... non disperate... io ci sono stato dietro 2 giorni. Ho risolto con un boot di ubunto cancellando quei file!

    RispondiElimina
  22. Salve mi chiamo Davide... io ho riscontrato questa specie di "VIRUS" ben 2 volte ma in entrambi i casi ho riavviato il pc in modalità provvisoria e ho semplicemente cliccato su un punto di ripristino antecedente alla data di infezione del "virus"... fino ad ora non ho avuto più problemi... aspetto pareri di più esperti grazieeeeeee

    RispondiElimina
    Risposte
    1. sicuramente un approccio più professionale di quello suggerito nella "guida"....

      Elimina
  23. ho riscontrato anche io il file skipe.dat nella directory shell nel registro una volta rinominata in explore.exe al riavvio sono riuscito a lanciare correttamente windows.......voglio dire anche un 'altra cosa....è la seconda volta che mi becco questo virus russo..e stavolta oltre al logo della polizia d istato c'era pure la mia faccia in primo piano scattata dalal mia web cam al moneto dell'infiltrazione del viruas pazzesco e complimneti agli hacker che hanno costruito sto maledetto virus..3 ore ci ho impiegato per debellarlo.....

    RispondiElimina
  24. Scusatemi ma io devo essere molto sfigato perchè il virus si è presentato sul mio netbook sony e non mi lascia aprire in modalità provvisoria e seguendo l'ultima procedura, per riassumerer quella con task manager non mi lascia nemmeno il tempo di superare msconfig che mi appare la falsa scritta della polizia di stato.
    Cosa posso fare? Sono disperato!!!
    Mi era già successo tre mesi fa ma allora ero riuscito a uscirne con hijack in modalità provvisoria ma adesso come ne esco???

    RispondiElimina
  25. Ce l'ho fatta, dopo aver digitato regedit, ho cercato con la funzione trova " skype.dat", trovato, eliminato, adesso tutto ok.
    Bravo utente anonimo 30 Gennaio

    RispondiElimina
  26. Grazie mille del suggerimento, veramente utiliissimo

    RispondiElimina
  27. Io ho avuto questo problema a Gennaio. Confesso di essermi spaventato parecchio, perchè in queste circostanze si prende tutto sul serio. Quindi ho telefonato alla Polizia e loro mi hanno detto di eseguire la procedura di avviare il pc in modalità provvisoria... solo che non ha funzionato. Ha funzionato invece un sistema molto più semplice, che tuttavia non mi ha impedito di formattare lo stesso il mio computer. Non so se è capitato anche a voi, ma innanzitutto il virus non si attivava se il computer non era connesso ad Internet. Questo mi ha permesso di cercare in tutta tranquillità un file responsabile di tutto questo casino. Pensate abbia usato strumenti particolari? No, purtroppo non sono bravo sui computer! Ho invece cercato semplicemente un file creato di recente (diciamo 15 minuti fa), magari in una delle cartelle di Windows e magari anche con un nome assurdo. Una volta trovato ho fatto l'unica cosa che non devi mai fare e cioè ho cambiato l'estensione del file! Il virus è diventato un semplice file di testo e poichè non mi permetteva ancora di cancellarlo, non ho fatto altro che aprirlo e di volta in volta mi sono "divertito" a cancellare intere stringhe di codice prima di salvare il mio scempio! Al prossimo riavvio il virus non mostrava più la sua odiosa schermata. Questo però non mi ha evitato, per sicurezza, di formattare il pc! :( Alla fine, ragazzi, l'unica mossa vincente resta quella di formattare e basta!

    RispondiElimina
  28. grazie infinite per aver condiviso con chi come me non ne capisce quasi niente ed è riuscita a risolvere il problema.

    RispondiElimina
  29. Ciao Michele,
    mi chiamo Daniele e oggi mi hai salvato la vita con il tuo aiuto prezioso!!!!
    Faccio il commercialista .. domani è giorno di scadenza per l'invio della comunicazione IVA e guarda caso ... mi si va ad infettare il pc con cui effettuo le spedizioni!
    Giornata atroce ... sistemisti e assistenza software tutto il giorno per cercare di rimuoverlo ... eterne scansioni!!! ore e ore buttate ed alla fine sono riuscito a rimuoverlo grazie al trucchetto dei 6/7 secondi! Giuro che non ci credevo!
    Ti devo una dichairazione dei redditi gratis! ;-) sei il numero uno!
    Grazie e ciao,
    daniele

    RispondiElimina
    Risposte
    1. LA PROSSIMA VOLTA PENSA AI 730 ANZICHE' ANDARE NEI SITI PORNO

      Elimina
  30. confermo che anche io ho trovato questo virus come skype.dat, però me l'ha trovato l'antivirus quando ho eseguito la scansione completa dopo che , per uscire dalla schermata bianca, ho ripristinato il sistema a una sessione precedente a un giorno prima che scaricassi il virus, come disse un utente nei commenti.
    Quindi se anche voi fate così ricordatevi di fare una scansione perché anche se non riappare più la schermata bianca pare che il virus rimanga!!

    RispondiElimina
  31. Ciao a tutti! Stasera il mio computer Sony vaio ha preso questo maledetto virus, dopo averlo acceso rimane la pagina bianca e nn so come risolvere questo problema. Qualcuno mi può aiutare? Possiedo un Windows 8

    RispondiElimina
  32. Grazie per i consigli. Ho risolto grazie ai consigli più recenti (avevo la variante skype.dat). Il mio approccio è stato leggermente diverso: lo posto in caso possa essere utile.

    Sistema Operativo: Windows 7
    Avendo notato che il "virus" era uno dei primi programmi ad essere digitando "CTRL ALT CANC" e poi "disconnetti", ho proceduto come segue:
    1) sono entrato nel sistema normalmente (NON in modalità provvisoria);
    2) prima che il virus partisse ho lanciato Word ed ho digitato poche lettere a caso; (capirete per che di seguito)
    3) una volta che il virus è partito ho premuto "CTRL ALT CANC" e "disconnetti";
    4) Windows mi ha subito chiuso il "virus"
    5) poiché avevo un file word aperto e non salvato, mi è apparso un messaggio di Word (tipo "vuoi salvare") che non ho toccato, e subito dopo mi è apparso il messaggio di Windows che mi chiedeva se volessi forzare la chiusura di Word;
    6) RAPIDAMENTE bisogna cliccare su "annulla" (prima che Windows chiuda autonomamente il programma) per evitare di disconnettersi;
    7) a questo punto ho il controllo del PC;
    8) menù "Start", "esegui", digitare "regedit";
    9) nel registro cercare, come detto da qualcuno sopra, "winlogon" selezionando le "chiavi";
    10) ho trovato una chiave winlogon con sotto-chiave "shell", il cui valore aveva, oltre explorer.exe, anche "c:\users\mio_nome_utente\AppData\Roaming\skype.dat"
    11) ho modificato la chiave lasciando solo explorer.exe;
    12) da prompt dei comandi sono andato nella directory indicata;
    13) il file in questione è nascosto, per cui per vederlo bisogna digitare "dir /a:h"
    14) ho cancellato il file con il comando (cancellazione di file nascosti): "del /a:h skype.dat"
    15) poi ho cancellato anche il file skype.ini presente nella stessa directory, come suggerito da qualcuno (semplicemente con "del skype.ini" in quanto questo file non era nascosto)

    RispondiElimina
  33. Salve a tutti

    Grazie alle varie idee e al BLOG! Sono riuscito a intercettare il file che si chiama fvjcrgr.exeM1N1 ma cancellandolo me lo ritrovo dopo ogni riavvio. (cancellato dal modo sicuro con digitura manuale regedit)
    So che si trova nel C:\Windows\System32\rundll32.exe c:\users\Nomeoperatore\appdata\local\temp\fvjcrgr.exe,M1N1 e se non erro è la seconda dicitura dopo exe.
    Ma non riesco a cancellarla non me lo permette come posso fare?
    Nel autorun si chiama runctf nei keys si chiama fvjcrgr.exe,M1N1 ma non nella cartella shell del Winlog ma in un'altra (mi è sfuggito il nome)

    Qualcuno ha un consiglio?

    RispondiElimina
  34. Ciao a tutti,
    anch'io ieri mi sono imbattuto in questo malware malefico,che mi ha paralizzato il lavoro e prospettato spese...grazie alle vostre esperienze ei consigli di balzano stamani ho risolto...ieri avevo gia individuato una cartella sospetta nominata tracing inerente a windows live messenger che non si poteva eliminare, quindi stamani con un pc portatile(quello infetto e un fisso) ho provato con hijackthis
    senza pero ottenere risultati, il pc mi si bloccava subito dopo aver confermato l account la mia tempistica sara stata di un paio di secondi...siccome coi tentativi di ieri avevo notato che quando avevo la schermata bianca e spengevo il computer a volte mi andava in errore perche c erano programmi aperti...la chiavetta internet si apre in automatico, quindi questo mi ha aiutato e dopo un po di tentativi vista la repentina schermata mi e riuscito aprire anche altri programmi prima che il malware mi abbuiasse, col pulsante dello spegnimento sono tornato in possesso del pc e successivamente con ctrl alt canc sono andato nella task manager (ho home edition) esegui nuovo e ho messo tracing al posto di msconfig come consigliava balzano...avevo troppe cose attive tra cui anche il monitor e disabilitando tutto ci poteva essere il rischio che poi non si accendesse piu'e poi termina operazione e il maremoto si e calmato.....
    balzano ha detto proprio bene il malware e vulnerabile in apertura ma anche in chiusura, lanciando due o tre programmi in apertura, il pc poi non si dovrebbe chiudere, e cosi ce piu calma per poter intervenire coi vari metodi elencati da michele...grazie

    RispondiElimina
  35. Ho urgente bisogno di aiuto... diciamo ke mi sono spaventata sono andata in panico il problema e' ke mi era gia' capitato e mi dava una scadenza come questo ma al termine della scadenza se ne e' andato da solo senza ke facessi niente il primo aveva scadenza 3 mesi questo 72 ore dici ke se ne andra' dopodomani e' tornato domenica....
    Ho provato comunqque a fare cio' ke dici nel primo esempio quando premo ctrl alt canc mi si apre come una schermata iniziale che dice blocca computer cambia utente disconnetti cambia password avvia gestione attivita, lo fa sia ke io lo prema una volta sia ke lo faccia 20 volte ke faccio? Io ho windows 7 e sono veramente una deficiente in fatto di computer piu' della meta' dei commenti mi sono persa alla terza riga ma mi voglio arrangiare da sola perche' nn ho voglia di portarlo in assistenza...... mi puoi aiutare? Poi il mio "virus" ci mette moooooolto di piu' ke 6-7 secondi a caricarsi ci mette anche 40 ma nn posso fare nulla come ho detto prima se premo ctrl alt canc nn fa cio' ke dici aiutoooooo

    RispondiElimina
  36. Ma funziona questa cosa.?

    RispondiElimina
  37. Grazie mille, risolto!!! Anche nel mio pc il file infetto era skype.dat
    Ho usato il metodo di Manfredi Porfilio

    RispondiElimina
  38. Grazie. Suppongo sia entrato perchè ho scaricato un filmato ed invece di fare il click destro ed ordinargli di eseguirlo con VLC ho fatto doppio click. Spesso, cioè, è un programma .exe mascherato da documento.

    RispondiElimina
  39. La soluzione più semplice, efficace e veloce, è eseguire un ripristino di sistema dalla modalità provvisoria.

    RispondiElimina
  40. Nel mio caso appena si presenta il desktop (un attimo prima che parta il virus) faccio alt-ctrl-canc per aprire taskmanager e subito clicco "arresta sistema" stranamente ritorna il desktop e mi permette di lavorare normalmente. Ho notato che in esecuzione automatica ho solo rundll32.exe ma non sono sicuro che sia questo che "nasconde" il maledetto virus. Se lo cancello posso compromettere il sistema o mi conviene provare a cestinarlo ?? chi mi può dare un consiglio ? grazie

    RispondiElimina
  41. Salve mi chiamo Gianluca, complimenti per il Blog, è molto interessante. Anch'io ne gestisco uno simile http://www.automaticando.com/
    Rinnovo i complimenti!!!!

    RispondiElimina
  42. Grazie. Ha funzionato.:-)

    RispondiElimina
  43. ciao...io o riusciro a fermarlo pero sulo schermo non vedo niente shorcut...che poso fare?

    RispondiElimina
  44. Ciao.
    Ho provato ma non ho fatto in tempo a riavviare.
    Ho ripetuto l'operazione da capo, ma quando arrivo s Avvio e quindi cliccare su Disabilita tutto non mi è possibile perchè risulta come disabilitato questa icona e non posso neanche dare Applica. Come posso fare????
    Grazie!!!

    RispondiElimina
  45. Ho il pc con amministratore di sitema ma non ricordo la pwd...come faccio ad accedere in modalità provvisoria??

    RispondiElimina
  46. Salve nel mio caso sono entrato in modalità provvisoria e usato msconfig e ho disabilitato nei servizi tutto. Poi controllando mi sono accorto di un certo " Andrea elettronics corporation " ho disabilitato e riavviato il pc e sembra tutto ok

    RispondiElimina
  47. Questo commento è stato eliminato dall'autore.

    RispondiElimina
  48. Se il virus si attiva anche in modalità provvisoria, accedete con il prompt dei comandi e tutto funzionerà a meraviglia, ho scritto anche una guida se vi interessa
    http://blog.tihcio.it/Articolo12/Rimuovere-virus-polizia-postale-con-Combofix

    RispondiElimina
  49. ti ringrazio ci sono riusciuta... una paura ora il mio pc va benissimo...

    RispondiElimina
  50. RAGAZI!
    io lo preso ieri. Non va ne in modalita provisoria ne con il promt de comandi e non mi fa partire ne anche i rescue disk di diversi antivir. Il sistema linux si incepa a meta strada nella fase di apertura disco. Mi rimane solo di smontare il disco e di meterlo su un altro PC

    RispondiElimina
  51. Solo un'avvertenza (io l'ho preso 3 volte ... e ho dovuto reinstallare tutto sulla macchina ...). Con Windows 8 e se avete settato una modalità "sicura" di navigazione in internet, il virus in questione (nelle 3 volte che l'ho beccato è avvenuto così) prima di attivarsi richiede di poter aggiornare Java 7 con release 5 (se si clicca sì, di fatto si dà la possibilità di modificare le chiavi dell'utente). E' sufficiente cliccare no per evitare l'installazione del virus e potete continuare la vostra navigazione. Da quel momento però ad ogni apertura di una nuova pagina internet (non al passaggio da una ad un'altra ma solo se in apertura dal browser) vi farà questa richiesta: cliccate sempre no.
    Io ho fatto poi girare un paio di volte la scansione completa di McAfee che alla fine ha riavviato autonomamente il pc. Per ora non ricevo più la richiesta di aggiornamento Java, che a mio avviso è la modalità con cui avviene l'infezione.

    RispondiElimina
    Risposte
    1. A riprova Java a gennaio ha emesso una patch (si trovano diversi articoli su internet sull'argomento)

      Elimina
    2. Grande michele, grazie ci sono riuscito con questa procedura. Con la prima procedura (quella di andare su regedit.exe, ecc...ec...) non ci sono riuscito. con questa si, grazie 1000. Devo dire che, all'inizio, mi sono sentito un prilone e mi è presa un po di strizza!
      Gigi da Roma

      Elimina
  52. ovviamente se non volete neanche la scocciatura del "no" ad ogni richiesta è suffciente disabilitare il componente aggiuntivo "Java helper" nella gestione componenti aggiuntivi di explorer

    RispondiElimina
  53. Grazie Michele,con ituoi consigli,sono riuscito ad eliminarlo,questa è stata per me la seconda volta,devo dire che la prima è stato tutto più semplice,avviata la modalita provvisoria,è bastato riptistinare le configurazioni di sistema a qualche giorno prima,stavolta ho avviato la modalita provvisoria con prompt dei comandi,unica a funzionare,e da li dopo tanti tentativi falliti,ho aperto la gestione delle attivita,poi ho impostato invece che msconfig,"Provato più volte ma sempre rifiutato,il virus ritornava sempre",ripristino configurazioni di sistema,naturalmente rifiutate,ma riavviando il computer,questa volta normalmente,e in maniera velocissima aprire la gestione attivita,si riesce a far partire il ripristino,e questo risolve il problema,ho fatto più tentativi,ma dopo qualche fallimento ha funzionato.Grazie.

    RispondiElimina
  54. Ma questo virus elimina file � dati

    RispondiElimina
  55. Grazie a tutti per i consigli ,sono riuscito a risolvere il problema anche se non sono un esperto.
    Sul mio pc se premo il pulsante di arresto questa schermata scompare ,devo poi fare in fretta a bloccare l'arresto per poter accedere ai comandi.
    Comunque ho utilizzato control + alt + canc all'avvio per accedere a Gestione Attività (molto utile bloccare explorer.exe per rallentare il virus) ho poi avviato CCleaner.exe (che era gia installato sul mio pc) con FILE NUOVA ATTIVITA ESEGUI ricerca in programmi cartella CCLEANER\ CCleaner.exe .ho poi utilizzato di questo programma STRUMENTI AVVIO per vedere quali programmi si avviano in automatico,questa volta il virus non era nella cartella esecuzione automatica ma si nascondeva qui : "C:\Users\utente\AppData\Local\KB4403457\KB4403457.exe"
    L' avevo già notato in Gestione Attività ma da lì non potevo ne accedere alla sua cartella.Mi ha colpito il nome strano ,la posizione insolita della sua cartella,il fatto che non ci fossero verifiche sull' autore e data ora di creazione che corrispondeva alla comparsa di questo virus.Con Cclener ho rimosso il virus e fatto una pulizia registri e dei file.Consiglio di scollegarsi da internet fintanto che non si rimuove il virus( la pagina di blocco appare bianca con una scritta di accedere a internet) .Secondo me il virus è arrivato quando ho utilizzato internet explorer per navigare.

    RispondiElimina
  56. Ciao ragazzi io ho lo stesso problema ma con windows 7 l'account entra diretto sul desktop o come so scrive ormai bloccato dal virus cosa devo fare?

    RispondiElimina
  57. Io ho usato Kaspersky Secure Disk... si scarica gratuitamente dal suo sito, masterizzi la ISO, e fa tutto lui , e ve la potete prendere con calma. Non tutti i pc sono uguali, e appena all'avvio, in quei 6-7 secondi (a meno che windows non sia vuoto, e dubito fortemente) windows è inutilizzabile perchè sta ancora caricando... Vedi i vecchi XP con 512mb di ram, con cui ho avuto a che fare, e se ne trovano ancora i giro. Il successo è garantito, ne ho già sbloccati un bel po'. Poi in rete si trovano molto facilmente dei tutorial sul sull' utilizzo di Kaspersky, YUOTUBE in primis. Spero di essere stato utile anchio. Ciao

    RispondiElimina
  58. Basta utilizzare Combofix in modalità provvisoria ed il gioco è fatto :)

    RispondiElimina
  59. buongiorno,
    anchio sono una nuova vittima... ma vorrei avere un chiarimento se possibile: girando in rete ho letto le varie soluzioni al problema, compresa questa;
    Ma provando a metterle in atto mi sono sempre trovato al medesimo problema, ovvero .....la pagina del virus mi si apre e non mi permette portare avanti le procedure. esempio:
    1) metodo rimuovere il file infetto dalla cartella "esecuzione automatica"--- lo rimuovo dal task ma poi non posso rimuoverlo definitivamente dal "cestino" per chè a quanto ne so io il cestino lo vedo solo nel desk e quindi la pagina del virus non mi fa ultimare la procedura.
    2) metodo "ripristino configurazione di sistema" lo avvio ma poi dovrei comunque cliccare sul qualche finestra per confermare i indicare la data di ripristino.... idem come sopra, pagina del virus copre tutto e non mi permette di completare.
    3) ho provato ad iniziare anche questa procedura ma mi sembra che sia lo stessa cosa.

    grazie in anticipo per le risposte, federico

    RispondiElimina
  60. Personalmente con ComboFix risolvo molto velocemente quando mi si presentano problemi di questo tipo. Se risulta impossibile accedere normalmente si procede da modalità provvisoria ;) provare per credere.

    RispondiElimina
  61. é possibile che ti succede ma non ti entra il virus?

    RispondiElimina
  62. ciao a tutti! sono fabio, grazie di esistere a chi come te o come altri,divulgate queste importantissime informazioni! volevo solo dire che nel mio caso ad infettarsi è stato lo smartphone,che poi, con la modalita provvisoria,sono riuscito a risolvere da solo! nel mio caso la richiesta che ha innescato il virus era "installare adobe flashplayer 11"! io ho cliccato sovrapensiero e l'ho beccato,ma un secondo dopo,mi sono ricordato che android non supporta i video in flash,e tantomeno adobe flash player 11! questo mi ha permesso di individuare il file infetto e rimuoverlo!

    RispondiElimina

Post più popolari