La polizia Tedesca o Italiana mi ha beccato a scaricare da Emule??? No, è un virus!

 

 

Scenario paradossale quello che mi sono trovato davanti quando un mio amico disperato ha bussato alla mia porta e mi ha detto che il suo computer era stato bloccato dalla polizia Tedesca.
Ecco cosa è successo:
Il mio amico stava scaricando da internet dei filmati normalissimi (non film o materiale protetto da copyright sia ben chiaro!) quando gli è comparsa una schermata che diceva a grandilinee:

E' stato rilevato che hai scaricato del materiale illecito da internet quindi la polizia postale tedesca ha bloccato il tuo computer. Per poter continuare ad utilizzare il tuo computer devi pagare una multa di 100 euro tramite la seguente modalità (e veniva spiegato come effettuare il pagamento). Dopo aver pagato riceverete il codice da inserire in questo campo (e veniva mostrato un campo di testo) e potrete ricominciare ad utilizzare il vostro computer.

La schermata con sfondo bianco era molto ben fatta, in perfetto italiano e con i simboli ufficiali della polizia postale tedesca.
Mannaggia a me che non ho fatto una bella foto della schermata in quanto sarebbe stato molto costruttivo mostrarla; fatto sta che il mio amico, preso dal panico e notevolmente scosso ha subito spento e riacceso il computer. Dopo il riavvio schermata di accesso di windows e BAMMM ancora la stessa schermata bianca e senza la possibilità di poter fare niente.

Infatti non era presente la barra di windows e il taskmanager veniva chiuso automaticamente nonappena si cercava di aprirlo.

Il mio amico che non ha le competenze informatiche per combattere contro questa minaccia ma è una persona intelligente, si è insospettito in quanto veniva mostrata la polizia postale tedesca ma le scritte erano in italiano. Ha pensato di venirmi a trovare per essere sicuro che non ci fosse dietro qualche tentativo di truffa e infatti... ha fatto bene!

Non correte a pagare quindi la multa perchè anche dopo il pagamento non riavrete comunque indietro il vostro computer! Quello che sta dietro a tutta questa storia è un virus informatico che spera che voi, presi dal panico, corriate a dare qualche centinaio di euro al pirata informatico che l'ha creato.

Quindi se vi capita la stessa cosa del mio amico, seguite le seguenti istruzioni:

  1. Imprecate (non pesantemente, mi raccomando!) chiedendo perchè questa cosa è successa proprio a voi ma fate un grosso respiro e rilassatevi perchè, nononstante tutto, i vostri dati sono comunque salvi e al sicuro
  2. Portate il computer da una persona di fiducia che sia in grado di metter mano ai computer come si deve che sicuramente saprà come sistemare il problema
    Oppure
    Provate a sistemare il problema voi (strada più rischiosa)

Se avete scelto di provare a risolvervi il problema da soli vi spiego alcune dritte che sicuramente vi possono aiutare a distruggere il virus minaccioso.
Provate a seguire i seguenti passi:

  1. Fate una foto con una macchina fotografica della schermata del virus (questo è un passo opzionale)
  2. Se avete un computer lento siete avvantaggiati. Infatti dovete cercare di aprire il task manager con la combinazione <ctrl><alt><canc> prima che il virus si attivi (premete la combinazione durante il processo di accensione subito dopo che è scomparsa la scritta "Windows" ed è comparso lo sfondo del computer).
  3. Quando si è aperto il task manager cercate in fretta e furia il processo "mahmud.exe" e terminatelo prima che possa prendere possesso del vostro computer e togliervi il controllo della situazione.
    Potete fare questo in quanto prima di attivare la funzione che chiude automaticamente il taskmanager, il virus è intento ad avviarsi ed è proprio in quel preciso momento che lo dovete colpire.
  4. Una volta terminato il processo del virus non avrete ancora visibile ne la barra dei menu ne il vostro Desktop con le icone. Sempre dal task manager andate quindi su:
    "File"->"Nuova Operazione(Esegui...)" e digitate nel campo di testo:
    explorer
    Cliccate su OK
    e a questo punto dovreste ritrovarvi con il vostro pc utilizzabile. Ma non abbiamo ancora finito, infatti al prossimo riavvio ci ritroveremmo con lo stesso problema.
  5. Fate quindi una bella scansione con un buon software anti-malware in modo che il virus venga trovato e rimosso (visto che non si sa mai quale software antimalware utilizzare in questi casi vi consiglio Malwarebytes)
  6. Riavviate il computer, incrociate le dita e sperate che il software antimalware abbia rimosso la minaccia per voi.
  7. Commentate su questa pagina dicendo: Eureka! Ho sconfitto il maledetto!
  8. Se avete fatto la foto del punto 1, inviatemela via e-mail all'indirizzo info[chiocciola]marcobrenna.net e la pubblicherò ringraziando l'autore dello scatto per far vedere anche agli altri utenti di internet in che razza di problema siete incappati

Aggiornamento: Nota se purtroppo avete effettuato il pagamento: Non tutto è ancora perduto!
Grazie alle informazioni aggiuntive fornite gentilmente da Antonia che ringrazio, anche se avete effettuato purtroppo il pagamento dei 100 Euro e avete inviato il codice della paysafecard nella schermata del virus c'è ancora una possibilità per riavere i vostri soldi!
Per una recente versione del virus (scrivo questo aggiornamento in data 21/02/2012) il versamento dei soldi non viene effettuato automaticamente appena inviate i dati nella pagina della polizia postale ma il virus si limita a fornire il codice della paysafecard a chi ha creato il virus stesso! Il cattivo andrà poi su siti internet in rete a spendere i vostri soldi utilizzando il vostro codice che gentilmente gli avete fornito.
Se sarete più veloci di lui a spendere i soldi oppure a caricare i soldi della paysafecard in un conto gioco di Lottomatica di vostra proprietà (utilizzate un computer sicuro, mi raccomando!), riavrete i vostri soldi prima che il creatore del virus possa spenderli!
Nota: Anche se dopo aver immesso un codice valido nel campo di testo della polizia postale, vi comparisse un messaggio d'errore, i dati purtroppo sono arrivati lo stesso al cattivo quindi correte a spendere i vostri 100€ dopo esservi accertati che ci sono ancora! Non dovete inoltre inviare nessun codice a nessuno degli indirizzi segnalati sulla schermata della polizia postale. Ritenete sempre qualunque informazione della schermata della polizia postale una truffa o delle informazioni create appositamente per ingannarvi oppure farvi perdere altro tempo dopo che avete fornito il codice all'attaccante.
Grazie ancora ad Antonia per queste importanti informazioni

Per le persone interessate al funzionamento di questo virus

Il virus si può prendere in vari modi: visitando una pagina web creata ad hoc, aprendo allegati di posta, ecc...
Una volta che l'avete preso questo virus, modifica il file di sistema che avvia il processo di windows "explorer.exe" (effettua un hijack) e si mette al suo posto.
Per capirci, il file explorer.exe (che non c'entra niente con Internet Explorer) è quello che carica la barra con il menù avvio, le icone del desktop e altre componenti del computer.
Il virus, sostituendosi ad explorer.exe, con una semplice mossa raggiunge 2 obiettivi: il primo è che carica se stesso all'avvio del computer, il secondo è che, non caricando explorer.exe, non vi permette di usare gli strumenti che vi permetterebbero di sconfiggerlo o di usare comunque il vostro computer!
Durante la scansione, il software antivirus verificando i file di sistema capisce che qualcosa in un file importante è cambiato e ripristina la situazione originale rimettendo explorer.exe all'avvio e ridandovi accesso al computer.
Una cosa molto interessante da notare di questo virus è che ci mostra il testo in italiano. L'autore del virus, ha quindi creato un sistema che riconosce la lingua del sistema operativo in uso dalla persona e mostra la traduzione del messaggio della polizia, esattamente nella lingua dell'utente. Probabilmente se aveste preso lo stesso virus ma con Windows in lingua Finlandese, il messaggio sarebbe stato in tale lingua.

Spero di avervi introdotto un caso interessante, di avervi fatto capire qualcosa in più di come funziona (molto a grandilinee) un virus e di avervi incuriosito.

Alla prossima!

Nota per chiarezza: è stato utilizzato il termine virus per semplicità anche se il termine corretto avrebbe dovuto essere malware. Questo perchè i virus sono ormai classificati tecnicamente come programmi che modificano file sicuri del computer riproducendosi e infettandone in quantità. Non era quindi questo il caso.

03/06/2012 Aggiornamento: Video di rimozione avanzata del virus

Se i metodi mostrati in precedenza non sono serviti a debellare il virus, i soli utilizzatori di computer avanzati che si sentono sicuri possono seguire un video e intuire come debellare il virus nel loro specifico caso.
Si tratta di modificare direttamente il registro di sistema avviando il prompt dei comandi all'avvio del computer. Se non avete capito niente di quanto ho detto nella frase precedente, è meglio che portiate il vostro computer da un tecnico in quanto le operazioni mostrate nel video toccano delle parti delicate del vostro computer. Se sbagliate qualcosa o toccate qualcosa che non deve essere toccato potreste compromettere definitivamente l'avvio del vostro computer.
Se invece sapete quello che fate e siete piuttosto esperti potete dare un occhio al video che ho pubblicato per Mary in fondo ai commenti e cercare di risolvere il vostro caso! Fatemi sapere se vi è tornato utile commentando!

01/1/2014 Aggiornamento: La schermata ora si presenta anche su pagine web

E' stato segnalato che la schermata ora si presenta anche come pagina web. Visitando specifici siti, soprattutto se pornografici, si aprirà una nuova scheda del vostro navigatore internet con la schermata della polizia, carabinieri, ecc... molto ben fatta, con foto del presidente Napolitano e richiamo a normative vigenti.
Non spaventatevi e non pagate!
E' una truffa, potrete tranquillamente chiudere internet premendo "ctrl-alt-canc" sulla tastiera e terminando dai processi attivi "iexplorer.exe" (notare la i all'inizio del nome, non terminare quello senza i) oppure firefox.exe oppure google-chrome.exe . Il browser si richiuderà e potrete ripartire dall'inizio. Di norma non ci saranno conseguenze per il computer anche se, come sicurezza aggiuntiva, vi consiglio comunque una scansione con il buon vecchio MalwareBytes.

14/06/2012 Aggiornamento:

Mi è giunta segnalazione da Sara, che esiste una variante di questo virus anche per telefoni cellulari. Purtroppo non ho ancora avuto modo di testare il virus su dispositivi mobili per trovare una possibile modalità di rimozione. In attesa di trovare una possibile soluzione al problema il consiglio è sempre lo stesso: se vi vengono chiesti dei soldi, informazioni sulla carta di credito o informazioni personali, con una modalità simile a quella descritta nell'articolo, anche su telefoni cellulari, non pagate!

Commenti

Bisogna stare attenti a certe cose!

Eureka! Sconfitto (pare) il maledetto!

sei un grande!!!

Felice di esser stato d'aiuto!
PS: Spero che qualcuno mi invii veramente la foto della schermata del virus, potrei anche usarla per giocarci a freccette :-)

Marco Brenna

GRAZIE TANTISSIMO MARCO SEI UN GRANDE !!!!!!!L HAI FREGATO STI BASTARDI!!!!!

siete grandiiiiiii!!!!ho risolto il problema grazie tantoooo mi stava a mandar al manicomio sto virus !!!COME DICONO A ROMA MORTACCI SUA!!!!!GRAZIE TANTO MARCO SEI UN GRANDEEEE!!!!!!!!

ieri 11/02/12 è successo una cosa similare anche a me........è arrivato un avviso ,stavolta della polizia postale italiana,che avevo scaricato materiale illecito e che dovevo pagare una multa di 100 euro in vari modi da loro indicati! stessa cosa mi dicevano che mi avevano bloccato l' I D e se nn pagavo nn potevo utilizzare piu' il mio pc. ho spento e tiacceso pure io,il pc parte ma nn funziona piu cm prima!
sicuramente sn incappato anche io nel virus! ora provero' a fare cm dite e vediamo!
grazie mille !

potrebbe essere una versione rivisitata dello stesso Malware con la traduzione aggiornata. Molto spesso, in versioni successive, potrebbero anche aver cambiato il nome del processo da mahmud.exe ad altro nome proprio per renderne difficile l'individuazione.
Nel tuo caso in particolare, se dopo il riavvio il computer ti parte, può darsi che alcune delle procedure che permettono al malware di avviarsi con Windows o di sostituirsi ad explorer.exe, per diversi motivi non abbiano funzionato oppure il Malware attende il momento/condizioni giuste per avviarsi.
Ti consiglio una scansione con un software antimalware aggiornato.

In bocca al lupo

Marco Brenna

anche a me è successa sta cosa

eurekaaaaaaaaaaaaaaaaaaa!!!!!!!!grandissimooo!!

grazie marco ti devo il mio pc di merd* :) ahahahah davvero grazie nn se puo piu con ste truffe se ne stanno inventando di tutti i colori ancora grazie roberto...

Sto provando a seguire la procedura ma mi dice che "il task manager è stato disabilitato dall'utente"...sono troppo lento io???

Si, avevo lo stesso problema, ho disabilitato la password iniziale per essere più veloce e ce l'ho fatta, subito dopo la scritta iniziale di windonws attaccati ai tre tastini magici a manetta, vedrai ci riuscirai...
Buon lavoro

grazie di tutto..se non funziona taskmanager dal comando esegui scrivete "kill +nome processo"

Risolto grazie a questa guida, grande!!!
La foto pure io per la rabbia e fretta non l'ho fatta, ma a me era della polizia postale italiana...
Grazie ancora

A me era polizia postale italiana , ma ho avuto subito dei dubbi , ora e' possibile che facciano multe... ma non che chiedano il pagamento in quel modo o almeno spero ! Comunque computer bloccato ed allora ho fatto il ripristino configurazione di sistema al giorno prima e l' ho sbloccato . Domando ho eluso il problema o avro' ancora dei problemi ? Devo farlo vedere da un tecnico ? Tutto funziona bene tranne Facebook che spero sia solo un momento contingente ... perche' e' molto lento ! Ciao e grazie ! Massimo

Ciao Massimo, il virus potrebbe essere ancora presente. Anzi, alcuni virus addirittura sfruttano il ripristino configurazione di sistema per nascondersi e ricomparire successivamente.
I passi che ti consiglio di seguire nel tuo caso (per altre persone i passaggi da seguire potrebbero essere diversi) sono:

1) Fai un backup di tutti i dati più importanti che hai (se non di tutti i tuoi file!)
2) Disattiva il ripristino configurazione di sistema
3) Fai una scansione con MalwareBytes (trovi il link per scaricarlo nel mio articolo)
4) Dopo aver rimosso le minacce (se il programma ne trova) riavvia il computer
5) Riattiva il ripristino configurazione di sistema.
6) Crea un nuovo punto di ripristino alla situazione corrente

Il backup dei dati ti tutela in quanto questi passaggi, nonostante siano piuttosto automatici e facili da fare, possono portare con percentuali basse al blocco del computer per alcuni tipi di minaccia. Secondo me quindi puoi fare un tentativo e nel raro caso in cui il computer non dovesse ripartire portarlo da un tecnico per formattarlo (tanto i tuoi dati li hai e sei tranquillo!)

Da tecnico magari io avrei agito diversamente ma quello consigliato è il metodo più semplice che puoi attuare per stare più tutelato e tranquillo.

Tienimi aggiornato!

Marco Brenna

La maledettissima pagina di explorer tenta di mandarmi a res://H:\WINDOWS\system32\shdoclc.dll/dnserror.htm#http://196.189.227.190/

ma non la riesce a trovare. ctrl+alt+canc da subito non funziona. kill mahmud.exe non funziona. Che fare??????

c'è una soluzione che puoi provare ma devo crearti una guida completa apposita o magari un video in quanto devi toccare il registro di sistema.
Purtroppo questa settimana sono fuori per un convegno e non ho il tempo materiale per scrivere soluzioni alternative per risolvere il problema (tecnicamente più avanzate dell'attuale guida che ho scritto proprio per permettere a chiunque di provare a risolvere la situazione).
Se hai tempo di aspettare fino a settimana prossima, mi libero e proviamo a fare dei tentativi. Anche se settimana prossima avrai magari già risolto da solo, il nuovo articolo potrà servire ad altri per cercare di sconfiggere meglio la versione italiana del virus e non solo quella della polizia postale tedesca.

Un saluto e spero di esserti utile al più presto

Marco Brenna

Avvio in modalità provvisoria + ccleaner con cui non facevo in tempo a blastare il processo dall'avvio automarico ma in provvisoria sì, ed eliminato dall'avvio automatico (unico dal nome strambo tra i 5 che usualmente tengo) scansione con antimalware =) Problema risolto! Grazie della pagina!

Anche io ho avuto il vostro stesso problema,il sito era quello della polizia postale italiana,premesso che ho win7 ,come dai vostri consigli all'avvio ho subito pigiato i tre tastini magici, tra le varie opzioni non mi dava la gestione delle attività però si è attivato l'antivirus (Nod32) che deve aver bloccato il l'avvio del virus ,ho avviato una scansione con quest'ultimo che mi ha trovato il virus che al contrario di quello citato si chiama 0.4739976483482561g8j8.exe .
Il Nod non è riuscito ad eliminarmelo lo ha messo solo in quarantena,quindi ho installato Malwarebytes che me lo ha trovato ed eliminato.Ho ravviato il pc è sembra andare tutto bene anche se il nod32 dice che è ancora presente mentre se faccio un scansione con Malwarebytes non mi trova nulla.......me ne sono realmente sbarazzato? Come faccio ad esserne sicuro? Vi ringrazio anticipatamente per l'aiuto.

Grazie per il consiglio!! Mi era venuto subito il sospetto che fosse un virus perche' se compi qualcosa di illecito tipo:scaricare materiale pedopornografico ecc. la polizia ti piomba in casa alle 6 del mattino e ti porta in questura insieme al tuo pc.Ho scoperto questo blog ed ho provato a fare come dici tu;il task non me lo apriva,fortunatamente avevo gia Malware (ottimo) sono riuscito a farlo partire e (sembra) va tutto bene.Ciao!!

Il virus che mi rileva é win32/cryptor e trojan generic26....sti maledetti mo speriamo che li ho eliminati....certo che la gente non c ha proprio niente da fare e si mette a fare queste stronzate che servono solo x farti perdere tempo...

Non lo riesco a togliere ho eliminato il virus ma mi appare sempre la schermata della polizia maledetti

sono tornato dal convegno e forse ho la possibilità di mettere le mani sul nuovo virus della polizia postale italiana per scoprire dove si va a mettere. Vi terrò aggiornati sull'evolversi della situazione.

Marco Brenna

Sono riuscito ad avviare il pc in modalità provvisoria, e sono andato al pinto di ripristino e hO provvisoriamente risolto il problema!!! Peró ho avviato una scansione con l'anti malware che hai detto!!! Non so pero con che risultati!!!!

se dice che "avvia gestione attivita´" e´stato disabilitato dall´amministratore?

la mia e´una finta polizia austriaca.....
E sia Gestione attivita´ che registro di sistema sono bloccati....come posso fare.....

Potresti iniziare facendo una scansione con un software antivirus/antimalware (meglio se Malware Bytes) dalla modalità provvisoria. Per entrare in modalità provvisoria, premi ripetutamente F8 appena accendi il computer finchè non ti compare la relativa voce. Se il virus dovesse avviarsi comunque anche in modalità provvisoria, dovresti operare con il semplice prompt dei comandi ma a quel punto sarebbe più consigliabile la mano di un esperto.

Spero di averti suggerito una possibile via da seguire,
un saluto

Marco Brenna

allora:
sono riuscito ad attivare il computer in modalità provvisoria con prompt....da lì ho attivato explorer e con maware ho fatto una scansione....mi ha trovato una serie di problemi che ho eliminato:
una volta che provo ad aprire il comuter in modalità normale, ecco la situazione:
Ho explorer, il desktop è vuoto e mi dice che la gestione attività è stata "disabilitata dall'amministratore"....che posso fare?

Purtroppo circolano diverse versioni del virus e ognuna ha le sue caratteristiche. Così dalla distanza per me è difficile capire quale sia la tua, se sono stati installati altri malware sul tuo computer o cosa può esser stato compromesso.
Mi è capitata una versione in cui il virus si era messo semplicemente in "Esecuzione Automatica" e, così facendo, veniva rilevato con più difficoltà dagli antivirus.
Prova a fare così: Vai sul menù Start -> tutti i programmi -> Esecuzione Automatica
e cerca una voce che termina con .dll . Se la trovi eliminala (stai attento ad eliminare solo quella e solo se la trovi, rimuovere per sbaglio altre voci sicure da esecuzione automatica può compromettere il loro funzionamento).

Vista la situazione, per essere sicuro di avere il computer pulito dal virus, nel tuo caso potrebbe essere necessaria comunque una formattazione (dopo aver salvato tutti i dati).
Tienimi aggiornato, un saluto

Marco Brenna

GRANDE, CON I TUOI CONSIGLI HO SBATTUTO FUORI ...IL PC IL VIRUS O COME DIAVOLO SI CHIAMA.
SALUTI.
GRAZIE!!!!!!!!!!!!!!!!!!!

Ciao, sono incappata anch'io in questo maledetto virus, solo che mi blocca con la sua schermata anche se entro in modalità provvisoria!!!! che faccio??

Ciao, devi entrare nel computer con il prompt dei comandi e debellare il virus da li.
Sia per la versione in italiano del virus (con guardia di finanza o polizia postale) che con la versione tedesca, alcune tipologie di virus sono ideate per avviarsi anche in modalità provvisoria.
Per risolvere devi avviare il computer con il prompt dei comandi e risolvere utilizzando il terminale.

Subito qui a seguire, ti mostro un video che ti permetterà di risolvere la situazione MA ATTENZIONE, è piuttosto tecnico e una modifica errata rispetto a quanto mostrato nel video può compromettere definitivamente l'avvio del computer. Il mio consiglio è: se non sai cosa fare di preciso, porta il tuo pc da un tecnico.
Il video che ho pubblicato qui sotto, sebbene possa aiutare anche altri, è stato pubblicato in base al commento di Mary. Potebbe non essere necessario per altri casi.
Se il video vi aiuta o volete saperne di più fatemelo sapere con un bel commento!
Ecco il video da usare con cautela. Per entrare nella modalità di prompt dei comandi, durante l'avvio del tuo pc continua a premere il tasto F8 della tastiera e ti comparirà il menu che si vede nei primi secondi del video ma in lingua italiana.

Ripeto, se il video è troppo complicato, la tua situazione non rispecchia il video o non ti senti sicura di quello che stai facendo, porta il pc da un tecnico!

Spero di averti aiutata e se il video è utile anche ad altri, fatemelo sapere!!!

Un saluto

Marco Brenna

ciaoo non e un fake o un virus in quanto e tutto vero idnirizzo ip e quello mio del provider quindi mi aspetto che da un giorno all'altro arrivi la finanza a sequestrarmi tutto io intanto ho nascosto i mei due hhd da 2 tb pieni di film in divx sono 10 anni di duro lavoro e ci sono altre cose che e meglio che non si vedano tipo filmatini hentai

Ciao ca*zotenefregadelmionome,
innanzitutto volevo chiederti di pubblicarti tranquillamente anonimo se vuoi stare anonimo. Su questo blog anche l'indirizzo e-mail è opzionale quindi se hai il piacere di conversare con me scrivilo, altrimenti non ci sono problemi.

Secondariamente ti rispondo per aiutare anche altre persone a capire meglio la situazione in cui si sono trovati.
Da informatico ti posso dire che mostrare il tuo indirizzo ip su una pagina web o su una schermata sul tuo stesso computer è una cosa assolutamente possibile e normale. Il tuo computer deve sapere qual'è il suo indirizzo di rete quindi questa informazione è normale che sia disponibile; per questo motivo il virus può tranquillamente recuperarla e mostrarla sulla sua schermata.
Pensa che l'ultima versione di questo virus (rimossa da me giusto oggi) riguarda la polizia postale italiana, è scritta in perfetto italiano e attiva la webcam del computer mostrando il tuo volto sulla schermata che si presenta per mettere ancora più paura (e convincere le persone a pagare).
Fidati, una schermata che compare improvvisamente dicendoti che hai commesso atti terroristici oppure hai scaricato materiale pornografico legato ai bambini chiedendoti 100 euro per sistemare il tutto e dimenticare la questione è assolutamente un virus, senza ombra di dubbio. Non è la Guardia di Finanza!
Anche ragionando, non stiamo parlando di reati da niente, si finisce in galera per anni per alcuni dei reati presenti sulla schermata del virus!!!
Lo ripeto quindi: NON PAGATE!

Se ancora non ti ho convinto, anche se hai la coda di paglia, fai una chiamata alla Guardia di Finanza raccontandogli della schermata che ti compare e ti confermeranno che si tratta proprio di un virus.

Se hai pagato inoltre ti consiglio di seguire la procedura descritta nell'articolo e spendere i soldi della fastpay finchè il malintenzionato non li ha ancora spesi.

Sono qui per aiutarti quindi non mi soffermerò molto sul resto del tuo post se non ricordandoti che esistono leggi sul diritto d'autore.

Spero di esserti stato d'aiuto

Un saluto

Marco Brenna

Ciao! Scusa l'ignoranza è possibile che si sia "attivata" anche una specie di webcam dal mio pc? Vicino alla schermata della polizia vedevo un mini riquadro il mio volto ... Grazie per l'aiuto (il mio pc sembra funzionare ... stasera gli darò un'altra occhiata ...)

Ciao, si è possibilissimo. Come ho scritto nel commento precedente l'ultima versione del virus prevede l'attivazione della webcam per aumentare l'effetto paura e indurre maggiormente l'utente a pagare.
Per la versione che hai preso del virus, se vai nel menù start -> programmi -> Esecuzione automatica dovresti vedere un collegamento "ctfmon". Quello è il file che attiva il virus. Non è possibile cancellarlo in quanto un processo in esecuzione lo ricrea.

Ti consiglio di:
- Fare una scansione veloce con Malwarebytes e far che sia lui a rimuovere il virus della polizia postale italiana per te
- Dopo il riavvio del computer ti potrebbe comparire un messaggio d'errore relativo a ctfmon; vai su start -> programmi -> Esecuzione automatica e rimuovi se presente il collegamento a "ctfmon"

Dopo aver rimosso questo virus, dovresti fare una scansione completa con un antivirus classico. Se vengono rilevate altre numerose infezioni nel sistema soprattutto nella directory c:\windows\system32, ti conviene portarlo da un tecnico e formattare. Se invece il computer è pulito allora fortunatamente non hai avuto altre conseguenze e puoi tornare ad utilizzare il computer.

Fammi sapere come è andata e se hai risolto

Spero di esserti stato d'aiuto

Marco Brenna

Ho già beccato questo virus in passato e sono riuscita a disabilitarlo abbastanza facilmente entrando in modalità provvisoria e disabilitando il virus dalle applicazioni che partono in automatico del menù ( per poi cancellarlo manualmente ) oppure tramite msconfig quando il virus non compariva tra i programmi che venivano lanciati in automatico.La versione che ho "contratto" adesso è davvero davvero bastarda in quanto mi spegne il computer pochi secondi dopo l'accensione. In pratica è impossibile effettuare qualsiasi operazione. Suggerimenti??? Perchè l'unica cosa che mi viene in mente è di sbattere la testa contro il muro! :)

Ciao,
Alcune versioni di questo virus sono proprio cattivelle!
Immagino che il computer si spenga dopo che la schermata della polizia è stata mostrata (anche perchè altrimenti il virus non potrebbe mostrarti le informazioni di pagamento e non servirebbe al malintenzionato).
Dovresti quindi essere in grado, premendo ripetutamente il tasto F8 all'avvio del computer prima del logo di windows, di accedere accedere al computer in modalità provvisoria con prompt dei comandi.
Fatto questo una possibile soluzione è quella di seguire il video che ho pubblicato qualche commento più in su. In particolare, la chiave che potrebbe essere stata modificata dal virus è quella presente alla posizione HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows NT -> Winlogon -> Shell che deve avere come valore Explorer.exe
Se così non fosse avresti scoperto il punto di ingresso nel sistema del virus.

Come scritto sopra ti consiglio di eseguire le operazioni solo se sei un po' esperta altrimenti purtroppo l'unica soluzione è la formattazione o l'aiuto di un tecnico.

In Bocca al Lupo

Marco Brenna

Dopo la comparsa della famigerata schermata che mi invitava al pagamento ho spento manualmente il computer e riacceso tentando,attraverso F8,di entrare in modalità provvisoria come avevo fatto la volta precedente (è la seconda volta che becco questo virus) per disattivare il programma che parte in automatico all'acensione e per rimuoverlo,poi,manualmente. Il computer,una volta selezionata "modalità provvisoria",ha iniziato a caricare i file e si è spento a metà del processo. Ho,allora,aspettato qualche secondo per ritentare l'operazione,ma il computer si è spento pochi secondi dopo l'accensione.
Temo che questa volta dovrò chiedere l'aiuto di qualcuno con un più di esperienza :(

Ciao, anche io ho avuto il problema con polizia italiana.
Ho installato il programma malwarebytes che suggerivi. ho fatto una scansione, riavviato e ora sembra andare tutto bene... Il file "ctfmon" se lo cerco però, appare ancora... nella ricerca normale, nelle esecuzioni automatiche non me lo trova.
Malwarebytes dice comunque che non c'è alcun problema.. Il processo della prima scansione con malware l'ho fatto tramite un account guest che non era bloccato ( ho vistA)....
è davvero tutto risolto?

Il virus utilizza il nome cftmon, proprio perchè è lo stesso nome di un processo di sistema (in questo modo l'utente che vede il nome non rimuove il file per paura di cancellare il ctfmon vero!).

Quindi è normale che con una ricerca classica in tutto il computer trovi un file ctfmon, è quello vero che non va cancellato, mi raccomando!

MalwareBytes risolve il problema della polizia italiana.

Se però vuoi essere sicuro che il computer non contenga anche altre minacce oltre al virus della polizia italiana ti consiglio una scansione anche con un antivirus classico che dovresti avere già installato nel computer (se così non fosse puoi installare un antivirus gratuito come Avira Antivir). Un software antivirus in tempo reale non va in conflitto con Malwarebytes quindi puoi averli installati contemporaneamente.

Se anche con questa seconda scansione con l'antivirus classico non trovi minacce o riesci a risolvere quelle trovate puoi dire che il tuo computer è pulito!

Marco Brenna

Ciao senti ho avuto lo stesso problema del virus " polizia statale italiana".
Appena riscontrato, l'utente base si è bloccato, ma nell account guest ( ho vista) sono riuscita a scaricare il programmino dei malware che suggerivi tu, ha trovato i problemi e mi ha fatto riavviare. Il problema ora sembra risolto, ma facendo la ricerca tra i file"ctfmon" mi esce ancora, da premettere però anche prima se lo cercavo nelle esecuzioni automatiche non usciva.
L'antivirus non trova nulla tanto meno malwarebytes...
è davvero tutto risolto?

Ciao, il file ctfmon è un processo di sistema. Il virus usa lo stesso nome per cercare di non farsi rimuovere dall'utente mediamente esperto. Il file che trovi con la ricerca tra file normale è il ctfmon vero, non eliminarlo!

Per il resto, se sia MalwareBytes che un antivirus classico non trovano minacce direi che hai sconfitto il virus infame!

Complimenti!

Marco Brenna

Ciao Marco ... nonostante la mia acclarata incompetenza ... credo - grazie al tuo aiuto - di esserci riuscito! Ti ringrazio!!!

Felice di esser stato d'aiuto! :)

Marco Brenna

Ciao Marco,
giovedì scorso pure io sono incappato in questo fastidioso virus, non mi sono perso d'animo e in poco tempo l'ho eliminato. L'unica cosa che mi lascia perplesso è il fatto che anche a me come ad un altro utente, nella finta pagina della "polizia di stato" si era attivata una finestra con la mia webcam attiva. Siccome non mi sono accorto subito di aver preso questo virus, ma solo quando ho chiuso le altre pagine web che stavo visitando, la mia preoccupazione ora è che mi possano veramente aver registrato tramite la mia webcam. Pensi sia possibile? E se sì cosa potrei fare per cautelarmi? Purtroppo non so dirti il nome o altre informazioni sul tipo di virus, se non che era una finta pagina della Polizia di stato e anche in questo caso invitavano al pagamento di una somma di 100 €!
Spero tu mi possa saper dire qualcosa in più!
Ti ringrazio!
Ciao e complimenti!!!!

Ciao, ti anticipo che ho già visto esattamente la schermata che hai visto tu; è una versione del virus frequente che è in giro in questo periodo.
Purtroppo non posso darti la certezza che le immagini della webcam non siano state inviate al creatore del virus; c'è la possibilità che questo sia avvenuto MA ricordando com'era strutturata la pagina, quelle immagini mi davano l'idea che servissero più per aumentare l'impatto, lo spavento e la credibilità del messaggio che per eventuali secondi fini.

Tieni conto che, se fossi nei panni di una persona che vuole rubare una tua foto, non ti farei presente che lo posso fare mostrandoti il video ma attiverei la webcam quel tanto che basta per recuperare qualche fotogramma senza avvisarti (certi virus che hanno accesso al sistema in modo completo potrebbero ipoteticamente farlo).

Secondo me quindi le tue foto non sono state recuperate dal malintenzionato, l'immagine della webcam serviva solo per metterti paura (anche se come già detto non posso dartene la certezza e me ne scuso).

Se avrò modo di avere in mano un altro computer infetto, proverò a fare delle verifiche più approfondite

Un saluto

Marco Brenna

si io penso si averlo sconfitto..nel task non ho trovato il file..cmq sto facendo la scansione con malwabyte

Io l'ho preso ed eliminato e fatto anche una analisi con una sandbox ma non capisco dove l'ho preso. Quale vulnerabilita' sfrutta?

Non vorrei dirti una stupidata ma ho notato che i casi che mi sono capitati erano sempre accompagnati da una infezione nella cache di java di un file jar o simili.

Ho quindi il presentimento che l'infezione sia dovuta alla visualizzazione di una pagina web con una applet java sfruttando magari delle vulnerabilità presenti in vecchie versioni della Java Virtual Machine (per la precisione era ricorrente la versione 6.22 nei pc che mi sono trovato infetti che in effetti non è recentissima, siamo alla 7.5 ora).

Ti consiglio di aggiornare Java il prima possibile se hai una vecchia versione oppure di disabilitarlo dai componenti aggiuntivi del browser, tanto se non hai bisogni specifici ormai tutti i componenti dinamici dei siti web sono fatti in flash o javascript.

Spero di essere stato d'aiuto

Marco Brenna

Ieri sera la schermata è comparsa pure nel mio pc mentre ero su fb e dopo avre cliccato un link all'apparenza normale! FORSE IL VIRUS ERA SILENTE NEL PC E SI è AVVIATO DOPO UN PO DI TEMPO.
Comunque, come prima cosa ho spendo il router! ed ho iniziato a ragionare...
Senza poter accedere a internet ho ripristinato il sistema (win7) alla versione precedente che era di 5 giorni fa.
Tutto ha ripreso a funzionare.
La pagina devo dire che è fatta bene, ma l'italiano lascia molto a desiderare. Che sia una truffa è fuori d'ogni dubbio... senza regolare verbale, che attesti la titolarità della persona che ha compituo il reato ed il reato stesso, non c'è alcun motivo per pagare... altrimenti, per assurdo, come potrei ricorrere contro la multa??? portando la schermata del pc??? e a chi... non c'è neppure un indirizzo ed un protocollo... ma la prossima versione sono sicuro che avrà anche queste cose...
Era la prima volta che mi imbattevo in una cosa del genere, e devo dire che è davvero tremenda. Indirizzo IP, provider e web cam con il mio faccione... tutte cose rintracciabili e attivabili da bravi smanettoni. Ma mia moglie sarebbe impazzita alla vista di una pagina di questo tipo.
Oggi ho fatto una ricerca e ho trovato questa pagina che mi ha consoltao e rassicurato.
Questa sera faccio correre antiviris e http://www.malwarebytes.org/ e spero di trovare e debellare il virus nefasto.
Grazie per le preziose dritte!
g

Ti posso garantire che non dovrai mostrare la schermata da nessuna parte e non dovrai ricorrere contro la multa, è un virus al 100%!

L'ultima volta che mi è capitata davanti una di queste schermate ho fatto una foto col cellulare (è una delle tante versioni, può o non può essere quella che hai preso tu ma magari riesci a riconoscerla!)

Cliccare sull'immagine per vederla ingrandita

Le persone che capitano davanti alla schermata rimangono parecchio spaventate.
Dopo aver capito che si tratta di un virus si fanno una risata ma può essere davvero uno shock all'inizio. Il pensiero più ricorrente è quello di finire con la foto sul giornale del giorno dopo!

Marco Brenna

Oggi mi è successo, purtroppo! Ho semplicemente spento il computer, l'ho riacceso, cambiato account e va perfettamente, non mi da problemi, va come al solito insomma. Ho paura, però, che il virus ci sia ancora dovrei farlo controllare?

Ciao, la versione più diffusa di questo virus si attiva tramite un collegamento in esecuzione automatica.
Cambiando account quindi potrebbe non attivarsi. A mio prere però, viste le diverse versioni che circolano e i diversi effetti che hanno, una scansione con malwarebytes dall'account con l'infezione dovresti farla per debellare la minaccia oppure, se non sai come fare, sarebbe meglio farlo controllare.

Un saluto

Marco Brenna

Circa un paio d'ore fa mi è apparsa la schermata della finta polizia postale con tanto di immagine dalla web cam. Ho spento e riacceso il computer e cambiando account il computer funziona senza problemi, mentre quello su cui mi è apparsa la schermata si è bloccato, quindi l'ho eliminato. Il computer per ora va senza alcun problema! Che faccio? Lo porto a controllare? (io non so proprio dove metter mano)

Ciao, viste le diverse versioni del virus non posso darti una risposta certa.
Come risposto al commento precedente, con quello che hai fatto potresti (il condizionale è d'obbligo) aver impedito al virus di avviarsi e quindi debellato la minaccia.

Ovviamente controllarlo sarebbe la cosa migliore da fare. Per cominciare potresti scaricare Malwarebytes (il link è presente nel testo dell'articolo) e fare una scansione (il software è in italiano) oppure portarlo da un tecnico.

Se non usi il computer per accedere alla banca on line o effettuare pagamenti con paypal potresti anche rischiare e tenerlo così ma non me la sento comunque di consigliartelo.

Marco Brenna

ciao marco,
ieri mi sono imbattuta nel famoso virus della polizia postale italiana! un colpo all'inizio! poi riflettendo effettivamente ho capito che poteva solo essere un virus! è apparsa una schermata che ha bloccato completamente il pc, l'unico modo x farlo ripartire è stato di forzare il pc! ho poi provato ad accenderlo ma, dopo pochi secondi appariva di nuovo la schermata, ho forzato di nuovo l'arresto e ho acceso di nuovo avavendo cura di interrompere la connessione wifi! ho scoperto che non mi fa aprire taskmanager se non i primi secondi dopo l'avvio! un collega questa mattina mi ha dato un programma x aprire il taskmanager e funziona! ho trovato anche sotto rundll32.exe un processo chiamato ctfmon.exe (descrizione:caricatore ctf-company: microsoft corporation) è lui il colpevole secondo te? grazie!

Ciao,
Fai attenzione in quanto ctfmon.exe è anche un processo di sistema. Il virus utilizza lo stesso nome per confondere le idee.
Prova a scaricare MalwareBytes e a fare una scansione veloce. Riconoscerà il virus per te lasciando stare il file corretto!
Il link per scaricare Malwarebytes lo trovi all'interno dell'articolo

In bocca al lupo

Marco Brenna

Ciao Marco,
Oggi sono stato colpito anche io da questo virus.
Controllando su internet ho trovato il vostro forum, ho letto un po' tutte le discussioni e ho provato a seguire alcuni dei consigli. Il mio pc( Sony vaio con wind.7) funziona regolarmente se il wifi non è attivo, perché se viene attivato compare la famosa pagina della polizia italiana. Quindi da un altro pc ho scaricato il programma malwarebytes fatto la scansione ha trovato due virus che ha prontamente eliminato. Riavvio ma tutto uguale, cioè se attivo il wifi compare la famosa pagina!! Il task non mi permette di aprirlo. Hai qualche consiglio anche per mè?? Grazie mille. Ciao. Salvo.

Hai sicuramente fatto bene a scaricare MalwareBytes da un computer non infetto. Vista la procedura che mi hai descritto però non so se hai effettuato la scansione con il software aggiornato.

Il file di MalwareBytes, appena lo scarichi, contiene una versione che magari è più vecchia di un mese e che quindi non rileva le minacce recenti. Potresti aver rimosso con la tua scansione un altro virus e non quello della polizia postale (sono ipotesi in quanto non ho il tuo pc davanti).

Prova a fare così:
- Con staccata la connessione internet apri Malwarebytes.
- Tra i menu del programma cerca la voce per aggiornarlo.
- Attiva la connessione WiFi, conta fino a 2 e poi premi il tasto per aggiornare il programma (il virus controlla che venga attivata la connessione ad internet di cui necessita ma solitamente impiega qualche secondo per accorgersene e nel frattempo dovresti riuscire ad aggiornare MalwareBytes).
- Se ti compare la schermata ma sei riuscito ad avviare l'aggiornamento, aspetta comunque un paio di minuti in quanto l'aggiornamento potrebbe essere attivo in background.
- Riavvia il computer
- Riapri MalwareBytes e controlla che l'aggiornamento sia riuscito controllando la data di quest'ultimo
- Rifai la scansione con internet staccato e controlla se rileva qualcos'altro.
- Fammi sapere come è andata ;)

Marco Brenna

Ciao Marco questa mattina è apparsa anche a me la videata della Polizia Postale Italiana(con parecchi errori di grammatica!!) con richiesta di 100,00 per lo sblocco!Ho spento e riavviato ed è partito subito AVG che ha trovato "WIN32/CRYPTOR" e l'ho messo in quarantena. Poi ho riavviato ed effettuato subito la scansione e ne ha rilevato ancora uno, sempre win32...però il primo è in c\user\appdata\roaming\toip0 e l'altro è in c\user\appdata\local\temp. ora sono in quarantena ed il portatile sembra funzionare bene, ma cosa devo fare? li lascio li? se puoi dammi un consiglio. Grazie
Graziella

Ciao Graziella,

Il mio consiglio potrebbe essere quello di:
- Recuperare MalwareBytes da internet
- Installarlo e aggiornarlo
- Staccare la connessione ad internet
- Quando sei sicura che internet è disconnesso disattivare la protezione in tempo reale di AVG
- Fare una scansione con MalwareBytes
- Rimuovere le minacce che ti trova (se le trova)
- Riavviare il computer (te lo chiederà lui stesso probabilmente)
- Dopo il riavvio, se la protezione in tempo reale di AVG è ancora disattivata riattivarla
- Ricollegare internet

Con questi passi dovresti riuscire a rimuovere le componenti del virus che magari AVG ha lasciato ancora in giro (se ne ha lasciate).

I file in quanrantena puoi tranquillamente tenerli li dove sono. Non c'è pericolo che si riattivino e tenendoli li non ti daranno alcun problema.

Un Saluto

Marco

Ciao Marco,
ho seguito il tuo consiglio, risultato: ti sto scrivendo dal mio pc che fino a poco fà era inutilizzabile!!! che dire grazie mille!!! ciaooo!!! salvo.

ciao marco, ti aggiorno! invece di impazzire x eliminare il file, con la paura di fare qualche casino, ho ripristinato il sistema all'ultimo aggiornamento, x fortuna il giorno prima, e non mi ha dato più problemi, ho poi scaricato malwarebytes e ho fatto una scansione, non ha trovato nulla! un dubbio, dovrei, prima di fare la scansione, dovrei disattivare l'antivirus? ciao ancora e grazie x i consigli!

Ciao,
la disattivazione dell'antivirus è necessaria in alcuni casi per la rimozione della minaccia, non per il rilevamento. Se dopo la prima scansione, anche con antivirus attivo, non ti ha rilevato problemi direi che sei a posto!

Sono felice che abbiate risolto,

Un saluto

Marco Brenna

Ma perchè questa tipologia di virus non viene rilevata dagli antivirus ?
Ormai è un po' di tempo che ci sono.
Ho verificato che il virus riesce ad entrare su sitemi con antivirus aggiornato, e pure con utente declassato a user ( quindi non amministratore )

Coame è possibile cio ?
Ma chi produce antivirus cosa sta facendo ?

Semplicemente scandaloso...

Secondo il mio parere, chi ha prodotto questo Malware è stato piuttosto furbo.
Mentre normalmente i virus informatici tendono a nascondersi e ad utilizzare funzioni del sistema operativo che insospettiscono i software antivirus (rilevamento tasti della tastiera, alterazioni del traffico di rete, apertura porte, ecc...) questo virus si mette in una posizione comunemente utilizzata da software sicuri per autoavviarsi e fa operazioni che anche un programma sicuro normalmente fa o potrebbe fare.

Questo permette al virus di non farsi rilevare dai sistemi euristici che utilizzano gli antivirus per rilevare le minacce. Viste le diverse versioni di questo virus è inoltre difficile creare una definizione che le rilevi tutte.

Ho consigliato MalwareBytes per la rimozione in quanto ho testato personalmente che ha specifiche definizioni per rilevare questo virus ma solo per esperienza personale. In effetti altri software antivirus non hanno tuttora definizioni per alcune versioni del cattivo in questione.

Purtroppo chi ha creato il virus ha ragionato bene prima di metterlo in rete!

Spero di averti chiarito qualche dubbio,

Un saluto

Marco Brenna

Ciao,
Pure io oggi mi sono imbattuto in questo virus con tanto di web cam…
Ho spento e riacceso il pc e funziona correttamente se non è attivo il wi-fi, appena lo attivo dopo pochi secondi appare la schermata a schermo intero… ho istallato sul pc come antivirus Microsoft Security Essentials ma è bloccato e non riesco ad attivarlo.
Cosa posso fare?... non sono molto esperto scarico MalwareBytes da un altro pc e lo istallo sul mio pc ma come posso aggiornarlo se appena mi connetto compare la schermata a tutto schermo???
Grazie Alessandro

Si, la procedura più semplice è quella di scaricare MalwareBytes.
Per poterlo aggiornare ti consiglio di dare una occhiata alla risposta che ho dato nel commento di Salvo ( http://www.marcobrenna.net/comment/207#comment-207 ).
Mi ha dato anche conferma che per lui ha funzionato ;)

Un saluto

Marco Brenna

anch'io ho avuto esperienza con questo Virus,ho capito dopo un pò di Paura ..che si trattava di un Virus ,sicchè mi sono rivolto da un amico informatico. Devo dire che con il computer portatile ,il programma di Malewarebites non è molto d'aiuto ...invece l'ho ha fatto con un pennino USB che conteneva Linux è lo ha eliminato senza lasciare traccia....anzi un consiglio a tutti gli internauti di andare con un sistema Linux è non ci sono problemi

Ciao, ti ringrazio per questa possibile soluzione alternativa.
l'uso di MalwareBytes richiede che il software venga aggiornato altrimenti non potrà rilevare la minaccia. Una possibile procedura per farlo è presente qualche commento più sopra.

Personalmente, da utilizzatore di Linux a tempo pieno, non credo che la soluzione di accedere al computer con un altro sistema operativo e rimuovere il virus da li sia la soluzione più semplice per il normale utilizzatore di computer.
Posso dirti che anche il primo passo per iniziare ad utilizzare Linux per l'accesso come masterizzare il file iso della distribuzione a volte mette in crisi l'utente.
Sarebbe comunque bello sapere quale Distribuzione Linux/Strumenti ha utilizzato il tuo amico, giusto per fornire una possibile alternativa.
Se vuoi digli di rispondere a questo commento con una breve guida o di contattarmi così può contribuire a fornire strumenti per risolvere questo genere di problemi.

Un saluto

Marco Brenna

ne avevo sentito parlare da colleghi e poi è capitato anche a me sono riuscito a risolverlo riavviando in modalità provvisoria, ho scaricato "Malwarebyte" e ho fatto la scansione, riavviato il pc ed ho risolto il problema.

Ciao e complimenti, anche a me è successo per tre volte e grazie a "Malwarebytes" sono riuscito a debellarlo, volevo chiederti ma non si pruò fare neulla per prevenirlo? a fine scansione ho salvato questo:
File rilevati: 3
C:\Users\Lillo\AppData\Local\Temp\wgsdgsdgdsgsd.exe (Exploit.Drop.GS) -> Spostato in quarantena ed eliminato con successo.
C:\ProgramData\lsass.exe (Trojan.Delf) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Lillo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Spostato in quarantena ed eliminato con successo. distinti saluti

Ciao,
hai già un software antivirus installato sul computer che effettua controlli in tempo reale sui file?
Esistono sia soluzioni antivirus gratuite che a pagamento ma il mio consiglio, se non vuoi avere in continuazione problemi di questo tipo è di adottare almeno un antivirus gratuito con scansione in tempo reale.
Per quanto riguarda il problema che si ripresenta potrebbe essere causato da applicazioni installate, toolbar o simili che lasciano una "porta d'ingresso" aperta per il malware. Visto che Malwarebytes non le rileva possono essere presenti semplicemente in installazione applicazioni (primo caso), possono rientrare perchè visiti saltuariamente siti web infetti (secondo caso) oppure perchè la minaccia si nasconde molto bene ed è particolarmente aggressiva (terzo caso).

Il mio consiglio nel tuo caso quindi è il seguente:
- Installa gli aggiornamenti di Windows
- Installa un antivirus gratuito (se non ne hai già uno)
- Rimuovi toolbar e programmi non sicuri o che non utilizzi da installazione applicazioni
- Pulisci completamente i file temporanei di internet, i cookie e i temporanei di Windows (la rimozione dei temporanei di Windows è un po' più complessa, se non sai come si fa salta questa operazione).

In questo modo dovresti ridurre il rischio che il problema si ripresenti. Se nonostante questi accorgimenti il problema si ripresenterà, allora sarai incappato nel "terzo caso" di cui sopra, cioè una minaccia particolarmente aggressiva (a quel punto il consiglio resta quello di formattare il computer)

Spero di essere stato d'aiuto

Marco Brenna

Anche a me è capitato di aver beccato questo virus scaricando film e allora, disperato,ho seguito tutti i procedimenti consigliati anche dalla polizia postale o da altri utenti esperti di computer ma niente da fare. Ho scaricato allora in modalità provvisoria Combofix che prima non conoscevo ed è stato un toccasana per il mio pc perchè, a quanto pare, oltre a salvare il più SPACCIATO dei pc , ripara anche errori di sistema. ERGO quando vi capiterà di beccare il virus semplicemente spegnete il pc ( o almeno staccate spina e batteria, visto che il virus non permette lo spegnimento poichè l'intero schermo è occultato) e avviatelo in seguito in modalità provvisoria dopodiché scaricate Combofix, lo installate, lo avviate ed il gioco e fatto ( Impiega circa 10-15 minuti per scansione ed eliminazione di file sospetti)...anche EVITANDO TUTTI I PROCEDIMENTI CONSIGLIATI ( ci tengo a sottolinearlo). Per il resto è facile utilizzare Combofix, se ci sono riuscito io che non son affatto esperto di pc , ci può riuscire chiunque. Spero di esser stato utile.
P.S per quanto riguarda la web cam che parte da sola quando ci si becca il virus..vorrei sapere se l'immagine viene inviata a qualcuno. Se ne sapete di più vi prego di comunicarmelo. Buona giornata

Ciao e grazie per aver condiviso la tua esperienza.

Per quanto riguarda le immagini della webcam, viste le numerose versioni del virus esistenti, non è possibile dare una risposta precisa alla tua domanda: quello che può essere vero per una versione del virus può non esserlo per un'altra.

Come già specificato in un altro commento, se fossi l'ideatore del virus non mi metterei a salvare tutte le immagini provenienti dalle webcam in quanto ci sarebbe da gestire una consistente mole di dati e non avrei comunque motivi validi per farlo. L'obiettivo della webcam secondo il mio parere è solo quello di spaventare ma ovviamente questa è solo una opinione personale

Marco Brenna

Ciao a tutti, scrivo perchè anche io questo dannatissimo virus...volevo chiedere una mano dato che non sono molto pratico in fatto di PC...vi spiego
mentre navigavo con INTERNET EXPLORER ho preso il virus (circa un 2-3 settimane fa),ho spento il computer constatando che il problema non sapevo risolverlo. un mio amico m ha detto che in ogni caso potevo fare il RIPRISTINO DI CONFIGURAZIONE IN MODALITà PROVVISORIA...detto fatto...ho ripristinato in una data di poco precedente e il pc ha ricominciato a funzionare...tuttavia continuava ad essere aperta la finestra di INTERNET EXPL. con http://www_getwindowinfo/ nella barra degli indirizzi..dato che uso anche Firefox e Chrome non ho dato peso alla cosa e ho lasciato perdere il problema...ho notato comunque problemi per quel che riguarda la navigazione che non ho subito ricondotto al virus che avevo preso..
oggi mi sono deciso a cercare una soluzione a questa stupida finestra IE che compare sempre..ho fatto una scansione con Malwarebytes e ho provato un paio di volte a individuare il MALEDETTO BASTARDO..sia attraverso il PROMPT DEI COMANDI (ma ho trovato scritto nella SHELL " explorer.exe" che dovrebbe essere il testo giusto,no?) sia facendo una scansione con Avast..ho cercato anche in ESECUZIONE AUTOMATICA ma la cartella è vuota(e lo noterei subito se ci fosse perchè non ho altri programmi in questa folder)..
Anche adesso mentre scrivo c è la finestra di IE aperta..il mio portatile funziona bene,ma vorrei eliminare tutto quel che rimane del "virus" ...COSA DEVO FARE?? grazie

Ciao a tutti, scrivo perchè anche io questo dannatissimo virus...volevo chiedere una mano dato che non sono molto pratico in fatto di PC...vi spiego
mentre navigavo con INTERNET EXPLORER ho preso il virus (circa un 2-3 settimane fa),ho spento il computer constatando che il problema non sapevo risolverlo. un mio amico m ha detto che in ogni caso potevo fare il RIPRISTINO DI CONFIGURAZIONE IN MODALITà PROVVISORIA...detto fatto...ho ripristinato in una data di poco precedente e il pc ha ricominciato a funzionare...tuttavia continuava ad essere aperta la finestra di INTERNET EXPL. con http://www_getwindowinfo/ nella barra degli indirizzi..dato che uso anche Firefox e Chrome non ho dato peso alla cosa e ho lasciato perdere il problema...ho notato comunque problemi per quel che riguarda la navigazione che non ho subito ricondotto al virus che avevo preso..
oggi mi sono deciso a cercare una soluzione a questa stupida finestra IE che compare sempre..ho fatto una scansione con Malwarebytes e ho provato un paio di volte a individuare il MALEDETTO BASTARDO..sia attraverso il PROMPT DEI COMANDI (ma ho trovato scritto nella SHELL " explorer.exe" che dovrebbe essere il testo giusto,no?) sia facendo una scansione con Avast..ho cercato anche in ESECUZIONE AUTOMATICA ma la cartella è vuota(e lo noterei subito se ci fosse perchè non ho altri programmi in questa folder)..
Anche adesso mentre scrivo c è la finestra di IE aperta..il mio portatile funziona bene,ma vorrei eliminare tutto quel che rimane del "virus" ...COSA DEVO FARE?? grazie

Ciao, purtroppo per capire esattamente il tuo problema e rimuovere eventuali rimasugli lasciati dal virus dovrei indagare direttamente sul tuo pc.

Una attività (piuttosto rischiosa sotto un certo punto di vista ma che potrebbe rivelarsi utile) è paradossalmente quella di disattivare proprio il ripristino configurazione di sistema in quanto alcuni virus utilizzano il suddetto strumento per lasciare dei residui.

I passi che puoi seguire sono i seguenti:
1 - Fare assolutamente un backup su chiavetta o Hard disk esterno di tutti i file importanti del tuo computer.
2 - Disattivare il ripristino configurazione di sistema
3 - Aprire internet explorer e disattivare tutti i componenti aggiuntivi
4 - Sempre da internet explorer andare su strumenti -> opzioni internet e correggere la pagina iniziale impostandola su Google.
5 - Avviare ccleaner (Lo trovi qui gratuitamente http://www.piriform.com/ccleaner/download) ed effettuare la pulizia sia dei file (soprattutto le cartelle dei file temporanei) che del registro.
6 - Avviare a questo punto malwarebytes ed effettuare la scansione rapida (con l'utente con cui normalmente utilizzi il pc)
5 - Riavviare il computer in modalità provvisoria
6 - Effettuare nuovamente una scansione rapida con malwarebytes
7 - Riavviare il computer e vedere come si comporta

ATTENZIONE: Le operazioni indicate possono essere rischiose. Alcuni virus sono così invasivi che la loro rimozione potrebbe compromettere l'avvio del computer. Non mi assumo responsabilità nel caso in cui il tuo computer abbia problemi al termine delle operazioni indicate in quanto sono solo consigli per una possibile pulizia. Il backup descritto nel punto 1 è strettamente necessario nel tuo caso.

Come ultima nota, se le operazioni indicate sono per te troppo complicate oppure non portano a risultati concreti ti consiglio di formattare nel caso tu sia capace oppure di affidarti ad un tecnico che lo faccia per te.

Spero di essere stato d'aiuto

Marco Brenna

Io ho risolto il problema facendo un semplice ripristino del sistema al giorno prima

Se si naviga in modalità incognito il virus per qualche ragione non blocca il pc, infatti riavviando non appare la schermata come avete scritto voi, anche senza il riavvio mi faceva visitare siti internet e aprire applicazioni. Non ho fatto una foto ma sono stato testimone della versione più aggiornata in quanto citava la modifica del codice penale del 02/10/2013, il virus è stato reso anche più credibile anche se il metodo del pagamento è sempre lo stesso, metodo che è molto strano e perciò dovrebbe far venire quanto meno molti sospetti... la nuova versione ha anche molti "stemmi" e ovviamente "mette paura" come le precedente anche se ci sono errori di grammatica (ne ho individuati tre) che dovrebbero insospettire ulteriormente. Per essere sicuro al 100% probabilmente andrò dai carabinieri per farmi stare tranquillo del fatto che loro non c'entrano nulla e perciò non si deve pagare nulla e magari gli comunico della modalità incognito che se ha funzionato per questo virus potrebbe funzionare anche per altri, o forse non c'entra nulla e i pirati informatici hanno semplicemente modificato il virus in modo che non blocca il pc.

Ti ringrazio per il commento. Sicuramente quella che ti ha colpito è una versione successiva rispetto a quella descritta nell'articolo. Nella versione descritta, il computer veniva completamente bloccato subito all'avvio senza dover aprire il browser. Probabilmente nella tua versione, il punto di attivazione è in qualche componente aggiuntivo del browser.

Prova a fare questo tentativo:
- Apri la navigazione in incognito
- Vai nei menù e cerca la gestione dei componenti aggiuntivi, addon o plugin (la procedura esatta dipende da browser a browser).
- Cerca se chè qualche componente aggiuntivo col nome strano e disattivalo.
- Prova ad aprire il browser in modalità normale e vedi se ti ricompare la scritta.

Probabilmente, la data 2/10/2013 (quella della modifica del codice penale) è stata autogenerata dal virus rispetto a data e ora del tuo computer.

Fai bene a fare tutti i controlli del caso, comunque tieni conto che, per i reati descritti da questi virus, dubito che i carabinieri ti facciano sapere del fatto mostrandoti una schermata anonima sul tuo pc chiedendoti dei soldi. Fai in ogni caso bene a segnalare l'accaduto.

Spero di esser stato d'aiuto.

Marco Brenna

come alessandro che ha scritto sopra di me sono stato colpito il 17/10/2013
nella sua stessa maniera in modalita' anonima,ero andato a fare un giro su ..porn
e vuala' mi compare sta schemata che non riesco a togliere, becco un po' di paura ,stacco il modem internet,spengo il pc, e avvio avast che mi trova 4 file infetti che cancello subito, aspetto un ora mi ricollego per provare e sembra andare tutto............ciao

scusa io mi sono fatto attivare il computer in modalità provvisoria e volevo scaricare un antivirus per eliminarlo però ogni volta che provo a scaricare qualcosa mi dice che contiene un virus e me lo elimina,quindi se non posso scaricare antivirus per eliminarlo mi puoi dare qualche consiglio su come posso fare per sbarazzarmene,grazie

Ciao, prova a scaricare Malwarebytes da un altro computer; sempre da quel computer rinomina il file di installazione in qualcosa di diverso rispetto a mbam... scegli un nome diverso a piacere. Prova ad avviare a questo punto il computer infetto in modalità provvisoria e a caricare via chiavetta usb o via rete lan (modalità provvisoria con rete) il file di installazione rinominato e ad installare. Forse così lo freghiamo.
Se anche questo non basta ti conviene farti aiutare da un tecnico o da un amico informatico.

Spero di esser stato d'aiuto.

Marco Brenna

Ciao marco senti mi e apparsa la schermata della polizia penitenziaria e subito dopo si blocco il pc ,ho provato a riavviarlo ma non succede niente potresti aiutarmi

In questo caso devi provare ad avviare il computer in modalità provvisoria (nei commenti precedenti è spiegato come fare) e installare una versione di malwarebytes via chiavetta usb.
Se anche in modalità provvisoria il virus appare, l'unica possibilità rimasta è quella di sfruttare la professionalità di un tecnico.

Marco Brenna

aiuto devo scaricare qualcosa per eliminare il virus ma non mi fa scaricare niente perche me lo elimina cosa faccio ho windows 7

Pagine


Pubblicità
La pubblicità che segue proviene da un network esterno a questo sito e non posso controllarla direttamente. Essa potrebbe in ogni caso essere correlata ai contenuti dell'articolo

Fine Pubblicità

Scrivi un commento

Aggiungi un commento

To prevent automated spam submissions leave this field empty.

Plain text

  • Nessun tag HTML consentito.
  • Indirizzi web o e-mail vengono trasformati in link automaticamente
  • Linee e paragrafi vanno a capo automaticamente.
Copyright © 2014 Marco Brenna - marcobrenna.net - Tutti i diritti riservati.