Ormai credo di aver già affrontato una decina di computer con questo assurdo virus. La prima versione era veramente banale: bastava partire in modalità provvisoria ed eliminare il collegamento in esecuzione automatica. Gli ultimi sono decisamente meno semplici da sistemare: il virus parte anche in modalità provvisoria e, onestamente, non ho ancora avuto il tempo di capire in quale parte del registro si annidi (sicuramente non nei vari Run, RunServices, ecc.).

Tra le decine e decine di pagine dedicate all’argomento nessuna – o almeno non quelle che ho visto – proponeva la soluzione più semplice, quando applicabile:

  • parti in Modalità provvisoria con prompt dei comandi;
  • lancia explorer dal prompt dei comandi;
  • utilizza il Ripristino configurazione di sistema per tornare ad uno stato funzionante.

Finora ha sempre funzionato. In un caso con Windows 2000 è bastato avere un secondo utente amministratore per rimuovere gli eseguibili dall’altro profilo (andando un po’ per tentativi).

Altro dubbio: ma da dove caspita entra ‘sto virus? In alcuni casi il computer infetto era chiaramente andato su siti poco raccomandabili (leggere i titoli delle pagine al ripristino di Firefox è stato divertente…), probabilmente con versioni di Java vetuste, e gli antivirus installati non hanno reagito.

L’ultimo computer è il più curioso (e inquietante):

  • il proprietario mi dice di averlo lasciato aperto sulla pagina della posta di Libero, e di averlo trovato inchiodato al ritorno;
  • nel ripristino di sistema ho trovato un’installazione di Windows Update pochi minuti prima del “danno”. Quel punto di ripristino conteneva già il virus;
  • ho ripristinato il punto precedente e Windows Update non ha trovato nessun aggiornamento successivo da installare.

32 commenti/trackback a “Virus Polizia di Stato – Guardia di Finanza”

  1. miki64 scrive:

    Se mi permetti, io inserisco un link ad un articolo molto completo al riguardo:
    http://www.ilsoftware.it/articoli.asp?tag=Rimuovere-il-virus-Guardia-di-Finanza-ed-altre-minacce-simili_8808

    E sapete una cosa? Io, pur navigando sempre sui soliti siti, pur non aprendo programmi o allegati sconosciuti, pur non installando programmi di prova senza fare attenzione, pur avendo Comodo Internet Suite .8quindi non proprio una ciofeca…) ho scoperto tempo fa che sul mio browser ho la Babylon Toolbar.
    Inspiegabile…
    Non l’ho ancora eliminata, però, perché non voglio perdere tempo con un browser che apro solo per il Windows Update: è Internet Explorer 8!

    Inspiegabile davvero!

  2. flod scrive:

    Io finora non ho trovato nulla nelle chiavi di registro indicate anche in quell’articolo (parlo degli ultimi 3 pc, quindi ultime varianti) :-\

  3. sojo scrive:

    capitato due volte di seguito, ad un mio cliente e ho risolto con modalità provvisoria, pront dei comandi e far partire COMBOFIX.EXE da pendrive.
    Ho scoperto che dipende dalle sue email e qualkuna in particolare dove se annidato il virus e parte all’apertura di quella email

  4. Ronnie91 scrive:

    Cosa ne pensante di questa news: http://www.hwupgrade.it/forum/showthread.php?t=2540652 ?

  5. flod scrive:

    Direi che è decisamente lui il colpevole nel caso dell’ultimo pc…

  6. Ronnie91 scrive:

    In queste situazioni quindi Adblock ti salva…

    Buona domenica Francesco! ;)

  7. giuseppe scrive:

    Anche a me è capitato di lasciare il computer aperto su una pagine di ricette. Al mio rientro l’ho trovato bloccato dal virus della Polizia di Stato e, cosa ancor più strana, il virus aveva scattato una foto con il mio computer (che appariva sulla pagina del falso sito della Pollzia di Stato), in cui è stata ripresa la sedia…vuota di casa mia !
    Questa non mi pare di averla letta da nessuna parte.

  8. flod scrive:

    Confermo, se è presente una webcam viene scattata anche una foto

  9. Giusy scrive:

    A me è entrato dopo che Windows mi aveva chiesto di fare l’aggiornamento di flash

  10. Giusy scrive:

    E mi ha fatto la foto

  11. Alberto scrive:

    anche io ho rimediato un paio di computer con il sistema da te spiegato, la cosa strana è che Microsoft security essentials avviato da un disco di boot lo individua ed elimina, salvo poi ritrovarti comunque col pc bloccato ma senza la famigerata pagina in primo piano ma solo con lo schermo nero

  12. Michele scrive:

    Non vorrei sembrare il tipo che SPAMMA ma è solo per condividere nuovi informazioni relativamente a questa minaccia Virus.
    Ho testato un modo sperimentale, semplice ed efficacissimo per eliminare tutte le versioni di questo virus se vi và e con il consenso dell’autore di questo sito date un’occhiata al mio articolo:
    http://balzanomichele.blogspot.it/2013/01/come-rimuovere-tutte-le-varianti-del.html#axzz2JSpocm2I

  13. Amedea scrive:

    A me è capitato l’altro ieri di sera. Guardavo quinta colonna su streaming, all’improvviso compare sullo schermo questo scritto della polizia di stato con tanto di foto mentre stavo al PC. Premetto che io non ne capisco nulla di informatica e/o elettronica, quindi mi sono spaventata tantissimo, e ho cominciato a spegnere e riaccendere più volte. Il mattino seguente ( ieri mattina) riaccendo e ricompare di nuovo questo falso scritto, rispengo e riaccendo un paio di volte e il PC torna a funzionare. La mia domanda è: ma questi teppisti, adesso avrebbero la mia foto?

  14. daniel scrive:

    raga, vi segnalo di stare attenti e di controllare i vari scelli andando a cercare tutti gli user e non solo il local machine

    oltretutto segnalo che il “virus” si puo mascherare come programma reale. nello schell me lo dava come skype.bat
    ricordate: lo shell deve avere solo explorer.exe

    una volta eliminato il cosiddetto skype il pc è partito… ora vado con la scansione… combofix :)
    speriamo bene

    la mia procedura

    fase 1
    f8 e avvio in modalità provvisoria col prompt dei comandi, regedit, ricerca negli shell
    fasw 2
    per sicurezza oltre a questo ho disattivato le applicazioni all’avvio
    ctrl + alt + canc —> esegui nuova azione —> msconfig
    in alto a destra andare sulla tab avvio e fare in basso “disabilita tutto” applica e poi ok. a questo punto appare il messaggio di riavvio.

    per riattivarle procedura fase 2 e le riabilitate

  15. flod scrive:

    @amedea
    No, la foto si trova sul tuo computer e viene usata per mettere paura all’utente. Ovviamente, considerando che a quel punto hanno il pieno controllo del pc, sarebbero comunque liberi di farci un po’ quello che vogliono con quello che c’è dentro (ma non lo fanno) ;-)

  16. Amedea scrive:

    Grazie per la cortesia e la sollecitudine con cui hai risposto. Sei gentile e molto bravo, complimenti.

  17. Simone scrive:

    Io non riesco ad eseguire la procedura con msconfig…. Non mi da il tempo e sono anche veloce… Come posso fare?

  18. flod scrive:

    Onestamente non vedo come sia fattibile la procedura con msconfig, a meno di aver un computer dell’anteguerra…

    Parti in modalità provvisoria con F8 all’avvio e segui le indicazioni date. Se non hai idea di cosa sia la modalità provvisoria di Windows ti conviene chiedere aiuto ad un forum dove si parla di sicurezza informatica o un professionista ;-)

  19. stella scrive:

    ciao…anche a me è appena capitato e ho seguito le istruzioni iniziali dell’autore di questo sito….avvia in modalità provvisoria con prompt dei comandi, lancia explorer con prompt dei comandi, avvia ripristino configurazione di sistema….ora sembra essere andato tutto bene…devo aspettarmi che possa accadere di nuovo? devo fare qualcos’altro per “pulire” il mio pc?? …pensate l’ironia…sono un medico,normalmente li curo i virus!! :)

  20. flod scrive:

    Installa un buon virus, assicurati che i vari plugin siano aggiornati, se non lo utilizzi per altri software disinstalla del tutto Java. E magari naviga con Firefox + AdBlock visto che molti stanno girando su banner pubblicitari ;-)

  21. iacchi scrive:

    Installa un buon virus

    Ovviamente è un buon anti-virus :D

  22. flod scrive:

    Ehm… direi di sì :shock:

  23. Mattw scrive:

    Ragazzi grazie! anch’io, sicuramente non esperto di programmi, sono riuscito a togliere questo maledetto virus dal computer…e questo grazie ai vostri consigli, e a quelli delle pagine di Windows!volevo chiedervi se IE è meglio non usarlo proprio più, e passare a Firefox o Safari, e se secondo voi i miei €50 spesi x AVG Internet Sicurety siano stati soldi mal spesi (visto il “non” aiuto datomi, sia in fase di protezione virus, che in quello di rimozione [devono ancora rispondermi da martedì])! GRAZIE ancora a tutti

  24. flod scrive:

    Personalmente non apprezzo i sistemi antivirus+firewall, di solito mi limito a installare NOD32 o Microsoft Security Essentials sia sui miei computer che su quelli dei clienti e lasciare attivo il firewall di Windows. Poi basta un minimo di testa quando si naviga.

    Safari su Windows non l’ho mai nemmeno provato, le versioni recenti di Internet Explorer (9 o 10) non sono più così oscene anche se nel mio caso la scelta è sempre e solo Firefox, su tutti i sistemi operativi ;-)

  25. miki64 scrive:

    @Mattw:
    personalmente non spendo mai soldi per un suite di sicurezza. Ve ne sono di molto buone anche free (Comodo su tutti), oppure un’accoppiata firewall free di un produttore + antivirus free di un altro produttore.
    Come detto dallo Pseudotecnico, l’importante è navigare con la testa.

    Se utilizzi Windows, ti consiglio ovviamente Firefox + AdBlock Plus (come detto dallo Pseudotecnico) e lascia perdere Internet Explorer (i difetti di quel browser li sappiamo tutti, è il più bersagliato…) e anche Safari (che mi pare non sia più sviluppato per Windows, attendo smentite).

  26. iacchi scrive:

    Miki: se sei un’azienda non esistono versioni free, che sono solo per uso privato.

  27. danieleseba scrive:

    cari amici sono le 02:41 dell’ 08.02.2013 e dopo qualche ora ho risolto il problema del “virus” cacchetta che ha infettato anche il mio pc.
    SOLUZIONE IN 3 MINUTI
    SCARICATE IL PROGRAMMA COMBOFIX E LO COPIATE SU UNA PENNA USB ED INSERITELA NEL PC
    1) riavviate il pc premendo f8 – cliccate sulla modalità prompt dei comandi;
    2) digitate explorer.exe vi compare lo schermo in modalità provvisoria
    3) aprite il programma combofix e lo installate
    4) riavviare il pc
    TUTTO FACILE
    E’ GRAZIE AI VOSTRI SUGGERIMENTI CHE SONO RIUSCITO A TROVARE LA SOLUZIONE CIAO
    DANIELE

  28. danieleseba scrive:

    MI DIMENTICAVO IL TUTTO RIGUARDA IL VIRUS POLIZIA DI STATO INFRAZIONE DI NORME DI LEGGE SANZIONE DI € 100

  29. jessy scrive:

    Ragazzi, grazie!!!
    Siete stati di grande aiuto. Io sono veramente dilettante e sono riuscita risolvere, con tanta fatica, ma con il vostro aiuto, adesso tutto o.k.

  30. jessy scrive:

    danieleseba, grazie al tuo commento, ho risolto tutto.
    avevo un malvare, che mi bloccava il pc, con l’intestazione “Polizia di Stato” , dicendo, che ho commesso un reato e dovevo pagare € 100.
    Adesso tutto o.k. Grazie ragazzi

  31. giovanna scrive:

    Ciao,
    sono anch’io tra le “vittime” del virus della Polizia: di quello che però ti blocca anche la Modalità Provvisoria….. e a differenza della maggior parte di voi, il mio PC è ancora bloccato(oramai da circa 20gg)!!
    Ora scrivo da “GUEST” ma, da qui posso far poco; inoltre mi chiede continuamente la PASSWORD ed io non la ricordo….. 1) il PC era di mio figlio; 2) con “GUEST” non sono mai entrata prima…..
    Con il COMPUTER ci lavoro tutto il giorno ma, se parliamo di programmazione ……. sono una vera dilettante…..temo di combinare l’irreparabile ma……. avrei bisogno di aiuto per togliere questo virus e con windowsVista non sembra poi così semplice…..
    se qualcuno si offre volontario ad insegnarmi……. prometto che sarò diligente…..

Trackback e pingback

  1. FORZA CAVALLASCA » Programma antivirus Polizia di Stato
    [...] http://www.pseudotecnico.org/blog/2013/01/23/virus-polizia-di-stato-guardia-di-finanza/ [...]

Non è possibile inserire nuovi commenti. I commenti vengono disattivati automaticamente dopo 60 giorni.