In questo periodo i virus, si evolvono sempre più e soprattutto l’estate sembrano aumentare, dato che molta più gente, non lavorando, su internet fanno di tutto tranne che starsene tranquilli.

Con questo post vorrei mettervi a conoscenza di alcuni metodi per riuscire a pulire il vostro computer dal virus del momento, ovvero dalle finte segnalazioni che compaiono sui vostri computer da enti delle forze dell’ordine quali:
POLIZIA DI STATO
POLIZIA POSTALE
GUARDIA DI FINANZA
Se infetti da questo virus, potrebbe capitarvi di non riuscire ad utilizzare più il vostro computer in quanto vi verrà aperta una schermata come quella qui sotto, non dandovi la possibilità di far nulla se non pagare una multa!

Esempio della segnalazione della polizia di stato che ho riscontrato su un pc infetto

Se vi dovesse capitare, come ho scritto sopra, vi si inibisce il normale utilizzo del computer (quindi anche Task Manager per terminare il processo del virus, non si riuscirà a fare), se non per cliccare sul link che vien fornito nella schermata, per pagare una multa in modo che la polizia non venga ad arrestarvi (ma dai ragazzi come fa la gente a credere che pagando una somma, non si subirà la visita delle forze dell’ordine se un crimine è stato effettuato realmente? – tralasciamo casi di corruzione o altri commenti 😉 ).
Ultimamente la schermata si è evoluta e in alcuni casi si presenta anche un riquadro che mostra le immagini
Comunque, la prima cosa da fare, sarebbe quella di staccare la rete a cui siete collegati per evitare che il virus si propaghi, ma per una delle soluzioni che a breve vi indicherò, la rete servirà.
Metodo 1 Metodo 2 Metodo 3 Metodo 4

Primo metodo, quello che son riuscito ad applicare la prima volta che mi è stato richiesto di intervenire, ho staccato il cavo di rete, dato che non potevo effettuare nessuna operazione perchè tutte inibite (quindi non potevo effettuare START=>ESEGUI…. o TASK MANAGER) e soprattutto la schermata è in FULL SCREEN, ho cliccato sul link per pagare, questo chiaramente non poteva funzionare perchè la rete era scollegata, quindi al messaggio di errore della connessione, nell’indirizzo del sito, ho scritto “Risorse del computer”, in questo modo mi si è aperto l’esplora risorse e da qui mi son rediretto al percorso:
“c:\Windows\System32\msconfig.exe”
questa schermata vi da la possibilità andando sul tab AVVIO, di selezionare o deselezionare i programmi che partono all’avvio del pc, togliete la spunta sul file “WPBT0.dll” o “0246541452(serie di numeri casuali).exe”, segnatevi il percorso (abitualmente la seconda colonna) dove risiede il virus, cliccate ok per chiudere e riavviate.
Il pc dovrebbe ripartire annullando il virus, andate nel percorso che vi siete segnati precedentemente e cancellate i file incriminati.

Questo secondo metodo, è stato postato anche sul sito della guardia di finanza.
Se infetti, spegnete il pc e riavviatelo in “modalità provvisoria”, premendo all’avvio (prima della comparsa del logo di WINDOWS) il tasto F8.
Non appena parte il pc, andate in START=>Tutti i Progarmmi(o Progarmmi)=> Esecuzione Automatica.
Elencati ci saranno i vari programmi che partono all’avvio del pc, cliccate con il pulsante destro del mouse sul virus che potrebbe presentarsi come “WPBT0.dll” oppure come “0..exe” ed eliminatelo.
ps. nella loro guida si suggerisce di eliminare tutto ciò che non conoscete, ma occhio a farlo)
Ora svuotate anche il cestino e riavviate il vostro pc

Questo metodo invece è stato scritto su ChiccheInformatiche.
Avviate il vostro computer in modalità provvisoria con supporto di rete.
Scaricate il programma combofix
Avviatelo e attendete che finisca. Al termine dovrebbe avervi ripulito il pc dal virus rognoso.

Anche questo metodo è stato scritto su ChiccheInformatiche ed esplica una guida un po’ più complessa, perchè sembrerebbe che il virus ultimamente si sia evoluto maggiormente.
Questo metodo richiede un secondo pc, in quanto fa riferimento al virus evoluto che non permette di andare in modalità provvisoria e quindi preclude che le metodologie descritte prima, son inutilizzabili. Occorrerà masterizzare una ISO di kaspersky Rescue Disk disponibile online e far partire il pc con il disco al suo interno.
[poterbbe essere necessario modificare le impostazioni di avvio da bios, per far sì che il computer parta dal CD/DVD e non dal disco fisso]
All’avvio dal CD/DVD comparirà la schermata che vi mostrerà in alto a sinistra, la lingua da selezionare (come vedrete l’italiano non è presente), selezionate Inglese

Prima schermata di Kaspersky Rescue Disk

Poi nella schermata di grafica, basterà dare un altro INVIO
Seconda schermata di Kaspersky Rescue Disk

Ora vi comparirà la classica licenza d’uso da accettare, premendo come scritto sotto, il tasto 1
licenza d’uso di Kaspersky

Ora vi si presenterà un sistema virtuale, quello appunto di Kaspersky
OS virtuale di Kaspersky

Come su un classico Desktop ora dovremo cliccare sull’icona dell’utility che andremo ad usare, ovvero: Kaspersky Registry Editor.
Kaspersky Registry Editor

Siccome si andranno ad apportare modifiche al registro di sistema di Windows, ci si raccomanda di prestare la massima attenzione.
Andiamo alla ricerca della chiave di registro qui riportata:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
verifichiamo ora che il valore di DisableTaskMgr, sia impostato a 0.
chiave di registro del Task Manager

Ok, ora procediamo con la ricerca di altre chiavi di registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx

a volte è meglio controllare anche le seguenti chiavi:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
nel caso sulla destra troviate delle voci anomali o uguali a quelle citate nei metodi precedenti, cancellatele.

schermata della chiave di registro dei programmi che partono all’avvio del computer

Ora, andiamo alla ricerca di questa ultima chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
sulla destra dovremo controllare due voci:
Shell che deve essere “explorer.exe” (mi raccomando non deve essere c:\explorer.exe o altri percorsi, ma solo explorer.exe)
e Userinit che deve essere “C:\Windows\system32\userinit.exe,”(compreso di virgola).

Chiave di registro della shell (ovvero quello che parte per far comparire le icone sul desktop)

Fatti tutti i passaggi correttamente, dovreste poter riavviare il vostro pc e non avrete più il virus.

consiglio dopo tutto di far un controllo del computer con software quali
Spybot search&Destroy
CCleaner

e una bella scansione con un antivirus aggiornato!
[ratings]

Pubblicato da Francesco

Sistemista con la passione per il Web Design e per la tecnologia, sempre al passo con i tempi, cerco le soluzioni a svariati problemi che riguardano i pc, server o web in generale. Cerco di essere sempre aggiornato, creo siti e cerco ispirazioni per migliorare sempre più le loro grafiche.

Lascia un commento