Inviato da Marco Brenna il Gio, 12/01/2012 - 03:33
Immagine introduttiva malware finta polizia

 

Scenario paradossale quello che mi sono trovato davanti quando un mio amico disperato ha bussato alla mia porta e mi ha detto che il suo computer era stato bloccato dalla polizia Tedesca.

Ecco cosa è successo:
Il mio amico stava scaricando da internet dei filmati normalissimi (non film o materiale protetto da copyright sia ben chiaro!) quando gli è comparsa una schermata che diceva a grandilinee:

E' stato rilevato che hai scaricato del materiale illecito da internet quindi la polizia postale tedesca ha bloccato il tuo computer. Per poter continuare ad utilizzare il tuo computer devi pagare una multa di 100 euro tramite la seguente modalità (e veniva spiegato come effettuare il pagamento). Dopo aver pagato riceverete il codice da inserire in questo campo (e veniva mostrato un campo di testo) e potrete ricominciare ad utilizzare il vostro computer.

La schermata con sfondo bianco era molto ben fatta, in perfetto italiano e con i simboli ufficiali della polizia postale tedesca.
Mannaggia a me che non ho fatto una bella foto della schermata in quanto sarebbe stato molto costruttivo mostrarla; fatto sta che il mio amico, preso dal panico e notevolmente scosso ha subito spento e riacceso il computer. Dopo il riavvio schermata di accesso di windows e BAMMM ancora la stessa schermata bianca e senza la possibilità di poter fare niente.

Infatti non era presente la barra di windows e il taskmanager veniva chiuso automaticamente nonappena si cercava di aprirlo.

Il mio amico che non ha le competenze informatiche per combattere contro questa minaccia ma è una persona intelligente, si è insospettito in quanto veniva mostrata la polizia postale tedesca ma le scritte erano in italiano. Ha pensato di venirmi a trovare per essere sicuro che non ci fosse dietro qualche tentativo di truffa e infatti... ha fatto bene!

Non correte a pagare quindi la multa perchè anche dopo il pagamento non riavrete comunque indietro il vostro computer! Quello che sta dietro a tutta questa storia è un virus informatico che spera che voi, presi dal panico, corriate a dare qualche centinaio di euro al pirata informatico che l'ha creato.

Quindi se vi capita la stessa cosa del mio amico, seguite le seguenti istruzioni:

  1. Imprecate (non pesantemente, mi raccomando!) chiedendo perchè questa cosa è successa proprio a voi ma fate un grosso respiro e rilassatevi perchè, nononstante tutto, i vostri dati sono comunque salvi e al sicuro
  2. Portate il computer da una persona di fiducia che sia in grado di metter mano ai computer come si deve che sicuramente saprà come sistemare il problema
    Oppure
    Provate a sistemare il problema voi (strada più rischiosa)

Se avete scelto di provare a risolvervi il problema da soli vi spiego alcune dritte che sicuramente vi possono aiutare a distruggere il virus minaccioso. Provate a seguire i seguenti passi:

  1. Fate una foto con una macchina fotografica della schermata del virus (questo è un passo opzionale)
  2. Se avete un computer lento siete avvantaggiati. Infatti dovete cercare di aprire il task manager con la combinazione <ctrl><alt><canc> prima che il virus si attivi (premete la combinazione durante il processo di accensione subito dopo che è scomparsa la scritta "Windows" ed è comparso lo sfondo del computer).
  3. Quando si è aperto il task manager cercate in fretta e furia il processo "mahmud.exe" e terminatelo prima che possa prendere possesso del vostro computer e togliervi il controllo della situazione. Potete fare questo in quanto prima di attivare la funzione che chiude automaticamente il taskmanager, il virus è intento ad avviarsi ed è proprio in quel preciso momento che lo dovete colpire.
  4. Una volta terminato il processo del virus non avrete ancora visibile ne la barra dei menu ne il vostro Desktop con le icone. Sempre dal task manager andate quindi su: "File"->"Nuova Operazione(Esegui...)" e digitate nel campo di testo:
    explorer
    Cliccate su OK
    e a questo punto dovreste ritrovarvi con il vostro pc utilizzabile. Ma non abbiamo ancora finito, infatti al prossimo riavvio ci ritroveremmo con lo stesso problema.
  5. Fate quindi una bella scansione con un buon software anti-malware in modo che il virus venga trovato e rimosso (visto che non si sa mai quale software antimalware utilizzare in questi casi vi consiglio Malwarebytes)
  6. Riavviate il computer, incrociate le dita e sperate che il software antimalware abbia rimosso la minaccia per voi.
  7. Commentate su questa pagina dicendo: Eureka! Ho sconfitto il maledetto!
  8. Se avete fatto la foto del punto 1, inviatemela via e-mail all'indirizzo info[chiocciola]marcobrenna.net e la pubblicherò ringraziando l'autore dello scatto per far vedere anche agli altri utenti di internet in che razza di problema siete incappati

Aggiornamento: Nota se purtroppo avete effettuato il pagamento: Non tutto è ancora perduto!
Grazie alle informazioni aggiuntive fornite gentilmente da Antonia che ringrazio, anche se avete effettuato purtroppo il pagamento dei 100 Euro e avete inviato il codice della paysafecard nella schermata del virus c'è ancora una possibilità per riavere i vostri soldi!
Per una recente versione del virus (scrivo questo aggiornamento in data 21/02/2012) il versamento dei soldi non viene effettuato automaticamente appena inviate i dati nella pagina della polizia postale ma il virus si limita a fornire il codice della paysafecard a chi ha creato il virus stesso! Il cattivo andrà poi su siti internet in rete a spendere i vostri soldi utilizzando il vostro codice che gentilmente gli avete fornito.

Se sarete più veloci di lui a spendere i soldi oppure a caricare i soldi della paysafecard in un conto gioco di Lottomatica di vostra proprietà (utilizzate un computer sicuro, mi raccomando!), riavrete i vostri soldi prima che il creatore del virus possa spenderli!

Nota: Anche se dopo aver immesso un codice valido nel campo di testo della polizia postale, vi comparisse un messaggio d'errore, i dati purtroppo sono arrivati lo stesso al cattivo quindi correte a spendere i vostri 100€ dopo esservi accertati che ci sono ancora! Non dovete inoltre inviare nessun codice a nessuno degli indirizzi segnalati sulla schermata della polizia postale. Ritenete sempre qualunque informazione della schermata della polizia postale una truffa o delle informazioni create appositamente per ingannarvi oppure farvi perdere altro tempo dopo che avete fornito il codice all'attaccante.

Grazie ancora ad Antonia per queste importanti informazioni

Per le persone interessate al funzionamento di questo virus

Il virus si può prendere in vari modi: visitando una pagina web creata ad hoc, aprendo allegati di posta, ecc...
Una volta che l'avete preso questo virus, modifica il file di sistema che avvia il processo di windows "explorer.exe" (effettua un hijack) e si mette al suo posto.
Per capirci, il file explorer.exe (che non c'entra niente con Internet Explorer) è quello che carica la barra con il menù avvio, le icone del desktop e altre componenti del computer.
Il virus, sostituendosi ad explorer.exe, con una semplice mossa raggiunge 2 obiettivi: il primo è che carica se stesso all'avvio del computer, il secondo è che, non caricando explorer.exe, non vi permette di usare gli strumenti che vi permetterebbero di sconfiggerlo o di usare comunque il vostro computer!
Durante la scansione, il software antivirus verificando i file di sistema capisce che qualcosa in un file importante è cambiato e ripristina la situazione originale rimettendo explorer.exe all'avvio e ridandovi accesso al computer.
Una cosa molto interessante da notare di questo virus è che ci mostra il testo in italiano. L'autore del virus, ha quindi creato un sistema che riconosce la lingua del sistema operativo in uso dalla persona e mostra la traduzione del messaggio della polizia, esattamente nella lingua dell'utente. Probabilmente se aveste preso lo stesso virus ma con Windows in lingua Finlandese, il messaggio sarebbe stato in tale lingua.

Spero di avervi introdotto un caso interessante, di avervi fatto capire qualcosa in più di come funziona (molto a grandilinee) un virus e di avervi incuriosito.

Alla prossima!

Nota per chiarezza: è stato utilizzato il termine virus per semplicità anche se il termine corretto avrebbe dovuto essere malware. Questo perchè i virus sono ormai classificati tecnicamente come programmi che modificano file sicuri del computer riproducendosi e infettandone in quantità. Non era quindi questo il caso.

03/06/2012 Aggiornamento: Video di rimozione avanzata del virus

Se i metodi mostrati in precedenza non sono serviti a debellare il virus, i soli utilizzatori di computer avanzati che si sentono sicuri possono seguire un video e intuire come debellare il virus nel loro specifico caso.
Si tratta di modificare direttamente il registro di sistema avviando il prompt dei comandi all'avvio del computer. Se non avete capito niente di quanto ho detto nella frase precedente, è meglio che portiate il vostro computer da un tecnico in quanto le operazioni mostrate nel video toccano delle parti delicate del vostro computer. Se sbagliate qualcosa o toccate qualcosa che non deve essere toccato potreste compromettere definitivamente l'avvio del vostro computer.
Se invece sapete quello che fate e siete piuttosto esperti potete dare un occhio al video che ho pubblicato per Mary in fondo ai commenti e cercare di risolvere il vostro caso! Fatemi sapere se vi è tornato utile commentando!

01/1/2014 Aggiornamento: La schermata ora si presenta anche su pagine web

E' stato segnalato che la schermata ora si presenta anche come pagina web. Visitando specifici siti, soprattutto se pornografici, si aprirà una nuova scheda del vostro navigatore internet con la schermata della polizia, carabinieri, ecc... molto ben fatta, con foto del presidente Napolitano e richiamo a normative vigenti.

Non spaventatevi e non pagate!

E' una truffa, potrete tranquillamente chiudere internet premendo "ctrl-alt-canc" sulla tastiera e terminando dai processi attivi "iexplorer.exe" (notare la i all'inizio del nome, non terminare quello senza i) oppure firefox.exe oppure google-chrome.exe . Il browser si richiuderà e potrete ripartire dall'inizio. Di norma non ci saranno conseguenze per il computer anche se, come sicurezza aggiuntiva, vi consiglio comunque una scansione con il buon vecchio MalwareBytes.

14/06/2012 Aggiornamento:

Mi è giunta segnalazione da Sara, che esiste una variante di questo virus anche per telefoni cellulari. Purtroppo non ho ancora avuto modo di testare il virus su dispositivi mobili per trovare una possibile modalità di rimozione. In attesa di trovare una possibile soluzione al problema il consiglio è sempre lo stesso: se vi vengono chiesti dei soldi, informazioni sulla carta di credito o informazioni personali, con una modalità simile a quella descritta nell'articolo, anche su telefoni cellulari, non pagate!

Commenti

Jes

Salve poco fa ero collegata su internet con il mio tablet quando a un tratto si è aperta una pagina della polizia l ho chiusa subito e anke internet e dopo quando mi sono collegata il tablet mi va benissimo ..devo preoccuparmi di un virus?

k786

grazie mille
io praticamente ero su un sito particolare e mi viene un messaggio che diceva che ho fatto dei download particolari da sito youp*** e se nn paghero la multa di 100 euro il mio computer sara bloccato. io ero preso dal panico perche:
1)sn minorenne (16 anni)
2) nn ho cento euro
3) nn ho soldi poi per comprarmi un nuovo computer
pero poi sn subito andato a cercare cosa era questo avviso e se era la polizia italiana perche cera il simbolo della NATO???????
pero grazie a questo sito sn tranquillo
GRAZIEEEEE

jack

é successo anche a me....e mi sono spaventato molto ma dopo aver chiuso le schede e grazie a una scansione antivirus con "malwareby anti-malware" tutto si é sistemato...e ora "sembra" tutto a posto

Federico caputo

io il virus l'ho preso 3/4 minuti fa o uso il cell (s3) e ora sto navigando con bhe quello privato ee grazi x l'aiuto spero ee ne vada grazie ...

Anonimo

hahahaha

ssb

Mi è successa questa cosa con il cellulare! Credi siano truffatori lo stesso?? Ho l'ansia.. Non so piu che fare

Marco Brenna

In risposta a di ssb

Ciao ssb,

il virus compare ormai su semplici pagine web, quindi purtroppo la pagina della polizia postale può comparire tranquillamente anche su smartphone e tablet.

Per quanto riguarda questi dispositivi potrebbe essere presente sul tuo tablet o cellulare una app o dei file che propongono l'infezione oppure, molto più probabilmente, è una pagina che ti è stata mostrata durante la normale navigazione e con un riavvio del dispositivo tutto si risolve.

Esistono degli antimalware per dispositivi mobili che permettono di fare scansioni contro app e file nocivi, basta una ricerca negli store e una scansione.

Quello che ti posso dire è che a tutti gli effetti sembra proprio una truffa.
Se ti hanno chiesto il codice fastpay o altri metodi di pagamento per sbloccare il dispositivo posso dirti che si tratta certamente della truffa.

Marco Brenna

ssb

A me è successo cosi con il cellulare... É la stessa cosa? Ho spento e riavviato il cellualare e poi tutto normale... Credi che sia la stessa cosa??

marco

cm rimuovere il virus arma dei carabinieri da un galaxy s4 vi prego aiutatemiiiiiii

Marco A.

Ciao, ieri pomeriggio (27 agosto) ho avuto un'infezione da parte di una versione di questo virus su entrambi i computer della mia lan casalinga. I sintomi sono che quando si tenta di navigare il browser (ad esempio dopo aver fatto una ricerca su google) inizialmente apre la pagina richiesta ma nel giro di pochi istanti si viene reindirizzati ad una pagina dove vengono chieste i soliti 100 euro a fronte degli ipotetici reati che avremmo commesso. Il browser risulta parzialmente bloccato perchè se si cerca di chiudere la scheda o il programma non ci si riesce (ovvero ci si riesce solo forzandone la chiusura dal task manager). Essendo un utilizzatore del browser Chrome sono riuscito a terminare la pagina anche dal task manager interno, ma il problema si è ripresentato subito dopo.
A questo punto ho provato ad intervenire un po' più efficacemente e, facendo qualche ricerca su google ho operato come segue:
1) Ho scaricato CCleaner e Malwarebytes su una penna Usb (ho dovuto farlo da uno dei due pc infetti!!! :( )
2) Ho riavviato in modalità provvisoria con prompt
3) ho messo la chiavetta e tramite il task manager ho installato entrambi i programmi
4) ho fatto pulizia dei file, analizzato e riparato il registro nonchè disattivato tutti programmi all'avvio con ccleaner
5) ho lanciato una scansione con Malwarebytes: qui la cosa si fa un po' singolare, nel senso che essendo la versione scaricata non aggiornatissima, non mi ha rilevato nessuna minaccia, cosa che invece aveva rilevato qualche minuto prima quando, dopo aver aggiornato il db, avevo lanciato la scansione in una sessione aperta normalmente (non in provvisoria).
6) Riavviato il Pc e disattivato il ripristino della configurazione di sistema; individuata la cartella dei file temporanei e ranzato via tutto.
7) ulteriore giro di Ccleaner (Pulizia files e registro);
8) ulteriore giro di Malware Bytes (in questa fase ho effettuato prima l'aggiornamento del db). A seguito di questa scansione sono stati rilevati alcuni Pup (un downloader l'ho messo in quarantena, le altre minacce per il momento non le ho considerate importanti (ovvero riguardano due pup e cioè windowsprotectmanager e SupDip e SupTab). Non le sto considerando importanti ma spero di non sbagliarmi. In ogni caso in pannello di controllo/installa applicazioni non c'è traccia di questi due programmi.
9)riavviato e riattivato con Ccleaner alcune voci dei programmi all'avvio (non tutte!!)

Per ora funziona bene e non c'è più segno del problema. Mi chiedo però due cose: 1) io ho messo in quarantena una sola delle minacce rilevate da Malwarebytes....sarà stata quella giusta? 2) la mia povera chiavetta usb si sarà infettata?
Ora provo a riattivare il ripristino della configurazione e a fare una scansione con l'antivirus....che il dio dell'informatica me la mandi buona!!
In caso che non ci siano positivi dall'antivirus (Avg2012free) e da Malwarebytes secondo te sono a posto?
Posso provare a riattivare tutti i programmi all'avvio oppure no?

karmen

e succeso pure a me.... il pc va bene... ma ho 2 telefonine samsung s3 e s4 e non mi lascia navigare con la stesa wifi sul facebook ..google.. ma il whatsup functiona... come posso fare ???
se mi conetto con le date mobile tutto va benissimo...se attivo wi fi niente..che palle!

Gianni

ma per quale motivo un antivirus, ovviamente aggiornato, non riesce a bloccare l'infezione?

Marco Brenna

In risposta a di Gianni

Ciao Gianni,

questo può dipendere da diversi fattori, cerco di farti alcuni esempi di possibili motivi:
- Se la tipologia del virus è una semplice pagina web che non vuole far chiudere il browser, può darsi che l'indirizzo della pagina web stessa non sia stato ancora aggiunto tra i siti da bloccare nel tuo software antivirus.
- Alcuni virus/malware/exploit/ecc... vengono rilasciati ancor prima che esista una cura e i produttori di antivirus e il produttore del sistema operativo devono affrettarsi per correre ai ripari... non è detto che l'utente riceva l'aggiornamento in tempo.
- Alcune versioni gratuite di antivirus non si curano di rimuovere i malware fintanto che non si acquista una versione a pagamento del software.
- L'antivirus spesso non basta se non si installano anche gli aggiornamenti del sistema operativo (aggiornamenti di sicurezza di windows, di Mac OS X o Linux).

Questi sono alcuni dei motivi ma ce ne possono essere anche altri. Dotarsi di una buona protezione, meglio se a pagamento da aziende leader nel settore degli antivirus, è sempre e comunque buona norma. E' importantissimo allo stesso modo installare gli aggiornamenti di protezione dei sistemi operativi.

Un saluto

Marco Brenna

sara

Grazie mille Marco per l'interessamento al mio problema...
Ma quindi adesso cosa dovrei fare? Portare il cellulare in un centro assistenza?

Marco Brenna

In risposta a di sara

visto che ormai i cellulari sono dei piccoli computer, i casi di possibile soluzione sono 2:
1 - hai la possibilità di installare una app antimalware per il tuo cellulare, fai una scansione e riesci a risolvere il problema (attualmente non saprei quale antimalware consigliarti)
oppure
2 - Hai modo di salvare i tuoi dati e riportare il telefono alle impostazioni di fabbrica (un po' come formattare un computer).

In entrambi i casi, se non ti senti in grado di risolvere da sola la problematica, ti conviene portare il cellulare da un tecnico di fiducia oppure in un centro assistenza per evitare perdite di dati e foto.

Un saluto,

Marco

Ciao Marco
Alla fine ho risolto il problema...
controllando nelle applicazioni del cellulare ne ho trovata una che non avevo mai visto nè installato. Così l'ho disinstallata e il problema non si è più verificato :).
Volevo dirti grazie 1000 per tutto e per il tuo interesse al mio problema! Sei un grande Marco!!!!
Un grossissimo saluto, Sara.

Sara

Ciao Marco
avrei un piccolo problemino, spero che tu possa aiutarmi... Oggi ero in internet con il mio cellulare e ad un certo punto mi si è bloccato. Usciva una schermata tutta bianca e con un messaggio rosso che diceva: ATTENZIONE! Il suo telefono è stato bloccato per motivi di sicurezza per le seguenti ragioni. tutte le azioni fatte su questo telefono sono state registrate. tutti i vostri file sono stati criptati.. Dopo questa scritta rossa c' erano una serie di motivazioni e cose che io avrei fatto illegali, ma nn è vero.. Ho avuto paura perchè il messaggio tirava in mezzo la commissione e le punizioni da pagare, per es. dai 3 ai 7 anni... Poi rileggendo ho trovato degli errorri grammaticali che la commissione non farebbe! Così ho deciso di andare con il computer a cercare informazioni e ho trovato questo magnifico sito che mi ha tranquillizzata.... l'unico problema è che con il cellulare non so come far andare via questa pagina di m***a. Ho tentato ogni cosa ma invano.. Ti prego aiutami tu Marco
p.s. spero che mi aiuterai a risolvere il problema;)

Marco Brenna

In risposta a di Sara

Ciao Sara,
purtroppo non ho ancora avuto modo di metter mano alla variante del virus per telefoni cellulari, attualmente non posso essere d'aiuto.

Ti ringrazio comunque per il commento. Ho provveduto ad aggiornare l'articolo per render nota la presenza di una variante del virus per telefoni cellulari agli altri utenti che visiteranno questa pagina.

Sperando di poter dare una mano al più presto anche per questa particolare situazione ti mando i miei saluti.

Marco Brenna

Ald

ciao! l'ultimo aggiornamento mi ha fatto tirare un sospiro di sollievo che penso che si sarà sentito fino in Cina! mi si è aperta una finestra su Chrome di questa simpatica paginetta con Napolitano bello incavolato come non mai ( ahaha ) a me è bastato forzare la pagina e tornare alla pagina dietro a quella della pagina incriminata e chiudere chrome... che si fa in questi casi? anche perché gli effetti collaterali del virus originale non li ho riscontrati nel pc( tipo task manager va senza problemi e posso navigare senza problemi). dici che lascio stare o faccio fare pulizia con malwarebytes( cosa che sto facendo proprio ora mentre ti scrivo.. :D ). ciao e Grazie per il disturbo! :)

Carlo

A me mi e apparsa mentre ero sui siti porno ho spento immediatamente il pc e il modem dato che non riuscivo a chiudere il broswer riacceso il pc ho fatto una pulizia con cleaner il mio antivirus completo bit defender non ha trovato nessun virus adesso sto usando tranquillamente il pc senza nessuna anomalia. Quindi posso stare tranquillo?

Pinco Pallino

Ciao questo virus è comparso sul mio pc l'altro giorno, ho fatto il ripristino e la schermata è tornata come prima. Premesso che non sono ferrata in materia, cosa dovrei fare adesso?Il virus è ancora presente? Grazie

Cozzolino

È capitato di ricevere la comparsa della falsa pagina della polizia, con logo e foto di Napolitano a fianco sulla destra e sotto in un rettangolo una serie di scritte. Subito ho spento il PC poi riacceso cancellato il browser e poi reinstallato e fatto scansione come Microsoft security che non ha rivelato tracce di virus. Il giorno dopo installato Malwarebytes, ulteriore scansione e nulla su quel virus se di virus si tratta.

Marco Brenna

In risposta a di Cozzolino

Ciao, ti è capitato mentre navigavi su internet e la pagina ti è comparsa all'interno del tuo browser (dentro a Internet Explorer oppure a Firefox per intenderci)?
Se si, potresti non aver avuto installazioni di malware o altro software nocivo ma potrebbero aver cercato di farti pagare al momento senza altre conseguenze per il tuo pc.

E' solo una ipotesi ma, se la scansione non rileva malware, potrebbe essere il tuo caso!

Marco Brenna

fai come me mister :3
A me è bastato solo chiudere la finestra (quella vicino al menu START) e poi cancellare dalla cronologia il virus.
Se ti succede un'altra volta, fai come me!

From: Quaggy

giuseppe

ho pagato la multa di 100€ scrivendo il mio pin postale di conto corrente sul pc,
devo cambiare il mio pin per paura che questi criminali possano prosciugarmi il conto.

Marco Brenna

In risposta a di giuseppe

Ciao Giuseppe, scusa il ritardo nella risposta ma ero fuori per lavoro. Forse avrai già provveduto a farlo ma il consiglio può tornare utile anche ad altri; in questi casi conviene subito cambiare il pin o bloccare la carta. In caso di prepagate monouso o di fastpay, conviene trasferire il contante su un altro conto.
Ci possono essere procedure automatiche che all'immissione dei dati da parte dell'utente procedono con il prelievo ma, altri visitatori, hanno riscontrato un ritardo dal momento in cui il malintenzionato effettua i prelievi. Questo è il segno che spesso le operazioni di utilizzo delle carte sono fatte manualmente in punti di acquisto.

Se sei fortunato e adotti subito le necessarie contromisure, potresti anche fare in modo di uscirne indenne.

Marco Brenna

giuseppe

ho pagato i 100 euro scrivendo il mio pin ora che succede visto che i criminali lo conoscono

alessandro

basta non spengere il comp. cliccare su: rimani nella pagina, ridurre ad icona ed avviare CClean, ci pensa lui a toglierlo, vi dirà che ci sono pagine internet aperte e che le deve chiudere, dite si e dopo vi dirà che deve forzare la chiusura gli dite ancora si e il gioco è fatto. all'inizio è solo una pagina ridondante ma spengendo il comp. windows salverà le impostazioni e l'exe truffaldino fara il suo compito all'accensione dopo.

hacker-world

ragazzi basta avviare in modalita' provvisoria il file si nasconde nella cartella
ESECUZIONE AUTOMATICA attenzione in modalita' provvisoria il file non viene avviato cosi potete segnarvi il nome per poi eliminarlo e cmq non si tratta di un worm ma di un rootkit che significa che si ricrea quindi eliminarlo dalla cartella esecuzione automatica poi avviate una ricerca con parola chiave il nome che vi siete segnato del virus eliminate tutte le copie nascoste e riavviate . non avrete piu' problemi dopo l'avvio consigliata una scansione antivirus

roberto

ciao stamattina mentre visionavo dei filmati su youtube, vabbeh su you....qualcos'altro sono incappato nel virus del quale state parlando, all'atto di chiudere la schermata che stavo guardando mi sono ritrovato con raccapriccio una bella schermata piena di stemmi della Polizia di Stato, Dei Carabinieri ed una bella foto del Presidente Napolitano che sembrava fissarmi con rimprovero ed anche una pubblicità di un antivirus (BIT qualche cosa). l'avviso mi avvertiva che il mio computer personale era stato bloccato perché ero sospettato di azioni di pirateria informatica ecc. Preso dal panico ho letteralmente spento il pc ed al riavvio tutto funzionava perfettamente. Per scrupolo ho cancellato tutto ciò che era nella cartella dei coockies temporanei e ho fatto partire una scansione del nod che alla fine non ha trovato nulla. dici che posso stare tranquillo sulla salute del mio pc?

Ciao Roberto, altri utenti hanno segnalato questo tipo di comportamento. Mentre vai su alcuni siti, viene aperta automaticamente un'altra pagina web, impossibile da chiudere, con informazioni simili al virus della polizia postale discusso nel mio articolo.

A livello logico, la pagina web ha più l'obiettivo di spillare soldi con la truffa che l'installazione di virus sul pc locale sfruttando vulnerabilità, anche perchè l'allerta da parte di sistemi antivirus della presenza di possibili attacchi potrebbe rovinare la messa in scena.

Ciò non toglie che una possibile probabilità potrebbe comunque esserci, quindi ti consiglio lo stesso una scansione con Malwarebytes che non fa mai male.

Spero di essere stato d'aiuto.

Marco Brenna

Ciao Marco, grazie per l'aiuto. Volevo sapere ancora una cosa: io sul pc ho installato l'antivirus nod, se scarico malwarebytes non è che i due programmi si contrastano a vicenda? come devo procedere?

Marco Brenna

In risposta a di roberto

Ciao, mentre Nod32 effettua la scansione in tempo reale, la versione di Malwarebytes gratuita effettua la scansione solo "a richiesta". Questo significa che potrai tranquillamente tenerli installati entrambi.
Durante la scansione con Malwarebytes ti consiglio di interrompere temporaneamente la scansione in tempo reale di nod32.
Al contrario, nessun problema quando effettui le scansioni con nod32.

Un saluto

Marco Brenna

Sergio Colavecchi

aiuto devo scaricare qualcosa per eliminare il virus ma non mi fa scaricare niente perche me lo elimina cosa faccio ho windows 7

Marco Brenna

In risposta a di Sergio Colavecchi

Purtroppo in questo caso il mio consiglio è di portare il pc da un tecnico in quanto la versione che hai preso è probabilmente troppo aggressiva. Il tecnico, se professionale, curerà senza problemi anche tutta la parte di salvataggio dati personali dall'hard disk che con tutta probabilità non sono stati compromessi.

Marco Brenna

peppe

Ciao marco senti mi e apparsa la schermata della polizia penitenziaria e subito dopo si blocco il pc ,ho provato a riavviarlo ma non succede niente potresti aiutarmi

Marco Brenna

In risposta a di peppe

In questo caso devi provare ad avviare il computer in modalità provvisoria (nei commenti precedenti è spiegato come fare) e installare una versione di malwarebytes via chiavetta usb.
Se anche in modalità provvisoria il virus appare, l'unica possibilità rimasta è quella di sfruttare la professionalità di un tecnico.

Marco Brenna

Sergio

scusa io mi sono fatto attivare il computer in modalità provvisoria e volevo scaricare un antivirus per eliminarlo però ogni volta che provo a scaricare qualcosa mi dice che contiene un virus e me lo elimina,quindi se non posso scaricare antivirus per eliminarlo mi puoi dare qualche consiglio su come posso fare per sbarazzarmene,grazie

Marco Brenna

In risposta a di Sergio

Ciao, prova a scaricare Malwarebytes da un altro computer; sempre da quel computer rinomina il file di installazione in qualcosa di diverso rispetto a mbam... scegli un nome diverso a piacere. Prova ad avviare a questo punto il computer infetto in modalità provvisoria e a caricare via chiavetta usb o via rete lan (modalità provvisoria con rete) il file di installazione rinominato e ad installare. Forse così lo freghiamo.
Se anche questo non basta ti conviene farti aiutare da un tecnico o da un amico informatico.

Spero di esser stato d'aiuto.

Marco Brenna

fabio

come alessandro che ha scritto sopra di me sono stato colpito il 17/10/2013
nella sua stessa maniera in modalita' anonima,ero andato a fare un giro su ..porn
e vuala' mi compare sta schemata che non riesco a togliere, becco un po' di paura ,stacco il modem internet,spengo il pc, e avvio avast che mi trova 4 file infetti che cancello subito, aspetto un ora mi ricollego per provare e sembra andare tutto............ciao

Stefano

Ciao a tutti... ho preso il virus nuovo del 2 ottobre con Napolitano e interpol carabinieri ecc. Ecc. Ho sconfitto il testa di ca***, (Windows 7 64 bit) facendo ctrl+alt+canc riavvia, premendo subito all'inizio f2, diagnostica della memoria, entri in modalità provvisoria, però ho comprato gdata2014 che è compatibile anche con android (non si sa mai in questi tempi di figli di tr*** che ti fanno perdere tempo) poi ho inserito il nuovo antivirus e ho riavviato di nuovo, fate la scansione in tutte le cartelle e file, i file cambiano perché sono tutti hacker esteri, e anche italiani, nel mio caso è un virus estero, e potrei risalire anche a chi è stato, ma non sono pagato per questo!! Quando avete fatto la scansione potrete disinfettare quelli infetti, poi togliete il cd e riavviate di nuovo, entrate in Windows e installate il nuovo antivirus, io consiglio gdata perché ha 2 motori di ricerca e il 2014 è ancora più veloce ed è efficace al 200 x 100!!! Garantito al limone, gdata è un prodotto tedesco e quindi, chi c'è meglio di loro?? Quando avrete inserito la vostra your registration number fate subito l'aggiornamento con i motori di ricerca A e B e sarete a cavallo per 1 anno!! Marco come ho spiegato di seguito i tuoi aiuti sono fondati per sistemi operativi passati, e la descrizione dei virus cambia non sono tutti uguali e cambia... si evolvono anche loro!! Però fai bene ad aiutare gente che di coputer sanno solo come è esteticamente e non informaticamente!!! Spero di avervi dato una dritta... ciao a tutti e mettete gdata2014! !!

Alessandro

Se si naviga in modalità incognito il virus per qualche ragione non blocca il pc, infatti riavviando non appare la schermata come avete scritto voi, anche senza il riavvio mi faceva visitare siti internet e aprire applicazioni. Non ho fatto una foto ma sono stato testimone della versione più aggiornata in quanto citava la modifica del codice penale del 02/10/2013, il virus è stato reso anche più credibile anche se il metodo del pagamento è sempre lo stesso, metodo che è molto strano e perciò dovrebbe far venire quanto meno molti sospetti... la nuova versione ha anche molti "stemmi" e ovviamente "mette paura" come le precedente anche se ci sono errori di grammatica (ne ho individuati tre) che dovrebbero insospettire ulteriormente. Per essere sicuro al 100% probabilmente andrò dai carabinieri per farmi stare tranquillo del fatto che loro non c'entrano nulla e perciò non si deve pagare nulla e magari gli comunico della modalità incognito che se ha funzionato per questo virus potrebbe funzionare anche per altri, o forse non c'entra nulla e i pirati informatici hanno semplicemente modificato il virus in modo che non blocca il pc.

Ti ringrazio per il commento. Sicuramente quella che ti ha colpito è una versione successiva rispetto a quella descritta nell'articolo. Nella versione descritta, il computer veniva completamente bloccato subito all'avvio senza dover aprire il browser. Probabilmente nella tua versione, il punto di attivazione è in qualche componente aggiuntivo del browser.

Prova a fare questo tentativo:
- Apri la navigazione in incognito
- Vai nei menù e cerca la gestione dei componenti aggiuntivi, addon o plugin (la procedura esatta dipende da browser a browser).
- Cerca se chè qualche componente aggiuntivo col nome strano e disattivalo.
- Prova ad aprire il browser in modalità normale e vedi se ti ricompare la scritta.

Probabilmente, la data 2/10/2013 (quella della modifica del codice penale) è stata autogenerata dal virus rispetto a data e ora del tuo computer.

Fai bene a fare tutti i controlli del caso, comunque tieni conto che, per i reati descritti da questi virus, dubito che i carabinieri ti facciano sapere del fatto mostrandoti una schermata anonima sul tuo pc chiedendoti dei soldi. Fai in ogni caso bene a segnalare l'accaduto.

Spero di esser stato d'aiuto.

Marco Brenna

giorgio46

Io ho risolto il problema facendo un semplice ripristino del sistema al giorno prima

Silver

Ciao a tutti, scrivo perchè anche io questo dannatissimo virus...volevo chiedere una mano dato che non sono molto pratico in fatto di PC...vi spiego
mentre navigavo con INTERNET EXPLORER ho preso il virus (circa un 2-3 settimane fa),ho spento il computer constatando che il problema non sapevo risolverlo. un mio amico m ha detto che in ogni caso potevo fare il RIPRISTINO DI CONFIGURAZIONE IN MODALITà PROVVISORIA...detto fatto...ho ripristinato in una data di poco precedente e il pc ha ricominciato a funzionare...tuttavia continuava ad essere aperta la finestra di INTERNET EXPL. con http://www_getwindowinfo/ nella barra degli indirizzi..dato che uso anche Firefox e Chrome non ho dato peso alla cosa e ho lasciato perdere il problema...ho notato comunque problemi per quel che riguarda la navigazione che non ho subito ricondotto al virus che avevo preso..
oggi mi sono deciso a cercare una soluzione a questa stupida finestra IE che compare sempre..ho fatto una scansione con Malwarebytes e ho provato un paio di volte a individuare il MALEDETTO BASTARDO..sia attraverso il PROMPT DEI COMANDI (ma ho trovato scritto nella SHELL " explorer.exe" che dovrebbe essere il testo giusto,no?) sia facendo una scansione con Avast..ho cercato anche in ESECUZIONE AUTOMATICA ma la cartella è vuota(e lo noterei subito se ci fosse perchè non ho altri programmi in questa folder)..
Anche adesso mentre scrivo c è la finestra di IE aperta..il mio portatile funziona bene,ma vorrei eliminare tutto quel che rimane del "virus" ...COSA DEVO FARE?? grazie

Marco Brenna

In risposta a di Silver

Ciao, purtroppo per capire esattamente il tuo problema e rimuovere eventuali rimasugli lasciati dal virus dovrei indagare direttamente sul tuo pc.

Una attività (piuttosto rischiosa sotto un certo punto di vista ma che potrebbe rivelarsi utile) è paradossalmente quella di disattivare proprio il ripristino configurazione di sistema in quanto alcuni virus utilizzano il suddetto strumento per lasciare dei residui.

I passi che puoi seguire sono i seguenti:
1 - Fare assolutamente un backup su chiavetta o Hard disk esterno di tutti i file importanti del tuo computer.
2 - Disattivare il ripristino configurazione di sistema
3 - Aprire internet explorer e disattivare tutti i componenti aggiuntivi
4 - Sempre da internet explorer andare su strumenti -> opzioni internet e correggere la pagina iniziale impostandola su Google.
5 - Avviare ccleaner (Lo trovi qui gratuitamente http://www.piriform.com/ccleaner/download) ed effettuare la pulizia sia dei file (soprattutto le cartelle dei file temporanei) che del registro.
6 - Avviare a questo punto malwarebytes ed effettuare la scansione rapida (con l'utente con cui normalmente utilizzi il pc)
5 - Riavviare il computer in modalità provvisoria
6 - Effettuare nuovamente una scansione rapida con malwarebytes
7 - Riavviare il computer e vedere come si comporta

ATTENZIONE: Le operazioni indicate possono essere rischiose. Alcuni virus sono così invasivi che la loro rimozione potrebbe compromettere l'avvio del computer. Non mi assumo responsabilità nel caso in cui il tuo computer abbia problemi al termine delle operazioni indicate in quanto sono solo consigli per una possibile pulizia. Il backup descritto nel punto 1 è strettamente necessario nel tuo caso.

Come ultima nota, se le operazioni indicate sono per te troppo complicate oppure non portano a risultati concreti ti consiglio di formattare nel caso tu sia capace oppure di affidarti ad un tecnico che lo faccia per te.

Spero di essere stato d'aiuto

Marco Brenna

Silver

Ciao a tutti, scrivo perchè anche io questo dannatissimo virus...volevo chiedere una mano dato che non sono molto pratico in fatto di PC...vi spiego
mentre navigavo con INTERNET EXPLORER ho preso il virus (circa un 2-3 settimane fa),ho spento il computer constatando che il problema non sapevo risolverlo. un mio amico m ha detto che in ogni caso potevo fare il RIPRISTINO DI CONFIGURAZIONE IN MODALITà PROVVISORIA...detto fatto...ho ripristinato in una data di poco precedente e il pc ha ricominciato a funzionare...tuttavia continuava ad essere aperta la finestra di INTERNET EXPL. con http://www_getwindowinfo/ nella barra degli indirizzi..dato che uso anche Firefox e Chrome non ho dato peso alla cosa e ho lasciato perdere il problema...ho notato comunque problemi per quel che riguarda la navigazione che non ho subito ricondotto al virus che avevo preso..
oggi mi sono deciso a cercare una soluzione a questa stupida finestra IE che compare sempre..ho fatto una scansione con Malwarebytes e ho provato un paio di volte a individuare il MALEDETTO BASTARDO..sia attraverso il PROMPT DEI COMANDI (ma ho trovato scritto nella SHELL " explorer.exe" che dovrebbe essere il testo giusto,no?) sia facendo una scansione con Avast..ho cercato anche in ESECUZIONE AUTOMATICA ma la cartella è vuota(e lo noterei subito se ci fosse perchè non ho altri programmi in questa folder)..
Anche adesso mentre scrivo c è la finestra di IE aperta..il mio portatile funziona bene,ma vorrei eliminare tutto quel che rimane del "virus" ...COSA DEVO FARE?? grazie

Giuseppe

Anche a me è capitato di aver beccato questo virus scaricando film e allora, disperato,ho seguito tutti i procedimenti consigliati anche dalla polizia postale o da altri utenti esperti di computer ma niente da fare. Ho scaricato allora in modalità provvisoria Combofix che prima non conoscevo ed è stato un toccasana per il mio pc perchè, a quanto pare, oltre a salvare il più SPACCIATO dei pc , ripara anche errori di sistema. ERGO quando vi capiterà di beccare il virus semplicemente spegnete il pc ( o almeno staccate spina e batteria, visto che il virus non permette lo spegnimento poichè l'intero schermo è occultato) e avviatelo in seguito in modalità provvisoria dopodiché scaricate Combofix, lo installate, lo avviate ed il gioco e fatto ( Impiega circa 10-15 minuti per scansione ed eliminazione di file sospetti)...anche EVITANDO TUTTI I PROCEDIMENTI CONSIGLIATI ( ci tengo a sottolinearlo). Per il resto è facile utilizzare Combofix, se ci sono riuscito io che non son affatto esperto di pc , ci può riuscire chiunque. Spero di esser stato utile.
P.S per quanto riguarda la web cam che parte da sola quando ci si becca il virus..vorrei sapere se l'immagine viene inviata a qualcuno. Se ne sapete di più vi prego di comunicarmelo. Buona giornata

Marco Brenna

In risposta a di Giuseppe

Ciao e grazie per aver condiviso la tua esperienza.

Per quanto riguarda le immagini della webcam, viste le numerose versioni del virus esistenti, non è possibile dare una risposta precisa alla tua domanda: quello che può essere vero per una versione del virus può non esserlo per un'altra.

Come già specificato in un altro commento, se fossi l'ideatore del virus non mi metterei a salvare tutte le immagini provenienti dalle webcam in quanto ci sarebbe da gestire una consistente mole di dati e non avrei comunque motivi validi per farlo. L'obiettivo della webcam secondo il mio parere è solo quello di spaventare ma ovviamente questa è solo una opinione personale

Marco Brenna

Natalino

Ciao e complimenti, anche a me è successo per tre volte e grazie a "Malwarebytes" sono riuscito a debellarlo, volevo chiederti ma non si pruò fare neulla per prevenirlo? a fine scansione ho salvato questo:
File rilevati: 3
C:\Users\Lillo\AppData\Local\Temp\wgsdgsdgdsgsd.exe (Exploit.Drop.GS) -> Spostato in quarantena ed eliminato con successo.
C:\ProgramData\lsass.exe (Trojan.Delf) -> Spostato in quarantena ed eliminato con successo.
C:\Users\Lillo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Spostato in quarantena ed eliminato con successo. distinti saluti

Marco Brenna

In risposta a di Natalino

Ciao,
hai già un software antivirus installato sul computer che effettua controlli in tempo reale sui file?
Esistono sia soluzioni antivirus gratuite che a pagamento ma il mio consiglio, se non vuoi avere in continuazione problemi di questo tipo è di adottare almeno un antivirus gratuito con scansione in tempo reale.
Per quanto riguarda il problema che si ripresenta potrebbe essere causato da applicazioni installate, toolbar o simili che lasciano una "porta d'ingresso" aperta per il malware. Visto che Malwarebytes non le rileva possono essere presenti semplicemente in installazione applicazioni (primo caso), possono rientrare perchè visiti saltuariamente siti web infetti (secondo caso) oppure perchè la minaccia si nasconde molto bene ed è particolarmente aggressiva (terzo caso).

Il mio consiglio nel tuo caso quindi è il seguente:
- Installa gli aggiornamenti di Windows
- Installa un antivirus gratuito (se non ne hai già uno)
- Rimuovi toolbar e programmi non sicuri o che non utilizzi da installazione applicazioni
- Pulisci completamente i file temporanei di internet, i cookie e i temporanei di Windows (la rimozione dei temporanei di Windows è un po' più complessa, se non sai come si fa salta questa operazione).

In questo modo dovresti ridurre il rischio che il problema si ripresenti. Se nonostante questi accorgimenti il problema si ripresenterà, allora sarai incappato nel "terzo caso" di cui sopra, cioè una minaccia particolarmente aggressiva (a quel punto il consiglio resta quello di formattare il computer)

Spero di essere stato d'aiuto

Marco Brenna

Natalino

ne avevo sentito parlare da colleghi e poi è capitato anche a me sono riuscito a risolverlo riavviando in modalità provvisoria, ho scaricato "Malwarebyte" e ho fatto la scansione, riavviato il pc ed ho risolto il problema.

Atalantik

Ecco qui un video del malware a cui alludete voi.
Nelle info del video c'è la versione con loghi della Guardia di Finanza e la procedura come rimuoverlo.
Se lo sapevo ve lo incorporavo prima invece che a luglio...

Phishing e virus con loghi clonati della Polizia di Stato e Polizia Postale (06-03-2012)
http://www.youtube.com/watch?v=2lYqrAA2kGA

P.S. ho dovuto usare un videofonino e quindi ovvio che la risoluzione è pessima,altro non avevo al momento.
Ciao !!!

Alessandro

anch'io ho avuto esperienza con questo Virus,ho capito dopo un pò di Paura ..che si trattava di un Virus ,sicchè mi sono rivolto da un amico informatico. Devo dire che con il computer portatile ,il programma di Malewarebites non è molto d'aiuto ...invece l'ho ha fatto con un pennino USB che conteneva Linux è lo ha eliminato senza lasciare traccia....anzi un consiglio a tutti gli internauti di andare con un sistema Linux è non ci sono problemi

Marco Brenna

In risposta a di Alessandro

Ciao, ti ringrazio per questa possibile soluzione alternativa.
l'uso di MalwareBytes richiede che il software venga aggiornato altrimenti non potrà rilevare la minaccia. Una possibile procedura per farlo è presente qualche commento più sopra.

Personalmente, da utilizzatore di Linux a tempo pieno, non credo che la soluzione di accedere al computer con un altro sistema operativo e rimuovere il virus da li sia la soluzione più semplice per il normale utilizzatore di computer.
Posso dirti che anche il primo passo per iniziare ad utilizzare Linux per l'accesso come masterizzare il file iso della distribuzione a volte mette in crisi l'utente.
Sarebbe comunque bello sapere quale Distribuzione Linux/Strumenti ha utilizzato il tuo amico, giusto per fornire una possibile alternativa.
Se vuoi digli di rispondere a questo commento con una breve guida o di contattarmi così può contribuire a fornire strumenti per risolvere questo genere di problemi.

Un saluto

Marco Brenna

Alessandro

Ciao,
Pure io oggi mi sono imbattuto in questo virus con tanto di web cam…
Ho spento e riacceso il pc e funziona correttamente se non è attivo il wi-fi, appena lo attivo dopo pochi secondi appare la schermata a schermo intero… ho istallato sul pc come antivirus Microsoft Security Essentials ma è bloccato e non riesco ad attivarlo.
Cosa posso fare?... non sono molto esperto scarico MalwareBytes da un altro pc e lo istallo sul mio pc ma come posso aggiornarlo se appena mi connetto compare la schermata a tutto schermo???
Grazie Alessandro

Marco Brenna

In risposta a di Alessandro

Si, la procedura più semplice è quella di scaricare MalwareBytes.
Per poterlo aggiornare ti consiglio di dare una occhiata alla risposta che ho dato nel commento di Salvo ( http://www.marcobrenna.net/comment/207#comment-207 ).
Mi ha dato anche conferma che per lui ha funzionato ;)

Un saluto

Marco Brenna

Alessandro

ciao a tutti
pure io oggi mi sono inmbattuto in questo virus con tanto di web cam etc...
ho spento e riacceso il computer e funziona correttamente se il wi-fi non è attivo...inoltre come antivirus ho istallato Microsoft Security Essentials ma è stato bloccato dal virus e non riesco ad aggiornarlo... appena attivo la connessione appare la schermata e tutto schermo.
cosa posso fare?... non sono molto esperto di queste cose
grazie Alessandro

Ivo

Ma perchè questa tipologia di virus non viene rilevata dagli antivirus ?
Ormai è un po' di tempo che ci sono.
Ho verificato che il virus riesce ad entrare su sitemi con antivirus aggiornato, e pure con utente declassato a user ( quindi non amministratore )

Coame è possibile cio ?
Ma chi produce antivirus cosa sta facendo ?

Semplicemente scandaloso...

Marco Brenna

In risposta a di Ivo

Secondo il mio parere, chi ha prodotto questo Malware è stato piuttosto furbo.
Mentre normalmente i virus informatici tendono a nascondersi e ad utilizzare funzioni del sistema operativo che insospettiscono i software antivirus (rilevamento tasti della tastiera, alterazioni del traffico di rete, apertura porte, ecc...) questo virus si mette in una posizione comunemente utilizzata da software sicuri per autoavviarsi e fa operazioni che anche un programma sicuro normalmente fa o potrebbe fare.

Questo permette al virus di non farsi rilevare dai sistemi euristici che utilizzano gli antivirus per rilevare le minacce. Viste le diverse versioni di questo virus è inoltre difficile creare una definizione che le rilevi tutte.

Ho consigliato MalwareBytes per la rimozione in quanto ho testato personalmente che ha specifiche definizioni per rilevare questo virus ma solo per esperienza personale. In effetti altri software antivirus non hanno tuttora definizioni per alcune versioni del cattivo in questione.

Purtroppo chi ha creato il virus ha ragionato bene prima di metterlo in rete!

Spero di averti chiarito qualche dubbio,

Un saluto

Marco Brenna

Mascia

ciao marco, ti aggiorno! invece di impazzire x eliminare il file, con la paura di fare qualche casino, ho ripristinato il sistema all'ultimo aggiornamento, x fortuna il giorno prima, e non mi ha dato più problemi, ho poi scaricato malwarebytes e ho fatto una scansione, non ha trovato nulla! un dubbio, dovrei, prima di fare la scansione, dovrei disattivare l'antivirus? ciao ancora e grazie x i consigli!

Ciao,
la disattivazione dell'antivirus è necessaria in alcuni casi per la rimozione della minaccia, non per il rilevamento. Se dopo la prima scansione, anche con antivirus attivo, non ti ha rilevato problemi direi che sei a posto!

Sono felice che abbiate risolto,

Un saluto

Marco Brenna

Salvo

Ciao Marco,
ho seguito il tuo consiglio, risultato: ti sto scrivendo dal mio pc che fino a poco fà era inutilizzabile!!! che dire grazie mille!!! ciaooo!!! salvo.

graziella

Ciao Marco questa mattina è apparsa anche a me la videata della Polizia Postale Italiana(con parecchi errori di grammatica!!) con richiesta di 100,00 per lo sblocco!Ho spento e riavviato ed è partito subito AVG che ha trovato "WIN32/CRYPTOR" e l'ho messo in quarantena. Poi ho riavviato ed effettuato subito la scansione e ne ha rilevato ancora uno, sempre win32...però il primo è in c\user\appdata\roaming\toip0 e l'altro è in c\user\appdata\local\temp. ora sono in quarantena ed il portatile sembra funzionare bene, ma cosa devo fare? li lascio li? se puoi dammi un consiglio. Grazie
Graziella

Marco Brenna

In risposta a di graziella

Ciao Graziella,

Il mio consiglio potrebbe essere quello di:
- Recuperare MalwareBytes da internet
- Installarlo e aggiornarlo
- Staccare la connessione ad internet
- Quando sei sicura che internet è disconnesso disattivare la protezione in tempo reale di AVG
- Fare una scansione con MalwareBytes
- Rimuovere le minacce che ti trova (se le trova)
- Riavviare il computer (te lo chiederà lui stesso probabilmente)
- Dopo il riavvio, se la protezione in tempo reale di AVG è ancora disattivata riattivarla
- Ricollegare internet

Con questi passi dovresti riuscire a rimuovere le componenti del virus che magari AVG ha lasciato ancora in giro (se ne ha lasciate).

I file in quanrantena puoi tranquillamente tenerli li dove sono. Non c'è pericolo che si riattivino e tenendoli li non ti daranno alcun problema.

Un Saluto

Marco

Mascia

ciao marco,
ieri mi sono imbattuta nel famoso virus della polizia postale italiana! un colpo all'inizio! poi riflettendo effettivamente ho capito che poteva solo essere un virus! è apparsa una schermata che ha bloccato completamente il pc, l'unico modo x farlo ripartire è stato di forzare il pc! ho poi provato ad accenderlo ma, dopo pochi secondi appariva di nuovo la schermata, ho forzato di nuovo l'arresto e ho acceso di nuovo avavendo cura di interrompere la connessione wifi! ho scoperto che non mi fa aprire taskmanager se non i primi secondi dopo l'avvio! un collega questa mattina mi ha dato un programma x aprire il taskmanager e funziona! ho trovato anche sotto rundll32.exe un processo chiamato ctfmon.exe (descrizione:caricatore ctf-company: microsoft corporation) è lui il colpevole secondo te? grazie!

Marco Brenna

In risposta a di Mascia

Ciao,
Fai attenzione in quanto ctfmon.exe è anche un processo di sistema. Il virus utilizza lo stesso nome per confondere le idee.
Prova a scaricare MalwareBytes e a fare una scansione veloce. Riconoscerà il virus per te lasciando stare il file corretto!
Il link per scaricare Malwarebytes lo trovi all'interno dell'articolo

In bocca al lupo

Marco Brenna

Salvo

In risposta a di Marco Brenna

Ciao Marco,
Oggi sono stato colpito anche io da questo virus.
Controllando su internet ho trovato il vostro forum, ho letto un po' tutte le discussioni e ho provato a seguire alcuni dei consigli. Il mio pc( Sony vaio con wind.7) funziona regolarmente se il wifi non è attivo, perché se viene attivato compare la famosa pagina della polizia italiana. Quindi da un altro pc ho scaricato il programma malwarebytes fatto la scansione ha trovato due virus che ha prontamente eliminato. Riavvio ma tutto uguale, cioè se attivo il wifi compare la famosa pagina!! Il task non mi permette di aprirlo. Hai qualche consiglio anche per mè?? Grazie mille. Ciao. Salvo.

Marco Brenna

In risposta a di Salvo

Hai sicuramente fatto bene a scaricare MalwareBytes da un computer non infetto. Vista la procedura che mi hai descritto però non so se hai effettuato la scansione con il software aggiornato.

Il file di MalwareBytes, appena lo scarichi, contiene una versione che magari è più vecchia di un mese e che quindi non rileva le minacce recenti. Potresti aver rimosso con la tua scansione un altro virus e non quello della polizia postale (sono ipotesi in quanto non ho il tuo pc davanti).

Prova a fare così:
- Con staccata la connessione internet apri Malwarebytes.
- Tra i menu del programma cerca la voce per aggiornarlo.
- Attiva la connessione WiFi, conta fino a 2 e poi premi il tasto per aggiornare il programma (il virus controlla che venga attivata la connessione ad internet di cui necessita ma solitamente impiega qualche secondo per accorgersene e nel frattempo dovresti riuscire ad aggiornare MalwareBytes).
- Se ti compare la schermata ma sei riuscito ad avviare l'aggiornamento, aspetta comunque un paio di minuti in quanto l'aggiornamento potrebbe essere attivo in background.
- Riavvia il computer
- Riapri MalwareBytes e controlla che l'aggiornamento sia riuscito controllando la data di quest'ultimo
- Rifai la scansione con internet staccato e controlla se rileva qualcos'altro.
- Fammi sapere come è andata ;)

Marco Brenna

Jess

Circa un paio d'ore fa mi è apparsa la schermata della finta polizia postale con tanto di immagine dalla web cam. Ho spento e riacceso il computer e cambiando account il computer funziona senza problemi, mentre quello su cui mi è apparsa la schermata si è bloccato, quindi l'ho eliminato. Il computer per ora va senza alcun problema! Che faccio? Lo porto a controllare? (io non so proprio dove metter mano)

Marco Brenna

In risposta a di Jess

Ciao, viste le diverse versioni del virus non posso darti una risposta certa.
Come risposto al commento precedente, con quello che hai fatto potresti (il condizionale è d'obbligo) aver impedito al virus di avviarsi e quindi debellato la minaccia.

Ovviamente controllarlo sarebbe la cosa migliore da fare. Per cominciare potresti scaricare Malwarebytes (il link è presente nel testo dell'articolo) e fare una scansione (il software è in italiano) oppure portarlo da un tecnico.

Se non usi il computer per accedere alla banca on line o effettuare pagamenti con paypal potresti anche rischiare e tenerlo così ma non me la sento comunque di consigliartelo.

Marco Brenna

gdf

Ieri sera la schermata è comparsa pure nel mio pc mentre ero su fb e dopo avre cliccato un link all'apparenza normale! FORSE IL VIRUS ERA SILENTE NEL PC E SI è AVVIATO DOPO UN PO DI TEMPO.
Comunque, come prima cosa ho spendo il router! ed ho iniziato a ragionare...
Senza poter accedere a internet ho ripristinato il sistema (win7) alla versione precedente che era di 5 giorni fa.
Tutto ha ripreso a funzionare.
La pagina devo dire che è fatta bene, ma l'italiano lascia molto a desiderare. Che sia una truffa è fuori d'ogni dubbio... senza regolare verbale, che attesti la titolarità della persona che ha compituo il reato ed il reato stesso, non c'è alcun motivo per pagare... altrimenti, per assurdo, come potrei ricorrere contro la multa??? portando la schermata del pc??? e a chi... non c'è neppure un indirizzo ed un protocollo... ma la prossima versione sono sicuro che avrà anche queste cose...
Era la prima volta che mi imbattevo in una cosa del genere, e devo dire che è davvero tremenda. Indirizzo IP, provider e web cam con il mio faccione... tutte cose rintracciabili e attivabili da bravi smanettoni. Ma mia moglie sarebbe impazzita alla vista di una pagina di questo tipo.
Oggi ho fatto una ricerca e ho trovato questa pagina che mi ha consoltao e rassicurato.
Questa sera faccio correre antiviris e http://www.malwarebytes.org/ e spero di trovare e debellare il virus nefasto.
Grazie per le preziose dritte!
g

Ti posso garantire che non dovrai mostrare la schermata da nessuna parte e non dovrai ricorrere contro la multa, è un virus al 100%! L'ultima volta che mi è capitata davanti una di queste schermate ho fatto una foto col cellulare (è una delle tante versioni, può o non può essere quella che hai preso tu ma magari riesci a riconoscerla!)

Cliccare sull'immagine per vederla ingrandita Le persone che capitano davanti alla schermata rimangono parecchio spaventate. Dopo aver capito che si tratta di un virus si fanno una risata ma può essere davvero uno shock all'inizio. Il pensiero più ricorrente è quello di finire con la foto sul giornale del giorno dopo! Marco Brenna

Oggi mi è successo, purtroppo! Ho semplicemente spento il computer, l'ho riacceso, cambiato account e va perfettamente, non mi da problemi, va come al solito insomma. Ho paura, però, che il virus ci sia ancora dovrei farlo controllare?

Ciao, la versione più diffusa di questo virus si attiva tramite un collegamento in esecuzione automatica.
Cambiando account quindi potrebbe non attivarsi. A mio prere però, viste le diverse versioni che circolano e i diversi effetti che hanno, una scansione con malwarebytes dall'account con l'infezione dovresti farla per debellare la minaccia oppure, se non sai come fare, sarebbe meglio farlo controllare.

Un saluto

Marco Brenna

Mav

Io l'ho preso ed eliminato e fatto anche una analisi con una sandbox ma non capisco dove l'ho preso. Quale vulnerabilita' sfrutta?

Marco Brenna

In risposta a di Mav

Non vorrei dirti una stupidata ma ho notato che i casi che mi sono capitati erano sempre accompagnati da una infezione nella cache di java di un file jar o simili.

Ho quindi il presentimento che l'infezione sia dovuta alla visualizzazione di una pagina web con una applet java sfruttando magari delle vulnerabilità presenti in vecchie versioni della Java Virtual Machine (per la precisione era ricorrente la versione 6.22 nei pc che mi sono trovato infetti che in effetti non è recentissima, siamo alla 7.5 ora).

Ti consiglio di aggiornare Java il prima possibile se hai una vecchia versione oppure di disabilitarlo dai componenti aggiuntivi del browser, tanto se non hai bisogni specifici ormai tutti i componenti dinamici dei siti web sono fatti in flash o javascript.

Spero di essere stato d'aiuto

Marco Brenna

madara

si io penso si averlo sconfitto..nel task non ho trovato il file..cmq sto facendo la scansione con malwabyte

Perplesso

Ciao Marco,
giovedì scorso pure io sono incappato in questo fastidioso virus, non mi sono perso d'animo e in poco tempo l'ho eliminato. L'unica cosa che mi lascia perplesso è il fatto che anche a me come ad un altro utente, nella finta pagina della "polizia di stato" si era attivata una finestra con la mia webcam attiva. Siccome non mi sono accorto subito di aver preso questo virus, ma solo quando ho chiuso le altre pagine web che stavo visitando, la mia preoccupazione ora è che mi possano veramente aver registrato tramite la mia webcam. Pensi sia possibile? E se sì cosa potrei fare per cautelarmi? Purtroppo non so dirti il nome o altre informazioni sul tipo di virus, se non che era una finta pagina della Polizia di stato e anche in questo caso invitavano al pagamento di una somma di 100 €!
Spero tu mi possa saper dire qualcosa in più!
Ti ringrazio!
Ciao e complimenti!!!!

Marco Brenna

In risposta a di Perplesso

Ciao, ti anticipo che ho già visto esattamente la schermata che hai visto tu; è una versione del virus frequente che è in giro in questo periodo.
Purtroppo non posso darti la certezza che le immagini della webcam non siano state inviate al creatore del virus; c'è la possibilità che questo sia avvenuto MA ricordando com'era strutturata la pagina, quelle immagini mi davano l'idea che servissero più per aumentare l'impatto, lo spavento e la credibilità del messaggio che per eventuali secondi fini.

Tieni conto che, se fossi nei panni di una persona che vuole rubare una tua foto, non ti farei presente che lo posso fare mostrandoti il video ma attiverei la webcam quel tanto che basta per recuperare qualche fotogramma senza avvisarti (certi virus che hanno accesso al sistema in modo completo potrebbero ipoteticamente farlo).

Secondo me quindi le tue foto non sono state recuperate dal malintenzionato, l'immagine della webcam serviva solo per metterti paura (anche se come già detto non posso dartene la certezza e me ne scuso).

Se avrò modo di avere in mano un altro computer infetto, proverò a fare delle verifiche più approfondite

Un saluto

Marco Brenna

Anonimo

Ciao Marco ... nonostante la mia acclarata incompetenza ... credo - grazie al tuo aiuto - di esserci riuscito! Ti ringrazio!!!

Anonimo

Ciao senti ho avuto lo stesso problema del virus " polizia statale italiana".
Appena riscontrato, l'utente base si è bloccato, ma nell account guest ( ho vista) sono riuscita a scaricare il programmino dei malware che suggerivi tu, ha trovato i problemi e mi ha fatto riavviare. Il problema ora sembra risolto, ma facendo la ricerca tra i file"ctfmon" mi esce ancora, da premettere però anche prima se lo cercavo nelle esecuzioni automatiche non usciva.
L'antivirus non trova nulla tanto meno malwarebytes...
è davvero tutto risolto?

Ciao, il file ctfmon è un processo di sistema. Il virus usa lo stesso nome per cercare di non farsi rimuovere dall'utente mediamente esperto. Il file che trovi con la ricerca tra file normale è il ctfmon vero, non eliminarlo!

Per il resto, se sia MalwareBytes che un antivirus classico non trovano minacce direi che hai sconfitto il virus infame!

Complimenti!

Marco Brenna

Ale

Ciao, anche io ho avuto il problema con polizia italiana.
Ho installato il programma malwarebytes che suggerivi. ho fatto una scansione, riavviato e ora sembra andare tutto bene... Il file "ctfmon" se lo cerco però, appare ancora... nella ricerca normale, nelle esecuzioni automatiche non me lo trova.
Malwarebytes dice comunque che non c'è alcun problema.. Il processo della prima scansione con malware l'ho fatto tramite un account guest che non era bloccato ( ho vistA)....
è davvero tutto risolto?

Marco Brenna

In risposta a di Ale

Il virus utilizza il nome cftmon, proprio perchè è lo stesso nome di un processo di sistema (in questo modo l'utente che vede il nome non rimuove il file per paura di cancellare il ctfmon vero!).

Quindi è normale che con una ricerca classica in tutto il computer trovi un file ctfmon, è quello vero che non va cancellato, mi raccomando!

MalwareBytes risolve il problema della polizia italiana.

Se però vuoi essere sicuro che il computer non contenga anche altre minacce oltre al virus della polizia italiana ti consiglio una scansione anche con un antivirus classico che dovresti avere già installato nel computer (se così non fosse puoi installare un antivirus gratuito come Avira Antivir). Un software antivirus in tempo reale non va in conflitto con Malwarebytes quindi puoi averli installati contemporaneamente.

Se anche con questa seconda scansione con l'antivirus classico non trovi minacce o riesci a risolvere quelle trovate puoi dire che il tuo computer è pulito!

Marco Brenna

Anonimo

Ho già beccato questo virus in passato e sono riuscita a disabilitarlo abbastanza facilmente entrando in modalità provvisoria e disabilitando il virus dalle applicazioni che partono in automatico del menù ( per poi cancellarlo manualmente ) oppure tramite msconfig quando il virus non compariva tra i programmi che venivano lanciati in automatico.La versione che ho "contratto" adesso è davvero davvero bastarda in quanto mi spegne il computer pochi secondi dopo l'accensione. In pratica è impossibile effettuare qualsiasi operazione. Suggerimenti??? Perchè l'unica cosa che mi viene in mente è di sbattere la testa contro il muro! :)

Ciao,
Alcune versioni di questo virus sono proprio cattivelle!
Immagino che il computer si spenga dopo che la schermata della polizia è stata mostrata (anche perchè altrimenti il virus non potrebbe mostrarti le informazioni di pagamento e non servirebbe al malintenzionato).
Dovresti quindi essere in grado, premendo ripetutamente il tasto F8 all'avvio del computer prima del logo di windows, di accedere accedere al computer in modalità provvisoria con prompt dei comandi.
Fatto questo una possibile soluzione è quella di seguire il video che ho pubblicato qualche commento più in su. In particolare, la chiave che potrebbe essere stata modificata dal virus è quella presente alla posizione HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows NT -> Winlogon -> Shell che deve avere come valore Explorer.exe
Se così non fosse avresti scoperto il punto di ingresso nel sistema del virus.

Come scritto sopra ti consiglio di eseguire le operazioni solo se sei un po' esperta altrimenti purtroppo l'unica soluzione è la formattazione o l'aiuto di un tecnico.

In Bocca al Lupo

Marco Brenna

Anonimo

In risposta a di Marco Brenna

Dopo la comparsa della famigerata schermata che mi invitava al pagamento ho spento manualmente il computer e riacceso tentando,attraverso F8,di entrare in modalità provvisoria come avevo fatto la volta precedente (è la seconda volta che becco questo virus) per disattivare il programma che parte in automatico all'acensione e per rimuoverlo,poi,manualmente. Il computer,una volta selezionata "modalità provvisoria",ha iniziato a caricare i file e si è spento a metà del processo. Ho,allora,aspettato qualche secondo per ritentare l'operazione,ma il computer si è spento pochi secondi dopo l'accensione.
Temo che questa volta dovrò chiedere l'aiuto di qualcuno con un più di esperienza :(