"virus polizia di stato" rimozione permanente in un ora

[rival1979f]

questa mini guida si ripropone l'obiettivo di rimuovere in maniera definitiva veloce ed efficace uno dei virus(anche se non lo è...) più diffusi e fastidiosi degli ultimi tempi. innanzi tutto il necessario:

 

-un altro terminale da quello infetto che possa ospitare il disco in questione,sia esso sata o ide.

 

-ultima versione di combofix,la trovate qui:http://www.combofix.org/download.php

 

tempo di esecuzione e di riuscita circa 1 ora.

 

cominciamo:

se il trojan ha fatto bene il suo lavoro dovrebbe essere comparita una finestra come una di queste http://lh5.ggpht.com/-FWb1UtZZ6pw/UQFJfZKOnjI/AAAAAAAAEIg/W9i7TJUoijo/Tutte%252520le%252520schermate%252520virus%252520polizia%252520di%252520stato%252520-%252520guardia%252520di%252520finanza_thumb%25255B1%25255D.png?imgmax=800

 

sempre che si sia installato per bene avrà bloccato i comandi e ogni possibilità di ritornare al sistema operativo e di chiudere il browser.

niente paura,non è un virus a tutti gli effetti,è solamente un programmino molto fastidioso,che modificando le voci di registro del sistema continua a riproporre se stesso annullando qualunque tentativo di essere rimosso.

 

non ci resta ora che procedere come segue:

 

passo1:

 

spegnere la macchina infetta,disattivare se presente l'interruttore di alimentazione posto solitamente sulla parte superiore nel retro del case,proprio in prossimità dell'alimentatore.

a questo punto ad alimentazione spenta con tutti i relativi cavi scollegati,dobbiamo aprire il case e scollegare l'hdd infetto.

ogni case ha le sue parti meccaniche ma ad ogni modo rimuovendo qualche vite dal pannello dei sostegni si dovrebbe riuscire a rimuoverlo in tempi brevissimi.

 

passo2:

 

una volta smontato l'hdd dobbiamo montarlo o collegarlo(consigliato) al secondo terminale che chiamerò "sano".

sarebbe molto meglio utilizzare un kit universale usb sata/ide come questo per evitae problemi di boot o di avvio consentendo di vedere il disco come una seplice periferica usb di archiviazione di massa,ad ogni modo il nostro obbiettivo è copiare all'interno del disco "infetto" e precisamente nella cartella di sistema "C:\" il file di combofix precedentemente scaricato.

 

se non si dispone di un kit usb,si puo collegare l'hdd direttamente alla scheda madre aprendo sempre il case "ospite" sempre e solo dopo aver disattivato o scollegato l'alimentazione.

all'accensione si creerà in automatico una voce di "dualboot" che potrebbe assomigliare a questa

 

da qui dovrete far partire l'so "sano" ed una volta avviato entrare in risorse del computer,rintracciare il disco infetto,fare doppio click fino a ritrovarsi precisamente in "C:\" e li incollare il file di combofix precedentemente scaricato.

 

un possibile intoppo potrebbe essere rappresentato dal fatto di avere lo stesso sistema operativo del sistema "infetto",questo creerà nel menu di avvio due voci identiche di avvio,li sta a voi farne partire una o l'altra,nel caso doveste accidentalmente avviare l'so "infetto" riavviate e semplicemente alla prossima possibilità di scelta per l'avvio selezionate l'So corretto.

se tutto è andato a buon fine con l'hdd "infetto" per ora abbiamo finito,non ci resta che spegnere,scollegare o spegnere l'alimentazionee smontare di nuovo l'hdd.

 

Attenzione,se avete creato una voce di dualboot è molto probabile che essa rimanga anche una volta scollegato l'hdd ospite,per rimuoverla non dovrete far altro che entrare nel vostro so,andare su start o esegui a seconda del so,e digitare il comando "msconfig.exe" invio,si aprirà un pannello con diverse sezioni,spostatevi su "avvio",e guardate,se avete più di una voce nel contesto,eliminate quella che non dichiara di essere il sistema corrente,una volta fatto ciò e dato il comando applica tutto dovrebbe essere tornato come prima.

 

passo3:

 

qui viene il bello.

rimontiamo il nostro hdd "infetto" seguendo la procedura di smontaggio alla rovescia,una volta che avrete ricollegato e montato tutto,ripristinare l'alimentazione e avviare la macchina.

appena dopo aver visto la schermata di bios premete ripetutamente il comando"F8" per richiamare la schermata di avvio selettivo del so.

la schermata dovrebbe presentarsi pressapoco così http://1.bp.blogspot.com/-qmTQXQJetMI/UB7687Cc4QI/AAAAAAAAAQ4/euFgdxf8aX8/s1600/modalita-provvisoria-vista.gif

 

dovrete spostare con le frecce sulla scelta in cima alla lista ,ovvero modalità provvisoria.

una volta fatto questo date invio e attendete che l'so si avvii.

attenzione se il virus si è installato correttamente explorer come qualunque altra funzione saranno fuori uso,vi rimangono da utilizzare solo tastiera e mouse su una schermata nera.

una volta che la modalità provvisoria si sarà avviata controllate se il il mouse è funzionante,se non lo è attendete qualche istante,dovrebbe essere operativo a breve,come del resto la tastiera.

digitate ora il comando Ctrl+alt+canc per richiamare il taskmanager ,una volta apparso cliccate in alto a sinistra su "file" e poi di nuovo su "nuova attività(esegui)",si aprirà un pannello,scrivete "cmd" e date invio per aprire il prompt dei comandi,successivamente da qui digitate il comando"cd.." fino a trovarvi nella directory C:\ lampeggiante.

una volta in C digitate il comando "combofix.exe" date invio e godetevi l'avvio di combofix che eliminerà completamente dal vostro sistema questo fastidioso malware e senza aver perso nemmeno un dato.

restate davanti al monitor perche combofix potrebbe chiedervi ad un certo punto di scaricare ed installare la console di ripristino del vostro so perchè non è presente,voi dovete "rifiutare" e proseguire,accettare tutti gli eventuali e futuri avvisi ed attendere il completamento.

la durata può variare a seconda delle caratteristiche della macchina e dal livello di affezione di esse,cmq in media occupa dai 20 ai 30 minuti.

attendete finchè alla fine si aprirà un foglio in block notes a pop up,chiudetelo ed attendete,a breve explorer e tutti gli altri servizi si riavvieranno senza problemi.riavviare e riprendere il lavoro,tutto dovrebbe essere tornato alla normalità.

 

virus rimosso e sistema pulito da me testato in un ora e 10 minuti c.ca

 

P.S

 

si puo tranquillamente lasiare combofix in C:\ non arreca nessun malfunzionamento al sistema,e se dovesse tornare utile,è già li

 

chiedo scusa anticipatamente per eventuali inesattezze o disordini di impaginazione,è la prima guida che posto in vita mia.

 

buona continuazione.

[Lukamod]

R: "virus polizia di stato" rimozione permanente in un ora

 

Basta avviare il pc in provvissoria ed avviare combofix

[rival1979f]

esatto

[lupin120488]

Basta avviare il pc in provvissoria ed avviare combofix

 

Dipende, la maggior parte delle volte compare anche in modalità provvisoria senza rete facendo comparire una sola schermata bianca a causa dell'assenza di internet quindi senza dare la possibilità di utilizzare combofix.

[lupin120488]

La guida è molto utile ma chi non ha dimistichezza nell'aprire fisicamente un pc c'è anche un metodo senza togliere l'hardisk.

Prima di tutto scolleghiamo il pc da internet e poi avviamo in modalità provvisoria con prompt dei comandi facendo così possiamo accedere a task manager msconfig etc. senza che il fastidioso virus appaia.

Nel frattempo procuriamoci il file combofix che metteremo su una pendrive o un cd dal link postato sopra.

Una volta avviato appare il classico cmd che dovrebbe essere di default in Windows\System32 (se non così digitate "cd C:\Windows\System32\" senza apici) poi avviate il task manager con il comando taskmgr.

Una volta aperto basta cliccare su file-nuova attività e poi su sfoglia, si aprirà un altra finestra che ci consente di navigare tra le cartelle del sistema operativo e andiamo a copiare sul desktop o semplicemente C:\ il file combofix che abbiamo trasferito su pendrive o cd. Una volta copiato rimuoviamo pendrive o cd e facciamo partire il file combofix cliccando con il tasto dx del mouse su di esso e facendo apri (in caso di vista o win7 cliccliamo su esegui come amministratore).

P.S. la console di ripristino di emergenza non va installata.

 

Scusami per l'intrusione ma penso che puoi inserirlo nella tua guida come metodo alternativo.

[Xp]

Basta avviare il pc in modalità provvisoria, andare su esecuzione automatica e togliere il file .exe che ha originato il fastidioso messaggio oppure sempre da esecuzione automatica usare combofix come descritto nei post precedenti.

[rival1979f]

ci mancherebbe...solo che personalmento ho provato con il prompt e non mi andava e mi sono visto costretto a smontare tutto....è cmq anche per me un ottimo consiglio in questo campo c'è sempre da imparare....

[rival1979f]

Basta avviare il pc in modalità provvisoria, andare su esecuzione automatica e togliere il file .exe che ha originato il fastidioso messaggio oppure sempre da esecuzione automatica usare combofix come descritto nei post precedenti.

bhè però a questo punto potresti dirci come si chiama questo file .exe quantomeno....

[Xp]

bhè però a questo punto potresti dirci come si chiama questo file .exe quantomeno....

"WPBT0.dll" oppure il file "0una serie di numeri.exe" questo è quello che è successo a me personalmente, ciò non toglie che ognuno di noi dovrebbe sapere quali programmi ha installati nel proprio pc, soprattutto se si tratta di un'avvio automatico, e una volta localizzato il file non riconosciuto, eliminarlo

[ciccadisigaretta]

Ragazzi, io ho riavviato il PC con il modem spento, sono andato in esecuzione automatica e ho rimosso un file con un nome strano che era nel registtro di sistema, mi è capitato una secondo volta, ho riprovato ma non ha funzionato, allora ho fatto una scansione con NOD32, mi ha rilevatoun file : "............... è attivo sul sistema (una cosa del genere...... per eliminarlo mi diceva di riavviare e fatto ciò sono tornato a navigare ) Anche se ho avuto fortuna, sicuramente si faranno più furbi per questo ho formattato il PC anche perchè era vecchio

[rival1979f]

Ragazzi, io ho riavviato il PC con il modem spento, sono andato in esecuzione automatica e ho rimosso un file con un nome strano che era nel registtro di sistema, mi è capitato una secondo volta, ho riprovato ma non ha funzionato, allora ho fatto una scansione con NOD32, mi ha rilevatoun file : "............... è attivo sul sistema (una cosa del genere...... per eliminarlo mi diceva di riavviare e fatto ciò sono tornato a navigare ) Anche se ho avuto fortuna, sicuramente si faranno più furbi per questo ho formattato il PC anche perchè era vecchio

non si dovrebbe smanettare con i processi se non si sa bene cosa cercare...però se formattare ti ha giovato.... :-)

[kiso97]

R: "virus polizia di stato" rimozione permanente in un ora

 

Anche a voi appena è spuntato il messaggio vi hanno fatto la foto???...o almeno penso si è acceso il led della webcam

 

Inviato dal mio Nexus 7 con Tapatalk 2

[ciccadisigaretta]

Si anche da me s'era accesa la webcam..

[kiso97]

R: "virus polizia di stato" rimozione permanente in un ora

 

Si anche da me s'era accesa la webcam..

 

OK allora non sono l`unico

[rival1979f]

Anche a voi appena è spuntato il messaggio vi hanno fatto la foto???...o almeno penso si è acceso il led della webcam

 

Inviato dal mio Nexus 7 con Tapatalk 2

 

si si puo accendere la cam...ma è una bufala.....

[ciccadisigaretta]

Ragazzi io ho refog, non so com'è ho fatto, l'ho eliminato con windows defender..... ma le cose strane continuano ad accadere, (da sole) COME POSSO ELIMINARLO DEFINITIVAMENTE ? Aiuto prestoooooooo

[lupin120488]

Ultimamente il file incriminato si chiama "runctf.lnk" mi è capitato su alcuni pc che ho sistemato.

Poi per la webcam anche a me alcuni portatili con la web integrata hanno fatto uno screenshot ma non c'è da preoccuparsi.

Comunque dopo aver rimosso i virus una pulita anche con dr.web cureit non fa mai male per salvaguardarsi dalla ricomparsa di questo fastidioso virus.

[Ale-Corte]

Usa le varie guide per eliminarlo, le trovi in internet

[lupin120488]

Ragazzi, io ho riavviato il PC con il modem spento, sono andato in esecuzione automatica e ho rimosso un file con un nome strano che era nel registtro di sistema, mi è capitato una secondo volta, ho riprovato ma non ha funzionato, allora ho fatto una scansione con NOD32, mi ha rilevatoun file : "............... è attivo sul sistema (una cosa del genere...... per eliminarlo mi diceva di riavviare e fatto ciò sono tornato a navigare ) Anche se ho avuto fortuna, sicuramente si faranno più furbi per questo ho formattato il PC anche perchè era vecchio

la scansione con antivirus marchiati non è mai affidabile perchè la maggior parte dei virus vengono creati dalle stesse case produttrici di antivirus, è tutta una questione commerciale per vendere. Infatti se un virus viene creato dall'eset, o altri, lo fanno in modo che viene rilevato dal proprio antivirus quindi è molto probabile che altri non lo vedano. Non ci avete mai fatto caso che disinstallando un antivirus e mettendone un altro trova sempre altri virus pensando che quest'ultimo sia migliore di quello precedente!? Il nuovo antivirus non fa altro che trovare quei virus creati dalla propria casa produttrice quindi potete cambiare quanti antivirus volete qualcuno ve lo trova sempre.

La migliore cosa da fare è utilizzare per le scansioni, software freeware tipo malwarebytes etc. che hanno al proprio interno i database dei virus di tutti gli antivirus.Gli antivirus servono solo protezione real-time.

[rival1979f]

Ultimamente il file incriminato si chiama "runctf.lnk" mi è capitato su alcuni pc che ho sistemato.

Poi per la webcam anche a me alcuni portatili con la web integrata hanno fatto uno screenshot ma non c'è da preoccuparsi.

Comunque dopo aver rimosso i virus una pulita anche con dr.web cureit non fa mai male per salvaguardarsi dalla ricomparsa di questo fastidioso virus.

purtroppo eliminare il processo non è sufficiente,questo tipo di malware modificano le voci di registro in modo da potersi ripresentare.per eliminare tutto definitivamente consiglio di lanciare combofix come detto nella guida e dovrebbe tornare tutto a posto.

[lupin120488]

purtroppo eliminare il processo non è sufficiente,questo tipo di malware modificano le voci di registro in modo da potersi ripresentare.per eliminare tutto definitivamente consiglio di lanciare combofix come detto nella guida e dovrebbe tornare tutto a posto.

 

infatti intendevo combo e poi dr.web

[ciccadisigaretta]

Ragazzi, io avevo un problema con skype, non me lo installava, diceva in inglese che l'exe era corrotto......... io ho fatto una scansione prima con defender e mi ha trovato e eliminato refog........ però le cose strane continuavano a succedere..... allora ho formattato, ho fatto una scnasione con combofix e skype ora funziona..... solo che non mi ha rilevato nnte su refog... copio e incollo il log perchè non me lo carica.... frse è troppo grande....

[Savio1]

Ma perché tutto questo processo per rimuovere un "virus" così stupido??

Basta andare in modalità provvisoria con prompt, avviare "msconfig" e disattivare tutte le voci "sospette" sotto la scheda "Avvio" e "Servizi", lasciando solo quelle di certa provenienza. Poi si può riavviare il pc normalmente e rimuovere il virus con combofix o un qualsiasi altro antivirus.

[lupin120488]

Ma perché tutto questo processo per rimuovere un "virus" così stupido??

Basta andare in modalità provvisoria con prompt, avviare "msconfig" e disattivare tutte le voci "sospette" sotto la scheda "Avvio" e "Servizi", lasciando solo quelle di certa provenienza. Poi si può riavviare il pc normalmente e rimuovere il virus con combofix o un qualsiasi altro antivirus.

 

Il virus la maggior parte delle volte non è presente nei servizi di avvio ma si va a nascondere nelle librerie quindi è quasi impossibile trovarlo spulciando semplicemente il registro. Poi in rari casi lo trovi pure nei servizi ma deve essere una vera botta di c***. asd

[jtagger]

la scansione con antivirus marchiati non è mai affidabile perchè la maggior parte dei virus vengono creati dalle stesse case produttrici di antivirus, è tutta una questione commerciale per vendere. Infatti se un virus viene creato dall'eset, o altri, lo fanno in modo che viene rilevato dal proprio antivirus quindi è molto probabile che altri non lo vedano. Non ci avete mai fatto caso che disinstallando un antivirus e mettendone un altro trova sempre altri virus pensando che quest'ultimo sia migliore di quello precedente!? Il nuovo antivirus non fa altro che trovare quei virus creati dalla propria casa produttrice quindi potete cambiare quanti antivirus volete qualcuno ve lo trova sempre.

La migliore cosa da fare è utilizzare per le scansioni, software freeware tipo malwarebytes etc. che hanno al proprio interno i database dei virus di tutti gli antivirus.Gli antivirus servono solo protezione real-time.

 

C'è un motivo molto semplice per il quale questo "virus" non può essere opera di una "Azienda". Vediamo se lo capisci da solo...

Modificato 4 Marzo 2013 da jtagger