Attenzione però: pagare è
la soluzione peggiore che uno possa intraprendere, perché
ovviamente non risolve il problema, ma il computer vi viene comunque bloccato.
La pericolosità di questo "Virus" (tra virgolette, perché
sostanzialmente non è un virus che vi ruba dati, ma un programma che si attiva
quando accendete il PC e vi blocca ogni sorta di processo) sta nel fatto che si
può manifestare in tante varianti diverse, più o meno
violentemente, e che quindi non esiste una guida "standard" su come
eliminarlo.
METODO CONSIGLIATO DALLA POLIZIA POSTALE
METODO CONSIGLIATO DALLA POLIZIA POSTALE
- Far partire il computer in "Modalità Provvisoria " (ossia tenere premuto il tasto f8 non appena sta per accendersi lo schermo del PC);
- Premere poi su Start -> Tutti i programmi -> cercare la cartella "Esecuzione automatica" (Su XP non ci si arriva in questo modo, ma andando in C:\Documents and Settings\NOMEUTENTE\Start menu\Programs\Startup) e aprirla;
- Visualizzerete adesso la lista
dei programmi che si avviano automaticamente all'accensione del PC, e tra
questi dovrebbe apparire il file "WPBT0.dll", oppure un
file con nome identificativo del tipo "0.< una serie di altri
numeri >.exe";
- Eliminate questo file mettendolo
nel cestino, e poi svuotare anche il cestino;
- Riavviare quindi il PC e verificare che tutto funzioni correttamente.
METODO CON LE CHIAVI DI REGISTRO
- Entrare
sempre in "Modalità Provvisoria" e andare su Start ->
Esegui (o Start -> barra di ricerca in basso), digitare regedit e
premere invio.
- Ora seguite il percorso HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ed eseguite un doppio click su Shell. Nella finestrella che vi compare dovete scrivere explorer.exe (o Explorer.exe in XP);
- Se usate Windows XP o 2000, entrate nel prompt dei comandi e digitare:cd "Dati Applicazioni" o cd "Applications Data" e premere invio; poi digitare del mahmud.exe (e premere invio).
- Se usate Windows Vista, 7 o 8, entrate nel prompt e digitare:cd Appdata e premere invio; poi digitare cd roaming e premere nuovamente invio; infine scrivere: (in questo caso il nome potrebbe essere variato, quindi provatene uno alla volta)
- del mahmud.exe (e
premere invio).
- del skype.dat (e premere invio).
- icq.dat (e premere invio).
- cache dat (e premere invio).
- data.dat (e premere invio).
NOTA BENE: questo metodo è valido anche se si decide di far
partire il computer attraverso la Modalità Provvisoria con Prompt dei
comandi (da fare se il virus Polizia di Stato vi ha colpito
pesantemente e non vi fa partire neanche la Modalità Provvisoria).
METODO ATTRAVERSO TASK MANAGER E MSCONFIG PRIMA CHE LA SCHERMATA BIANCA VI BLOCCHI TUTTO
1. In questo caso siete stati
fortunati, perchè se avete questo breve lasso di tempo potete velocemente
premere Ctrl + Alt + Canc all'avvio dell'interfaccia Windows,
e killare il processo explorer.exe per avere ancora più tempo; andate quindi in
Start -> Esegui (o Start -> barra di ricerca sotto), scrivete msconfig e
premete invio (poi seguite le istruzioni che vi sto per dare);
2. Se invece avete comunque un certo
lasso di tempo prima che si blocchi tutto, ma di pochi secondi,
recatevi subito a scrivere msconfig, entrando nelle
"Configurazioni di sistema"; a questo punto andate nella scheda
Avvio, premete su Disabilita tutto, su Applica e infine su ok e riavviate il
sistema.
METODO ATTRAVERSO MSCONFIG
- Se siete
riusciti ad accedere alla Modalità Provvisoria (vedi
sopra), digitate msconfig nella solita casellina apposita (vedi sopra) e
dalla finestra di "Configurazione di sistema" disabilitate
anzitutto la voce "Carica elementi di avvio" e premete su
Applica
- Adesso andate nella sezione Servizi,
nascondete tutti i Servizi Microsoft (selezionando l'apposita
casella in basso per evitare danni), e poi disabilitate tutti quei servizi
che hanno nomi "strani", o che non hanno un produttore certificato
e attendibile;
- Infine andate nella sezione Avvio e disabilitate anche qui tutti i servizi che non volete che si attivino all'avvio (o che non conoscete..), e prestate particolare attenzione al servizio cfmon, che in molti casi era lui il responsabile del virus! (quindi consiglio di disabilitarlo se non vi serve; qui la guida
METODO ATTRAVERSO DISTRO LINUX E/O RIMOZIONE DELL'HARD DISK
Questo
sistema è utilissimo per salvare tutti i dati del vostro PC
per sicurezza, e anche per rimuovere ovviamente il virus; ho scelto di mettere insieme questi
due procedimenti perché possono essere utili anche per chi non riesce ad
accedere al computer per altri motivi, oltre che per un virus.
METODO MANUALE NELLA CARTELLA C:
- Se
ancora non avete risolto, provate ad andare a cercarvi da solo il
responsabile di questo virus, navigando in C:\Users\ e
cancellando tutti i file "strani" che trovate nelle varie
cartelle Temp, Startup (o Esecuzione Automatica) e Application
Data. Consiglio anche di svuotare le due cartelle C:\Windows\Prefetch
e C:\Windows\Temp;
- Inoltre effettuate una ricerca nel vostro PC del programma ctfmon, e quando lo trovate (si trova in System32 comunque) controllate che non sia una copia del virus, o che non sia comunque correlato al virus. Nel caso in cui verifichiate che questo sia effettivamente infetto, potete cancellarlo; qui trovate spiegato cos'è il processo ctfmon e come cancellarlo.
UTILIZZARE COMBOFIX IN MODALITA' PROVVISORIA
Moltissimi
utenti sono riusciti a risolvere questo problema attraverso il software Combofix,
che a quanto pare cerca, trova e cancella i file responsabili del virus. Dopodiché
inseritelo in una chiavetta. Ovviamente bisogna scaricare Combofix
da un altro computer, perché in Modalità Provvisoria internet è disabilitato.
- Avviate Windows in Modalità Provvisoria (possibilmente utilizzando l'account amministratore di default, che se non l'avete attivato dovete attivarlo dal prompt dei comandi digitando net user administrator / active: yes come vi indico più tardi, ma in quasi tutti i casi va bene anche l'account vostro normale con diritti di amministratore) e inserite la chiavetta con dentro il software Combofix;
- Avviate
ora il Task Manager con Ctrl + Alt + Canc e terminate
l'applicazione attiva; nei processi, invece, terminate il processo userinit;
- Infine disattivate tutti gli antivirus che avete e fate partire l'applicazione Combofix e lasciatelo eseguire; non interrompetelo per nessun motivo, e riavviate per ottenere il risultato.
UTILIZZARE IL CD DI KASPERSKY SE NON SI ATTIVA NEANCHE LA MODALITA' PROVVISORIA
- Scarichiamo
il software Kaspersky Rescue Disk procedendo come
indicato in questa guida, e quindi masterizzatelo su un
CD;
- A questo punto, al momento dell'accensione tenete premuto f2 per entrare nel BIOS e selezionate come modalità di avvio principale il CD-ROM; qui la guida che indica come cambiare l'ordine di avvio del PC dal BIOS.
- Alla fine apparirà una simulazione di sistema
operativo e sul desktop verde eseguire Kaspersky Registry Editor.
Ora riattivate il TaskManager con Ctrl + Alt + Canc e verificate le seguenti voci:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system e verificate il valore di DisableTaskMgr deve essere impostato a 0
Controllate le chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
e, se presenti, anche queste per tutti gli utenti presenti sul sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Tra queste chiavi ci sono i servizi che partono quando
accendiamo il pc e quindi ci sarà sicuramente anche il nostro virus. Dunque
individuate i nomi sospetti che sono presenti in tutte le chiavi e cancelliamole (tasto
destro – elimina)
- Fatto
questo riavviate e dovrebbe essere tutto ok.
UTILIZZARE UN ACCOUNT AMMINISTRATORE SE LA MODALITA' PROVVISORIA DEL NOSTRO ACCOUNT NON PARTA
Se il virus
Polizia di Stato ha bloccato anche la modalità
provvisoria dell'utente infettato, non ci resta altro da fare che
attivare l'account amministratore di default (che ha pieni
poteri) e di entrare nella modalità provvisoria con quell'account.
Per creare l'account amministratore, dovete riuscire ad accedere al prompt dei
comandi (fatelo scegliendo la voce all'avvio Modalità Provvisoria con prompt
dei comandi dopo aver premuto f8) e digitare: net user administrator / active: yes
Premete
invio e ora potete riavviare il computer ed entrare in Modalità Provvisoria con
questo account, che ovviamente riuscirà a partire senza attivazione
del virus Polizia di Stato, perchè in realtà è stato l'altro utente ad essere
infettato. Una volta che avete quindi accesso a tutte le
funzioni del vostro PC (anche se ovviamente siete in Safe Mode, quindi
limitati) potete provare tutti i metodi descritti precedentemente, e in più:
1. Dal momento che siete amministratori
con pieni poteri, potete navigare tra le cartelle di tutti gli
altri utenti alla ricerca del virus;
2. Oppure potete procedere col metodo
che descrivo qui sotto.
UTILIZZARE L'ACCOUNT AMMINISTRATORE IN MODALITA' PROVVISORIA PER CREARE UN ALTRO UTENTE AMMINISTRATORE, AGGIRANDO IL PROBLEMA ED ELIMINANDO PER SEMPRE IL VIRUS
Questa è la soluzione, che
sicuramente è la più rapida e indolore, a patto
ovviamente di fare tutto correttamente. Per eseguire questo metodo bisogna
accedere in modalità provvisoria attraverso però l'account amministatore con
pieni poteri che, se non è già visibile di default nella vostra macchina,
dovete attivare seguendo il procedimento che vi ho già descritto.
- Una volta entrati nella Safe Mode, recatevi nel Pannello di controllo e andate alla scheda di creazione di un nuovo utente, che ad esempio per Windows 7 si trova seguendo il percorso Account utente -> Gestisci account -> Crea nuovo account(in Vista e XP si trova in altri percorsi, ma tutti abbastanza intuitivi da trovare; comunque se avete problemi ovviamente scrivete nei commenti!):
- Nella
schermata sopra premete quindi su "Gestisci un altro account"
e poi create un nuovo account amministratore;
- Adesso copiatevi immagini,
video, musica e anche i file più importanti che volete conservare (notare
che in realtà i file vi dovrebbero rimanere, come ovviamente è accaduto a
me, ma per sicurezza copiateveli su un dispositivo esterno);
- Ora il
vostro problema è pressoché risolto, perché infatti ora riavviando il
sistema avrete la possibilità di scegliere con quale
utente partire, e ovviamente dovete scegliere il nuovo account;
- Questo
nuovo account, essendo stato creato da un account amministratore con pieni
poteri, ha "ereditato" i programmi del vecchio utente, ma
ovviamente non il virus Polizia di Stato, che ora lo "prende nei
denti"; non è quindi come un reset del
sistema, come qualcuno potrebbe pensare, perchè infatti i programmi non
vengono persi in questo modo;
- A questo punto, se volete, potete quindi definitivamente eliminare quell'account infetto, e con lui il maledetto virus.
USARE MALWAREBYTES IN MODALITA' PROVVISORIA
Qui la guida
su come utilizzare MalwareBytes:
Tra le tantissime varianti del virus Polizia di Stato, c'è n'è anche una molto
"debole", debellata facilmente da molti utenti utilizzando il
software Malwarebytes, scaricabile a questo indirizzo; l'ho provato anch'io come metodo e devo dire che è veramente un software
ottimo (nonostante a me non abbia risolto il problema), perché infatti ha
trovato tantissimi altri virus e malware. Comunque si procede in questo modo:
- Entrate
in modalità provvisoria ed inserite la chiavetta sulla
quale avete inserito il programma Malwarebytes;
- Consiglio
anche in questo caso di disattivare l'antivirus, e fate
poi partire quindi la scansione del sistema, che durerà abbastanza;
- Riavviate e in alcuni casi questo procedimento ha risolto il problema.
ATTENZIONE
Dato che da vari commenti ho rilevato che ci sono parecchi dubbi su determinati file da cancellare, qui ne elenco alcuni che non bisogna eliminare:
- Ctfmon.exe: In questo articolo la guida che descrive
cos'è, come funziona e come eventualmente disabilitarlo o eliminarlo;
spesso il virus prende questo nome, ma fate attenzione a non confonderlo col file
originale.
- Rundll32.exe: Questo file è
importantissimo al Sistema Operativo, perchè permette l'esecuzione dei DLL
come un'applicazione; ho scritto che il processo colpevole può essere
rundll32.exe, perché il virus Polizia di Stato a volte ne crea una copia
infetta o infetta proprio quello originale, ma se il file rundll32.exe non
è infettato non va assolutamente cancellato (In sostanza va cancellato
solo se è una copia formata dal virus)!
Explorer.exe: In questo articolo la guida che descrive cos'è e perché bisogna stare attenti a come
trattarlo; questo file lo potete disabilitare temporaneamente per cancellare il
virus, ma prestate attenzione.
Fonte qui
Nessun commento:
Posta un commento