Come rimuovere tutte le versioni del virus / malware Polizia di Stato

In evidenza

Immagine

In quest’ultimo anno è stato diffuso un virus veramente pericoloso e difficile da rimuovere per computer Windows, il cui nome è Virus Polizia di Stato; questo nome deriva dal fatto che la prima volta che si manifesta vi mostra un avviso a pieno schermo, con scritto che se non mandate 100 euro ad un certo indirizzo postale entro 72 ore vi blocca per sempre il PC con una schermata bianca.

E così avviene. Attenzione però: pagare è la soluzione peggiore che uno possa intraprendere, perché ovviamente non risolve il problema, ma il computer vi viene comunque bloccato. La pericolosità di questo “Virus” (tra virgolette, perché sostanzialmente non è un virus che vi ruba dati, ma un programma che si attiva quando accendete il PC e vi blocca ogni sorta di processo) sta nel fatto che si può manifestare in tante varianti diverse, più o meno violentemente, e che quindi non esiste una guida “standard” su come eliminarlo.

 

UPDATE LUGLIO 2014

Questo “virus” è ormai riuscito ad espandersi tantissimo, tanto da arrivare ad infettare anche dispositivi mobili, quali Smartphone e Tablet; ecco alcune soluzioni da adottare in questi casi:

  • Disinstallate e reinstallate il browser sul vostro dispositivo.
  • Se ancora non funziona, allora (dopo un backup completo) ripristinate completamente il dispositivo.
  • Pare che il problema potrebbe anche essere nel Router, e non propriamente nel dispositivo, per cui in questo caso è sufficiente resettare il router (ogni router ha un tasto che permette ciò).

Se anche il reset del Router non funziona, allora potete  provare a seguire il metodo descritto più avanti: Come impostare al meglio il router.

 

UPDATE GENNAIO 2014

  • Pare che questo fantomatico “virus” colpisca anche Mac e Linux, ma in questo caso ovviamente riesce solo ad impedire l’accesso al Browser, infatti non infetta il computer! In questo caso è sufficiente disinstallare il browser in uso, se diverso da Safari, oppure ripristinare Safari dal menù in alto a destra “Safari -> Ripristina Safari“.
  • Pare esista un’ulteriore versione “soft” del virus (una probabilmente che colpisce anche Mac e Linux), che apre una pagina con il seguente indirizzo: stop.police-guard-you.info; dico soft, perchè per ora pare solo che faccia comparire pagine di minaccia, in modo da farsi inviare soldi sfruttando la paura che genera una scritta “Polizia” e anche sfruttando il nome del Virus polizia di stato (segnalazione dell’utente di WorldInformatic Mary il 24/01/2014).
  • Questa nuova versione non fa altro che reindirizzare tutti i browser alla pagina che ho detto prima, e nel caso in cui il browser non si riesca più a chiudere normalmente, consiglio di chiuderlo con il Task Manager (Monitoraggio attività su Mac).

 

RINGRAZIAMENTI

Ringrazio tutte le persone che contribuiscono, attraverso gli innumerevoli commenti qui sotto, ad aiutare coloro che purtroppo hanno preso questo virus e hanno difficoltà ad eliminarlo; se questa guida vi è stata utile, apprezzerei davvero molto un vostro mi piace all’articolo (cliccando sul pulsante a fondo guida) e/o alla pagina Facebook. Grazie ancora.

 

COS’È IL VIRUS POLIZIA DI STATO

Questa immagine vi mostra come il Virus Polizia di Stato vi colpisce la prima volta (poi se scadono le  24 ore, ogni volta che avviate il pc, vi troverete davanti una schermata bianca che non vi permette di fare niente):

Immagine

Ora sono descritte tutte le varianti e le possibili soluzioni per questo virus, raccolte in giro per la rete e integrate in base alla mia esperienza personale; inoltre ci sono metodi provati e testati da me con cui io ho risolto il problema. Preciso che nei metodi consigliati da altre persone scrivo sempre, per correttezza, la fonte).

 

ULTIMO UPDATE: MAGGIO 2014

LISTA DEI POSSIBILI NOMI DEI FILE CREATI DA QUESTO VIRUS (Costantemente aggiornata)
Qui di seguito c’è la lista con tutti i possibili nomi dei file creati dal Virus Polizia di Stato, aggiornata grazie agli innumerevoli commenti a questo articolo; nella tabella è riportato anche il nome dell’utente che ha gentilmente segnalato la possibile denominazione del file infetto:

 

Data Utente Nome del file Posizione
27/03/2013 Polizia Postale WPBT0.dll C:\Documents and Settings\NOMEUTENTE\Start menu\ProgramsStartup
27/03/2013 Matteo Pumo mahmud.exe Indicato nella guida più avanti
26/05/2013 Vincenzo skype.dat C:\users\utente\AppData\Roaming
12/06/2013 Luciano icq.dat
03/08/2013 Manuel cache.dat C:\users\utente\AppData\Roaming
14/09/2013 Fabio data.dat C:\users\utente\AppData\Roaming
24/01/2014 Gianni Calciati KB9792047.exe
03/04/2014 Mattia bootstat.dat
26/04/2014 Giuseppe di Lorenzo  lollipop_04111329.exe     C:/Users/Utente/appdata/local/lollipop
29/04/2014 Fabrizio Doc Lamarmora   qmdo3lng.cpp C:/Documents and Settings/All Users/Dati applicazioni/2992199F9A/qmdo3lng.cpp   
29/04/2014 Fabrizio Doc Lamarmora   gnl3odmg.lnk C:/Documents and Settings/Utente/Menu Avvio/Programmi/Esecuzione automatica/gnl3odmq.lnk
29/04/2014 Fabrizio Doc Lamarmora   ~+JF6055469183583580057.dll  C:/Documents and Settings/Utente/Impostazioni locali/Temp/~+JF6055469183583580057.dll
07/05/2014 Filippo_Inzaghi GLCA9A.tmp C:\users\user\AppData\Local\Temp\GLCA9A.tmp
20/05/2014 Chicco ing2h4.cpp C:/ Document and setting/ All users/ Dati applicazioni/ 2992199F9A/ ing2h4.cpp
27/05/2014 Alessio KDOVSRZ.CPP e ZRSVODK.DOT C:\Users\NOMEUTENTE\AppData\Local\FB27B406E798CFE4F87336033BBB3F0C

METODO CONSIGLIATO DALLA POLIZIA POSTALE

  • Far partire il computer in “Modalità Provvisoria (o Safe Mode)” (ossia tenere premuto il tasto f8 non appena sta per accendersi lo schermo del PC);
  • Premere poi su Start -> Tutti i programmi, cercare la cartella “Esecuzione automatica” (Su XP non ci si arriva in questo modo, ma andando in C:Documents and SettingsNOMEUTENTEStart menuProgramsStartup) e aprirla;
  • Visualizzerete adesso la lista dei programmi che si avviano automaticamente all’accensione del PC, e tra questi dovrebbe apparire il file “WPBT0.dll“, oppure un file con nome identificativo del tipo “0.< una serie di altri numeri >.exe”;
  • Eliminate questo file mettendolo nel cestino, e poi svuotare anche il cestino;
  • Riavviare quindi il PC e verificare che tutto funzioni correttamente.

 

 

TORNARE INDIETRO NEL TEMPO

Attraverso questo metodo si può “portare indietro nel tempo” il Sistema Operativo Windows, in modo tale da riportarlo nella situazione in cui non era affetto dal virus; questo sistema è davvero semplice, ma in parecchi casi ha risolto il problema evitando di complicarsi la vita! In sostanza è sufficiente utilizzare un’utility propria di Windows (Xp, Vista, 7 e 8), come spiego dettagliatamente in questa guida:

Riportare indietro nel tempo Windows.

 

 

METODO CON LE CHIAVI DI REGISTRO

(Si ringrazia balzanomichele.blogspot.it per immagini e parte di questo metodo.)

  • Entrare sempre in “Modalità Provvisoria” e andare su Start -> Esegui (o Start -> barra di ricerca in basso), digitare regedit e premere invio. Ora seguite il percorso HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon ed eseguite un doppio click su Shell. Nella finestrella che vi compare dovete scrivere explorer.exe (o Explorer.exe in XP);

Immagine

Immagine

  • Se usate Windows XP o 2000, entrate nel prompt dei comandi e digitare:
    cd “Dati Applicazioni” o cd “Applications Data” e premere invio;
    poi digitare del mahmud.exe (e premere invio).
  • Se usate Windows Vista, 7 o 8, entrate nel prompt e digitare:
    cd Appdata e premere invio;
    poi digitare cd roaming e premere nuovamente invio;
    infine scrivere del mahmud.exe (e premere invio).

UPDATE 26/05/2013: a seguito di una segnalazione dell’utente Vincenzo (che ringrazio caldamente), avviso che ora il file in alcuni casi ha cambiato nome, ergo in quei casi non bisogna più digitare del mahmud.exe, ma bensì “del skype.dat” (ovviamente senza virgolette); il file risiede in C:\users\utente\AppData\Roaming.

UPDATE 12/06/2013: a seguito della segnalazione dell’utente Luciano, ora in alcuni casi il file ha nuovamente cambiato nome, e si chiama icq.dat.

UPDATE 03/08/2013: a seguito della segnalazione dell’utente Manuel, il file può ora chiamarsi anche cache.dat e risiedere in: C:\users\utente\AppData\Roaming.

UPDATE 14/09/2013: a seguito della segnalazione dell’utente Fabio, ora il file può chiamarsi anche data.dat e risiedere in: C:\users\utente\AppData\Roaming.

UPDATE 24/01/2014: a seguito della segnalazione dell’utente Gianni Calciati, ora il file in alcune versione del virus ha cambiato nome, può chiamarsi anche KB9792047.exe

UPDATE 03/04/2014: a seguito della segnalazione dell’utente Mattia, il file può anche chiamarsi Bootstat.dat.

UPDATE 26/04/2014: a seguito della segnalazione dell’utente Giuseppe di Lorenzo, il file può anche chiamarsi lollipop_04111329.exe e trovarsi nella cartella C:/Users/Utente/appdata/local/lollipop.

Immagine

Immagine

NOTA BENE: questo metodo è valido anche se si decide di far partire il computer attraverso la Modalità Provvisoria con Prompt dei comandi (da fare se il virus Polizia di Stato vi ha colpito pesantemente e non vi fa partire neanche la Modalità Provvisoria).

 

METODO ATTRAVERSO TASK MANAGER E MSCONFIG SE AVETE UN CERTO LASSO DI TEMPO PRIMA CHE LA SCHERMATA BIANCA VI BLOCCHI TUTTO

 

  1. In questo caso siete stati fortunati, perchè se avete questo breve lasso di tempo potete velocemente premere Ctrl + Alt + Canc all’avvio dell’interfaccia Windows, e killare il processo explorer.exe per avere ancora più tempo; andate quindi in Start -> Esegui (o Start -> barra di ricerca sotto), scrivete msconfig e premete invio (poi seguite le istruzioni che vi sto per dare);
  2. Se invece avete comunque un certo lasso di tempo prima che si blocchi tutto, ma di pochi secondi, recatevi subito a scrivere msconfig, entrando nelle “Configurazioni di sistema”; a questo punto andate nella scheda Avvio, premete su Disabilita tutto, su Applica e infine su ok e riavviate il sistema.

Immagine

METODO ATTRAVERSO MSCONFIG

 

  • Se siete riusciti ad accedere alla Modalità Provvisoria (vedi sopra), digitate msconfig nella solita casellina apposita (vedi sopra) e dalla finestra di “Configurazione di sistema” disabilitate anzitutto la voce “Carica elementi di avvio” e premete su Applica (qui sotto è XP, ma la voce per disabilitare gli elementi di avvio è praticamente uguale per tutti..);

Immagine

  • Adesso andate nella sezione Servizi, nascondete tutti i Servizi Microsoft (selezionando l’apposita casella in basso per evitare danni), e poi disabilitate tutti quei servizi che hanno nomi “strani“, o che non hanno un produttore certificato e attendibile;
  • Infine andate nella sezione Avvio e disabilitate (come vi ho mostato nel caso precedente) anche qui tutti i servizi che non volete che si attivino all’avvio (o che non conoscete..), e prestate particolare attenzione al servizio cfmon, che in molti casi era lui il responsabile del virus! (quindi consiglio di disabilitarlo se non vi serve; qui la guida che spiega a cosa serve e come eliminarlo).

 

METODO ATTRAVERSO DISTRO LINUX E/O RIMOZIONE DELL’HARD DISK

Questo sistema è utilissimo per salvare tutti i dati del vostro PC per sicurezza, e anche per rimuovere ovviamente il virus; ho scelto di mettere insieme questi due procedimenti perchè possono essere utili anche per chi non riesce ad accedere al computer per altri motivi, oltre che per un virus. Comunque ecco le due guide:

 


METODO MANUALE NELLA CARTELLA C:

  • Se ancora non avete risolto, provate ad andare a cercarvi da solo il responsabile di questo virus, navigando in C:Users e cancellando tutti i file “strani” che trovate nelle varie cartelle Temp, Startup (o Esecuzione Automatica) e Application Data. Consiglio anche di svuotare le due cartelle C:WindowsPrefetch e C:WindowsTemp;
  • Inoltre effettuate una ricerca nel vostro PC del programma ctfmon, e quando lo trovate (si trova in System32 comunque) controllate che non sia una copia del virus, o che non sia comunque correlato al virus. Nel caso in cui verifichiate che questo sia effettivamente infetto, potete cancellarlo; in questo articolo trovate spiegato cos’è il processo ctfmon e come cancellarlo.

 

UTILIZZARE COMBOFIX IN MODALITA’ PROVVISORIA
Moltissimi utenti sono riusciti a risolvere questo problema attraverso il software Combofix, che a quanto pare cerca, trova e cancella i file responsabili del virus. Per scaricarlo recatevi a questo indirizzo; dopodichè inseritelo in una chiavetta. Ovviamente bisogna scaricare Combofix da un altro computer, perchè in Modalità Provvisoria internet è disabilitato.
Qui la guida su come utilizzare Combofix: Guida all’utilizzo di Combofix.

  • Avviate Windows in Modalità Provvisoria (possibilmente utilizzando l’account amministratore di default, che se non l’avete attivato dovete attivarlo dal prompt dei comandi digitando net user administrator / active: yes come vi indico più tardi, ma in quasi tutti i casi va bene anche l’account vostro normale con diritti di amministratore) e inserite la chiavetta con dentro il software Combofix;
  • Avviate ora il Task Manager con Ctrl + Alt + Canc e terminate l’applicazione attiva; nei processi, invece, terminate il processo userinit;
  • Infine disattivate tutti gli antivirus che avete e fate partire l’applicazione Combofix e lasciatelo eseguire; non interrompetelo per nessun motivo, e riavviate per ottenere il risultato.

 

NOTA: se Combofix non si avvia a causa di problemi di compatibilità (specialmente su Windows 7), allora provate a:

  1. Rinominare l’eseguibile di Combofix con un nome a vostra scelta .exe (questo perchè molti virus o malware sono configurati in modo da impedire l’avvio di Combofix).
  2. Avviare Combofix una volta entrati in Safe Mode (Modalità provvisoria).
  3. Fate prima una scansione con MalwareBytes (seguite la guida cliccando sul link qui a fianco), ed eliminate tutto ciò che vi indica; dopo avviate Combofix sempre dalla modalità provvisoria.

 

UTILIZZARE IL CD DI KASPERSKY SE NON SI ATTIVA NEANCHE LA MODALITA’ PROVVISORIA
(Si ringranzia it.paperblog.com per questa guida di Kaspersky)

  • Scarichiamo il software Kaspersky Rescue Disk procedendo come indicato in questa ottima guida, e quindi masterizzatelo su un CD;
  • A questo punto, al momento dell’accensione tenete premuto f2 per entrare nel BIOS e selezionate come modalità di avvio principale il CD-ROM; qui la guida che indica come cambiare l’ordine di avvio del PC dal BIOS.
  • Alla fine apparirà una simulazione di sistema operativo e sul desktop verde eseguire Kaspersky Registry Editor.

Ora riattivate il TaskManager con Ctrl + Alt + Canc e verificate le seguenti voci:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policiessystem e verificate il valore di DisableTaskMgr deve essere impostato a 0

Controllate le chiavi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Once

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ex

e, se presenti, anche queste per tutti gli utenti presenti sul sistema:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Once

Tra queste chiavi ci sono i servizi che partono quando accendiamo il pc e quindi ci sarà sicuramente anche il nostro virus. Dunque individuate i nomi sospetti che sono presenti in tutte le chiavi e cancelliamole (tasto destro – elimina)

  • Fatto questo riavviate e dovrebbe essere tutto ok.

 

UTILIZZARE UN ACCOUNT AMMINISTRATORE QUALORA LA MODALITA’ PROVVISORIA DEL NOSTRO ACCOUNT NON PARTA
Se il virus Polizia di Stato ha bloccato anche la modalità provvisoria dell’utente infettato, non ci resta altro da fare che attivare l’account amministratore di default (che ha pieni poteri) e di entrare nella modalità provvisoria con quell’account.
Per creare l’account amministratore, dovete riuscire ad accedere al prompt dei comandi (fatelo scegliendo la voce all’avvio Modalità Provvisoria con prompt dei comandi dopo aver premuto f8) e digitare:

net user administrator / active: yes

Premete invio e ora potete riavviare il computer ed entrare in Modalità Provvisoria con questo account, che ovviamente riuscirà a partire senza attivazione del virus Polizia di Stato, perchè in realtà è stato l’altro utente ad essere infettato. Una volta che avete quindi accesso a tutte le funzioni del vostro PC (anche se ovviamente siete in Safe Mode, quindi limitati) potete provare tutti i metodi descritti precedentemente, e in più:

  1. Dal momento che siete amministratori con pieni poteri, potete navigare tra le cartelle di tutti gli altri utenti alla ricerca del virus;
  2. Oppure potete procedere col metodo che descrivo qui sotto.

 

UTILIZZARE L’ACCOUNT AMMINISTRATORE IN MODALITA’ PROVVISORIA PER CREARE UN ALTRO UTENTE AMMINISTRATORE, AGGIRANDO IL PROBLEMA  ED ELIMINANDO PER SEMPRE IL VIRUS

Devo ammettere di non aver purtroppo pensato quasi subito a questa soluzione, che sicuramente è la più rapida e indolore, a patto ovviamente di fare tutto correttamente. Per eseguire questo metodo bisogna accedere in modalità provvisoria attraverso però l’account amministatore con pieni poteri che, se non è già visibile di default nella vostra macchina, dovete attivare seguendo il procedimento che vi ho già descritto.

  • Una volta entrati nella Safe Mode, recatevi nel Pannello di controllo e andate alla scheda di creazione di un nuovo utente, che ad esempio per Windows 7 si trova seguendo il percorso Account utente -> Gestisci account -> Crea nuovo account (in Vista e XP si trova in altri percorsi, ma tutti abbastanza intuitivi da trovare; comunque se avete problemi ovviamente scrivete nei commenti!):

Immagine

  • Nella schermata sopra premete quindi su “Gestisci un altro account” e poi create un nuovo account amministratore;
  • Adesso copiatevi immagini, video, musica e anche i file più importanti che volete conservare (notare che in realtà i file vi dovrebbero rimanere, come ovviamente è accaduto a me, ma per sicurezza copiateveli su un dispositivo esterno!);
  • Ora il vostro problema è pressoché risolto, perché infatti ora riavviando il sistema avrete la possibilità di scegliere con quale utente partire, e ovviamente dovete scegliere il nuovo account;
  • Questo nuovo account, essendo stato creato da un account amministratore con pieni poteri, ha “ereditato” i programmi del vecchio utente, ma ovviamente non il virus Polizia di Stato, che ora è stato eliminato; non è quindi come un reset del sistema, come qualcuno potrebbe pensare, perchè infatti i programmi non vengono persi in questo modo;
  • A questo punto, se volete, potete quindi definitivamente eliminare quell’account infetto, e con lui il maledetto virus.

 

USARE MALWAREBYTES IN MODALITA’ PROVVISORIA
Qui la guida su come utilizzare MalwareBytes: Guida all’utilizzo di MalwareBytes.
Tra le tantissime varianti del virus Polizia di Stato, c’è n’è anche una molto “debole“, debellata facilmente da molti utenti utilizzando il software Malwarebytes, scaricabile a questo indirizzo; l’ho provato anch’io come metodo e devo dire che è veramente un software ottimo (nonostante a me non abbia risolto il problema), perchè infatti ha trovato tantissimi altri virus e malware. Comunque si procede in questo modo:

  • Entrate in modalità provvisoria ed inserite la chiavetta sulla quale avete inserito il programma Malwarebytes;
  • Consiglio anche in questo caso di disattivare l’antivirus, e fate poi partire quindi la scansione del sistema, che durerà abbastanza;
  • Riavviate e in alcuni casi questo procedimento ha risolto il problema. 

 

METODO ATTRAVERSO IL PROMPT DEI COMANDI SE TASK MANAGER, REGEDIT E MODALITÀ PROVVISORIA SONO BLOCCATI

Questa soluzione è stata gentilmente consigliata il 24/01/2014 dall’utente di WorldInformatic Gianni Calciati, che ringrazio.

Se la modalità provvisoria è bloccata, allora premete F8 all’avvio del computer e scegliete la voce “Modalità provvisoria con prompt dei comandi“; dato che Regedit e Task Manager non funzionano, dovete perciò riuscire ad aprire il pannello di controllo. Per fare questo digitate nel prompt dei comandi la seguente stringa:

\control

Quando vi chiede se continuare in modalità provvisoria (o ripristinare configurazioni precedenti) premete su NO, e insieme alla console di ripristino configurazioni si attiverà anche explorer.exe (ovvero visualizzerete il desktop). Ora è come se foste entrati in modalità provvisoria, perciò riaprite nuovamente il prompt dei comandi e digitate le seguenti stringhe (seguite da invio) per attivare Task Manager e Regedit:

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /f

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /f

 

Ora che Regedit è di nuovo attivo, seguite il metodo descritto più in alto: METODO CON LE CHIAVI DI REGISTRO.

 

COME IMPOSTARE AL MEGLIO IL ROUTER 

Si ringrazia per questo metodo felicebalsamo.it (su segnalazione dell’utente STEFANO):

  1. Una volta eseguito l’accesso al router, avrete una schermata quella quella in basso.
    Selezionate Access Management: In questa sezione si possono gestire le Access Control List (ACL), ovvero delle limitazioni che possiamo abilitare sul router.
    Creiamo quindi una nuova regola impostando esattamente come nella figura in basso:
    ACL Rule Index: Posizionato su 1
    Active: impostato su Yes
    Secure IP Address: Si autoimposta a 0.0.0.0 0.0.0.0
    Application: ALL (vuol dire limitazione su tutte le funzioni del router)
    Interface: LAN (importante mettere LAN e non WAN), in questo modo solo dalla rete interna è possibile compiere operazioni sul router.
  2. Successivamente clicchiamo su SAVE.

Per approfondimenti guardate l’articolo di Felice Balsamo reperibile a questo link: Soluzione per i modem/router TP-Link: DNS modificati sui router.

tp-link-protezione-accesso-esterno-login

 

ATTENZIONE
Dato che da vari commenti ho rilevato che ci sono parecchi dubbi su determinati file da cancellare, qui ne elenco alcuni che non bisogna eliminare:

  • Ctfmon.exe: In questo articolo la guida che descrive cos’è, come funziona e come eventualmente disabilitarlo o eliminarlo; spesso il virus prende questo nome, ma fate attenzione a non confonderlo col file originale.
  • Rundll32.exeQuesto file è importantissimo al Sistema Operativo, perchè permette l’esecuzione dei DLL come un’applicazione; ho scritto che il processo colpevole può essere rundll32.exe, perché il virus Polizia di Stato a volte ne crea una copia infetta o infetta proprio quello originale, ma se il file rundll32.exe non è infettato non va assolutamente cancellato (In sostanza va cancellato solo se è una copia formata dal virus)!
  • Explorer.exe: In questo articolo la guida che descrive cos’è e perchè bisogna stare attenti a come trattarlo; questo file lo potete disabilitare temporaneamente per cancellare il virus, ma prestate attenzione.
  • Csrss.exe e Svchost.exe: In questo articolo parlo di questi due processi di sistema, indicando in entrambi i casi quando possono essere pericolosi, e quando invece no.

Mi auguro che la guida sia stata utile, e vi invito anche a lasciare tanti commenti con soluzioni nuove e inedite, così da aiutare sempre in modo migliore chi viene colpito dal virus Polizia di Stato.

Matteo Pumo

Articolo scritto da Matteo Pumo

Frequento l'Università di Bologna, facoltà di Ingegneria Informatica; mi sono diplomato nel 2012 come ragioniere informatico.

facebooktwittergoogle_plus
  • Tyler23

    ciao, ho seguito i tuoi consigli ma non riesco ad eliminare il virus. Ho provato ad utilizzare un account amministratore perchè la modalità provvisoria parte ma dura un secondo e poi si arresta il sistema da solo. Ma nonostante nel prompt dei comandi digito “net user……” e poi riavvio il sistema non riesco ad entrare in modalità provvisoria, volevo usare questo metodo per poi creare un nuovo account che non contiene il virus ed eliminare il vecchio. le ho provate tutte, anche il sistema “regedit” o “cartella in esecuzione” ma non riesco.. cosa faccio? grazie mille

  • bastavirus

    ciao,
    ieri ho presoquesto virus. oggi ho portato il pc a un centro assistenza. oggi su un altro computer ho guardato la mia posta è ho notato che mi è arrivata una registrazione a slideME che ovviamente non ho fatto. può essere collegata al virus?
    grazie

    • http://www.worldinformatic.com Matteo Pumo

      Ciao,
      quella registrazione non penso proprio che derivi dal virus, perchè questo “virus” non ruba i dati, ma ti blocca il PC per ricevere dei soldi; sicuramente sarà qualcuno (o qualche sistema apposito che preleva indirizzi dalla rete) che ha registrato la tua mail. Tuttavia non c’è nulla di cui preoccuparsi, perchè se non sei interessato basta disiscriversi.

      Pumo Matteo

  • Gianni

    sono di nuovo io, sembra che tutto sia OK, ma vorrei aggiungere un paio di commenti: Il primo (banale) é che non riesco a capire come il creatore/utilizzatore di questo malware possa essere talmente imbecille da pensare che qualcuno possa credere che la Polizia di Stato chieda dei soldi online per sbloccare la macchina, e per di più in un italiano abbastanza approssimativo. Vabbé la mamma dei cretini è sempre incinta.
    La seconda osservazione riguarda la mia “infezione”; mi chiedo infatti come mai i miei due antivirus, che lavorano in tandem e sono ovviamente sempre aggiornati, non abbiano rilevato la minaccia (Avast e Vir It). Per fortuna la mia variante mi permetteva l’avvio in modalità provvisoria, per cui la rimozione non è stata particolarmente difficile. Interessanta comunque il fatto che al riavvio Avast ha rilevato con la funzione euristica, e quindi non come infezione già operativa, la presenza del malware in documente & settings/alluser. Il malware è stato quindi isolato, spostato nel cestino di Avast e da me definitivamente rimosso, dopo aver inviato ad Avast per le analisi del caso il file sospetto.
    Questo per tua (e di chi ci legge) conoscenza.
    Ancora grazie

    Gianni

    • http://www.worldinformatic.com Matteo Pumo

      Purtroppo invece tantissime persone nel mondo hanno pagato, e si stima che il guadagno di queste persone si aggiri addirittura intorno al milione di euro; questo perché molti hanno giustamente paura di perdere tutto e quindi di essere “rovinati”. Tra l’altro l’avviso con la schermata della polizia si adatta spesso addirittura all’uso dell’utente! Mi spiego meglio: spesso (non sempre) se si visita siti pornografici, questo avviso si presenta dicendo appunto che hai visitato questo tipo di siti e che la polizia ti ha beccato; se stai cercando di scaricare programmi o altro .torrent ti manda un avviso inerente a ciò.

      Gli Antivirus non riescono a rilevare questo malware, perchè è talmente infimo che riesce a infettare anche solo premendo su un link, e poi a cambiare le chiavi di registro e farsi passare come un normale processo; poi dopo attivandosi all’avvio del computer blocca ogni funzione! Interessante comunque che dopo la rimozione dalla modalità provvisoria e il successivo riavvio, Avast l’abbia rilevato. Grazie della segnalazione.

      Pumo Matteo

  • Gianni

    eccellente, ho risolto. Grazie 1000!

    • http://www.worldinformatic.com Matteo Pumo

      Ciao Gianni,
      sono contento che la guida ti sia stata utile per rimuovere questo virus.
      Grazie per il commento.

      Pumo Matteo

  • Gatta

    Ciao! Volevo ringraziarti per l’articolo, è molto esplicativo e ben scritto. Tuttavia non ho eliminato il virus con nessuno di questi metodi, per cui la mia procedura potrebbe essere utile per completare le informazioni sopra citate.
    In pratica, non ho trovato modifiche al registro di Windows nè processi o file strani in esecuzione. Il virus si presentava qualche secondo dopo l’accesso all’account, e sottolineo accesso all’account, e non avvio del PC; quindi, dopo aver disattivato i servizi in esecuzione automatica senza però concludere qualcosa, sono entrata in modalità provvisoria e mi sono accorta che il processo “colpevole” aveva un nome ben noto a chi conosce un po’ Windows: nel Task Manager si presentava come rundll32.exe. Dopo ulteriori controlli ho notato che, effettivamente, nella cartella dell’utente c’era un file chiamato rundll32; tuttavia, la sua cancellazione non ha rimosso il virus, che è stato debellato soltanto dall’intervento di Combofix. In breve, la mia procedura è questa:
    - accedere al computer in Modalità Provvisoria
    - nel breve tempo concesso dal virus dall’accesso all’account finchè non appare l’avviso della polizia sullo schermo premere velocemente Ctrl+Alt+Canc e, nel Task Manager, andare nella scheda processi e terminare “rundll32.exe” (l’ultimo a partire, a volte bisogna aspettare qualche momento); questo è un passo difficile in quanto c’è pochissimo tempo a disposizione; nel caso (molto probabile) in cui il tentativo non riesca, è meglio disconnettersi con Win+L in modo da non dover completamente riavviare il computer e perdere molto tempo
    - una volta terminato il processo, il computer è temporaneamente “pulito” (fino al riavvio); scaricare quindi Combofix da http://combofix.org/download.php e avviarlo: il programma farà il suo dovere e toglierà definitivamente il virus

    E’ un processo semplice ma difficile per il tempo a disposizione; spero di essere stata, nel tentativo di essere chiara, troppo ripetitiva :)

    • http://www.worldinformatic.com Matteo Pumo

      Ciao! Grazie mille a te per il commento utilissimo! È davvero importante condividere le proprie esperienze con tutti, perchè questo virus si evolve continuamente e cambia anche modo di infettare, perciò più informazioni si hanno e meglio è! Grazie ancora.

      Pumo Matteo

      • Massimo

        Brava Gatta! Ottimi consigli e ben esposti.

  • Marco Maccario

    Io son riuscito a debellare questo virus su un pc con windows vista: ho acceso normalmente il pc e prima che mi arrivasse il blocco ho avviato un programma a caso, poi, una volta subentrata la schermata bianca, con ctrl+alt+canc ho cliccato su arresta il sistema, e siccome era in esecuzione un programma mi ha chiesto conferma per l’arresto, allora ho cliccato su annulla, la pagina di blocco è sparita. ho avviato una scansione con malwarebytes ed ho eliminato il virus (trojan).

    • skinner

      GRANDE! Grazie, avevo provato diversi metodi ma solo il tuo ha funzionato!

  • peppe

    Salve a tutti. Io il problema l’ho risolto collegando l’hard disk con un lettore ad una porta usb e fatto la scansione con internet security. Vi posso assicurare che con un paio di scansioni si debella il virus

  • Luca

    Ciao ieri sera ho trovato il mio pc già bloccato da questo virus premesso io uso win7 proffessional a me nella schermata il logo era addirittura della “POLIZIA PENITENZIARIA” cmq. visto che si attivava immediatamente e non lasciava il tempo per nessuna manovra dopo qualche tentativo inutile sono entrato nel secondo profilo attivo (serve sempre un secondo profilo utente) tramite l’antivirus AVG ho visto che tipo di virus era ma non era rimuovibile quindi ho attivato da win7 il punto di ripristino più recente nessun file viene modificato ma tutto quello che è stato installato negli ultimi giorni viene rimosso e infatti ha funzionato alla grande sparito pc ripartito subito su entrambi i profili .

  • Francesco

    Ciao a tutti, io ho beccato ieri sera questo malefico virus, e per di più nella modalità che non mi fa accedere a window con nessun tipo di modalità provvisoria. Ho fatto ripartire il tutto con Kaspersky rescue Disk 10 e ho seguito alla lettera le istruzioni nei vari tutorial (tutte simili). Quando mi è stato detto di controllare ed eliminare il nome di alcuni file sospetti…..ho avuto un attimo di perplessità. Non esiste un elenco con il nome di questi file? non vorrei cancellare per sbaglio qualcosa che potrebe essere utile per il mio pc e danneggiarlo ulteriormente.
    Grazie

    • http://www.worldinformatic.com Matteo Pumo

      Una lista di file sospetti vera e propria non esiste, ma se metti insieme tutte le informazioni che ho scritto sopra qualcosa salta fuori! Ovvero i processi e/o file colpevoli possono essere:

      In “C:\Documents and Settings\NOMEUTENTE\Start menu\Programs\Startup”:
      - WBPT0.dll
      - 0.[numeri vari].exe

      In “System32″:
      - ctfmon.exe
      - rundll32.exe

      Seguendo invece la guida del regedit qui sopra, cancellare mahmud.exe

      Come altro metodo consiglio di svuotare le due cartelle C:\Windows\Prefetch e C:\Windows\Temp. In molti casi, invece, attraverso l’utilizzo di Combofix non è stato necessario ricercare e cancellare file sospetti, ma l’ha fatto il programma da solo.

      • Francesco

        Fianlmente dopo tanto penare sono riuscito a far ripartire windows, grazie ai prerziosi consigli di Matteo. Anzitutto sono andato ad eliminare due file in system32:

        ctfmon.exe
        rundll32.exe

        Dopodichè ho cancellato tutti i vari file temporanei nella cartella TEMP windows. Fatto tutto questo mi si è posto il problema che il pc continuava a rimandarmi in loop alla schermata dove viene chiesto se sivuole riavviare in modalità provvisoria ecc. ecc. e qualunque opzione scegliessi tornava sempre li.
        Per risolvere il tutto ho utilizzato la Console di ripristino (inserendo il cd di windows) e ho dato il comando C: CHKDSK \R per controllare e riparare i file danneggiati.
        Dopo un bel pò di tempo mi è riaprtito il sistema operativo, anche se ora credo dovrò metterci qualche aggiornamento

        Grazie ancora a Matteo per l’aiuto e la disponibilità costante!!!

  • Matteo

    un metodo infallibile e’ usare combofix.testato su 2 pc infetti.innanzi tutto bisogna avere un secondo pc e scarcare l’ultima versione di combofix,passare il file su una pennetta usb e inserire nel pc infetto .detto questo riavviare in modalita’ provvisoria con il prompt dei comandi.una volta ottenuta la schermata digitare explorer.exe e selezionare il percorso della pennetta usb,trascinare il programma sul desktop (e’ un eseguibile quindi non necessita di installazione) selezionare combofix,lanciare il programma e attendere.risultato assicurato !!!

    • cristian

      Mi associo a Matteo, ho usato combofix e il virus è sparito, prima ho provato con gli altri consigli, ma nulla da fare……

  • KrsnaNemo

    Io è già la terza volta che lo prendo e la prima volta ho avuto la fortuna che il virus non fosse velocissimo ad apparire così istintivamente ho cliccato sul collegamento del mio antivirus che aprendosi ha “distratto” il virus rallentandone il manifestarsi,poi sempre a caso ho aperto il programma per andare su internet (ho la chiavetta) e ho cercato forum come questo (anzi credo proprio che questo sia stato il primo che ho letto) per capirci qualcosa,ho scaricato Malwarebytes e ho risolto. La seconda volta ne ho beccato una versione violentissima che mi bloccava la schermata non appena si sarebbe dovuta aprire…panico totale,stavo già pensando a portarlo da un tecnico ma prima ho provato ad agire nelle varie modalità che mi ricordavo di aver letto nei forum ma senza risultato..quindi prompt,modalità provv. etc.. Poi ho avuto il (lampo di genio?),quindi ho spento per l’ennesima volta il pc e durante l’ennesima riaccensione,ho staccato la spina proprio mentre c’era la barretta di caricamento dove sopra mi sembra ci sia scritto “Windows Corporation” obbligando quindi il pc all’autorestore,nel senso;your sistem was unable to start..etc. Finito il processo il pc si è riacceso normalmente e del famigerato virus non vi era più traccia:per sicurezza ho comunque fatto un paio di analisi complete sia con Windos Secuity che con Malwarebytes che hanno rilevato anomalie nel sistema. La terza volta è andata più o meno come la prima visto che quel tipo di virus era davvero molto lento.Grazie a tutti per tutti i preziosi consigli !!

  • Francesca

    Ciao, è possibile che il virus non si chiami più mahmud.exe? Perché ho provato ad eliminarlo usando il terminale, ma nel momento di doverlo cancellare mi ha detto che era impossibile trovarlo. Ovviamente ho verificato molte volte che fossi nelle cartelle giuste!
    Se per caso non fosse il nome il problema, mi consigli di cercare un file dal nome strano con “dir”?
    Ovviamente la modalità provvisoria è bloccata, e anche l’account amministratore “assistenza” che abbiamo.
    Grazie mille!

    • http://www.worldinformatic.com Matteo Pumo

      Possibilissimo! Anche a me non ha trovato niente con quella procedura; quella di usare dir è una bella soluzione, sperando però che il virus sia li e abbia un nome effettivamente “strano”! Altrimenti prova uno dei tanti metodi descritti; buona fortuna.

      Pumo Matteo

  • grandeandy

    Un grazie infinito anche da parte mia,seguendo i vostri preziosi consigli sono riuscito a depennare questo fastidiosissimo quanto stupido virus :-) Grazie!!!

  • Andreea

    ciao Matteo, io ho beccato questo virus oggi per la seconda volta, sono riuscita a toglierlo grazie alle tue guide ma vorrei chiederti se potresti scrivermi i passi più dettagliati di cosa fare dopo aver elliminato il virus e fatto la scnsione del pc per assicurarmi che il virus non c’è più… ti sarei molto grata, grazie mille anticipatamente!

    • http://www.worldinformatic.com Matteo Pumo

      Ciao Andreea,
      mi fa piacere sapere che la guida ti è stata utile per debellare il virus; per risponderti in modo migliore mi occorrerebbe sapere anche quale modo hai adottato per eliminarlo, ma comunque hai già fatto il grosso del lavoro bloccando il virus! Adesso dovresti fare:

      - Un’altra scansione di sicurezza con Combofix (se non l’hai già eseguito per eliminare il virus);
      - Un’altra scansione completa del sistema con un qualsiasi Antivirus (ad esempio Avast o Malware Bytes);
      - Svuotare le cartelle TEMP e PREFETCH di System32 per sicurezza;
      - Controllare che le applicazioni che partono all’avvio del sistema siano solo ed esclusivamente quelle che vuoi tu;
      - Controllare con il metodo delle chiavi di sistema (regedit), descritto sopra nella guida, che il valore “explorer.exe” sia a posto;
      - Sempre per sicurezza ti consiglio di crearti un altro account amministratore che potrai usare in casi come questi, perchè il virus blocca di fatto un solo utente (anche se può capitare che blocchi tutti gli utenti, ma nei casi più sfortunati).

  • Dmitry

    Oggi questo virus è arrivato in azienda da me, si è diffuso a macchia d’olio via skype, sono stato uno dei pochi a non cascarci. Non ho letto tutti i commenti, quindi segnalo solo rispetto all’articolo: nel nostro caso il pc non entrava neppure in modalità provvisoria! non riconosceva l’F8 all’avvio, e questo su tutti i pc infetti – il virus si è evoluto. I responsabili informatica poi ci sono riusciti, non so come, e hanno debellato il virus seguendo le procedure illustrate qui e in altri siti. Poi però nel pc riparato hanno trovato decine di processi sconosciuti, per cui l’alternativa era far intervenire l’assistenza esterna oppure formattare tutto. Hanno deciso che è più economico e semplice formattare. Per recuperare e salvare i nostri dati abbiamo fatto un boot col cd di ubuntu in modalità “prova”. Entriamo con ubuntu, salviamo i dati e poi formattiamo tutto.

    • http://www.worldinformatic.com Matteo Pumo

      Ciao, per debellare il virus probabilmente i tecnici hanno usato distro Linux o simili, procedimenti non indicati in questo articolo perché richiedono conoscenze più avanzate del “normale” e soprattutto non è facilissimo da spiegare. Comunque si, purtroppo il virus si evolve continuamente ed è sempre più difficile da eliminare; basti pensare che la prima versione si eliminava semplicemente togliendo dagli elementi di avvio un file .dll.. Inoltre (mi chiedo anche il perché) sembra ci sia poco interesse da parte della polizia postale, perché l’unico modo che loro consigliano è quello che ho scritto poco fa!

      Strano e interessante il fatto che si siano formati “strani” processi sconosciuti una volta debellato il virus; grazie per la segnalazione.

  • Vincenzo

    Salve a tutti, il malware ha cambiato nome, dal 24 maggio 2013 si chiama skype.dat, risiede in: C:\users\utente\AppData\Roaming.
    Quindi seguendo le istruzioni di quest’ottima guida potete cancellarlo tramite il comando dos: del skype.dat dopo esservi posizionati nella directori di cui sopra. Io personalmente dopo aver eseguito le istruzioni con il prompt dos (non si poteva entrare in safety mode) non vedevo il file indicato mahmud.exe ma, notavo due file skype, per cui per essere sicuro ho smontato l’hd dal pc e l’ho montato su un supporto per hd esterni con presa usb, poi tramite un altro pc con avast free aggiornato ho eseguito la scansione sull’hd collegato sulla porta usb, dopo quasi due ore di scansione avast mi ha individuato il file skype.dat eliminandolo. Rimontato l’hd sul pc che era infetto è tornato a rivivere come nuovo (niente più schermi bianchi). Spero che vi possa aiutare. Un saluto a tutti e complimenti a Pumo Matteo ;)
    Vincenzo

    • http://www.worldinformatic.com Matteo Pumo

      Ciao Vincenzo, e grazie mille davvero per l’importantissima segnalazione e anche per i complimenti; ora ho aggiornato la guida, in modo da aiutare i prossimi!

      • Vincenzo

        Grazie a te Matteo!

  • izimagic

    Fantastico! Grazie mille, ci sono riuscito cosi: F8 al avvio, poi ho scritto explorer.exe nel promtp, enter, e come detto ho creato un nuovo account amministratore, poi eliminato quello vecchio. funziona alla grande! GRAZIE ANCORA!

  • alex

    Ciao! Volevo chiedere un chiarimento circa il fatto che l’antivirus normalmente non lo intercetta. A me è successa una cosa particolare: il mio antivirus (Norton) ha riconosciuto e bloccato il trojan skype.dat (che tu citi in questa lista di soluzioni). In seguito è tuttavia apparso il collegamento alla webcam che sono riuscito a cancellare e la famosa pagina a tutto schermo della polizia postale (senza foto). Non sapendo come fare, ho spento il pc con il tasto di accensione (so che non è il massimo). Riacceso il pc, tutto funzionava normalmente, ho provato per precauzione ad attuare qualche procedura di ricerca del virus da te proposta, ma tutto ok, idem la scansione completa di norton. Posso stare tranquillo? grazie!!!!

    • http://www.worldinformatic.com Matteo Pumo

      Ciao Alex, se questo fatto ti è capitato più di 24 ore fa e il computer non ti si è bloccato puoi stare tranquillo; altrimenti ti consiglio di controllare in modo molto accurato (seguendo la guida) che tutto sia in ordine (nelle chiavi di sistema, negli elementi di avvio, nei servizi..) e di crearti già per sicurezza un nuovo account utente amministratore! Inoltre copia per sicurezza i dati più importanti o nel nuovo account, o in una chiavetta.

      Se passate le 24 ore non hai problemi e il computer è normale, puoi stare tranquillo perché a quanto pare il Norton ha fatto un ottimo lavoro!

  • Dario

    Grazie Matteo…. Ho appena risolto eliminando l’account…come dicono dalle mie parti:devo campate 100anni :)))))

  • pet85

    buongiornnn ragazzi stamattina sul mio pc che ho rimasto acceso mi è arrivat un messaggio sul monitor con su scritto IL PC è STATO BLOCCATO PER ACCESSO INVOLONTARIO A SITI A RISCHIO DI SANZIONI DA 100000 EURO E RECLUSIONE FINO A 11 ANNI -.- io mi son allarmat ma poi arrivando alla scritta sotto c era scrittto che potevo risolvere il tutto versando entro 72 ore con pay pal 100 euro da li ho spento e riacceso il pc e ora va bene

    devo preoccuparmi?? o sti truffatori cercano di rubarsi 100 eur?? mi si bloccherà tra 72 ore?? vi ringrazio tanto per l aiuto

    • http://www.worldinformatic.com Matteo Pumo

      Ciao pet85,
      ti dico subito che puoi stare tranquillissimo che nessuno ruberà dati o soldi, in quanto questo “virus” non ne è in grado; tuttavia quasi sicuramente potrebbe bloccarti il PC, quindi adesso metti al riparo, facendo ciò che ho consigliato anche ad altre persone:
      - Fai una scansione completa del PC con un normale antivirus;
      - Vai a controllare nel Regedit che sia tutto a posto;
      - Controlla tutti i servizi all’avvio ed elimina quelli sospetti (msconfig);
      - Creati un nuovo account amministratore e copia li tutti i file più importanti.
      - Inoltre ti consiglio anche una scansione con Combofix.

  • dbg51

    Buongiorno

    In un caso dove ho dovuto togliere il virus non era più possibile avviare il pc in modalità provvisoria (F8).Subito dopo la schermata di Windows appariva quella del virus. Cmd Alt Del mostrava gestione attività ma i menù erano inattivi, riportando sempre alla schermata del virus. Seguendo in parte quanto suggerito sopra ho creato un disco Kaspersky Rescue Disk e da boot ho impostato che lo caricasse all’ avvio del pc. Avviata l’ applicazione in modalità grafica (1mo menu) ho aggiornato il data base di Kaspersky (importante altrimenti non trova il virus) e ho lanciato la scansione (ca.2 ore) Al termine ha segnalato la presenza e il path di un virus dal nome Skype.dat però l’ antivirus non era in grado di rimuoverlo. Kaspersky Rescue Disk permette anche di vedere le cartelle del pc. Entrato in C:\User\Nome utente\Appdata come indicato dall’ antivirus ho trovato il file Skype.dat e Skipe.ini. Eliminati nel cestino e riavviato il pc tutto é rifunzionato nuovamente.
    Grazie delle dritte un po’ di tutti.

  • Stefano

    Ciao Matteo!

    Anzitutto volevo ringraziarti che mi hai salvato: i 100 euro dovrebbero arrivare a te!

    Sono riuscito a debellarlo usando prompt comandi: creato nuovo account da cui avviata modalità provvisoria e poi riportato indietro il PC con ripristino conf. sistema.
    Infatti dal mio account infetto non si apriva neanche la modalità provvisoria.

    La domanda che ti chiedo è questa. Dopo che l’ho riportato indietro in questo modo e tutto è ok, devo anche controllare i registri o eliminare file sospetti o mi fermo qui?

    Il dubbio mi viene perché tecnicamente ripristino config. sistema non elimina file, quindi temo che il file del virus sia ancora in giro.

    Ora sto facendo scansione con avg. Mi procuro anche combofix che non conoscevo.

    Grazie ancora di tutto veramente!

    • http://www.worldinformatic.com Matteo Pumo

      Ciao Stefano, e grazie mille per i complimenti. Comunque il Ripristino Configurazione di Sistema riporta indietro il PC a una certa data, e se in quella data non avevi il virus tecnicamente adesso dovresti averlo eliminato; comunque per sicurezza controlla anche registri e msconfig in 10 minuti che non si sa mai.

  • guardavo_un_porno

    Sei un grande!!! Ho seguito tutti i tuoi consigli e alla fine ci sono riuscito. Mi faceva solo una schermata bianca senza niente, senza polizia o altro. Non mi partiva nemmeno con la modalità provvisoria e quando ci provavo dopo il login si riavviava. Io riuscivo a avviare solo in modalità provvisoria con il prompt dei comandi dos. Poi laciavo explorer.exe e riuscivo vedere le cartelle come nella modalità provvisoria. Però non trovavo la cartella “roaming” in questo modo. Allora ho cercato dal prompt con i comandi in dos e cancellano come hai scritto tu (sei un grandissimo) cancellando il file skype.dat ci sono riuscito. Considera che sono a Stoccolma e domani ho un meeting con il cliente e sono venuto praticamente apposta e che figura di m**da ci avrei fatto. Senza considerare il tempo che questo ca**o di virus mi avrebbe fatto perdere che sono in trasferta fino al prox giovedì e senza PC non fò un ca**o…Cosa dire.. se qualcuno ci ha fatto dei soldi con questa porcata gli auguro possano servirgli per comprarsi tante medicine…grazie dopo un scaga**o tremendo e 5 ore di disperazione a riavviare il PC come un automa adesso posso andare a dormire.. :)

  • Mauro Castaldi

    Ciao. Se avete il virus sul vostro netbook e non avete la possibilità di fare il boot perchè non avete il cd esterno usb, scaricate la iso di kaspersky rescue cd e anche l’utility per registrare l’iso su usb da http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/rescue2usb.exe

    Verificate che sia abilitato il boot da usb nel bios del netbook.

  • Antonio

    il modo più veloce e risolutivo è ripristinare uno stato del computer precedente all’infezione. in modalità provvisoria, da administrator, start-programmi-accessori-ripristino configurazione di sistema…

    • Stano

      La soluzione perfetta, ho fatto la stessa cosa con Win7 Home Premium e in 10 minuti è ripartito tutto!

  • vale42

    Grazie Matteo per i tuoi chiari e preziosi consigli.
    Sono un “settantenne” ma sono riuscito a capirli e a metterli in pratica, e soprattutto ce l’ho fatta.!!!
    Ho provato diverse vie ma ho poi dovuto fare un mix dei vari suggerimenti presenti nel tuo blog.
    Se serve contribuisco anch’io: non riuscivo ad aprire la Modalità provvisoria perchè il tasto F8 non aveva effetti, allora ho aperto il PC e ho lasciato che comparisse il …” Maledetto” poi, anzichè chiudere normalmente ho forzato la chiusura spegnendo il PC di brutto così alla riapertura ci ha pensato lui a propormi la Modalità Provvisoria.
    Ho scelto quella con il prompt dei comani, ho aperto un nuovo account come amministratore e così, come hai suggerito tu l’ HO FREGATO!.
    Ti chiedo solo una cosa non sono riuscito ad attuare l’ultima fase, cioè “net localgroup Users nome_utente /delete” e questo perchè continuavo a scrivere User senza la “s” finale.
    Così ci ho rinunciato e solo dopo mi sono accorto del perchè.
    E’ ancora necessario farlo? Se non lo faccio cosa succede ?
    Grazie, Ciao
    Vale42

    • http://www.worldinformatic.com Matteo Pumo

      Ciao Vale42,
      grazie anzitutto per i complimenti. Quell’ultimo procedimento serve per eliminare l’account infetto; non è obbligatoria come cosa, però conviene perché in questo modo elimini definitivamente il virus dal tuo computer, che altrimenti rimane li (anche se inerme) nell’account infetto. Mi fa piacere che la mia guida ti sia stata utile.

  • Alessandro

    Attenzione, ho trovato un altra variante del nome. Ora si chiama “cache.dat”
    Ho risolto cancellando nella directory users/[utente]/Appdata/Roaming/ i files cache.dat e cache.ini

  • Luca

    Buongiorno a tutti.

    Volevo aggiungere qualche precisazione per quelli che non trovano, caricando il registry, la chiave “Shell” sotto HK_USERS e offrire qualche tip in generale a tutti. Purtroppo non sempre viene caricato l’hive completo del profilo utente non in uso, quindi si rischia di NON trovare la chiave modificata “Shell” che lancia il ransomware (cache.dat o skype.dat) del profilo infetto. Facendo un refresh del hive non sempre appare, nemmeno chiudendo regedit/regedt32 e riaprendolo (specialmente sotto XP). La cosa più semplice da fare è utilizzare un programma di terze parti per accedere al registry o uno scanner gratuito come Hitman Pro: basta lanciarlo senza installarlo e non appena scansiona il registry, appariranno le chiavi utente aggiuntive (anche con regedit aperto) e potrete entrare e ripristinare il valore della chiave Shell modificata. Nello specifico Hitman Pro già vi segnalerà il ransomware e la chiave modificata, confermandovi il tutto. Potete tranquillamente chiuderlo una volta localizzata e procedere alla modifica manuale, anche perchè se non registrate Hitman pro non procede con la pulizia.
    Per essere totalmente precisi, non dovrebbe esserci nessuna chiave Shell sotto al vostro profilo utente. Questo perchè la chiave esiste già sotto il profilo HKLM della vostra macchina, che viene caricato di default per qualsiasi profilo – a meno che non ne venga specificata una utente. Quindi, se cancellate completamente la chiave “Shell” *dal vostro profilo* (NON DA HKLM), sarete a posto. Queste perchè windows vi da la possibilità, tramite il vostro profilo, di customizzare anche volendo l’interfaccia di base, ma purtroppo è anche un “punto di ingresso” per molti malware, proprio per questo motivo. Infatti non è necessario essere amministratori per modificare questa chiave specifica, ma soltanto power users. Fortunatamente per chi amministra PC aziendali, le chiavi amministrative rimangono intoccate se l’utente non è amministratore, salvando il PC e permettendo il rapido ripristino in questi casi, anche in remoto.
    Un ulteriore consiglio per tutti quindi, è quello di non usare normalmente un profilo con diritti amministrativi, specialmente se usate Windows XP. Createvi un profilo non amministrativo che potete utilizzare per navigare e quant’altro “allo sbaragllio”, e nel caso in cui si presentassero infezioni simili, basterà entrare con il vostro profilo amministrativo e sistemare il tutto senza perdere troppo tempo. Usate il profilo amministrativo solo per le installazioni quindi (chi lavora con *nix sa di cosa parlo). Posta e quant’altro tenetela sotto il vosro profilo normale. Se la macchina rimane aggiornata regolarmente, le vulnerabilità di scalabilità di processo (user -> system, user -> network service, user -> administrator) sono veramente limitate (ma, ahimè, qualche buco c’è sempre, ovunque, in qualsiasi OS, ve lo garantisco, ma solo pochi ne sono a conoscenza).

    Ringrazio intanto Matteo per l’aiuto che ha dato e continua a dare alla persone in panne.

    • http://www.worldinformatic.com Matteo Pumo

      Ciao Luca, grazie a te per gli utili consigli e per le importanti precisazioni (a chi interessa, ricordo che per *nix si intende Unix-Like).

  • Diego

    Io e la terza volta che lo prendo questo malware o rotkit o come diavolo si chiama questo della polizia che blocca il pc in versioni sempre diverse da eliminare….ogni volta e sempre piu dura per quanto banale……la prima volta con hijacktis la seconda con la task manager in quei 6 secondi di tempo, e a questo giro in modalita provvisoria ho individuato la cartella e il file sospetto “uccapilog” e da proprieta gli ho dato solo lettura ed e ripartito poi mega scansione con combifix ….da dire che ci sono stato 4 ore provando quello che avevo fatto in precedenza e dalle esperienze di altri in questo forum e anologhi….quest ultima versione presa su peliculamos sito streaming lasciava la schermata bianca senza logo polizia…..

  • http://www.facebook.com/?ref=logo%23%21%2Fgiovanniverona1978 Giovanni

    Appena spunta la PRIMA VOLTA la shermata bianca, andate SUBITO A STACCARE LA CONNESSIONE AD INTERNET, dopoche’ riavviate il pc in modalita’ provvisoria, e ripristinate a qualche giorno prima di quando accade il fattaccio.. HO FATTO COSI’, TUTTO RISOLTO.

  • Giovanni

    Buona sera
    Ho beccato il virus oggi pomeriggio e a tarda sera sono finalmente riuscito ad eliminarlo.

    Allora, io ho win 8 [v. 6.2.9200], il miei problemi erano i seguenti:
    - se vado semplicemente su prompt dei comandi (usando amministratore, l’unico account) da risoluzione dei problemi – opzioni avanzate – prompt, si apre con il seguente percorso: x:\windows\system32>
    Se provo ad andare su c mi nega l’accesso, ma apparte questo sembra non conoscere alcuna operazione!
    - se avvio la modalità provvisoria, appena si carica e apre il desktop si riavvia il computer automaticamente e senza poter fare nulla.

    Ho risolto cancellando il file FNTCACHE.DAT

  • MARTI

    Ciao a tutti, io credo di aver preso in assoluto la variante peggiore perché non mi funziona ne la modalità provvisoria ne quella del promt dei comandi, inoltre non ho mai fatto altri account oltre al mio, deduco quindi che la mia UNICA soluzione è quella che riguarda Karpensky Rescue Disk e l’eliminazione del virus dalle chiavi di registro. Prima di procedere con tale metodo però vorrei fare delle domande per risolvere alcuni dubbi:

    1) Una volta che ho messo la chiavetta USB nel PC infetto e tramite Bios faccio in modo che sia la prima a avviarsi, il PC devo avviarlo normalmente giusto? quindi niente provvisoria o cose simili…inoltre, mi visualizza la chiavetta prima che parta il virus e io ho il tempo di cliccare sull’icona giusta per far partire Karpensky Rescue Disk, giusto?

    2) quando andrò a eliminare il virus con le chiavi di registro se per sbaglio cancello qualche chiave che non dovevo cancellare per rimediare posso, una volta che ho tolto il virus, ripristinare il PC ad una vecchia data per ripristinare le chiavi cancellate?

    3) Non ho capito perché nella spiegazione del metodo c’è scritto che devo riattivare il task manager, non è sufficiente andare direttamente nelle chiavi di registro e togliere il virus?

    Grazie in anticipo a chi avrà la pazienza di rispondermi.

    • http://4realinf.worpress.com/ Paolo

      Se posso ti risapondo io:
      al punto 1):
      quando parte il RescueDisk non c’è nessuna icona da cliccare (è un altro sistema operativo), devi solo indicare se vuoi agire in modalità grafica o a riga di comando (consiglio la prima);

      al punto 2):
      NON toccare le chiavi di registro se non sai cosa stai cancellando. Consiglio di utilizzare “wilma registry explorer” che fa un backup dei dati cancellati (anche in questo caso vale la regola: se non sai cosa stai facendo meglio non cancellare!)

      Buon lavoro!

  • luigi

    buongiorno gente, problema: virus polizia penitenziaria…difficoltà: non si avvia in nessun modo, ne con i prompt dei comandi ne in modalità provvisoria…sembra che si avvia e poi si disconnette…cosa faccio? schermata completamente nera anche se lascio il pc acceso per ore…aiutatemi se potete. grazie

  • Paolo

    Buongiorno a tutti,
    anche a me il PC non si avviava in nessun modo, neanche con il prompt dei comandi. Risolto in pochi minuti con il sofware Hitman Pro 3.7.7.202 scaricabile dal sito http://www.surfright.nl. Questo antivirus ha una funzione specifica per rimuovere l’infenzione: permette infatti di avviare il PC con una pendrive USB che “bypassa”
    il virus eliminandolo dopo pochi minuti di scansione. Ottimo e veloce! Attenzione: sul mio PC il file infetto aveva il seguente nome: fspsnttemrupqljxt.exe
    Saluti a tutti.

  • tony

    Ciao a tutti , proprio ieri ho beccato per la terza volta questo maledetto virus , nelle prime due occasioni l’ho eliminato ripristinando il sistema , questa volta ho cercato di farlo di nuovo ma non sono riuscito perché l ‘ operazione di ripristino falliva , per fortuna prima del blocco del sistema riuscivo ad avviare un programma e quando entravo nella pagina del virus spegnevo il pc ,ma prima che ciò accadesse si apriva una pagina che mi chiedeva se accettare o annullare lo spegnimento cliccavo sulla seconda opzione e riuscivo ad eludere il blocco del virus , così riuscivo a navigare e dopo vari infruttuosi tentavi sono fortunatamente entrato in questo sito , ho seguito le istruzioni e tramite la voce “Esecuzione automatica ” ho eliminato il virus , è stato facile individuarlo perché era l’unico , se può essere utile il nome del virus era xkmbeayofugyschdtdn , anche se penso che cambino spesso denominazione , in conclusione vorrei ringraziare tutti voi utenti compresi i per i consigli che mettete a disposizione di chi si trova in difficoltà

  • franco

    Fatto!!! Incubo risolto ma che fatica…
    Kaspersky10 è stato fondamentale. I problemi ve li ho già descritti, sembravano insormontabili. E non disponevo del collegamento in rete!!!. Allora: ho preparato con altro pc la chiavetta USB con Kaspersky Rescue (vedi bene come fare, per es in http://www.geekissimo.com se mi ricordo bene, ma ci sono altri siti) poi come spiegato da Matteo all’inizio l’ho inserita nel pc infetto spento, l’ho acceso e subito F2 è ho dato la priorità avvio all’unità esterna. Riavviato il pc si carica dalla chiavetta Kaspersky, andato in modo grafico, se vi chede di selezionare il sistema operativo cliccate il vostro (io ho cliccato Microsoft Windows Vista, ma avevo da scegliere anche Avvia Centro di ripristino… che però non andava bene), ignorata la finestra centrale di Kaspersky Rescue Disk con le sue opzioni (non collegato in rete!), aperta la cartella C: in alto a sinistra. Senza andare manualmente ad infinite ricerche aprendo via via cartelle sono andato sul menù in alto, cliccato su Tools poi su Find File e cercato l’intruso usando un elenco ricavato da qusto blog: ma quale eliminare, dato che rundll32.exe et ctfmon.exe, per esempio, potevano essere di sistema, unici che ho trovato oltre a quello che poi ho eliminato? Guardando la data di modifica del file evidenziata considerando le proprietà del file sospetto (evidenziato, cliccate col tasto dx del mouse). E guarda caso FNTCACHE.DAT (in …Windows/system32/) datava proprio il pomeriggio del giorno che avevo preso il virus. L’ho cancellato (sempre dal menu col tasto dx) non senza qualche esitazione, e voilà, il riavvio del PC mi ha tolto l’incubo. Giuro, le avevo provate proprio tutte prima!!! Ho fatto una scansione con McAfee che era aggiornato al giorno del fattaccio (sich, ma in verità qualche avvertimento di pericolo me l’aveva dato) e mi ha trovato un file infetto da virus ma che credo non c’entri niente con l’incubo. Spero che questo possa essere d’aiuto a qualcuno e… grazie a voi tutti per le esperienze che avete voluto condividere e che mi hanno aiutato molto. Ciao

  • lucio

    panico totale, quando mi son visto apparire un’oretta fa, sul pc di lavoro (la paura di aver perso tutto mi ha fatto quasi venire un infarto), quella pagina con loghi di interpol, polizia postale, carabinieri e chi più ne ha più ne metta. subito ho staccato tutto. poi, a mente lucida ho cercato possibili soluzioni, pensando che, viste le modalità di pagamento, potesse trattarsi di un virus, e ho trovato la procedura consigliata dalla polizia postale.
    provata immediatamente con ottimo esito: ora rifunziona tutto, regolarmente!

    grazie!!!

  • Sergio

    Windows 7 a 64 bit. Ho risolto così: Nei pochi secondi disponibili dopo l’avvio ho creato un altro account amministratore. Riavviato il pc ed entrato nel nuovo account. Ho scaricato e installato Kaspersky Pure 3.0 in versione prova per 15 giorni (gratis). Lui, dopo essersi aggiornato ha lanciato la scansione e ripulito ogni cosa. Funziona!

  • Giampaolo

    Salve, anche sono stato colpito dal virus polizia di stato+100 euro sul netbook…ora proverò tutti i sistemi sopra descritti. Comunque a parte gli autori infami di questi virus, sono pure le case dei software abbastanza furbe….vi pare che nel 2013 ancora questi problemi e non si riesce ad isolare questi pirati da strapazzo? Qui ci mangiano ragazzi….perdonate lo sfogo!

  • Mauro

    Ciao a tutti, il virus l’ho debellato, ma mi ha decrittato tutti i documenti
    excell, word, come faccio a recuperarli, di alcuni ho il backup, ma di altri no. Grazie in anticipo, Mauro

    • MARTI

      Confermo, purtroppo si è diffusa una nuova variante che colpisce ANCHE i dati, ai più sfortunati può capitare la versione che ti blocca il PC e chiede 100 per sbloccare i file criptati. Anche io ho eliminato il virus ma non so se c’è qualche modo per recuperare i dati persi. Se qualcuno sa come fare lo dica.

      • Totò & Peppino

        Faccio presente il mio caso..
        Ho preso il virus il 27/08/2013, verso le 19:15.. E’ la seconda volta.. L’anno scorso risolsi molto semplicemente rinstallando una versione preventiva del sistema Vista Home di 3 gg precedenti.
        Quando l’altro giorno mi è apparsa la videata della Pol. Penitenz. *non ho spento il computer* proprio per non cadere nella situazione di non poter accedere a nessun comando.. Quindi adesso ho accesso a qls comando e periferica.
        Ho messo in pratica quanto letto qui ed altrove, non mi appaiono nessun file sospetto di quelli nominati nè nelle chiavi di registro nè altrove.. Ho lanciato Combo Fix da desktop – non da modalità provvisoria – già 2 volte. Non so capire il report di Combo fix ma ho visto che ha eliminato qualche file. Posso connettermi alla posta e ad Internet. Non ho il coraggio di spengere il pc, temo che poi ricado nella videata “bloccatutto”.. Altri consigli e controlli da fare, pls ! Ripeto che finora posso accedere a tutto e sembra che i file qui elencati come causa del blocco non li ho trovati in nessuna parte, neanche nella shell.
        Quando voglio spengere il pc lo metto in “ibernazione”, finora funziona..
        Un consiglio a chi non riesce di aprire i propri files di dati: la prima volta il virus me li rese “nascosti”, risolsi andando in proprietà del singolo file e de-cliccando “nascosto”

  • massimo

    Vi spiego come ho fatto ma non sono un genio del pc. Ho lasciato aprire la schermata della polizia penitenziaria non essendo un virus ma semplicemente una schermata che non si chiude ho pensato bene di aprire tramite la tastiera il menù start poi ho cliccato su tutti i programmi e su esecuzione automatica li c’era il programmino o virus, quindi l’ho eliminato e riavviato il pc che mi ha dato il tempo di svuotare il cestino….problema risolto!

  • Animals

    Hanno cambiato ancora i file ora si chiamano fl6jjzez81.plz / jr7dowjdb.plz

    Si trovano in alluser/datiapp/
    Io li ho rimossi con Malware bites!!Ricodatevi dall msconfig di rimuoverli dall’elenco altrimenti all’avvio esce l’errore che non trova i file ma nell’elenco sono scritti al contrario!!

  • Flo

    Salve a tutti.

    ho scelto ( solo perché ho un lettore schede con uscite e collegamenti per hard disk SATA ll ) la variante + facile per me : ho tolto il hard disk dal computer infetto e collegato al uno ” pulito”. Poi con antivirus Avira aggiornato e MalwareBytes ho fatto la scansione del hard disk infetto. Tanto vero che 2-3 chiavi registro non sono state cancellate, però il computer e ripartito. All’inizio sul computer infetto non mi faceva entrare in modalità provvisoria o altro … ho provato persino il ripristino con l’aiuto del CD originale di Windows 7.

  • Lucaspini

    Ciao a tutti..
    Anch’io avevo preso questo malware e ho risolto istallando l’antivirus AVAST in versione completa (in prova per 20 giorni, poi passa alla free) ed eseguendo 2 scansioni di cui la seconda in ms-dos che esegue automaticamente al primo riavvio ma richiede la conferma manuale di eliminazione dei file infetti individuati.
    Ora il mio pc funziona perfettamente! (Win 7)
    Grazie a tutti

  • Fabio

    Ciao Matteo,
    ho seguito il capitolo della guida dove parli del prompt dei comandi DOS; oggi ho rimosso un file dal nome data.dat e il PC al successivo riavvio è partito correttamente.
    Ti ringrazio per questa splendida guida.

    Un saluto
    Fabio

  • Nicola Cedro

    RAGAZZI E’ ANCORA PIU’ SEMPLICE DI QUANTO PENSASSI !!!
    COL METODO TASK MANAGER E MSCONFIG SUGGERITO DA
    QUESTA OTTIMA PAGINA NON ABBIAMO BISOGNO NEANCHE DEL LASSO DI TEMPO PERCHE’….SI PUO’ FARE TUTTO COMODAMENTE IN MODALITA’ PROVVISORIA !!! IN PRATICA ANDATE COMODAMENTE IN MODALITA’ PROVVISORIA, APRITE CERCA, DIGITATE MSCONFIG, AVVIO, DISABILITA TUTTO…E RIAVVIATE IL PC !!! CON ME HA FUNZIONATO, NON CREDEVO AI MIEI OCCHI !!! GRAZIE A QUESTO SITO E A UN PO’ DI INTUITO CEL’HO FATTA. COMPLIMENTI A VOI E A TUTTI QUELLI CHE LAVORANO PER RISOLVERE I PROBLEMI. GRAZIE. SIETE INDISPENSABILI !!!!!

  • Enzo

    Salve; finalmente dopo svariati temtativi sono riuscito a togliere il virus della polizia penitenziaria..Ho letto molti forum provando a riavviare il pc in modalita provvisoria, provvisioria con rete e provvisoria con prompt dei comandi, ma in tutti e 3 i casi il pc si riavviava automaticamente e quindi era impossibile usare la modalità provvisoria e di conseguenza non potevo avviare Combofix…Ho provato anche a usare il programma Hitmanpro facendolo partire da chiavetta usb ma niente…Infine ho deciso di togliere l’hard disk infetto dal pc e montarlo con un lettore esterno su un altro computer: ho fatto molte ricerche di file .dll e .exe…alla fine sono riuscito a trovare il virus che era nella cartella “dati applicazioni”… Il virus si chiamava: do3Hrdt.exe …L’ho eliminato, ho rimontato l’hard disk nel pc dove l’avevo tolto e non ho più avuto problemi…Spero di esservi stato di aiuto!

  • Sara

    Non so davvero come ringraziarti…la soluzione con combofix è stata formidabile ed estremamente facile! Mi hai fatto risparmiare dei bei soldini…..GRAZIE MILLE!!!

  • marco

    io ho uno strano problema, in pratica ho 1 secondo di tempo prima che si sbianchi lo schermo, e in quel secondo sono riuscito a chiudere explorer.exe dai processi( ce n’erano due e sono riuscito a chiudere solo il primo, il secondo si è chiuso insieme) fatto ciò lo shcermo è diventato completamente nero tranne la finestra di task manager e chrome che avevo aperto per rallentare il virus, ora, funziona internet e funziona task manager, ma windows non funziona, o meglio, non posso interagire in nessun modo con lo schermo che è completamente nero….(è strano perchè le finestre posso ridurle a icona come se tutto funzionasse)…help!

    • http://www.worldinformatic.com Matteo Pumo

      Ciao Marco,
      scusa anzitutto per il ritardo nella risposta; ho paura che tu abbia cancellato o disabilitato in modo permanente l’explorer.exe sbagliato.. Come avevo scritto in qualche commento precedente: “Explorer.exe non si riferisce al noto Browser Internet Explorer, ma è il Program Manager che gestisce la grafica di Windows (compreso il menù di inizio). Se rimuovi questo processo cancellerai l’interfaccia grafica di Windows, e inoltre togli stabilità al sistema”.

      Se hai cancellato questo processo l’unica soluzione è formattare, ovviamente prima salvandoti in hard disk esterni (o chiavette) tutto quello di cui hai bisogno.

      • frank

        ciao Pumo Matteo. Innazi tutto mi accodo per gli infiniti ringraziamenti per tutti i tuoi suggerimenti: anche io sono riuscito a togliere il virus con Kaspersky dopo aver provato inutilmente con gli altri metodi. Scrivo in risposta a questo post perchè anche a me è successo quanto scritto da marco, con la differenza che io non ho cancellato niente di mia iniziativa ma ho fatto fare tutto a Kaspersky. possibile che abbia cancellato lui Explorer.exe oppure mi è successo qualcosaltro? grazie ancora…

        • http://www.worldinformatic.com Matteo Pumo

          Ciao Frank, quanto mi dici è parecchio strano in effetti; non credo sia l’effetto del virus Polizia di Stato, o comunque quello di un altro virus, ma a quanto sembra dalle tue parole Kaspersky ha fatto un brutto danno.. Prova a vedere dal Task manager se hai ancora il processo Explorer.exe, e se non ce l’hai prova a vedere su msconfig se è abilitata la sua attivazione all’accensione del computer.

          Fammi sapere, perché se davvero Kaspersky ha questo “bug” bisogna segnalarlo a tutti gli utenti.

  • Silver57

    ci sono cascato come un pollo, ho cliccato su “termina adesso” in una classica finestra di terminazione di programmi che il s.o. (windows xp) non riesce a chiudere, invece ho lanciato il virus :-(
    se provavo ad entrare in modalità provvisoria il pc si spegneva.
    Ho risolto con “Hiren’s Boot CD” scaricato dalla rete che avvia un mini xp con boot da cd e permette di controllare il file system, lanciare antivirus e quant’altro per disinfettare il pc. In realtà ho semplicemente cancellato un file sospetto nella cartella di avvio automatico, cancellato tutto il cancellabile dalle cartelle temporanee e di prefetch, poi ho riavviato il pc ed eseguito scansione completa con avast. Per la cronaca: il mio virus si chiamava lirrfcll.plz ed oltre che nella cartella di autorun si era insediato in C:\Documents and setting\All Users\Dati applicazioni\
    Comunque ne approfitto per fare una bella pulizia del file system.
    Grazie a tutti per i consigli

  • Marta

    Cari Matteo e utenti tutti,
    GRAZIE PER QUESTA PAGINA! ieri sono stata colpita dal virus, seguendo queste indicazioni sono riuscita a creare un nuovo account amministratore e poi ho lanciato Combofix, ma adesso quando entro nel mio vecchio account c’è solo uno schermo nero con il prompt dei comandi. Nient’altro. Cosa significa? il mio computer è a posto o devo fare qualcos’altro? riesco a lavorare normalmente dal nuovo account ma ho il timore che ci siano ancora files inopportuni.
    Per esempio in C:\ProgramData ci sono dei file con data di creazione proprio di ieri (all’ora dell’infezione) con nomi tipo “xT6C1cZSjJI”. Elimino? E per riattivare il mio account vecchio?
    GRAZIE A CHIUNQUE MI RISPONDERA’!!

    • Marta

      Rettifico: nei prompt ho provato a avviare C:\Windows\sistem32>explorer.exe e tutto lo schermo è tornato normale. Rimangono però quei files dubbi. Ora sto facendo una scansione, devo rifarla anche con Combofix? è sicuro tornare a lavorare con questo utente? Ho tutta la tesi salvata…. (ne ho anche altre copie ma in quell’account mi “sento a casa”)

  • Nichelino

    Salve, in breve Problema : Schermata bianca sul desktop dopo L’avvio impossibile fare qualsiasi operazione, modalità provvisoria interdetta .
    Soluzione : scaricato Kaspersky Pure 3.0 in prova su altro pc questo software da la possibilità come gia scritto di creare una usb con i programmi per il riavvio da usb . Inserire la usb nel pc infetto dare l’avvio da Usb e immediatamente si accede alle schermate che permettono la scansione. Scansione del pc e il virus è stato intercettato e neutralizzato .Problema risolto . Non ho letto tutti i post se questa soluzione è gia stata suggerita meglio, altrimenti questo è il mio suggerimento

  • Boxer0876

    Ieri sera ho beccato questo maledetto malware che si è insediato nel mio notebook. Dopo vari tentativi, usando i vari metodi, ho capito che era inutile insistere cercando di andare in modalità provvisoria. Avendo la fortuna di avere un altro PC, ho scaricato su una pen drive pulita Hitman Pro Kickstart e, avendo cura di entrare nel BIOS per invertire l’avvio (praticamente con il cursore spostare l’avvio sulla chiavetta USB invece che sull’hard disk). In questo modo il malware, che agisce sull’avvio del computer, è praticamente bypassato ed il software permette di individuare ed eliminare il file maligno che nel mio caso era un file ad estensione.pzz.

  • shadow

    qualche ora fa mi è comparsa una schermata di questo virus mentre navigavo con un avviso in cui si poteva cliccare o : ” rimani sulla pagina ” o ” lascia la pagina “, io cliccavo su lascia la pagina.ma non succedeva niente, quindi ho riavviato il pc..da quando ho riavviato non ho avuto problemi, per sicurecca ho fatto pure un ripristino..che ne pensate ho evitato di prenderlo???

    • http://www.worldinformatic.com Matteo Pumo

      Ciao, facendo il ripristino è probabile che tu sia riuscito a non prenderlo, tuttavia di consiglio di controllare attentamente i valori nel regedit come indicato nella guida, e anche che gli elementi all’avvio del PC siano effettivamente quelli voluti da te.

  • Pippooo123

    Ciao,con i vostri consigli ho risolto: dopo l’avvio di windows,prima che apparisse la schermata del virus, ho aperto programmi come outlook e altri …una volta apparsa la schermata del virus con ctrl-alt-canc ho cambiato utente ma windows non lo cambia finche non si chiudono le applicazioni in esecuzione ho premuto anulla e sono rientrato nel mio account senza la schermata del virus ho scaricato combofix e mi ha risolto il problema.Nel file avvio cercate c:\windows\system32\rundll.exe c:\progra~2\3lclwjrf.plz Gl300
    Ciao.

  • Davide C

    Ciao,anche io sono stato colpito dal virus questa mattina,in modalità provvisoria e con rete non mi faceva entrare,solo col prompt dei comandi,ma non sono riuscito a trovare da nessuna parte i file “infetti” da voi elencati.Ho però risolto così (può servire a qualcuno che come me non riusciva a cavare ragni dal buco xD) fate avviare normalmente il pc,attendete che vi dia la pagina bianca (a me addirittura è comparsa la scritta INTERPOL con Napolitano in posa stile Zio Sam xD ) premete ctrl+alt+canc (su Win7),vi apparirà la schermata utente,scegliete DISCONNETTI,attendete qualche secondo che si disattivi il pc,premete un tasto qualsiasi sulla tastiera,riloggate col vostro account e MAGIA…addio schermata bianca!A questo punto scaricate (se non l’avete) ComboFix,avviatelo e fategli fare la scansione,terminata il pc si riavvierà da solo…ADDIO SCHERMATA BIANCA XD…

    Comunque ne approfitto per ringraziare nuovamente Matteo e tutte quelle altre persone che si sono interessate a scrivere in questa pagina.Grazie ancora a tutti voi :D

    Davide

  • Donovann

    Variante di questa mattina sempre nella cartella: C:\users\utente\AppData\Roaming. OTHER.RES

  • Riccardo

    Nuovo KB8946494.exe
    Percorso completo c:\Documents and Settings\Utente\Impostazioni locali\Dati applicazioni\KB8946494\KB8946494.exe
    Non riconosciuto da malwarebytes.In provvisoria modificato chiave di registro HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ,poi ho messo hard disk su altro pc e cancellato manualmente con Unlocker.Funziona

  • fabrizio

    Come toglierlo è chiaro…. ma come non riprenderlo? Sul Pc di mio padre è tornato e torna circa 1 volta al mese… Si può prevenire?

    • pippo

      Ciao,
      per evitare di prendere il visus io uso sandboxie avendo cura di aprire il browser web nella sandbox ogni volta in cui visito sito “pericolosi”. Ieri per la prima volta mi è capitato di incappare nel virus, ma spegnendo e riaccendendo il pc il virus è sparito perchè si era installato nella sandbox (che ho eliminato subito dopo).

  • Sergio

    Ciao a tutti, ho preso il virus “Polizia Penitenziaria” con un MacBook pro, come posso rimuoverlo?

    • http://www.worldinformatic.com Matteo Pumo

      È improbabile che tu abbia preso questo virus con un Mac, perchè:
      1) Il Mac non prende virus pericolosi, perchè almeno per ora non c’è neanche troppo interesse a svilupparli per questo S.O. vista la diffusione molto minore del S.O. Windows.
      2) Questo è un virus che pare essere sviluppato solo per Windows, dato che per ora solo utenti Windows ne hanno sofferto.

      • Easy

        Nono… appena successo anche a me con Firefox su macbook pro…
        visto che come lo staff dice probabilmente non si saranno sbattutti a creare un’eseguibile in ambiente unix la cosa agisce tramite un loop direttamente sul browser con javascript… io ho disinstallato (trascinato nel cestino e rimosso i files correlati) Firefox, reinstallato e funziona senza problemi

  • Paride

    cioa ragazzi, è da più o meno una settimana che mi sono imbattutto in questo “inquietante” virus (polizia di stato isp) e da altrettanto tempo (su altro pc) sto cercando di apprendere il più possibile dalla rete per poter risolvere la cosa nella maniera più opportuna. Devo dire che in questa ricerca ho riscontrato di tutto e di più, casi uguali (?) o simili al mio compresi il quale si presenta con una schermata bianca (con img porno!) che appare dopo qualche sec dall’avvio … quel paio di volte che c’ho messo mano, dopo qualche lettura in rete, ho avviato normalmente il pc ed in “esecuzione automatica” sono andato a rinominare il file che appariva come quello “improprio” visto che l’icona era proprio quella tipo “flash player” la quale applicazione avevo io stesso provveduto a selezionare! Orbene, subito dopo la rinominazione ho provvedduto a riavviare prima che la schermata arrivasse, quando poi mi accorsi che, oltre a quello da me modificato, appariva quello “originale” a “fare il suo dovere”…! L’altra operazione che ho svolto è stata quella di agire in modalità provvisoria via promt di comando ma, ANCHE qui, dopo pochi sec …!!! Illustrata più o meno la mia situazione, il mio dubbio, nonchè domanda, è la seguente: Come mi converrebbe agire per risolvere? Quali sarebbero le operazioni, anche diverse, da poter man mano/gradualmente effettuare per poter arrivare ad una risoluzione? Chiedo venia per la mia lungaggine e noiosità, ma francamente non riesco ad essere “vago” nei miei interventi … Grazie sin da adesso a chi vorrà/potrà aiutarmi in tal senso! Saluti.

    • Paride

      Scusate se intervergo di nuovo ma, leggendo più su ho ora apreso di un’utente (boxer…), il quale sembrerebbe essere stato nella mia stessa situazione, e che poi avrebbe risolto grazie all’utilizzo di “Hitman Pro Kickstart”… e pertanto il mio (ulteriore) dubbio/domanda sarebbe la seguente: mi converrebbe utilizzare il summenzionato software, oppure il “famoso”(e pericoloso?) “combofix”? Di nuovo grazie in anticipo e saluti.

      • http://www.worldinformatic.com Matteo Pumo

        Ciao Paride, puoi benissimo utilizzare tranquillamente Combofix per eliminare il virus; per quanto riguarda Hitman Pro Kickstart non so bene come funzioni, per cui posso consigliarti di provarlo come seconda chance se Combofix non funziona.

  • Luke

    salve a tutti…ho avuto anche io questo problema e l’ho risolto così:
    disponendo di superaantispyware ho effettuato i seguenti passi:
    (windows vista)

    all’accensione del pc ho premuto F8 per la modalità provvisoria con i comandi prompt

    dal prompt ho digitato “explorer” e si è aperta in basso la barra degli strumenti

    poi cliccando su start ho aperto il programma che vi dicevo prima, selezionando una custom scan per il solo registro.
    ovviamente era l’unico file strambo che figurava e l’ho rimosso da li.

    non so se la cosa sia stata di effetto, ma prima di avviare supera ho fatto una pulizia tramite ccleaner.

    spero di essere stato di aiuto

  • geppetto_1955

    Grazie per tutto quanto!
    Ho “dovuto” (nel senso che essendo un po’ più esperto di lui, mi chiama quando incappa in qualche guaio…) risolvere il problema sul computer di un amico: non è stato possibile utilizzare la modalità provvisoria, e anche tutti gli altri consigli sono stati infruttuosi.
    Ho allora scaricato Hitman Pro Kickstart, ho formattato una chiavetta e, dopo aver modificato il boot nel Bios, ho risolto in soli 5 min e 34 secondi. Purtroppo non ho preso nota dei file “malware” trovati (ne ha trovati ben 4). Però adesso funziona tutto perfettamente.
    Naturalmente ho subito scaricato “Malwarebytes’ Anti-Malware” e lanciato una scansione totale.
    Dopo cena (gentilmente offerta dall’amico per sdebitarsi…) farò fare anche una scansione totale con Avira.
    Grazie a tutti!

  • chele81

    Nuova risoluzione del Virus Polizia….
    Ho dovuto litigare un po’ prima di eliminarlo, ma alla fine ci sono riuscito!!
    Appena facevo il login in modalità provvisoria, il PC si riavviava..
    Nella modalità normale invece, avevo la schermata fissa sul messaggio della polizia. Niente mi era concesso!
    Ho dovuto quindi avviare il PC con una versione di XP Live.

    Nella cartella:
    “C:\Documents and Settings\All Users\Dati applicazioni”

    ho eliminato i seguenti file:
    9fb6jjrjr.dss
    rjrjj6bf9.bxx
    rjrjj6bf9.fvv
    rjrjj6bf9.reg

    Poi ho dovuto ripristinare anche 2 chiavi di registro come riportato di seguito:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters

    -> ServiceDll -> %SystemRoot%\system32\wbem\WMIsvc.dll

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters

    -> ServiceDll -> %SystemRoot%\system32\wbem\WMIsvc.dll

    Spero possa essere d’aiuto a qualcuno…
    Ciauuuu ;-)

    • http://www.worldinformatic.com Matteo Pumo

      Ciao Chele81,
      grazie mille per aver fornito questa dettagliata soluzione.

  • ulmarga

    Risolto oggi su XP eliminando una cartella KBseguitadanumeri sotto c:\documents and settings\utente\impostazioni localo\dati applicazioni

  • Nicola

    Ciao, la mia ragazza seguendo le istruzioni di questa pagina, primo metodo ha eliminato da
    C:\Documents and Settings\NOMEUTENTE\Start menu\Programs\Startup
    un file nominato
    F3IJWOD4
    e ha risolto il problema.
    Spero sia utile questa mia update

    (in XP)

  • Roberto

    Ragazzi…io ho un problemone con questo virus! quando vado ad avviare il PC, mi da subito la schermata della polizia postale. Se lo faccio partire con la modalità provvisoria appena mi arriva alla schermata degli utenti si riavvia da solo. Non so come cavolo fare…aiutatemi per favore :(

    • Chele81

      Avevo un problema molto simile al tuo, e, come scritto in qualche post più su, io ho dovuto risolvere usando una versione di XP live (cioè senza installazione) e avviando il PC direttamente da CD-rom..
      La versione Live di XP la puoi scaricare da qui: http://www.adrive.com/public/HfxTaW/XP HWNL live.rar
      Ti riporto quanto da me scritto sopra:
      “Ho dovuto quindi avviare il PC con una versione di XP Live.

      Nella cartella:
      “C:\Documents and Settings\All Users\Dati applicazioni”

      ho eliminato i seguenti file:
      9fb6jjrjr.dss
      rjrjj6bf9.bxx
      rjrjj6bf9.fvv
      rjrjj6bf9.reg

      Poi ho dovuto ripristinare anche 2 chiavi di registro come riportato di seguito:
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt\Parameters

      -> ServiceDll -> %SystemRoot%\system32\wbem\WMIsvc.dll

      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\winmgmt\Parameters

      -> ServiceDll -> %SystemRoot%\system32\wbem\WMIsvc.dll”

    • Stefano

      Anche a me il PC non si avviava in nessuna modalità provvisoria in quanto subito dopo l’avvio la sessione si chiudeva. Ho scaricato il file ISO di Kaspersky come suggerito da questo sito, creato il CD, settato il PC per farlo partire dal lettore CD, tutto come da indicazioni già presenti sul sito e comunque facilmente reperibili nel web. La difficoltà è stata quella di aggiornare Kaspersky non avendo a disposizione la rete sul PC infetto ma in questo link http://www.kkaio.com/articoli/come-aggiornare-manualmente-kaspersky-rescue-disk.shtm, si trovano le indicazioni per farlo. A quel punto ho lanciato la scansione e Kaspersky aggiornato mi ha ripulito il tutto perfettamente

      • Roberto

        Ringrazio tanto entrambi per aver risposto ma ho risolto diversamente. Ho avviato il PC normalmente e poco prima che si avviasse la schermata del virus ho chiuso il processo di explorer.exe dal task manager in modo che nn si avviava la schermata del virus. Una volta fatto questo con il task manager ho avviato il prompt dei comandi, facendo in alto File-Nuova attività e scrivendo cmd.exe, una volta fatto questo ho trovato il percorso della mia pennetta USB su cui avevo caricato ComboFix e una volta trovato il percorso della pennetta (nel mio caso ho scritto F: ) ho fatto partire ComboFix e il gioco è fatto, ho tolto finalmente quell’odiosissimo virus. Grazie ancora per le risposte :)

  • Bastavirus

    ciao,
    ieri ho presoquesto virus. oggi ho portato il pc a un centro assistenza. oggi su un altro computer ho guardato la mia posta è ho notato che mi è arrivata una registrazione a slideME che ovviamente non ho fatto. può essere collegata al virus?
    grazie

    • WorldInformatic

      Ciao,
      quella registrazione non penso proprio che derivi dal virus, perchè questo “virus” non ruba i dati, ma ti blocca il PC per ricevere dei soldi; sicuramente sarà qualcuno (o qualche sistema apposito che preleva indirizzi dalla rete) che ha registrato la tua mail. Tuttavia non c’è nulla di cui preoccuparsi, perchè se non sei interessato basta disiscriversi.

      Pumo Matteo

  • Gianni

    eccellente, ho risolto. Grazie 1000!

    • WorldInformatic

      Ciao Gianni,
      sono contento che la guida ti sia stata utile per rimuovere questo virus.
      Grazie per il commento.
      Pumo Matteo

      • Francesca

        Ciao, è possibile che il virus non si chiami più mahmud.exe? Perché ho provato ad eliminarlo usando il terminale, ma nel momento di doverlo cancellare mi ha detto che era impossibile trovarlo. Ovviamente ho verificato molte volte che fossi nelle cartelle giuste!
        Se per caso non fosse il nome il problema, mi consigli di cercare un file dal nome strano con “dir”?
        Ovviamente la modalità provvisoria è bloccata, e anche l’account amministratore “assistenza” che abbiamo.
        Grazie mille!

        • WorldInformatic

          Possibilissimo! Anche a me non ha trovato niente con quella procedura; quella di usare dir è una bella soluzione, sperando però che il virus sia li e abbia un nome effettivamente “strano”! Altrimenti prova uno dei tanti metodi descritti; buona fortuna.

          Pumo Matteo

  • Gianni

    sono di nuovo io, sembra che tutto sia OK, ma vorrei aggiungere un paio di commenti: Il primo (banale) é che non riesco a capire come il creatore/utilizzatore di questo malware possa essere talmente imbecille da pensare che qualcuno possa credere che la Polizia di Stato chieda dei soldi online per sbloccare la macchina, e per di più in un italiano abbastanza approssimativo. Vabbé la mamma dei cretini è sempre incinta.

    La seconda osservazione riguarda la mia “infezione”; mi chiedo infatti come mai i miei due antivirus, che lavorano in tandem e sono ovviamente sempre aggiornati, non abbiano rilevato la minaccia (Avast e Vir It). Per fortuna la mia variante mi permetteva l’avvio in modalità provvisoria, per cui la rimozione non è stata particolarmente difficile. Interessanta comunque il fatto che al riavvio Avast ha rilevato con la funzione euristica, e quindi non come infezione già operativa, la presenza del malware in documente & settings/alluser. Il malware è stato quindi isolato, spostato nel cestino di Avast e da me definitivamente rimosso, dopo aver inviato ad Avast per le analisi del caso il file sospetto.

    Questo per tua (e di chi ci legge) conoscenza.
    Ancora grazie

    Gianni

    • WorldInformatic

      Purtroppo invece tantissime persone nel mondo hanno pagato, e si stima che il guadagno di queste persone si aggiri addirittura intorno al milione di euro; questo perché molti hanno giustamente paura di perdere tutto e quindi di essere “rovinati”. Tra l’altro l’avviso con la schermata della polizia si adatta spesso addirittura all’uso dell’utente! Mi spiego meglio: spesso (non sempre) se si visita siti pornografici, questo avviso si presenta dicendo appunto che hai visitato questo tipo di siti e che la polizia ti ha beccato; se stai cercando di scaricare programmi o altro .torrent ti manda un avviso inerente a ciò.

      Gli Antivirus non riescono a rilevare questo malware, perchè è talmente infimo che riesce a infettare anche solo premendo su un link, e poi a cambiare le chiavi di registro e farsi passare come un normale processo; poi dopo attivandosi all’avvio del computer blocca ogni funzione! Interessante comunque che dopo la rimozione dalla modalità provvisoria e il successivo riavvio, Avast l’abbia rilevato. Grazie della segnalazione.

      Pumo Matteo

  • Gatta

    Ciao! Volevo ringraziarti per l’articolo, è molto esplicativo e ben scritto. Tuttavia non ho eliminato il virus con nessuno di questi metodi, per cui la mia procedura potrebbe essere utile per completare le informazioni sopra citate.
    In pratica, non ho trovato modifiche al registro di Windows nè processi o file strani in esecuzione. Il virus si presentava qualche secondo dopo l’accesso all’account, e sottolineo accesso all’account, e non avvio del PC; quindi, dopo aver disattivato i servizi in esecuzione automatica senza però concludere qualcosa, sono entrata in modalità provvisoria e mi sono accorta che il processo “colpevole” aveva un nome ben noto a chi conosce un po’ Windows: nel Task Manager si presentava come rundll32.exe. Dopo ulteriori controlli ho notato che, effettivamente, nella cartella dell’utente c’era un file chiamato rundll32; tuttavia, la sua cancellazione non ha rimosso il virus, che è stato debellato soltanto dall’intervento di Combofix. In breve, la mia procedura è questa:
    - accedere al computer in Modalità Provvisoria
    - nel breve tempo concesso dal virus dall’accesso all’account finchè non appare l’avviso della polizia sullo schermo premere velocemente Ctrl+Alt+Canc e, nel Task Manager, andare nella scheda processi e terminare “rundll32.exe” (l’ultimo a partire, a volte bisogna aspettare qualche momento); questo è un passo difficile in quanto c’è pochissimo tempo a disposizione; nel caso (molto probabile) in cui il tentativo non riesca, è meglio disconnettersi con Win+L in modo da non dover completamente riavviare il computer e perdere molto tempo
    - una volta terminato il processo, il computer è temporaneamente “pulito” (fino al riavvio); scaricare quindi Combofix da http://combofix.org/download.php e avviarlo: il programma farà il suo dovere e toglierà definitivamente il virus

    E’ un processo semplice ma difficile per il tempo a disposizione; spero di essere stata, nel tentativo di essere chiara, troppo ripetitiva :)

    • WorldInformatic

      Ciao! Grazie mille a te per il commento utilissimo! È davvero importante condividere le proprie esperienze con tutti, perchè questo virus si evolve continuamente e cambia anche modo di infettare, perciò più informazioni si hanno e meglio è! Grazie ancora.

      Pumo Matteo

    • Massimo

      Brava Gatta! Ottimi consigli e ben esposti.

  • Oced

    Ciao a tutti!!! grazie mille, mi avete risolto il problema con i vostri consigli.
    Sono stato fortunato rispetto ad altri perchè avevo il tempo di terminare explorer.exe con task manager…una volta fatto ho ascoltato il consiglio sopraindicato di aprire “msconfig”e dargli un’occhiata, poi ho controllato le chiavi di registro digitando “regedit” ma io li non ci ho trovato nulla…poi ho fatto partire l’anti virus e con sorpresa ho visto che mi ha rilevato e cancellato il virus,dopo il riavvio del sistema tutto è tornato a funzionare :-)
    Grazie ancora!!

  • marco maccario

    Io son riuscito a debellare questo virus su un pc con windows vista: ho acceso normalmente il pc e prima che mi arrivasse il blocco ho avviato un programma a caso, poi, una volta subentrata la schermata bianca, con ctrl+alt+canc ho cliccato su arresta il sistema, e siccome era in esecuzione un programma mi ha chiesto conferma per l’arresto, allora ho cliccato su annulla, la pagina di blocco è sparita. ho avviato una scansione con malwarebytes ed ho eliminato il virus (trojan).

    • Skinner

      GRANDE! Grazie, avevo provato diversi metodi ma solo il tuo ha funzionato!

    • NNYBE

      Ho fatto lo stesso su un Windows Xp… Non ho avuto bisogno del Ctrl+alt+canc… Semplicemente col tasto windows sulla tastiera, ti apre lo start e velocemente col mouse ho clikkato su Spegni Pc w dopo ho interrotto l’operazione… Da li in poi cancelli ciò che non rompe…

  • peppe

    Salve a tutti. Io il problema l’ho risolto collegando l’hard disk con un lettore ad una porta usb e fatto la scansione con internet security. Vi posso assicurare che con un paio di scansioni si debella il virus

    • Luca

      Ciao ieri sera ho trovato il mio pc già bloccato da questo virus premesso io uso win7 proffessional a me nella schermata il logo era addirittura della “POLIZIA PENITENZIARIA” cmq. visto che si attivava immediatamente e non lasciava il tempo per nessuna manovra dopo qualche tentativo inutile sono entrato nel secondo profilo attivo (serve sempre un secondo profilo utente) tramite l’antivirus AVG ho visto che tipo di virus era ma non era rimuovibile quindi ho attivato da win7 il punto di ripristino più recente nessun file viene modificato ma tutto quello che è stato installato negli ultimi giorni viene rimosso e infatti ha funzionato alla grande sparito pc ripartito subito su entrambi i profili .

  • Dave

    Visto che al pc di una mia amica non permetteva nemmeno l’avvio in modalità provvisioria, ho risolto avviando il pc con un live cd Linux (Mint nel mio caso).

    • WorldInformatic

      Grazie a tutti per i commenti! Con le vostre esperienze aiutate tantissime altre persone che magari purtroppo hanno preso questo virus! Grazie.

      Pumo Matteo

  • serbandi

    il virus ha cambiato nome e’ : sp_data.sys

  • NASH

    Sto litigando con il “bastardo” e provando a seguire i vari consigli. non mi fa entrare in modalità provvisoria e mi spegne il pc. <Ora visto che ho un secondo schermo attaccato senza estensione del desktop, riesco a bypassare la schermata "polizia di stato" creando sul secondo schermo una nuova cartella e aprendo quella riesco ad arrivare alle cartelle di sistema. con cerca ho trovato vari file rundll scritti in maiuscolo e con data odierna che ho cancellato, idem altri come ctfmon sempre in maiuscolo, poi ho altri file creati oggi con un nome fatto di molti numeri che però non mi permette di cancellare. sto facendo girare spybot SD più volte ma anche con ripara, alla successiva partenza del pc torna fuori. spero che con l'eliminazione dei file sopra citati di risolvere. tutti i file eliminati avevano estensione .pf o .PF ho anche un collegamento una cartella creata nell'ora X con nome b7vbrj in menu start che però non trovo. riaggiorno dopo per eventuali cambiamenti

    • Chele81

      Se riesci a navigare nelle cartelle, prova ad andare su questo percorso:
      C:\WINDOWS\pchealth\helpctr\binaries
      Da qui, apri il file “msconfig.exe”
      nella scheda “Avvio” trovi tutti i programmi caricati all’avvio di windows. Tra questi, potrebbe esserci anche il virus.
      Mi è anche capitato che il virus si avviasse come “servizio” di windows .. Li diventa un pò più dura la ricerca, ma alla fine ci si dovrebbe riuscire a trovarlo.
      Prova a dare un occhiata anche al mio post del 22-11-2013..

  • Bruno P.

    Vediamo di andare un po’ oltre. Ammettiamo di essere riusciti a risolvere il problema grazie a qualcuno dei suggerimenti precedenti (molto apprezzabile quello a nome Luca del 16/07/2013) o di averlo fatto risolvere; ammettiamo di aver ripulito il sistema, fatte tutte le scansioni possibili immaginabili e ammettiamo anche di aver creato un account privo di privilegi amministrativi da utilizzare per le navigate porcelline (perchè al 90% è li’ che lo si becca), esiste sempre la possibilità che questo ransomware evolva e, come riportato dagli ultimi interventi, riavvii automaticamente il PC non dandoci neppure il tempo di loggarci. Allora, per prima cosa creare una ulteriore partizione sul disco di sistema o, meglio ancora, avere un ulteriore hard disk. Installare un programma come Acronis o Drive Image o … e fare un’immagine del sistema da memorizzare in quella partizione o apposita cartella del nuovo disco. Dallo stesso programma di immagine creare un CD di avvio. E’ bene, prima di fare l’immagine, copiare tutti i documenti personali in una nuova cartella del nuovo disco e far si che la cartella Documenti del Desktop punti a questa nuova locazione. Se il Malefico si ripresentasse e i trucchetti non funzionassero, si potrà sempre ripristinare il sistema così come lo avevate salvato; basterà effettuare il boot del PC dal CD di ripristino e nel giro di una ventina di minuti tutto è tornato perfetto. Il buon senso e l’esperienza suggeriranno come comportarsi con questi meravigliosi programmi (Prima aggiornare, pulire, salvare i preferiti se se ne sono aggiunti per poi ricopiarli, deframmentare il disco… e solo poi fare la nuova immagine e salvarla con un nome nuovo per esempio progressivo XP1, XP2… Personalmente sono arrivato alla 48esima e normalmente tengo le due precedenti l’ultima.)
    Un’altra possibile soluzione è utilizzare Deep Freeze o simili, ancor più semplice: potete fare qualunque cosa o sciocchezza ma al prossimo riavvio, non ne resta traccia. Ovvio che se volete installare permanentemente un programma o effettuare un update del SO dovete prima disattivare Deep.

    • Bruno P.

      Ribadisco: ricordarsi che con Deep Freeze ATTIVO qualunque cosa NUOVA salvata sul desktop o più in generale sul disco di sistema sarà cancellata al prossimo riavvio, quindi usare il buon senso !!!

  • Dax58

    Grazie hai vostri consigli sono riuscito dopo vari tentativi ad eliminare questa rottura di OOOOO (natalizie!!) con combofix lanciato da chiavetta usb con task manager!! Grazie ragazzi come potete constatare dal nick io non lo sono piu’ sig…..sig..!

  • andrea

    salve! anch io ho contratto tale virus su XP…grazie alle vostre segnalazioni sono riuscito ad eliminarlo (non so se del tutto) facendo partire un applicazione a caso prima della schermata “polizia”…poi tasto windows, chiudi sessione, seguito da annulla…come per magia la suddetta schermata è sparita, consentendomi dunque l’utilizzo successivo di malwarebytes e combofix i quali hanno debellato (spero) il virus! grazie a a tutti!

  • ENRICO

    Ciao a tutti ed a tutti chiedo AIUTO!
    Ho “preso” virus Arma dei Carabinieri-Interpol su pc con Windows XP.
    I problemi sono:
    - non sono esperto
    - non posssiedo cd di windows
    - il pc non parte in nessuna modalità provvisoria
    - fatto cd iso di kaspersky da altro pc sano, cambiato BIOS per dare piorità al cdrom, ma all’avvio dice che non rileva nessun sitema operativo e si blocca (se tolgo il cd e riavvio torna in windows con la schermata del virus).
    - non posso utilizzare programmi salvati su chiavetta usb perchè dal bios non mi da la possibilità di selezionare periferiche usb tra i device.
    Avete altre soluzioni? Vorrei evitare di portarlo a formattare perchè ho dati importanti che non vorrei perdere!
    Grazie mille!!

    • http://www.worldinformatic.com Matteo Pumo

      Ciao,
      per non perdere dati ti consiglio di seguire il “METODO ATTRAVERSO DISTRO LINUX E/O RIMOZIONE DELL’HARD DISK” descritto in questa guida, e nelle guide correlate; una volta recuperati e salvati tutti i dati, allora puoi anche procedere a una formattazione.

  • Rocco

    Salve. Come tanti ho beccato anch’io il malefico virus.
    Non mi dava nessuna possibilità dopo l’accensione, per cui ho accantonato il PC e ne ho collegato un altro che per mia fortuna ho.
    Mi sono messo a cercare sul web e sono giunto a questa discussione. Ho stampato tutte le pagine ed ho provato nei diversi modi, ma senza successo. L’unico modo per “risolvere” è stato quello di creare un altro utente. Tenete comunque presente che io non mi muovo agevolmente nei meandri di un PC, anzi più esattamente sono proprio un dinosauro. Ho anche provato il metodo del programma ComboFix caricato su di una chiavetta, solo che una volta acceso il PC e connesso l’account infetto, viene fuori la schermata bianca (sulla mia ci sono tantissimi loghi dell’Interpol) e, quindi, la chiavetta non viene proprio rilevata, per cui non riesco nemmeno a farla partire. Ingenuamente, ho fatto partire il ComboFix dal secondo account, sperando che potesse fare qualcosa ma invano ovviamente. A questo punto una domanda mi sorge spontanea: come fare a far partire il Combofix dalla chiavetta se la stessa non viene rilevata? Sono io che sbaglio? Grazie per l’aiuto.
    Visto che siamo prossimi, auguro a tutti un nuovo anno strepitoso e migliore di quello che sta per finire.

    • Rocco

      Salve a tutti.
      Sono riuscito a sconfiggere il malefico virus.
      In un mio precedente commento, avevo scritto di non riuscire a farlo perchè non riuscivo a far partire ComboFix.
      Ebbene, allargando la ricerca, ho avuto la “soffiata” giusta: ho fatto partire il PC da modalità provvisoria con prompt dei comandi; una volta sulla finestra del prompt ho digitato “explorer” ed ho dato invio; dopo qualche secondo, è apparso il desktop tutto nero e con le mie icone ma senza l’odiata schermata bianca e potevo comunque muovermi nel PC; ho inserito quindi la chiavetta USB con il ComboFix precedentemente scaricato da un altro PC ed ho fatto partire il ComboFix da “risorse del computer” da dove potevo “vedere” la chiavetta e quindi farla partire. Ho lasciato che il ComboFix avesse il tempo di massacrare benbene il virus ed al riavvio il PC andava. Grazie a tutti per quanto fate per il prossimo.

      • http://www.worldinformatic.com Matteo Pumo

        Ciao Ronco,
        grazie a te le preziose informazioni.

  • Pingback: Recuperare dati dall'Hard Disk di un PC utilizzando un adattatore IDE/SATA | World Informatic

  • Dodo

    Salve e grazie a tutti per i vari commenti, anch’io il 31 dicembre ho preso il virus della polizia di stato e leggendo i vostri commenti sono riuscito a debellarlo e di seguito vi dico come:
    Io ho Windows XP e sono entrato in modalità provvisoria con il prompt comandi digitando explorer dopo di che ho fatto partire da una chiavetta usb Combofix che ha ripulito il mio pc.
    Saluti e di nuovo grazie

  • Pingback: Ecco come recuperare i dati se il computer non parte più | World Informatic

  • maria marco

    DOMANDA: ho visualizzato la pagina “incriminata”, il browser non mi lasciava uscire ma l’ho chiuso con task manager… il tempo minacciato dalla pagina non è ancora passato, ma per il momento non sto riscontrando problemi… dite che non l’ho preso? come faccio a capirlo per certo?

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao,
      purtroppo è probabile che tu l’abbia preso, quindi adesso devi fare tutti i controlli indicati nella guida qui sopra; ovvero:

      - Fai una scansione completa del PC con un normale antivirus;
      - Vai a controllare nel Regedit che sia tutto a posto (guarda i file nella guida);
      - Controlla tutti i servizi all’avvio ed elimina quelli sospetti (msconfig);
      - Creati un nuovo account amministratore e copia li tutti i file più importanti (copia anche i dati in Hard Disk esterni).
      - Inoltre ti consiglio anche una scansione con Combofix.

  • Acate

    Anche io ho visualizzato la pagina “incriminata”, il browser non mi lasciava uscire ma l’ho chiuso con task manager… ho fatto una scansione completa con Norton Antivirus, il quale ha trovato e risolto varie “minacce per la sicurezza”. Volevo chiedervi come posso essere sicuro, che anche il suddetto virus sia stato debellato da Norton. Grazie mille.

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao Acate, come nel caso dell’utente “maria marco” qui sotto, ti consiglio di controllare le chiavi di sistema (metodo Regedit), che all’avvio non ci sia effettivamente nulla che si attiva che non vuoi tu (msconfig), e inoltre di fare una scansione veloce con Combofix (puoi anche evitare di farla se non c’è nulla di sbagliato dove hai controllato prima).

      Per sicurezza, però, fai una copia dei dati più importanti del PC su una chiavetta o un dispositivo esterno (sarebbe meglio far sempre una copia di sicurezza ogni tanto!).

      • Acate

        Grazie Matteo, sei davvero un grande!
        Io ho fatto sia il “metodo Regedit” sia il “msconfig” e non penso di aver trovato nulla! Però non sono molto esperto, In regedit mi ha detto per tutti, o che non era possibile trovarli o che quello che immettevo non era “un comando ne interno ne esterno”, Mentre in msconfig, ho trovato di “strano” solo (expresscache diskeeper, elan smart Pad e realtek semiconductor), che nella mia ignoranza non so cosa siano, ma dando un’occhiata mi sembrano tutti file a posto. Finito il controllo io ho rimesso l’avvio normale è giusto? Scusami per il fastidio, ma sono antitecnologico! ^^ Comunque da oggi questo sito va sui preferiti,siete veramente seri.

        • Acate

          Scusa se scrivo ancora, ho fatto già che ero in ballo, la scansione con combofix, ma ovviamente non capisco nulla del report finale! lo posso allegare qui? Grazie e scusa ancora.

          • http://www.worldinformatic.com/ Matteo Pumo

            Grazie a te per i complimenti!
            Sicuro di aver controllato bene con il Metodo delle chiavi di registro? Comunque non ti preoccupare per quei “nomi strani” perchè:

            - Expresscache diskeeper credo sia per velocizzare il boot.
            - Elan smart pad è il software del touchpad.
            - Realtek è un’azienda che produce circuiti integrati, quindi nulla di pericoloso!

            Rimettendo l’avvio normale annulli le modifiche che hai posto in msconfig; se non hai fatto alcuna modifica, allora va bene rimettere l’avvio normale, ma se hai fatto qualche modifica lascia pure l’avvio personalizzato. Se vuoi allegare la scansione va bene, ma l’importante comunque è controllare che non ci siano errori.

          • Acate

            Con le chiavi di registro per “del ahamud.exe” e “del skype.dat” mi dice:”Impossibile trovare C.user/sa/Appdata/ecc. ecc.” mentre per icq.dat, cache.dat e gli altri, mi dice:” “icq.dat” non è riconosciuto come comando interno o esterno, un programma eseguibile o un file batch. Per la scansione non posso allegarla visto che qui posso caricare solo foto. Comunque mi sembra normale.

          • http://www.worldinformatic.com/ Matteo Pumo

            Allora dovrebbe essere tutto a posto. Se proprio vuoi, per sicurezza puoi anche usare Malware Bytes seguendo questa guida: http://www.worldinformatic.com/6/post/2013/06/anti-malware-consigliati-combofix-e-malwarebytes-a-confronto.html. Tra 72 ore circa, se ti va, fammi poi sapere com’è andata!

          • Acate

            Sinceramente dopo Norton, Combofix e il controllo manuale, penso che proseguire sarebbe un po’ paranoico. Tanto, male che vada, adesso so a chi rivolgermi! ;) Grazie mille davvero, tra 72 ore ti dirò se siamo sopravvissuti! ^^
            Buonanotte, sei un grande!

          • Acate

            Un’ultima cosa, visto che non ci sono post sull’argomento. Mi sapresti consigliare un sito “fidato” per fare il back-up on-line? Grazie.

          • http://www.worldinformatic.com/ Matteo Pumo

            Sinceramente, magari sbagliando, non ho mai voluto usufruire di questi servizi, nonostante si parli tanto della loro affidabilità (cifratura, accesso ai file ovunque, lontani dal posto fisico in cui in realtà si trovano); preferisco ricorrere magari a più backup in vari dischi esterni, tanto alla fine le cose veramente importanti di un PC non sono troppe! Una volta salvati i dati e i documenti, le applicazioni si possono sempre recuperare se si perdono.. Tuttavia, un sistema di cui ho sentito parlare è BackBlaze: http://www.backblaze.com/it_IT/ che costa circa 3 euro all’anno.

  • Zenith

    Salve a tutti, vorrei sapere se riesco ad eliminare il virus formattando l’hard disk. Vorrei essere sicuro al 100% di aver eliminato il virus perchè si tratta di un computer in cui ci lavoro e non vorrei che in qualche modo riuscisse a rubare i miei dati. Grazie mille

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao Zenith, puoi stare tranquillo sul fatto del furto dei dati, perchè questo “virus” non può rubare nulla (i motivi li ho scritti all’inizio della guida); Comunque si, ovviamente se formatti l’Hard Disk togli qualsiasi problema, ma dipende da te scegliere se quella è la soluzione ottimale.

      • Zenith

        Ciao Matteo, grazie per avermi tranquillizzato sul pericolo dei dati. Avevo pensato alla formattazione perchè qualche mese fa avevo un problema con Office e ho dovuto formattare il computer salvando tutti i dati su u hard disk esterno e dopo non ho avuto problemi. Ho pensato a questa soluzione perchè non riesco ad entrare in modalità provvisoria e il formattare mi sembra simile all’opzione di creare un nuovo amministratore. Ti chiedo se può far male al computer formattare più volte o se sia meno complicato creando un nuovo amministratore, ossia se con il nuovo amministratore devo installare di nuovo tutto (scusa ma a livello tecnologico sono abbastanza ignorante!). Grazie mille

        • http://www.worldinformatic.com/ Matteo Pumo

          Non succede nulla di male, anzi! Una bella formattazione totale, ogni tanto, è necessaria per eliminare qualsiasi piccolo problemino che si può verificare nel computer.. Pensa che c’è chi la fa ogni mese circa, specialmente in computer usati solo per il lavoro, dove magari ci sono pochissimi programmi installati.

          • Zenith

            Grazie mille per la spiegazione e la pronta risposta!!

      • Tommaso_

        Ciao! Mi è appena capitato sul mio MacBook Air! Come faccio a sbloccarlo? Ora riesco a usare le applicazioni del computer ma non riesco a navigare con safari!
        Aiuto per favore!!!!

        • http://www.worldinformatic.com/ Matteo Pumo

          Prova semplicemente a ripristinare Safari dal menù che trovi in Safari -> Ripristina Safari.

  • maynard

    C’è un modo per eliminare il virus nel caso non riesca ad accedere in nessun modo in modalità provvisoria, né a ripristinare il sistema all’ultima configurazione disponibile? Grazie

    • http://www.worldinformatic.com/ Matteo Pumo

      Certo! Puoi o resettare tutto, o salvare almeno i file più importanti, o cercare di eliminare il virus, seguendo il: METODO ATTRAVERSO DISTRO LINUX E/O RIMOZIONE HARD DISK indicato sopra

  • Simone

    Grazie mille, ho fatto il sistema dell’ultimo minuto e ho risolto grazie mille

  • Ilaria

    Anche io ho beccato questo virus oggi. Ho un mac e l’ho eliminato ripristinando Safari. Ho letto che ora il nostro mac potrebbe diventare una sorta di portatore sano e infettare altri pc quando mandiamo mail. È vero? È necessario installare un antivirus?
    Grazie x il tuo aiuto!!

  • Nadia

    Scusate ma io ho provato a fare eliminazione ripristinando safari ma mi si apre subito un altra finestra che mi blocca tutto che devo fare? Ci sono altri metodi?

  • Nadia

    scusate sto parlando del Mac Air. Posso disinstallare safari?

    • http://www.worldinformatic.com/ Matteo Pumo

      Ti consiglio caldamente di non disinstallare Safari, dato che questo potrebbe comportare tanti problemi, come l’apertura di widget, l’aiuto mac e tante altre cose; continua a provare a ripristinare Safari (dal menù in alto e selezionando tutte le voci), poi se ancora non riesci controlla di non avere qualche estensione sconosciuta in Safari -> Preferenze -> Estensioni.
      L’ultima opzione possibile, purtroppo, è il ripristino del Mac tramite questa guida: http://www.worldinformatic.com/ripristinomac.html

  • UFC

    Salve a tutti, ringrazio anticipatamente per la disponibilità. Io penso di aver preso questo virus, mi si è aperta quella pagina e non potendola chiudere ho spento il pc. Una volta riacceso non ho riscontrato problemi poiché il mio pc apparentemente funziona bene, però per sicurezza ho fatto una pulizia con Combofix ma non in modalità provvisoria perché posso utilizzare quella normale. Ho fatto una scansione con l’antivirus e non ha trovato niente, poi ho anche provato a controllare i registri e i servizi all’avvio ma non ho riscontrato niente. C’è la possibilità che il pc sia ancora infetto? Grazie ancora

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao, la possibilità remota c’è, però se hai controllato ed è tutto a posto le probabilità di essere stato colpito sono basse! Tuttavia ti consiglio vivamente di farti una copia di tutti i tuoi documenti e le cose più importanti, e anche di creare un altro account amministratore da usare nel caso in cui quello attuale non risulti più accessibile.

      • UFC

        Grazie per la risposta. Volevo ribadire che sembra, secondo il mio parere tutt’altro che esperto, che il pc vada bene, cioè non si blocca ecc ecc.. anche se non sono passate le famose 72 ore. Tutti i metodi che ho applicato però li ho fatti avviando windows normalmente questo implica qualche cambiamento? Applicando il “metodo consigliato dalla polizia postale” ho notato che quella cartella che viene indicata nel mio pc è vuota; è possibile? è una cosa positiva o negativa? Non riesco a capire se ho risolto o no il problema, o se il problema stesso nel mio pc non esiste. E l’ultima cosa: utilizzando Combofix le possibilità che questo maledetto virus sia cancellato sono abbastanza giusto? Ringrazio ancora per l disponibilità.

        • http://www.worldinformatic.com/ Matteo Pumo

          Ancora meglio se è vuota! Credo di poter dire che sei riuscito a non prendere il virus (tra l’altro, come hai giustamente detto, con la scansione con Combofix dovresti essere tranquillo!); fai comunque quello che ho scritto prima per sicurezza! P.S. Bel nome.

          • UFC

            Grazie mille dell’aiuto! :)

  • Gianni Calciati

    Salve, questa mattina mi è capitato di rimanere infettato con una versione di questo virus. l’infezione nonostante fosse molto pesante è stata raggirata con un nuovo metodo, quindi vi riporto come ho fatto a risolvere il problema (per Windows XP). Mi era già capitato qualche mese fa ed utilizzando il metodo (presente sopra) in modalità provvisoria con prompt dei comandi e regedit, l’avevo risolto. oggi, come l’ultima volta, l’unica modalità funzionante era proprio quella con cmd (prompt dei comandi), tuttavia questa versione del virus mi aveva BLOCCATO REGEDIT E TASK MGR!! a questo punto (scoperto dopo 2 ore di tentativi) dovete digitare sul cmd “control” ( io l’ho fatto nel tentativo di aprire il pannello di controllo, ed il risultato è stato migliore del previsto). apparirà il messaggio che normalmente viene mostrato ogni volta che si accede alla modalità provvisoria che chiede se continuare in modalità provvisoria o ripristinare configurazioni precedenti, e, cliccando NO, si apre la console di ripristino configuarazioni precedenti (che non ho utilizzato) e magicamente si attiva anche explorer.exe (non infetto). quindi sullo sfondo nero a me è apparso normalmente il desktop come se avessi avviato il pc in safe mode (senza prompt dei comandi) alla quale prima il virus non mi lasciava accedere. A questo punto ho riattivato regedit e task mgr digitando: “reg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v DisableRegistryTools /t REG_DWORD /f ” per ripristinare regedit (per task mgr stesso procedimento ma sostituire DisableRegistryTools con DisableTaskMgr). dopo la conferma di avvenuta riattivazione, mi è bastato utilizzare regedit ed andare su “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon e controllare Shell a quali valori corrispondeva. ho scoperto dunque il nome del file si sostituiva ad explorer.exe all’avvio (si chiamava KB9792047.exe), quindi l’ho rimosso ed ho ripristinato i valori corretti (ovvero explorer.exe). al riavvio tutto OK. Spero che a nessuno capiti una simile infezione perchè è stato davvero difficile raggirare il virus, tuttavia sappiate che finchè funziona la modalità provvisoria con prompt dei comandi potete (non senza faticare) liberarvi di questo schifosissimo virus. se il Sig. Pumo volesse aggiornare la guida per la rimozione del virus anche con questo metodo ne sarei lusingato. sono disponibile per qualunque chiarimento.
    Gianni Calciati

    • http://www.worldinformatic.com/ Matteo Pumo

      Grazie mille per questa soluzione; appena possibile aggiornerò la guida aggiungendo anche questa risoluzione, e nel caso in cui io abbia bisogno di sapere qualcos’altro la contatto.

  • cccc

    ciao.ho preso anche io il virus.ho un MAC e quando ho preso il virus stavo usando GOOGLE CHROME ho cercato di chiuderlo ma nn riuscivo,prima ho staccato la chiavetta poi ho cercato di chiudere il pc ma niente si che sono andata alla chiusura forzata così sono riuscita a chiudere il pc poi dopo 5 min lo riacceso e andato tutto bene ma sono rimasta con il dubio si che oggi o letto i tuoi consigli e ho scaricato il app CLAMXAV ho fatto la scansione e mi e uscito che ho un virus con nome 99.emlx ,nome infezione Heuristics. Phishi…Volevo sapere quale e il metodo più buono per cancelarlo. Grazie

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao, o il virus lo sposti in quarantena con ClamXav, oppure disinstalli semplicemente Chrome (e poi se vuoi lo reinstalli) e il malware dovrebbe scomparire insieme al browser.

      • cccc

        ciao di nuovo,un altra cosa nuova che ho scoperto e che mi dice che o questo virus soltanto quando sono connessa a internet,perché ho fatto la scansione anche quando ero sconnessa da internet e mi dice che nn ho nessun virus.(ho già cancellato Chrome),per caso mi devo fare anche io un altro amministratore? grazie ancora

  • Mary

    salve, stamattina mentre aprivo un blog sul sito tumblr mi si è aperta una pagina simile a quella ma con indirizzo stop.police-guard-you.info e invece di polizia di stato era tutto in inglese (ma con la stessa solfa ce mi era stato bloccato il pc per attività sospette e il mio IP )
    ovviamente quando cercavo di chiudere la pagina mi impediva di farlo col solito trucco che stavo lasciando la pagina senza salvare le informazioni (come fan a volte certi pop up) così con process explorer ho chiuso manualmente firefox (invece che spegnere il pc) e al riavvio di firefox il problema non si è ripresentato.

    nel dubbio però ho fatto una scansione con avira antivir, superantispyware e malwarebytes e non ho trovato nulla. Ho anche seguito la vostra guida cercando fra i vari servizi attivi e cancellato i files temp e verificato quali programmi ci sono in avvio ma non c’è niente di anomalo. Solo processi di sistema (ho anche googlato quelli che non conoscevo per togliermi il dubbio)

    Dite che il mio pc non è stato infettato? Non so cosa fare per esserne sicura
    Non ho ancora riavviato il pc da quando è spuntata quella pagina quindi ho fatto tutte le verifiche subito dopo che si è presentata e non in modalità provvisoria.

    • Mary

      possible che sia quel blog che stavo aprendo ad essere infetto? non so cosa pensare

      • http://www.worldinformatic.com/ Matteo Pumo

        Probabile che quel blog fosse stato preso di mira dal malware (solitamente vengono segnalati da Google però!), ma se hai già controllato tutto (fai anche una veloce scansione con combofix che non si sa mai), allora puoi stare un pó più tranquilla. Ti consiglio comunque, come ho consigliato a un utente qualche ora fa, di farti una copia di tutti i tuoi documenti e le cose più importanti, e anche di creare un altro account amministratore da usare nel caso in cui quello attuale non risulti più accessibile. Fammi sapere tra circa 72 ore com’è andata.

        • Mary

          ho letto che esiste una variante più stupida di questo virus che non infetta e apre solo queste pagine con minacce.
          Onestamente non ho provato a riaprirlo quel blog per togliermi il dubbio ma credo che quel blog fosse ok fino a ieri almeno perchè l’avevo già visitato (uno dei semplici blog della piattaforma di tumblr) il fatto che il testo non era in italiano mi ha subito fatto pensare ad una pagina infetta (visto che quel blog infatti è in inglese) però vorrei togliermi ogni dubbio perchè sono entrata un po’ nel panico e ho cominciato a scansionare tutto xD

          cercando su internet se usciva qualche risultato su ” stop.police-guard-you.info” ho trovato solo una persona che proprio oggi si era ritrovata con una pagina simile visitando facebook… quindi forse è una variante nuova…

          ora lancio anche combofix

          • Danilo

            Scrivo anche io qui sotto poiché ho esattamente gli stessi tuoi dubbi. Computer bloccato,spento forzatamente, seguito tutti i punti (tranne combofix..è necessario?) ma tutto nella norma… Staro attento e creero un altro amministratore. Il “fammi sapere tra 72 ore” è un pò inquietante… Incrocio le dita

          • Mary

            facendo gli scongiuri, ad oggi non noto nulla di strano e la pagina non si è più aperta. Nel caso cmq, consigliano di fare un ripristino di configurazione di sistema se proprio si vuol essere sicuri (ma se malwarebytes non trova nulla e non si notano rallentamenti o blocchi particulari non occorre)

            Fatto sta però che nel mio caso sono sicura che il colpevole sia un blog tumblr che stavo visitando in quel momento quando la pagina si è aperta
            Infatti visitando la pagina http://www.tumblr.com/tagged/virus trovi innumerevoli segnalazioni di persone che stanno avendo questo problema e ad oggi sembra, questa, essere una variante stupida del virus che in realtà non è un vero e proprio virus che infetta il pc. Sembra aver preso di mira tumblr e infettato l’html di certi blog creando un redirect automatico a quella pagina della polizia.
            Leggevo una persona in particolare che ha fatto dei test analizzando quella pagina per capire se scaricava qualcosa sul pc e sembra essere innocua (a parte bloccarti il browser perchè non riesci a chiudere la pagina)

            ah, poi ho letto che questo virus-redirect sfrutta una vulnerabilità di versioni precedenti di java che andrebbe quindi aggiornato al più presto

            e in effetti andando qui https://www.mozilla.org/it/plugincheck/ (uso firefox come browser) mi sono resa conto che stavo usando una versione vecchia dei vari plug in!
            Consiglio quindi a tutti di verificare la versione java installata e nel caso disistallare le vecchie versioni e installare quella più recente che non presenta questi bug.
            http://www.java.com/en/download/manual.jsp

        • Mary

          ps: l’account utente che uso attualmente credo sia l’amministratore (almeno così lo definisce windows) protetto dalla mia pass… ho poi un account quest disabilitato
          devo cmq creare un nuovo account amministratore? non vorrei complicarmi la vita creando un secondo account con privilegi da amministratore

          • http://www.worldinformatic.com/ Matteo Pumo

            Tranquilla che non succede niente se crei un altro account amministratore, anche perchè volendo puoi tenerlo solo ed esclusivamente nelle prossime 72 ore; se invece non vuoi crearlo, comunque copiati tutti i documenti e file importanti su dispositivi esterni.

          • Mary

            ok ne ho creato un altro protetto da password. Speriamo bene, grazie dei consigli
            Vi farò sapere se nelle 72 ore ci sono novità (spero di no!)

        • Mary

          aggiornamento: ho appena letto diversi utenti su tumblr che si stanno lamentando di questo nuovo virus che in realtà sembra non infettare il pc (a patto che non si apra nessun link nella pagina che appare) ma con qualche meccanismo a me sconosciuto renderizza firefox e altri browser (anche safari e quindi mac) su una pagina simile a questa:
          https://31.media.tumblr.com/9c5363e58e82817fc543ca1f8a21ca09/tumblr_inline_mzv8syHU4O1qf1qzl.png

          non succede solo su tumblr ma anche altre piattaforme social come per all’appunto facebook.

          il suggerimento di tutti è praticamente l’operazione che ho fatto io: chiudere il browser dalla task

          ps: la foto di Obama che ti punta il dito contro è un vero tocco di classe xD

        • Mary

          scusa, ancora un altro commento ma non riesco ad usare combofix
          mi dice che l’os non è compatibile (ho windows 7 a 64 bit) cavolo possibile non sia compatibile con win 7? Ho scaricato la versione più recente

          • http://www.worldinformatic.com/ Matteo Pumo

            Strano, perchè Combofix è pienamente compatibile con Windows 7! Da qualche problema di compatibilità solo con Windows 8. Comunque grazie per gli aggiornamenti.

          • Mary

            leggevo che anche altri con win 7 han questo problema ma non trovo la soluzione
            fatto sta che non riesco ad usarlo mi da sempre l’errore os incompatibile
            ho anche provato a riscaricarlo

          • http://www.worldinformatic.com/ Matteo Pumo

            Prova a seguire i consigli che ho indicato nel punto “METODO CON COMBOFIX”.

          • Mary

            provato anche in modalità provvisoria, cambiando nome e mettendolo su chiavetta. Nulla da fare dice non compatibile.
            Ho anche fatto una scansione completa con malwarebytes (che ci mette un ora, giusto se qualcuno voleva saperlo: si è molto lenta quella completa) e non ha trovato niente

            purtroppo questa storia di combofix non compatibile con win 7 sembra essere comune a molti (che non hanno nessun virus) e non trovano una spiegazione o soluzione. BOH!
            Diciamo che cmq combofix mi han sempre consigliato di usarlo con molta molta cautela e come ultima spiaggia se si han davvero sintomi da virus perchè è troppo potente e può far danni. Quindi per ora lascio perdere.

  • Fabius

    Salve, ieri si è aperta una pagina che mostrava una variante del ransomware della falsa guardia di finanza. C’era il logo della Polizia postale e la foto del Presidente. Non appena si è aperta ho spento il computer premendo il tasto di spegnimento e una volta riacceso ho aperto il task manager (Windows 8). Tra le varie applicazioni Chrome mostrava che la pagina chiusa era in realtà ancora aperta, così ho chiuso il browser (Termina processo) e mi sono scollegato a Internet spegnendo il Wi Fi dal notebook. Ho scaricato Combofix da un altro computer con un altra connessione e l’ho fatto partire nel computer infetto con la connessione staccata (non ero in modalità provvisoria). Dopodiché aprendo Chrome e il task manager ho notato che non veniva più mostrata la pagina. Ho fatto una prima scansione con MalwareBytes chiudendo tutti i processi chrome.exe e ho ripetuto un’altra volta la scansione richiudendo i processi chrome.exe dal task manager (chiudi processo ad albero). Ho fatto una scansione con HitmanPro e ho disinstallato Google Chrome. Per maggiore sicurezza ho seguito le indicazioni della Polizia Postale da voi riportate e il metodo con le chiavi di registro di sistema ma non ho trovato nulla di sospetto. Ora nel mio computer sono presenti 3 account, con uno dei quali ho trovato il “virus” e svolto le operazioni che ho riporato. Gli altri due sono al sicuro? O c’è pericolo che siano infetti?
    Inoltre se sono riusciti a localizzare il mio IP, sono per caso costretto ad utilizzare TOR per il resto della mia vita o dopo aver fatto quelle innumerevoli scansioni sono al sicuro? Grazie!

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao Fabius, gli altri account sono al sicuro; se devo essere sincero, purtroppo molte volte (come puoi anche notare dai commenti) vengono infettati gli stessi computer.. Ovviamente sarebbe meglio sempre navigare in anonimo, ma non ci si può limitare la vita a causa di questi virus! Tra l’altro questo non è un vero virus e non ruba dati.. È indubbiamente fastidioso, ma si può anche eliminare con pochi procedimenti.

      • Fabius

        Grazie mille Matteo! Ho fatto un po’ di scansioni con malwarebytes, combofix ed hitman pro. Ho anche seguito il primo metodo e il secondo! Grazie ancora. Un’ultima domanda (spero di non essere off topic) sapresti spiegarmi perché ho due programmi (stessa dimensione) csrss.exe in esecuzione e molti altri svchost.exe nel task manager? Alcuni saranno per caso dei trojan?

        • http://www.worldinformatic.com/ Matteo Pumo

          Tranquillo, è normale avere quei file (anche più file in esecuzione), perchè possono trovarsi in più processi; inoltre non chiuderli o eliminarli per nessun motivo, dato che sono essenziali per Windows.

    • Mary

      il fatto che visualizza il tuo ip è uno script abbastanza scemo utilizzabile da chiunque e per niente malevolo (nessuno vede il tuo ip in realtà tranne te stesso che guardi la pagine) e non vuol dire nulla
      anche se vai in questa pag vedi il tuo ip: http://whatismyipaddress.com/

      per dire ci sono dei counter per visitatori del tuo sito che hanno quella funzione
      tra l’altro l’ip quando è dinamico cambia ad ogni connessione

      • Fabius

        Grazie Mary! ;)

  • alex picconatore

    Ciao Ultima Versione che attiva anche la WEB CAM: rinominate il seguente file C:Documents and SettingsadminLocal SettingsTempjzh9qv3.cpp. Il file non è cancellabile, però è possibile modificare il nome, modificato il nome il virus non riesce ad attivarsi al riavvio. Per cancellarlo definitivamente potete provare con killbox usando l’opzione cancella al riavviao. NB: il file potrebbe chiamarsi diversamente con un nome di tipo casuale.

  • Daniele

    Appena preso questo fastidiosissimo malware.
    E’ gia’ la terza volta che incappo in questo problema.
    Come antivirus uso avast e ho anche spybot ma a quanto pare servono a poco.
    Per il momento il pc e’ ancora acceso posso navigare ma la schermata del desktop non e’ accessibile.
    Sto aggiornando e scansionando il pc ma non rilevano nulla.
    Le altre volte all’apparire del problema semplicemente sapendo l’ora del contagio cercavo tutti i file modificati e creati in quel lasso di tempo (di solito trovavo un file exe) e una volta rimosso il problema era risolto ma ora sembra piu’ complicato.
    Sto leggendo i vari commenti e’ soluzioni, ma il dubbio che mi assale e’ questo, per testarli ci vuole una marea di tempo.
    A conti fatti sto valutando se non e’ meglio formattare tutto e reinstallare windows.
    Ci vogliono 45 minuti per farlo e un altra oretta per mettere i vari programmi ed avere un pc praticemente nuovo di zecca.
    Mi rendo conto che e’ come curare un mal di testa con una decapitazione.
    Cmq testero’ alcune soluzioni.
    Non so dirvi esattamente il luogo del contagio poiche stavo vedendo focus su Cloud Tv
    e tutte le volte che vi si accede si e’ letteralmente bombardati da pagine pubblicitarie (spesso a carattere ose’) mentre procedevo alla chiusura di tonnellate di queste pagine Zack e’ apparso il logo polizia di stato ecc.
    Che p..e !!!

  • Daniele

    Aggiornamento.
    Non avendo molta voglia (e nel dubbio di andare a cancellare files innocenti) ho optato per la soluzione Combofix.
    Prima ho scansionato il pc con Avast con esito negativo,poi con Spybot appena aggiornato ma ancora nessun risultato.
    Avevo appena preso questo malware,quindi non ho riavviato il pc,avendo firefox aperto ho scaricato il programma Combofix dal link della pagina.
    Una volta scaricato e non potendo accedere al desktop per installarlo dalla cartella download ho usato il tasto Start – Risorse del compiuter – una volta aperta sono andato su C e con l’opzione cerca sono risalito alla cartella download che si trova nel desktop e ho avviato il programma.
    Prima di eseguirlo ho disabilitato l’antivirus (avast) poi ho lasciato che il programma andasse in esecuzione (mi ha dato alcuni errori ma li ho ignorati). Il programma dopo l’elaborazione ha riavviato il pc e dopo un po’ ha presentato un rapporto finale. A questo punto riavviando firefox ho notato che la pagina polizia di stato si ricaricava) ma il programma Combo aveva appena terminato e forse le impostazioni non erano definitive Quindi ho riavviato nuovamente il pc e riavviando Firefox non ho piu’ trovato segni di questo Malware. Unico inconveniente il pc ha variato alcune impostazioni di visualizzazione (aspetto delle finestre colore cornice). Io ho sempre detestato l’interfaccia di Windows e ho sempre usato l’interfaccia Alienware (tema). Una volta ricaricata il pc e’ tornato al suo aspetto e funzionalita’ normale.
    Spero (sono passate alcune ore e sembra tutto ok)
    Grazie per i link i suggerimenti e le procedure espresse.

    Daniele.

  • Daniele

    Scusate sono ancora io (giuro che dopo me ne vado)
    Ho appena finito di parlare con un mio carissimo amico, vero Guru del pc.
    Essendo disabile e ultrapappassionato di pc, ripara e risolve diversi problemi a chiunque non abbia famigliarita’ con l’ancora ostico pc e lo fa quasi sempre gratuitamente.
    Mi ha detto che oggi ha subito una vera e propria invasione di pc “infetti” e una marea di telefonate riguardo proprio il malware polizia di stato-guardia di finanza.
    Ed ecco l’imputato maggiore del contagio.
    Si tratta di…ehmmm…si proprio lui ! ossia You Porn !
    l’unico sito dove a parole nessuno l’ha mai visitato eppure e’ il sito piu’ cliccato dagli italiani.
    Cmq a quanto pare il malware e’ stato ricaricato da poco proprio su you porn ecco il peche’ in queste ore migliaia di possessori di pc stanno “smadonnando” (leggi ripassando tutti isanti del calendario).
    Quindi conviene per un po’ di tempo “astenersi” o pregare in ginocchio la propria fidanzata
    (mazzo di fiori e invito in pizzeria ?).
    Un saluto a chi legge (pentitevi fratelli…. : )

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao Daniele, grazie per aver condiviso tutte queste esperienze e possibili soluzioni; sicuramente tantissime persone sono state “contagiate” per aver navigato in questo tipo di siti, perchè chi fa i virus sa che inserendoli li colpirà la massa.

  • unoqualunque

    Ciao Matteo, avevo scritto giorni fa per questo malware e ora è tutto risolto grazie a te. Volevo ringraziarti per la tua dedizione e comunicarti che, per quanto riguarda il mio caso, i tuoi consigli sono stati ottimali e precisi per risolvere il problema. Grazie ancora, sono le persone come te, che rendono migliore il web!

    • http://www.worldinformatic.com/ Matteo Pumo

      Grazie mille per tutti i complimenti; felice di averti aiutato a eliminare il malware.

  • igor

    per il mac c’e’ una soluzione piu’ semplice.Invece che disinstallare il browser,eseguire l’uscita forzata dallo stesso.Alla riapertura ci sara’ la pgina di errore,selezionare l’indirizzo del virus e scegliere chiudi.Vi troverete nella vostra homepage,come se nulla fosse successo.Prima di fare cio’ pero’,cancellate la cronologia recente.Tutto questo vale per firefox,dimenticavo.

  • Daniele

    Anche per me problema risolto (prima non ero sicuro al 100% visto che non erano passate nemmeno 24 ore).
    Per chi legge il post ora, io ho scaricato il programma Combofix e l’ho eseguito disattivando prima l’antivirus,al termine ho riavviando il pc e il problema e’ stato risolto in circa 10 minuti.
    Volevo solo aggiungere un dettaglio. Molti sono restii a installare un altro programma anti malware se ne hanno gia’ uno, questo per timore di rallentamenti,incompatibilita tra i programmi,o conflitti tra essi…ecc,ecc. Quindi segnalo che il programma in questione non richiede installazione (ottimo) una volta lanciato va in esecuzione e una volta terminata la scansione non ne rimane traccia (avrete sempre e comunque il file a disposizione nella cartella designata ai vostri download per rilanciarlo al momento del bisogno, in piu’ provvedera’ da solo (una volta lanciato) ad aggionarsi automaticamente prima di scansionarvi il pc.
    Mi sembra un programma intelligente,e sopratutto discreto visto che non richiede installazione ma si usa solo nel momento del bisogno.
    Potrebbe essere un buon “primo tentativo” per chi viene infettato da questo malware e non ha abbastanza sicurezza o confidenza per andare a “smanettare” nelle varie cartelle correndo il rischio di cancellare files innocenti o peggio vitali per il funzionamento di Windows.
    Ringrazio ancora Matteo per la disponibilita’ e le informazioni che condivide nella speranza che tutti riescano a risolvere il problema attraverso le varie procedure descritte, evitando in questi tempi di crisi di doversi rivolgere ad un tecnico a causa di questi stupidi virus che causano solo problemi e francamente non so quale soddisfazione possano mai dare a chi li realizza.

  • kruno

    Matteo, che dire se non grazie !
    Ieri sera l’ho beccato e in questo momento Combofix mi sta configurando portatile.
    Però, scrivo anche per un’altro motivo : il virus non mi permetteva di entrare nella modalità provvisoria . . .
    A chi capita può provare seguente : Ctrl + Alt + Canc e sciegliere opzione RIAVVIA ; lo so, fin qui niente di nuovo, però, vi tornerà il vostro desktop per pochi secondi – basta per premere START ! Non ci capisco niente del computer perciò per me è una gran bella scoperta !!
    A questo punto sono riuscito far partire Combofix . . . il resto dovrebbe essere storia
    croato
    P.S. Se no erro da me si è presentato sotto il nome b18z1bd

  • SempreContro

    Grazie,
    ho risolto grazie a voi, in particolare grazie a chi ha scritto di cercare i file sospetti non solo nell’utente,
    ma anche in All User e in tutti gli altri utenti.
    Non riuscivo neppure a far partire in modalità provvisoria con prompt dei comandi.
    Per entrare sul disco ho utilizzato il Mini Windows Xp presente nel cd di Hiren’s, e così ho poi cancellato:
    da ogni utente (in Documents & Settings/utente/dati applicazioni e in Documents&Settings/utente/menu avvio/programmi/esecuzione automatica) tutti i file sospetti, in pratica il virus, che da me si chiamava
    1dblc7tx (con estensione cpp oppure odd). Sempre con Mini Windows Xp ho fatto la ricerca nel registro
    di sistema (regedit) e ho eliminato le chiavi di registro contenenti 1dblc7tx.
    Ho riavviato poi in modalità provvisoria (equesta volta non mi aperto la solita schermata del virus), lanciando anche Combofix, che avevo messo su una chiavetta scaricandolo con un altro computer. Ora voglio comunque lanciare un’altra scansione con Antimalwarebyte’s.
    Non mi era servito neppure mettere il disco come secondario e fare le scansioni con AMBM così.

  • oscar

    Ho scoperto che il file si puo’ chiamare anche KB5817129.EXE

  • TeoMat99

    Grazie,
    ho risolto grazie a voi, in particolare grazie a chi ha scritto di cercare i file sospetti non solo nell’utente, ma anche in All User e in tutti gli altri utenti.
    Non riuscivo neppure a far partire in modalità provvisoria con prompt dei comandi.
    Per entrare sul disco ho utilizzato il Mini Windows Xp presente nel cd di Hiren’s, e così ho poi cancellato: da ogni utente (in Documents and Settings/utente/dati applicazioni e in Documents and Settings/utente/menu avvio/programmi/esecuzione automatica) tutti i file sospetti, in pratica il virus, che da me si chiamava
    1dblc7tx (con estensione cpp oppure odd). Sempre con Mini Windows Xp ho fatto la ricerca nel registro di sistema (regedit) e ho eliminato le chiavi di registro contenenti 1dblc7tx.
    Ho riavviato poi in modalità provvisoria (e questa volta non mi aperto la solita schermata del virus), lanciando anche Combofix, che avevo messo su una chiavetta scaricandolo con un altro computer. Ora voglio comunque lanciare un’altra scansione con Antimalwarebyte’s.
    Non mi era servito neppure mettere il disco come secondario e fare le scansioni con AMBM così.
    P.s. ottima idea quella dei commenti e degli aggiornamenti costanti !

    • http://www.worldinformatic.com/ Matteo Pumo

      Grazie per aver raccontato la tua soluzione con Mini Windows XP; appena possibile integrerò la guida anche con questa soluzione.

  • Alessandro

    io ho trovato un file nominato CTFMON.EXE-05e57a5e.pf

    la data di creazione èdi ieri sera ( il virus mi ha dato il benvenuto oggi )…possibile sia infetto?

    • http://www.worldinformatic.com/ Matteo Pumo

      I file .pf sono quelli contenuti nella cartella Prefetch di Windows e servono per velocizzare boot e apertura di applicazioni; per saperne di più sul file ctfmon guarda questa guida: http://www.worldinformatic.com/6/post/2013/10/processo-windows-ctfmonexe-cos-come-funziona-e-come-cancellarlo.html. Se vuoi essere più sicuro svuota pure sia la cartella Temp che la cartella Prefetch.

      • Alessandro

        Grazie mille per questa guida che hai scritto, mi è stata utilissima e spero di aver risolto. Farò quanto hai detto nella tua risposta domattina.
        La mia storia però è curiosa: navigavo e s’è aperta la finestra del virus in chrome, stile pop-up pubblicitario. Ho chiuso chrome con la task manager e da lì sono andato nel panico perché in rete ho letto che il virus si attiva dopo 24 ore ( in quel caso dovrei essere salvo ) o 72 ( e qui tremo perché il rischio ci sarebbe ancora ). Ho fatto di tutto: scansioni con avast, spyhunter (maledetto lui) malewarebytes, 5-6, forse anche 7, volte la procedura con combofix. Dopodichè ho scansionato ancora con avast e successivamente con HitMan Pro, eliminando di volta in volta le minacce. Da quando ho iniziato a fare questo, però, l’avvio del pc è lento e ci mette un po’ per caricare i vari programmi quando compare il desktop. Per questo remo ancora XD.

        Dite che sono “salvo”? Malwarebytes ed hitman pro ( che comunque dovrebbero partire solo col doppio click )vanno in conflitto con Comodo firewall ed avast?

        Grazie ancora per le eventuali risposte e per l’aiuto che è stato fornito :D

        • http://www.worldinformatic.com/ Matteo Pumo

          Credo tu abbia già fatto tutto il possibile (controllato nel regedit?), quindi dovresti essere salvo! Per quanto riguarda la tua seconda domanda, MalwareBytes non va in conflitto con niente, così come Combofix e probabilmente Hitman Pro (ma questo con certezza non lo so)

          • Alessandro

            grazie ancora!
            Nel regedit pare non esserci più nulla ( la cartella shell l’ho eliminata ) il rallentamento non è conseguenza del virus allora? è comparso subito dopo di lui…

            avevo dubbi su combofix perché nella taskmanager non v’era traccia di userinit nè di altre applicazioni.

            GameMon.des è sicuro?

          • http://www.worldinformatic.com/ Matteo Pumo

            Se si trova in C:windowsSystem32 potrebbe non esserlo, ma per sicurezza direi che puoi cancellarlo.

  • Anna Cordero Spina

    Il virus che ho preso non permette di entrare nemmeno in provvisoria, credo di avelro individuato in un fantomatico MDM.exe ma che poi se riesco ad entrare sparisce e non si trova a nesun costo. Ho anche svuotato il file link qqwl8b7t che si trova in Esecuzione Automatica ,(se si cancella o lo si disabilita viene ricreato oppure riablitato da questo MDM.exe . Il contatore delle ore riparte sempre da 48 ore ongi volta.
    Ma no riescoa debbellarlo. Ho rpvato a mettere in Esecuzione Automatica anche Revo Unistaller che ha la opzione mirino per chiudere le applicazioni resistenti, ma non credo che funzionerà visto che come giustamente hai scritto non fa partire gli altri programmi. Inutile dire che ne Malaware bit ne AVG lo trovano.
    Sinceramente non ho capito come creare un nuovo account in provvisoria, poiché arrivata alla schermata con F8 mi da solo le varie opzioni per entrare nelle varie modalità. Inquanto andare nel registore e cancelalre file sospetti temo di fare più danni io che il virus,(poi magari chimano un virus con il mio nome! :) ) . Potrei avere ulteriori informazioni? ringrazio sentitamente.

    Sinceramente: Ann Mary Jennifer Cordero Spina

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao, puoi provare a fare diverse cose:
      1) Se ti è possibile, cancella il contenuto delle cartelle C:WindowsTemp e C:WindowsPrefetch.
      2) Fai una scansione con Combofix, il quale elimina il virus un buon 75% delle volte.
      3) Riporta il tuo Sistema Operativo indietro di qualche settimana con l’utility Ripristino Configurazione di Sistema.
      3) L’account amministratore lo puoi abilitare scrivendo nel prompt dei comandi: net user administrator / active: yes come ho indicato in guida, e dopo è sufficiente entrare in modalità provvisoria per crearsi un altro account amministratore con pieni poteri.
      4) Se hai paura di fare qualche danno, e neanche i punti precedenti ti hanno aiutato, allora ti consiglio di utilizzare il metodo con la Distro Linux e/o Rimozione dell’Hard Disk.. Può sembrare complicato apparentemente, ma non lo è! Così facendo copi tutti i tuoi dati più importanti e dopo puoi procedere al ripristino totale di Windows.

      • Anna Cordero Spina

        Ti ringrazio , dunque ho visto, che come indicavi tu un file sospetto è il ctfmon.exe, (ce ne sono due in START UP) uno l’ho cancellato e l’altro l’ho rinominato invertendoi il nome, Inoltre ho trovato uno dei file origine, il file qqwwl8b7t.fee in C:WINDOWS DOCUMENTS AND SETTINGS ALL USERSDATI APPLICAZIONI
        Prima di aprirlo l’ho dovuto rinominare con estensione “.exe” altrimenti non me lo apriva, e appena l’ho aperto, MIRACOLO! si è sveglaito l’AVG e ha scoperto che era un trojan!
        Scrivo questo anche a beneficio di altri utenti. Ma la mia domanda è:

        1) Adesso, se ho cancellato il ctfmon .exe sbagliato che devo fare?
        2) Devo cancellare lo stesso il contenuto delle altre cartelle come mi hai risposto? Perché questo bloody file MDM.exe non esiste quindi o è finto o è rinominato e per essere rinominato deve avere un atro file che lo fa.
        3) Devo riportare il system indietro? Io non sono sicura che queste cose che ho fatto siano “vincenti”, ma adesso se riavivo il pc mi tocca ricomnicare a fare la gara con il tempo e non mi va sinceramente..
        4)Poi ho letto che si può aprire un nuovo account anche in windows con il prompt, ma a me non mi parte e poi non mi da nessun prompt, fa tutti i preparativi e poi si riavvia.
        Ho appena scoperto che il file qqwl8b7t.fee viene rigenerato anche lui!

        • http://www.worldinformatic.com/ Matteo Pumo

          Puoi creare un nuovo account dal prompt tenendo premuto F8 all’avvio (se non funziona usa altri tasti, perchè dipende dal tuo PC) e poi selezionando la voce “Avvio con prompt dei comandi”. Ti consiglio per sicurezza di svuotarle quelle cartelle, perchè tanto non succede niente a farlo (anzi, liberi spazio e rendi più veloce il PC!); rinnovo l’invito a provare con combofix e, se non funziona, usa anche il metodo che consiste nel “tornare indietro nel tempo”.

          • Anna Cordero Spina

            silho fatto ma no mi da nessun prompt mi parte direttamente windows provvisoria e poi si chiude!

  • superMax

    Ciao, ho preso questo virus poche ore fa. Stavo navigando con mozilla e mi ha bloccato la pagina. Per quante volte cercassi di uscire dal browser e cliccassi su “abbandona questa pagina” mi faceva rimanere li inchiodato. Ho semplicemte forzato la chiusura del browser con Ctrl+ alt + canc . Ho riavviato il sistema senza la modalità provvisoria ed effettuato una scansione con Avira antivirus. vi erano 16 elementi nascosti che avira ha avira ha identifcato. Ora il computer sembra andare normalmente, nessuna schermata all’accensione, nessun file in “esecuzione automatica”. Cosa può essere successo? non l’ho preso? mi sono salvato in extremis? ditemi voi

    • http://www.worldinformatic.com/ Matteo Pumo

      Può darsi che tu ci sia riuscito, ma per sicurezza controlla che nel regedit sia tutto a posto come indicato in guida, creati un nuovo account amministratore e poi copia tutti i documenti importanti su un dispositivo esterno. Se vuoi, per sicurezza, puoi provare anche a fare una scansione con Combofix

  • Rosario C

    Salve, ieri ho risolto il problema in questo modo: 1)Ho avviato il pc in modalità provvisoria (SO windows Xp), con qualche difficoltà, ma ci sono riuscito. 2) Ho caricato Hijackthis, un programmino non residente che forse qualcuno conosce, dà tutto l’elenco dei programmi che si auto avviano all’accensione del pc. 3)Ho individuato, per esclusione due file sospetti. con estensione ovvviamente .exe, che contenevano il nome tipo Kb8285… ecc. (non ricordo tutto il numero). Inoltre ho verificato, nella cartelle temp, quando avrei “caricato” il file in questione, e ho trovato coincidenza temporale (questo per evitare di cancellare un programma sbagliando) 4) Ho fixato il primo exe e ho effettuato, dopo riavvio, un ripristino configurazione di sistema, e così è sparito anche il secondo (che avrei potuto fixare subito, ma sempre bisogna andarci con cautela a cancellare). 5)Scansioni di routine con AV e MWB.

  • Cristina

    Ciao
    Purtroppo ho preso questo virus poche ore fa… io uso google chrome e appena è arrivato i virus mi è comparsa una finestra di chrom piccola alla destra che mi ha bloccato tutto… fortunatamente sono riuscita ad arrestare il sistema.
    Appena riacceso andava tutto bene ma per precauzione ho portato indietro il pc al 3 febbraio e ho avviato una scansione con avg (versione gratuita) e non ha rilevato nulla.

    Può bastare solo riportare il pc indietro?

    Grazie

    • Cristina

      Ho deciso di andare in modalità provvisoria per controllare, quindi sono andata nella cartella esecuzione automatica e ho trovato solo il bluethooth.
      Posso stare tranquilla?

      • http://www.worldinformatic.com/ Matteo Pumo

        Ciao Cristina, penso che tu possa stare tranquilla, anche perchè hai già effettuato abbastanza controlli mi è sembrato di capire; per sicurezza, comunque, fai sempre il backup dei dati più importanti su dispositivi esterni.

        • Cristina

          Già fatto =) ho messo tutto in una chiavetta

          Grazie mille

  • simone di murro

    Scusate e buongiorno ho preso il virus un altra volta ma questa volta a differenza delle altre non mi fa neanche accendere in nessuna modalità come posso fare???grazie io sono Simone

  • abel

    Preso il virus 4 gg fa, questa versione abbondava: segni distintivi di polizia carabinieri e gdf… che in realtà non si mettono insieme nemmeno se viene giù il cielo…. cmq sia, pc bloccato e impossibilità di accedere in modalità provvisoria, se non con prompt comandi. Provata soluzione suggerita dalla postale, ma andando sull’esecuzione automatica “tramite dos” (visto che accedevo solo a quella) e non c’era nulla d’eseguibile. Allora tentato ripristino configurazioni, ma ovviamente dal prompt, secondo questa sequenza suggerita da ms:
    Per avviare Ripristino configurazione di sistema utilizzando il prompt dei comandi, attenersi alla seguente procedura:
    1. Riavviare il computer e quindi premere e tenere premuto F8 durante l’avvio iniziale per avviare il computer in modalità provvisoria con prompt dei comandi.
    2. Utilizzare i tasti di direzione per selezionare l’opzione Modalità provvisoria con prompt dei comandi .
    3. Se viene richiesto di selezionare un sistema operativo, utilizzare i tasti di direzione per selezionare il sistema operativo appropriato per il computer e quindi premere INVIO.
    4. Accedere come amministratore o con un account con credenziali di amministratore.
    5. Al prompt dei comandi, digitare %systemroot%System32restorerstrui.exe, quindi premere INVIO.
    6. Seguire le istruzioni visualizzate sullo schermo per ripristinare il computer a uno stato funzionale.
    RIAVVIATO E PC PERFETTO!!!
    Fatta poi scansione con Avira, trovati tre cavalli, ma non credo c’entrassero qualcosa.
    Quello che non capisco e da dove partiva l’ exe del virus se non dall’esecuzione automatica, in cui non c’era niente?
    Speriamo il virus non sia dormiente e non ricompaia. Stiamo a vedere, intanto salvo tuttto fuori.
    Ciao e grazie delle dritte: dopo una ricerca appronfondita con google, questo blog è il migliore sull’argomento. Complimenti.
    PS
    Sotto virus se spingevo brevemente lo spegnimento, la pagina bianca di blocco causata dal virus spariva e compariva il desktop, ma senza la barra degli strumenti e con il taskmanager bloccato. Riuscivo ad avviare avira con icona sul desktop, scansione rallentatissima e che non trovava nulla.

  • mrfaustog

    vedo l’aggiornamento 2014: anche il mio virus era un KB9… con un numero leggermente diverso.. Si vede che tentano di farlo passare come un aggiornamento Windows.
    Grazie di tutto

  • Mattia

    Buongiorno ragazzi, ieri pomeriggio mentre navigavo con il mio portatile, ho attivato la modalità provvisoria direttamente da MSCONFIG. Ravviato, inizia con la schermata Bios, e si riavvia in continuazione. Ho installato nella chiavetta usb KASPERSKY RESCUE DISK 10, entrato nell’editor del sistema, cambiate le chiavi ed eliminati i file sospetti, fatta scansione completa ( 3ore ) e riavviato.
    Niente, si riavvia in continuazione ugualmente. Esiste qualche programma o qualche metodo, per rimuovere l’avvio automatico in modalità provvisoria, o che mi permetta di entrare nuovamente su MSCONFIG e rimuoverla? Si potrebbe entrare in dos, e inserire il comando per impostare l’avvio in maniera normale? La cosa strana, è che anche se nella schermata iniziale dell’avvio, scelgo AVVIA NORMALMENTE, si riavvia di continuo. Io per assurdo non ho visto schermate di Polizia, GdF ecc. Help me, please!
    Grazie
    Mattia

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao Mattia, l’unica soluzione che mi viene in mente è quella di provare a ripristinare le impostazioni di fabbrica nel BIOS, che magari sono state modificate per sbaglio (intendo l’ordine di avvio e varie altre impostazioni li presenti); se poi non funzionano quelle di base, prova a cambiarle e a riavviare di continuo finché non parte.

  • carlo

    Salve
    Ho beccato il virus oggi e credo di aver risolto il problema in modo molto semplice: effettuando l’operazione di ripristino ( utilizzando punti di ripristino di qualche giorn prima) digitando il tasto F8 dopo l’accenzione del PC . Il sistema operativo in uso è windows7 home.. Il virus mi
    impediva l’accesso alla modalità provvisoria.

  • Ale

    Ciao a tutti, il mio pc è stato infetto da questo fantomatico virus. Ho provato a fare le operazioni dettagliate che Mattia ci propone ma si blocca ugualmente con la schermata bianca con la scritta in alto a sinistra ” please Connecticut to the internet….”. Ho provato in modalità provvisoria con administrator ma si blocca anche con così! Ho provato con il prompt dei comandi, ma quei comandi non me li legge, mi dice che sono errati! Io ho un xp ed il pc è LENOVO! Grazie spero riusciate ad aiutarmi! Grazie ancora

  • Ale

    Scusami MATTEO…sorry

  • MARCO

    Ciao a tutti ci sono cascato due volte, e quasi altre due volte di cui una oggi stesso , un metodo tempestivo è spegnere spegnere velocemente il pc , cioè staccare la spina immediatamente l ho scampato per ben due volte cosi facendo.buona serata a tutti,

  • Tommaso

    Salve, ieri sera è successo anche al PC di mio padre, s.o. XP, per levare la schermata che blocca il browser semplicemente ho usato task manager, tra le applicazioni compariva come “ATTENZIONE POLIZIA”, una volta chiusa la schermata, il pc è tornato in parte funzionante, tanto da permettermi di installare una versione demo di KASPERSKI (prima c’era AVG free), il quale una volta lanciata la scansione del sistema, ha rivelato un file Rundll32.exe (copia del virus), riavviato il sistema ha eliminato la copia del file infetto ed il pc è tornato funzionante in ogni sua parte.

    Un saluto

  • Eleonora

    Scusate, un consiglio: da qualche giorno (in particolare quando cerco di aprire Youtube) mi appare una scritta che dice “Warning your flash player may be out of date”. Ho provato a far scansioni, ma niente; premesso che non sono pratica di tecnologia…che mi suggerite di fare?

    • http://www.worldinformatic.com/ Matteo Pumo

      Devi aggiornare all’ultima versione Flash.

  • Luca

    Vi segnalo che ho beccato questo malware eliminato poi con Combofix. Il nome del file eliminato è KB0239797.exe.
    GRAZIE x qst guida molto utile e dettagliata.

  • Mattia

    Ciao a tutti! Vi voglio segnalare un piccolo cambiamento che ho riscontrato dalla vostra guida!

    Il nome del file eliminato a me risultava come “Bootstat.dat”. Il problema sono riuscito a risolverlo, perciò il file era per forza quello ;)
    Miraccomando aggiornate, così se dovesse capitare a qualcun altro sa cosa cercare

  • Giuseppe Monopoli

    e se chiamo il tecnico del pc?(io nn sono molto pratico col pc!)

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao Giuseppe, alcuni metodi sono abbastanza semplici, come quello di Combofix e malwarebytes (una volta lanciati, fanno tutto da soli).. Io ti consiglio di provare almeno questi due metodi, e se poi non riesci rivolgiti ad un tecnico; sappi tuttavia che potrebbe chiederti non pochi soldi.

  • https://unavoltahosuonatoilsassofono.wordpress.com/ Giuseppe Di Lorenzo

    In un altro PC abbiamo trovato il virus sotto il nome lollipop_04111329.exe nella cartella C:/Users/Utente/appdata/local/lollipop…

  • Fabrizio Doc Lamarmora

    io ho debellato con kaspersky rescue disk. lo ha trovato in 3 percorsi diversi diversi nello stesso pc.

    1. Trojan-Ransom.Win32.Foreign.ksoz
    C:/Documents and Settings/All Users/Dati applicazioni/2992199F9A/qmdo3lng.cpp

    2.Trojan-Ransom.Win32.Foreign.ksoz
    C:/Documents and Settings/Utente/Menu Avvio/Programmi/Esecuzione automatica/gnl3odmq.lnk

    3.Trojan-Ransom.Win32.Foreign.ksoz
    C:/Documents and Settings/Utente/Impostazioni locali/Temp/~+JF6055469183583580057.dll

  • Filippo_Inzaghi

    C:UsersUserAppDataLocalTempGLCA9A.tmp

    file temporaneo eliminato dalla scansione di ComboFix
    per ora sembra andare tutto ok e aver eliminato il virus

  • Alberto

    14/05/2014

    Poichè non mi funzionava nessuna modalità provvisoria…..ma mi funzionava il task manager ho risolto in questo modo:

    Se riuscite a eseguire il task manager (CTRL+ALT+CANC) selezionate esegui e avviate combofix anche da una chiavetta (messo precedentemente e preso dal link della guida UTILIZZARE COMBOFIX IN MODALITA’ PROVVISORIA )

    Purtroppo la schermata di combofix non vi apparirà ma potrete comunque premere invio per accettare la sua esecuzione……
    A questo punto io avevo aspettato che tutta la procedura di combofix terminasse , invece andate (mentre c’è la schermata blu degli step di combofix) ad eseguire da avvio , esegui , msconfig
    Questo perchè nemmeno combofix me l’ha tolto!!!

    Seguite quindi la procedura per togliere i programmi che si avviano in esecuzione automatica….il processo che avevo aveva questo nome wwki7mq
    il file pero’ si trova nella cartella c:Document…All userDati applicazioni299219qm7ikww.cpp,work

    Disattivando tutti gli elementi di avvio automatico si disattiva anche quello incriminato.
    Applicate ma non accettate il riavvio, quello tanto lo farà poco dopo Combofix!

    Al riavvio potrete riattivare gli elementi di avvio che sono buoni: magari ricontrollandoli con un antivirus….

    Fate un controllo anche con AntiMalaware’s (che troverà il file infetto e lo metterà in quarantena)
    e con il vostro antivirus.

  • Alberto

    Come sistemazione finale (per ripristinare e attivare tutti gli elementi di avvio e non avere il comando msconfig in modalità preselettiva ma con l’avvio normale) è bene togliere prima la chiave di registro incriminata del virus che si autoavviava.

    Da riga di comando eseguite:

    regedit

    Fate una ricerca del tipo “wwki7mq” e troverete che magari si è creato pure una cartella del tipo “StartupFolder” con nome “c:Document…All userDati applicazioni”.

    La chiave vi indicherà sia il percorso di dove si trova il file .cpp sia la copia di backup.
    Se il file lo avete già messo in quarantena con Malaware e non vi ha trovato che la copia va messa in quarantena come è successo a me….rinominatela momentaneamente aggiungendo “__” ad esempio al nome del file “wwki7mq.link”.
    Create un punto di ripristino per sicurezza e se ancora non lo avete fatto installate (tramite combofix) la console di ripristino.

    Prese le dovute accortezze (in modo da poter eventualmente ripristinare il punto precedente alla cancellazione di qualsiasi chiave di registro!) cancellate la chiave del virus appena ricercata e tutte le sottochiavi.

    Riavviate e rieseguite da riga di comando masconfig
    Riattivate tutti i precedenti avvii e riavviate nuovamente.

    • http://www.worldinformatic.com/ Matteo Pumo

      Grazie Alberto per questa spiegazione molto dettagliata; sicuramente sarà d’aiuto per tante persone, dato che questo virus/malware si aggiorna continuamente e sta infettando sempre più utenti.

  • Giuseppe

    Salve a tutti io ho un pc mac ho preso quel virus ho subito cancellato safari e reinstallato dite che basta o è ancora presente sul pc aiutatemi x favore

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao Giuseppe, era sufficiente anche solo ripristinare Safari, ma anche così non ti devi più preoccupare del virus. Se vuoi sentirti più sicuro puoi fare una scansione con Clamxav, o uno di questi antivirus: http://www.worldinformatic.com/5/post/2013/01/scegliere-un-antivirus-per-mac.html

      • Giuseppe

        Grazie :) ma adesso posso riscaricarlo senza problemi no?

        • http://www.worldinformatic.com/ Matteo Pumo

          Si

          • Giuseppe

            Grazie mille ancora :)

  • Chicco

    Virus Polizia di Stato si può trovare sotto il nome ” ing2h4.cpp” percorso: C:/ Document and setting/ All users/ Dati applicazioni/ 2992199F9A/ ing2h4.cpp

  • Massimo

    Ciao a tutti! Ho seguito il procedimento descritto utilizzando Combofix che ha eliminato il file lollipop_04111329.exe, ora dovrei essere salvo giusto? Intanto grazie mille a Matteo per aver scritto questa dettagliatissima guida

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao Massimo, per essere sicuro:
      - Fai un’ulteriore scansione completa del PC con un normale antivirus;
      - Vai a controllare nel Regedit che sia tutto a posto (guarda i file nella guida);
      - Controlla tutti i servizi all’avvio ed elimina quelli sospetti (msconfig), basandoti sulla tabella a inizio guida.
      - Eventualmente puoi crearti un nuovo account amministratore e copiare lì i file più importanti (copia anche i dati in Hard Disk esterni).
      - Inoltre ti consiglio anche una scansione con Malwarebytes che non guasta mai.

  • donsaro

    Ciao a tutti, non riesco a fere nessuno dei procedimenti descritti in quanto con Windows xp mi dice che l’ultima sessione non è stata chiusa correttamente e non mi fa aprire nessuna modalità provvisoria. Nel mio portatile non ho il lettore cd e non posso scaricare il Kasperky, ho scaricato da un altro pc combofix su una chiavetta ma non ho il tempo di fare nulla perché immediatamente parte la schermata di blocco (neanche inserire msconfig da esegui!!!). Chi mi aiuta prima di chiamare un tecnico? Grazie

  • Alessio

    Ciao a tutti, io ho sconfitto il virus e volevo contribuire alla causa, dato che l’ho trovato con un nome ancora differente da quelli catalogati :)

    Allora, il virus mi impediva di avviare Windows in modalità provvisoria, ho dovuto caricare il SO da un CD per poter operare.
    Il virus si è presentato così: si trovava nella cartella C:UsersNOMEUTENTEAppDataLocal dove ha creato una cartella dal nome FB27B406E798CFE4F87336033BBB3F0C. All’interno vi erano i file KDOVSRZ.CPP e ZRSVODK.DOT. Sempre nella cartella …AppDataLocal mi aveva creato una serie di specie di file di log, (il cui orario di creazione coincideva con le accensioni del PC quando era infetto) dal nome RUNDLL32.EXE-(quattro numeri variabili)-F.txt. Eliminata la cartella dal nome lunghissimo, Windows si avvia normalmente, dandomi l’errore di .dll mancante (cioè il file .cpp che avevo eliminato). Quindi, seguendo il percorso nell’msconfig, sono risalito al file “explorer.exe” (trattasi di un collegamento) che si trovava in C:UsersNOMEUTENTEAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup.
    Eliminato anche quello, nessun problema.

    Spero di essere stato utile ;)

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao Alessio, grazie per il commento; a breve aggiornerò la guida con queste informazioni.

  • Alberto

    Ciao io oltre il virus, che è stato la causa, ho trovato nelle proprietà di explorer, alla voce destinazione un doppio comando : C:WindowsSystem32rundll32.exe C:PROGRA~288D8DE~1z8clrgbj.cpp,work
    così come scritto sopra. Finchè non ho cancellato il secondo percorso nulla ha funzionato: nè combofix, ne malwarebytes, nè superantispyware o altri… Questi antivirus mi hanno solamente consentito di entrare in modalità provvisoria che prima di lanciarli facevano riavviare automaticamente il pc (solo da mod.provvisoria).
    Per poterci lavorare sul pc infetto, a mio parere, il metodo migliore e’ quello di lanciare un eseguibile prima che si carichi la famosa pagina della “polizia”, poi arrestare il sistema e premere annulla. Questo libera il pc fino a successivo riavvio.
    Lo posto visto che non ho letto il consiglio di controllare la Destinazione di explorer da nessuna parte. Fate girare se puo’ esser utile.

    Scusate se i termini non sono tecnici ma non sono un esperto informatico.

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao Alberto, grazie per la segnalazione; sarà sicuramente d’aiuto per chi non riesce in nessun modo a eliminare il virus.

  • Matteo

    salve a tutti purtroppo l’ho preso anch’io proprio oggi!
    Per motivi di tempo non ho potuto dedicarmici quindi ho direttamente spento il pc e a breve proverò i vostri consigli.
    C’è qualcuno che potrebbe aiutarmi in “live” magari su skype nelle varie operazioni per eliminarlo?

  • blanik12

    Salve a tutti. Perdonatemi la domanda forse sciocca: ma se io estraggo l’HD e lo collego esternamente ad un altro PC, posso utilizzare
    qualche programma per eliminare questo problema? Io non riesco a entrare in modalità provvisoria, né a utilizzare il prompt, né a far
    ripartire il pc da un punto di ripristino, né a far partire combo fix. Nulla di nulla.Grazie delle risposte.

  • Marco

    Salve a tutti, nel mio caso non riesco ad accedere alla modalità provvisoria, o meglio accedo e poi il pc mi si arresta e torna a windows, così come in modalità provvisoria con propt dei comandi, il mio pc ha windows 7 home premium, che posso fare?

  • Martina Dalla Maria

    Salve, oggi è comparso anche a me questo virus, solo che io ho il tablet Microsoft Surface, e molti modi scritti qui sopra non posso farli. Sono in panico, aiutatemi perfavore

  • Agata

    Grazie per la guida… ciò che non comprendo è: per noi che abbiamo “modalità provvisoria” bloccato, come facciamo ad entrare in “Modalità provvisoria con prompt”?? A me è bloccato pure quello.

  • lina

    Buongiorno, sono incappata ieri nel virus. l’altra volta avevo risolto con MSconfig. Ieri le ho provate tutte ( combofix non è compatibile con W7, Niente con REGEDIT nè cercando il virus in C:Users, nè con esecizione automatica. Alla fine, sfinita, sono tornata indietro di 2 giorni e “sembra” che il problema sia risolto. Grazie mille per i consigli.Lina

  • http://carlocozzetto.com Carlo

    nella sua ultimissima versione riparata oggi 13 luglio 2014, il fantomatico “virus” blocca, tramite temporizzatore (3 minuti circa) l’uso completo del PC
    Va a creare in C:\Users\Utente\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\
    un collegamento “autorun” verso questo percorso c:\progra~2\CE86CF~1\7nhrfow.cpp
    rimuovere il file 7nhrfow.cpp tramite una qualsiasi distro di linux avviabile da CD.

  • giorgia

    salve, ho contratto il virus sul mio smartphone windows 8 (dopo averlo beccato anche ieri sul pc). Quali sono le procedure da seguire?

    • http://www.worldinformatic.com/ Matteo Pumo

      Ciao Giorgia, mi puoi per favore spiegare come è avvenuto il “contagio” sullo Smartphone/Tablet? Anche in risposta privata se vuoi, però mi serve capire come succeda per provare a cercare una soluzione.. E poi vorrei sapere se blocca proprio lo Smartphone/Tablet, oppure solo il browser.

      • SImona P.

        ciao matteo io ho avuto lo stesso problema sul mio smatphone android 4.2.2, stavo navigando guardavo siti di gossip e stavo per aprire un video e mi è comparsa la pagina della polizia postale.. adesso ho cancellato tutta la cronologia, ho riavviato il telefono, le altre app mi funzionano tipo facebook, whatsapp, mentre se apro browser mi rimanda a quella pagina.. come posso risolvere?

        aiutoooo

        • http://www.worldinformatic.com/ Matteo Pumo

          Al momento l’unica soluzione che mi viene in mente è quella di rimuovere il browser e reinstallarlo, oppure eventualmente usarne proprio un altro! Se ancora dà problemi, allora fai un backup completo e poi inizializza il telefono.

  • Francesca

    Ciao a tutti! A me il virus si è presentato sotto il nome xxx.softonic.xxxx e me l’ha eliminato malwarebytes! (In ogni caso ho usato anche il metodo msconfig)! Grazie!

  • donato

    come rimuovere il virus dal cellulare?

  • SImona P.

    io ho avuto lo stesso problema sul mio smatphone android 4.2.2, stavo
    navigando guardavo siti di gossip e stavo per aprire un video e mi è
    comparsa la pagina della polizia postale.. adesso ho cancellato tutta la
    cronologia, ho riavviato il telefono, le altre app mi funzionano tipo
    facebook, whatsapp, mentre se apro browser mi rimanda a quella pagina..
    come posso risolvere? AIUTOOOO

    • http://www.worldinformatic.com/ Matteo Pumo

      Come ho risposto poco sotto: al momento l’unica soluzione che mi viene in mente è quella di rimuovere il browser e reinstallarlo, oppure eventualmente usarne proprio un altro! Se ancora dà problemi, allora fai un backup completo e poi inizializza il telefono.

      • SImona P.

        ho fatto tutto, cancella tutti i dati del telefono e ripristino, ho messo di nuovo l’antivirus che non rileva niente, ho riscaricato e riaggiornato le app ma niente c’è sempre la stessa
        pagina polizia dello stato che mi blocca i motori di ricerca -.-
        Però adesso sto notando che su alcuni siti mi fa andare tipo wikipedia oppure quelli .org mentre per quelli .it e .com mi blocca.

        • http://www.worldinformatic.com/ Matteo Pumo

          Prova a vedere se questo problema permane anche utilizzando la connessione 3G.. Se in 3G funziona tutto correttamente, allora il problema sta nel router, e devi seguire il metodo “Come impostare al meglio il router” presente nella guida.

        • roberto

          io ,sembra che abbia risolto cancellando tutti i dati dell’app del browser… cache, dati scaricati dal browser ecc …..lo fai andando sull’applicazione e cancellando tutto tranne l’app….per ora mi va di nuovo bene

  • STEFANO

    VE LO SCRIVO MAIUSCOLO PERCHE’ MI HA FATTO IMPAZZIRE : SE IL VIRUS APPARE SOLO QUANDO SIETE CONNNESSI A INTERNET E CON TUTTI I PC / TABLET , ALLORA NON STA NEL VOSTRO pc MA NEL ROUTER !!!!!!!!!! BASTA RESETTARE il ROUTERO PER 30 SECONDI OPPURE FARE COME DICE QUI :
    http://www.felicebalsamo.it/soluzione-per-i-tp-link-router-dns-modificati-sui-router/

    Poi cambiare la password del router !

  • Felice Balsamo

    Grazie per la citazione del post e grazie a Stefano per la segnalazione.

    Felice Balsamo

  • Faby

    Salve, io sono appena riuscita ad eliminare il virus tramite il il “ripristino configurazione di sistema”. All’inizio non è stato semplice, si era praticamente installato un file di testo all’interno della cartella “Esecuzione automatica” (C:Document and Settings/Windows/Menu Avvio/Programmi/Esecuzione automatica) che non mi faceva aprire. Nella cartella non c’era altro (premetto che uso Win XP). A quel punto ho usato il metodo del punto di ripristino ma quando ho cliccato su avanti mi si è bloccato il pc. Ho spento quindi a mano ma, durante lo spegnimento, mi è comunque apparsa la schermata che indicava il processo di ripristino. All’accensione il pc mi ha avvisato del ripristino effettuato con successo e quando ho controllato la cartella “Esecuzione automatica” ho visto che era vuota, quindi era proprio quel file .txt, di cui purtroppo non ricordo il nome, la causa di tutto. Spero che la mia segnalazione possa essere d’aiuto ad altri.

  • Vale

    Ciao!ti volevo ringraziare per l’utile guida per togliere quel virus. Il virus non si presentava se navigavo con mozilla firefox. Ho preso il virus sia su windows che su tablet android. Su tablet android ho risolto appunto disinstallando chrome e installarlo di nuovo. Provero’ a procedere anche su windows con altre procedure,

  • tommaso

    Caro Matteo…se non altro hai dato delle vie da seguire e che vanno sperimentate una per una e , complimenti sei molto chiaro. Ora , a me è capitato un paio d’anni fa questo imbecille di “virus”? e sono riuscito col metodo msconfig su start eccetera…sul block e non mi è più riapparso. Qualche giorno fa pur avendo 2 block 1 samsung pro e un tablet, “la polizia” è riuscita ad entrare solo nel tablet che non uso se non raramente e certamente i porno e affini non li vedo proprio lì.Certo bisogna sempre raccomandare di non spaventarsi e non fare niente poichè questi delinquenti se lo fanno è evidente che qualcuno e forse più di qualcuno “abbocca”…Allora per prima cosa ho fatto back up e ripristino dati del tablet( mediacom)…niente…poi ho tentato con sospensione del browser…niente infine ho cambiato nel router iDNS di google…mettendo 8888 4444 e lo “scemo ” è scomparso. Dopo 2 giorni però è ricomparso….ho ricercato e mi sei capitato tu con questa esauriente spiegazione che è la sintesi (così pare) di molti tentativi….beh…grazie al consiglio iniziale sui tablet…ho resettato il router ho rifatto il ripristino dei dati di fabbrica e……..sembra che vada ma, voglio far passare un paio di giorni e tieni presente che si presenta attraverso google … questi delinquenti hanno creato un sistema molto duro a morire….comunque ti ringrazio e auguri per la tua carriera.