|
|
|
Home
-
Virus Polizia Postale e Guardia di Finanza -
Eliminare Virus Polizia Postale e Guardia di Finanza |
|
Il Virus conosciuto come virus della Polizia Postale, della
Guardia di
Finanza oppure
del Centro
Nazionale
Anticrimine
informatico per
la protezione
delle
infrastrutture
critiche, è un
virus che
blocca il
computer,
impedendone
l'utilizzo. Ci
si accorge del
virus perchè il
trojan abilita
l'apertura
automatica di
una maschera, in cui
la Polizia
Postale oppure
la Guardia di
Finanza, ecc. avvisa
di aver bloccato
il pc a causa di
violazioni alla
legge. Per
ripristinare il
tutto richiede
il pagamento di
una multa di 100
euro. Tale
procedura non è
altro che un
virus,
rilasciato nella
rete da un
pirata
informatico,
nell’intento di
truffare ignari
utenti. |
|
|
|
|
Per eliminare il
virus si possono
provare diversi
metodi, dai più
semplici ai più
complessi (per
soli
esperti) |
Metodo 1)
( prima versione del Virus più facile da
rimuovere) |
Riavviare
il pc in modalità provvisoria (all’avvio
basta premere F8), andare su Esecuzione
Automatica (andare su start, tutti i
programmi ed individuare la cartella
esecuzione automatica) ed eliminare il file (dovrebbe
apparire, tra gli altri, il file “WPBT0.dll”
oppure un file con nome identificativo del
tipo “0.<una serie di altri numeri>.exe” (il
file si può presentare in altre varianti
sintattiche). Selezionare il file ed
eliminarlo con il tasto CANC o DEL. Svuotare il cestino.
Aggiornare l'antivirus ed i vari programmi
di sicurezza installati sul proprio pc, tipo
software gratuiti come
ccleaner o
spybot
ed
effettuare una scansione ed una pulizia
completa. Riavviare il pc e verificare che
non si ripresenti il virus della polizia
postale. |
|
Metodo
2)
( seconda versione del Virus, testato da
noi) |
Riavviare
il pc in modalità provvisoria (premere il
tasto F8 all'avvio). Una volta in modalità
provvisoria, andare nell'editor del registro
di sistema (andare su start - esegui,
digitare regedit e premere ok, oppure
premendo il tasto Win+R, il tasto Win si trova sulla tastiera
ed è quello con la bandierina
+ R, digitare regedit e dare l'invio).
Siccome non si può rischiare di commettere
errori, si consiglia la procedura agli
esperti e di effettuare un backup delle
chiavi di registro, in modo da ripristinarle
in caso di errore (Individuare e fare clic
sulla chiave o la sottochiave di cui si
desidera eseguire il backup, andare sul menù
file, scegliere esporta, digitare il nome
per il file di backup e salvarlo nella
cartella prescelta).
Controllare le seguenti chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Nel nostro caso all'interno di queste chiavi
(sulla destra) abbiamo trovato puntamenti a
degli eseguibili
-> o con nomi "strani"
-> o con nomi che sembravano quasi reali
(esempio: SMBHelper.exe...ecc) ma ci siamo
accorti che erano fake per questi motivi:
a) se si immette il nome in google, si vede
che non sono programmi di una certa
importanza
b) nel caso da noi testato tutti questi file
erano in "...Impostazioni locali/Dati
applicazioni/..." |
|
Abbiamo
quindi provveduto alla cancellazione dei 3
file, uno per ogni account presente nel pc,
svuotato il cestino, utilizzato
Spybot Search&Destroy
e riavviato il pc. Finalmente il virus era
definitivamente eliminato. |
|
Metodo
3)
(sia con modalità provvisoria funzionante
che non)
utilizzare il software gratuito Kaspersky rescue disk 10
per rimuovere i malware. Scaricate il file
.iso di
Kaspersky rescue disk 10 masterizzatelo su di un supporto CD,
inseritelo nel computer e riavviate il pc.
Ovviamente il pc non deve caricare il
sistema operativo ma avviarsi direttamente da
cd (se così non fosse, bisogna entrare nel
bios e settare per prima avvio da cd). Si
avvierà la schermata principale con la
richiesta del settaggio lingua (scegliere
inglese, l'italiano non è presente). |
|
Una volta entrati
nel programma,
aprire l'utility
chiamata Kaspersky
Registry Editor (per
entrare nella
gestione del
registro di
sistema). Questa
procedura necessità
della massima
attenzione, per
evitare eventuali
errori. |
|
|
|
Posizionatevi sulla chiave di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
e verificate che il valore di DisableTaskMgr,
sia impostato a 0
Controllate le seguenti chiavi e cancellate
gli elementi che vi sembrano poco chiari:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Posizionatevi sulla chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
controllate che il valore “Shell” sia
explorer.exe, se non c’è scritto, dovrete
inserire explorer.exe
Successivamente sotto alla voce “shell”
trovate un’altra voce denominata Userinit.
Deve avere come valore solamente
C:\Windows\system32\userinit.exe, (virgola
inclusa).
Riavviare il pc, aggiornare antivirus ed
effettuare la scansione e la pulizia con
software gratuiti tipo
ccleaner o
Spybot Search&Destroy. |
|
|
|