Come rimuovere il virus della guardia di finanza

143
830

Salve a a tutti amici, capita ancora di sovente che i nostri lettori ci chiedono come rimuovere tale virus, che ricordiamo essere totalmente innocuo – a parte lo spavento iniziale(quando si sente parlare di guardia di finanza ci si spaventa sempre, soprattutto in questi periodi). Vediamo altri metodi per la rimozione dello stesso.

Come si presenta?

Ecco come si presenta la finta pagina WEB, il link è quello diretto al sito della GDF

Eccovi il finto modulo che cercano di farvi compilare, link diretto al sito della GDF

Come lo prendiamo questo virus?

Tale virus arriva per lo più tramite EMAIL. Cliccando sulla mail o sul link si espone AUTOMATICAMENTE il pc all’attacco del virus con il conseguente blocco del computer.

 

Che tipo di virus è?

Il Trojan.Win32.FakeGdf.A è un malware che blocca il computer collegandosi ad un sito in Russia (hxxp://83.69.236.38), visualizzando la seguente falsa segnalazione della Guardia di Finanza.

 

Metodi per la risoluzione

 

METODO1 (metodo pubblicato dalla guardia di finanza)

Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto (per la fase di accensione) il tasto “F8”

Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle applicazioni

All’apertura del menu a tendina verticale fare clic su “Tutti i programmi”, così da aprire l’elenco dei software installati

Cercare la cartella “Esecuzione automatica” e, una volta individuata, fare clic con il mouse sull’icona corrispondente

Sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer

Dovrebbe apparire, tra gli altri, il file “WPBT0.dll” oppure un file con nome identificativo del tipo “0.<una serie di altri numeri>.exe” (il file si può presentare in altre varianti sintattiche)

Selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer . Ad ogni modo vi consiglio di eliminare tutto ciò che non conoscete!

Selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware

Spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione

Per ogni eventuale ulteriore dubbio rivolgersi al GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza telefonando al numero 06-229381 oppure inviando una mail a [email protected]

 

Metodo 2(Chiccheinformatiche)

Entrate in modalità provvisoria con supporto di rete

Andate al seguente link e scaricate il programma combofix

Avviate il programma ed aspettate la fine dell’elaborazione

 

Eccovi un video estratto dal sito della guardia di finanza

httpv://www.youtube.com/watch?v=Ng7Co_rXvoM

 

***AGGIORNAMENTO***

SEMBRA CHE IL VIRUS SI SIA EVOLUTO, STO CERCANDO DI CAPIRE COME PER POSTAR-VI LA SOLUZIONE.


Ti potrebbero interessare:

mm
CEO e fondatore del sito Chiccheinformatiche. Appassionato da anni all’informatica, è un programmatore esperto con la passione per le novità e gli aggiornamenti. Diplomato presso l’ITIS, vanta la realizzazione di software e applicazioni per computer e dispositivi mobili. Con una comprovata esperienza nell’ambito dei sistemi di rete, è esperto anche in hardware e installazioni di network. Oltre all’informatica ha un’altra grande passione, il calcio, che coltiva allenando una squadra di categoria dilettante con enormi soddisfazioni.

143 Commenti

  1. Ciao, grazie mille per le informazioni e per gli altri post in generale.Complimenti per il blog,si rivela utilissimo.

    Un saluto,

    Orazio

  2. scusate ma a me quando apro la cartella, quella dell’esecuzione automatica non mi da quel file .dll o .exe ma non mi da niente, solo microsoft office però voi direte che se non ce li ho allora è impossibile che non ho il virus invece si mi dice tipo il tuo computer è stato bloccato dalla polizia penitenziaria / polizia di stato … Per atti pornografici o per zoofilia, invece a me non ho NESSUN file scaricato ne di zoofilia, pornografia e neanche ci sono andato ai siti porno perfavore aiutatemi senno mi viene un colpo vi prego mi scongiuro :'(

  3. Tengo a precisare che mi sono passati sotto gli occhi 2 computer sui quali non e’ stato possibile ripristinare utilizzando il comando F8 ,ma solo con il ripristino del sistema ad una data precedente. Suppongo ci sia stata un’evoluzione del virus GDF. 31/01/2013

  4. uffffff mi sta facendo ammattire questo virus!!!!non mi parte neanke la modalità provvisoria né con rete né con prompt dei comandi…che faccio?????!!??!?!?!?

  5. ECCO COME HO RISOLTO!
    la modalità provvisoria non funzionava allora mi son fatto furbo!
    avvia la modalità provvisoria e clicca velocemente su START->ESECUZIONE AUTOMATICA-> e cancella tutto quello che contiene!
    se non ti viene al primo colpo prova ancora! io sono riuscito a eliminarlo prima che partisse.
    dopo di che se non riesci a cancellare il file incriminato basta rinominarlo con un nome che desideri, e riavviare al riavvio potrai cancellarlo senza problemi.
    nel mio caso il file era nella cartella home ed era .exe

  6. ciao Savino, il link nn mi ha aiutato un gran che 🙁 anche entrando senza la connessione nn mi parte nnt tranne che la modalita provvisoria con prompt dei comandi…a cercare a ripristinare il sistema nn mi fa andare oltre all’inizio dicendomi che nn ci sono punti di ripristino cioè la stessa cosa di prima…alla fine pero sono riuscita ad aprire la finestra Gestione attivita Windows…mi sapresti dire se posso fare qualche cosa da li?

  7. Ciao ragazzi so che qui ci sono già praticamente ttt i metodi possibili per eliminare questo virus che mi sta facendo uscire di senno, spero che qualcuno di voi mi potrà aiutare…
    Il mio problema è che mi fa accedere solo in modalità provvisoria con prompt dei comandi, ho un vista, e da li nn saprei come fare…
    Ho provato con il ripristino del sistema ma mi dice che nn c’e nessun punto di ripristino…
    Vi chiedo una guida passo per passo su come fare…preferibilmente senza il bisogno dei cd visto che nn saprei dove prenderne uno…cmq potete scrivermi sulla mail

  8. Salve a tutti, sono nelle stesse condizioni vostre ma con un vantaggio: funzionano tutte le modalità provvisorie… Ho provato con l’opzione dell’esecuzione automatica ma non c’era nessun tipo di file estraneo così sono passato alla seconda. Ho W vista 32 bit e combofix è partito ed ha eseguito tutte le fasi. Ora si è riavviato in modalità normale e appare una schermata con scritto
    “Preparazione del report.
    Non usate nessun programma affinché combofix non ha finito”. È bloccato qui da circa 15 minuti non so se stia svolgendo azioni o no sta di fatto che aspetterò l’esito e vi farò sapere!

  9. Ragazzi io credo di essere incappato in questo famoso virus ma inoltre mi attiva la webcam!Facendomi apparire in un’ angolo dello schermo ho provato con combofix ma mi dice quando finisce il lavoro che è una versioen non aggiornata e si cancella utomaticamente..

  10. Scusate volevo un’informazione…. Ho un XP di qualche anno fa molto vecchio e l’altro giorno mi si è presentato questo virus. Ho provato tutti i metodi che ho trovato su internet ma richiedono la modalità provvisoria! Io non riesco ad andare neanche su quella perché il pc dopo una manciata di secondi si riavvia da solo, ricomincia da capo. Quindi non mi è possibile né usare il pc in modalità normale, né in modalità provvisoria 🙁 Sapete come risolvere questo problema? Non posso neanche usare combofix!!

    Grazie in anticipo!

      • Io ho lo stesso problema di Martina, ho un xp e non mi fa entrare nè in modalità normale, nè in quella provvisoria neanche fa in tempo ad accendersi, che si riavvia da solo; anche in modalità provvisoria prompt dei comandi il computer si riavvia da solo… prima che comparisse questo virus, il computer non si è mai riavviato da solo. Cosa devo fare? La formattazione è un’opzione valida?

        • ma esce qualche schermata che ti fa capire che si tratta del virus finanza o polizia? o si riavvia prima che parta Windows?

  11. Beccato alle 8 e mezza di stamattina, 10 minuti più tardi era già debellato grazie a questa guida…grazie mille!
    Se può servire ad altri: io inizialmente ho messo “modalità provvisoria” e ogni volta che cancellavo il programma dall’esecuzione automatica si ricreava un secondo dopo. Ho provato così con la “modalità provvisoria con rete” ed è andata al primo tentativo…grazie ancora!
    p.s. Io ho Avast a pagamento…è normale beccarsi questi virus??

  12. Ciao ragazzi,
    io ho ancora un’altro tipo di problema.
    Il virus mi blocca del tutto il pc. non mi è possibile entrare in nessuna modalità provvisoria, ne con rete ne aprire il prompt dei comandi)
    Sono riuscita ad annullare il processo explorer.exe prima che si avvii il virus, e poi grazie al task manager ho lanciato il prompt dei comandi, e stando a quanto detto dalle istruzioni nella chiave shell avrei dovuto trovare il percorso del file per sostituirlo con explorer.exe .. invece nulla. La chiave era corretta.
    Sembrava essere risolto. Ho avviato antivirus (x 3 volte)..tutto pulito.
    Così ho riavviato. Punto e a capo!
    Grazie.

  13. Auguro ai creatori di questi virus informatici di beccarsi un virus vero e agli autori di questo sito tutto il bene per il loro prezioso servizio.

  14. Salve,
    PC infettato oggi, con Combofix mi sembra di avere risolto al 100%, non ho più programmi nella cartella “esecuzione automatica” ed il PC sembra funzionare correttamente.
    Un dubbio: quando si è infettato il PC avevo dentro una chiavetta USB che quindi si è infettata a sua volta.
    L’ho lasciata collegata mentre facevo girare Combofix, ma ho sempre il dubbio che sia rimasta infetta: come posso fare a verificarlo ed eventualmente a pulirla?
    grazie mille
    ciao
    Carlo

  15. Vi ringrazio per l’utilità del sito, e delle nformazioni in esso contenute …
    ho sistemato il virus seguendo le istruzioni fornite….vi ringrazio e auguro a tutti soluzione del problema cordialmente.

  16. grazie v.savino.. mi consigli di fare una scansione anche con qualche altro anti-malware?
    ho inoltre letto che combofix va disinstallato dopo la scansione.. tu ne sai qualcosa?
    grazie 😉

    • combofix sicuramente non da “fastidio” se resta installato. per il resto il virus è abbastanza stupido e s’è lo hai rimosso sei ok! 😉

  17. Ragazzi io ho avviato in modalità provvisoria con rete(ho provato anche il primo metodo e niente) ma subito dopo 2 secondi mi mette una schermata tutta bianca e il pc si blocca completamente che devo fare?

  18. Ciao.. anche io ho avuto lo stesso problema. però il sito in questione non era della GDF ma “Polizia di stato , unità di analisi del crimine informatico”
    In qualche modo sono riuscito a tornare nel desktop ( non so neanche io come), cosi ho scaricato COMBOFIX e l ‘ho avviato.. Il pc ora funziona bene. Però dai precedenti post ho letto che avrei dovuto avviarlo da modalità provvisoria e invece l ho avviato da quella normale. Ho commesso un ‘grave’ errore?
    Grazie..

    • Nessun errore, va bene cosi.. dipende dalle varianti del virus.. a volte non ti permette di toglierno senza andare in modalità provvisoria..!

  19. Grazie per l’enorme aiuto che ci avete fornito..
    per fortuna avevo il pc portatile oltre il fisso ed ho fatto una ricerca sul web…
    Quando mi è apparsa la pagina della Polizia Postale mi sono messo a ridere
    (anche perchè è il mio lavoro eheheheh) va benissimo:
    Far partire il pc in modalità provvisoria (premendo F5 o F8( a seconda dei bios/schede madri),
    fare il Ripristino del Sistema alla prima data utile,
    far ripartire il pc in modo normale e far partire gli antivirus per la pulizia definitiva..
    (io ho AVG + Avast) e attivare CCcleaner e/o Registry mechanic

  20. Ragazzi sono disperata!! Non mi funziona con nessuno dei 2 metodi! Con il primo non riesco a metterlo nel cestino e con combofix( l’ho installato dal link che mi avete dato) NON me lo installa! Dice che non è possibile dare il nome combofix(1) ! Vi prego aiutatemi!!!

    • Forse lo hai già scaricato combofix e quindi non te lo fa rinominare perchè è in uso. Riavvia il PC, prova a riscaricare combofix. poi installalo (doppio click sopra all’eseguibile) e poi fai il procediamento normale.

    • Risolto! Eseguire un ripristino configurazione del sistema.
      Start > Tutti i programmi> Accessori> Utilità del sistema> Ripristino configurazione di sistema.
      Nella finestra che compare cliccare su avanti e scegliere una data antecedente al giorno in cui il PC era infettato. Il resto lo fa windows da solo, aspettare il riavvo del sistema per ritrovare il vostro PC come prima.

      PS: Inutile provare di cestinare il file incriminato dalla cartella eseguizione automatica. Impossibile.Si rigenera da solo. Poi è solo un collegamento.
      Nel mio caso a modem e wifi spento posso usare il pc in odalità offline senza dovere avviare la modalità provvisoria. Io mi ha beccato ieri 29 e stamattina risolto. Non ho antivirus non ho malware.
      [email protected]

  21. ho un problema a seguire le vostre istruzioni del metodo 1
    quando vado in modalità provvisoria e faccio start e vado su esecuzione automatica non mi vengono fuori una sfilza di programmi ma solo uno che si chiama cftmon che non me lo apre e non me lo fa eliminare..cioè schiaccio su elimina vado a svuotare il cestino che mi dice eliminare cftmon? io metto sì….e invece è ancora lì su esecuzione automatica! come devo fare??
    ho windows xp.. e la pagina che mi viene fuori non è una di queste che avete messo ma un altra più dettagliata e con il logo della polizia.. insomma è fatto meglio! quindi sarà evoluto.. il metodo 2 funziona con xp? stò scaricando kav_rescue_10.iso mi è venuto fuori dal vostro link ma dice che ci vuole ancora 50 minuti… se avete qualcosa da suggerirmi sennò provo a fare il metodo 2 se ci riesco! ma la vedo dura!

  22. Ciao ragazzi,quando avvio in modalita provvisoria, il sistema si avvia, pero mi dase,pre la pagina tutta bianca….e non mi fa fare nulla….uso windows xp….come posso risolvere?

  23. Ciao. Anch’io ieri sera mi sono trovato il simpatico avviso della “Polizia di Stato”. Uso Windows 8, e vorrei chiedere se vi risulta che anche nel mio caso potrebbe funzionare il “Metodo 1” (che mi sembra abbastanza semplice). Oppure se sapete se il virus, da quando è comparso si è “evoluto” e bisogna prendere altri provvedimenti.
    Grazie (comunque stasera provo).

    • azz! anche su windows 8! combofix credo non funzioni su windows 8(dovrei provare). verifica se in esecuzione automatica hai un collegamento chiamato ctfmon. se lo hai eliminalo!

      • Fatto! Non è stato difficile. E’ bastato il metodo 1.
        In effetti c’era il ctfmon in esecuzione automatica.
        Ora sembra funzioni tutto (anche se Windows sembra aver mutato un po’ di interfaccia e colori… boh?).
        Grazie, v. savino!

  24. Ciao a tutti
    ho appena preso il virus, sto facendo la scansione con avira free.
    ho W7 originale e sto scaricando Kaspersky per provare il metodo 2.
    quello che ho notato è che ho 3 file in esecuzione automatica con le medesime caratteristiche poco chiare (autore sconosciuto, nome strano..) e le ho ovviamente bloccate.
    da notare che la prima cosa che ho fatto è stata leggermi il simpatico articolo, prendermi 2 minuti e poi incavolarmi per essermi preso il virus…provo ctrl+alt+pisc
    e alla schermata blu scelgo task….sono su win…strano…poi controllo avira e non è attivo….ok…schermata di spegnimento con programma che blocca l’arresto..dò annulla e sono qui a scrivere…provo direttamente la modifica 2 step by step…incrociamo le dita…vi terrò aggiornati

    GRAZIE per quello che fai dando una mano a noi consumatori:)

  25. Ok debellato il troyan… Utilizzato Malwarebytes aggiornato in modalità provvisoria. Il “maledetto” veniva lanciato da “Esecuzione automatica” (ctfmon). Ho notato però, che la schermata “Polizia di Stato” compariva solo dopo aver abilitato la connessione WiFi del NoteBook.

      • dipende dalla variante del virus!
        Verifica se in esecuzione automatica hai cftmon (se cosi eliminalo).
        Se ti fa entrare nella modalità provvisoria allora ESEGUI combofix.

  26. basta accedere da provvisoria creare un altro utente farsi il passaggio dati e eliminare il vecchio account e tutto si risolve 🙂 ciauz

  27. Ciao a tutti,
    Vi riporto la mia esperienza di come ho risolto il problema.
    Ho Winxp , avevo beccato il virus e non mi andava in modalità provvisoria. Ho masterizzato il cd di kaspersky usando il file .iso ma il pc non si avviava (avevo correttamente impostato il boot da cd infatti il cd di Acronis, che uso per ripristinare l’immagine di windows, si avviava correttamente). HO provato allora a creare una chiavetta usb bootable con dentro l’iso scaricato, con l’apposito tool di kaspersky. Da questa , selezionando il boot da usb sono riuscito ad avviare kaspersky rescue cd. Si avvia come spiegato in questo articolo ma, invece di andare nel registro windows, ho avviato la scansione virus (prima ho aggiornato il database virus visto che kaspersky da la possibilità di collegarsi alla rete wifi) ed ho selezionato tutti i drive x la scansione….. tempo 40/50 minuti mi ha trovato il virus ed eliminato…. riavviato il pc poi ho usato x sicurezza anche combofix.

  28. ho risolto il problema passando a linux (debian – testing) , non mi serve + antivirus (perchè non ci ‘sono’ virus [per linux]) e il file system (ext4) si frammenta solo fino ad un massimo del 7%.

  29. Ho fatto la scansione con combofix ma ora non riesco ad aprire moltissimi file
    o lanciare programmi. Mi dice “è stata tentata un’operazione non consentita su una chiave di registro di sistema segnalata per l’eliminazione.”
    Cos’è successo?
    Grazie

    • Credo basti un riavvio per risolvere il problema. Solitamente combofix non crea problemi, anzi, sembra che hai dei rootkit da togliere

  30. Quando vado in modalità provvisoria con rete la mia vodafone key pare non essere vista. Non avendo connessione non riesco a scaricare nulla. Cosa mi consigliate?

  31. Io l’ho trovato in “esecuzione automatica” col nome “ctfmon” e l’ho cancellato secondo le istruzioni del metodo 1. AVG, nonostante ripetute scansioni, non l’aveva individuato.Grazie.

  32. Ciao a tutti mi sono fatta una discreta cultura con questo virus che maledettamente il mio compagno ha preso… la prima volta riavviato in modalità provvisoria dal prompt e ripristinato il sistema e fin qui tutto ok…poi il dramma totale, non so cosa abbia fatto fattostà che ora il pc non entra più in modalità prrovvisoria e all’avvio mi chiade user e pwd (che originariamente non c’erano)
    sono riuscita a salvare la maggior parte dei dati col santo UBUNTU live CD..però voglio averla vinta senza portare il pc dal tecnico…kaspersky non parte in automatico, proverò con Antivir rescue, altrimenti che mi resta da fare…PCCIDIO???

  33. io ho risolto subito il problema avviando il pc in modalità provvisoria , premendo il tasto f8 , poi ho cliccato in modalità provvisoria con rete. ho scaricato MALwAREBITES anti malwar, l’ho installato ho fatto la scansione e me li ha trovato subito, li ho rimossi , riavviato il pc e ho risolto il problema

  34. grazie savino, ho risolto anch’io grazie al tuo metodo n2,anche se combofix mi ha cancellato l’antivirus freeagv e non mi permette di ricaricarlo ( errore nel mio account ) . ho risolto installando un’altro antivirus free.

  35. salve,

    scusate, a me è spuntata una pagina della “Polizia di Stato” e non della “GdF” che mi avvisa di aver violato privacy…sanzioni disciplinari ed economiche… nonchè il pagamento di queste € 100 per avere lo sblocco del computer per 72 ore.

    Tra l’altro, al momento dell’apertura di questa pagina mi si accende in automatico la Web cam del portatile.

    Pensiate si tratti dello stesso viruso di cui si parla in questa discussione o puo essere realemnte una pagina ufficiale dell Polizia?

    Grazie

    • si è sempre quello. stanno cambiando solo denominazione visto che quello della guardia di finanza è diventato conosciuto

  36. Salve a tutti,
    ho preso anch’io questo virus ma riesco ad usare il pc normalmente avendo raggirato il virus come ha fatto [guido: 6 maggio 2012 at 11:59], ho fatto un ripristino di configurazione e ho fatto la scansione con Microsoft Security Essential (ho win 7) ha eliminato tutto tranne “Trojan:Win32/Medfos.A che nonostante avessi scelto come azione da intraprendere “Rimouvi” ora esce scritto vicino “Consentito” (?!!) e in Task Manager in Processi ci sono un sacco di svchost.exe che so sono sintomo che c’è un virus… Il pc funziona bene ma ho l’impressione che il virus sia ancora nel pc pronto a ricominciare daccapo! Cosa posso fare?? In esecuzione automatica non c’è nulla. Posso usare Combofix ma ho sentito voci che è molto potente e potrebbe causare danni a sua volta…

    • un mio cliente ha preso lo stesso virus due volte, abbastanza recentemente,
      la caratteristica e’ la pagina che richiede i 100 euro e l’impossibilita’ di far partire il pc in modalita’ provvisoria (e questa e’ la menata maggiore)
      il virus l’ho tolto estraendo l HDD del computer infetto e collegandolo come secondario ad un altro pc.
      Bisogna cancellare tutti i file contenuti nelle directory temporanee nelle cartelle nascoste degli utenti presenti sul pc, fare una bella scansione dell’inetro disco con un AV valido e rimontare il disco sul pc.

      una volta fatto ripartire il pc bisogna fare una passata con Combofix (io lo uso da qualche anno, l’unico problema che puo’ dare e’ con i driver dei lettori per le firme digitali, ma basta poi reinstallare il programma e i driver)

      per poi essere ancora piu’ sicuri una passata con Hijackthis (e qui attenzione a cosa eliminate) ed infine un bel CCleaner.

      ciao

  37. a me ha tolto tutte le barre e mi blocca il task manager! insomma non mi va nemmeno in modalità provvisoria ora provo col cd di Rescue Disk della Kaspersky Lab

  38. Il virus è vero che si è evoluto.
    Qualche mese fa lo avevo preso ma fortunatamente, tramite tutte le trafile ero riuscita a toglierlo.
    Ieri di nuovo…. Stessa storia, ma questa volta ho il pc completamente bloccato, è come se fosse stato fulminato!
    Ho provato con la modalità provvisoria ma niente… Qualsiasi cosa faccia, windows si riavvia normalmente.
    Se invece entro regolarmente non posso far nulla… Non appaiono icone ne barre di strumenti… Schermata nera con successiva schermata del virus maledetto.

  39. sera a tutti, sono nel panico, ho beccato il virus su descritto e come gli ultimi utenti non riesco ad entrare nemmeno in modalità provvisoria, prima dell’avvio di windows ricompare la pagina della guardia di finanza.. se lo avvio normalmente appare il desktop senza icone e senza la barra di “start”, poi, dopo 2 minuti, ricompare la schermata.. che si fa? è il mio pc aziendale, collegato in rete, ho tutti i miei programmi di lavoro sopra.. sono disperato!!

  40. Ciao a tutti! credo di aver trovato una soluzione , il virus si è evoluto.
    Questa volta è un files con estensione .com e l’ ho trovato in document & settingall userlocal settingtempnomestrano.com
    Mi ha aiutato un vecchio programma andato un po’ in disuso hijackthis
    c’è una policy che lo lancia ogni volta all’ avvio e per questo è invisibile.
    sono impazzito perche a me combofix su questa macchina in particolare non ne voleva sapere di avviarsi ..
    spero di essere stato utile

  41. ciao a tutti, il virus si è evoluto alla grande! Io l’ho presp ieri, non è più possibile far partire il pc in modalità provvisoria, non si può fare più niente, ho contattato il nucleo specializzato della guardia di finanza e mi è stato detto che non c’è altro da fare che formattare tutto (ed è impossibile anche questo) ma loro consigliano direttamente di cambiare hardisk…

  42. Anche io mi sono beccato il virus ieri, 6 maggio 2012. Che fosse un virus si capiva dal fatto che l’italiano era un vero disastro (oltre che dal fatto che giuridicamente era insostenibile). Mnetre era impossibile riuscire a far partire il Task Manager, sonoriuscito ugualmente a far partire normalmente il PC, premendo il pulsante di reset e eliminando più volte l’avviso che compariva di terminare un programma in lavorazione (cliccavo su x senza lasciarlo finire). A questo punto mi funzionava Task Manager e potevo far partire esplorer, collegarmi in rete: insomma funazionamento normale. Ho fatto una scansione completa con McAfee, un ora, ma non ha rilevato nulla. Spento e riacceso, il problema era sempre lì. L’ho aggirato di nuovo nella stesso modo, sono entrato in rete ed ho trovato le info. Ho scaricato combofix, l’ho fatto girare in modalità normale (due volte, perchè la prima volta aveva problemi don McAfee e ADaware che ho dovuto fermare) … ha trovato parecchie schifezze e pulito tutto. Mi chiedo come mai McAfee aggiornato 3 giorni fa non ha trovato niente.

  43. ciao a tutti,
    sono incappato nel virus stamattina e all’inizio panico totale, però dopo cercando un pochino su internet diciamo che mi sono rincuorato.
    il fatto ora è questo ho un pc con windows 7 e come lo avvio sia in modalità provvisoria sia in modalità normale si apre immediatamente la schermata del virus che non permette di fare niente. non ho nessuno dei programmi sopra elencati e per connettermi uso una chiavetta internet che non riesco ad avviare in quei pochi secondi che mi concede il virus all’apertura del pc.cosa posso fare?
    grazie

    • Ciao sembra che il virus sia diventato più evoluto rispetto alla risoluzione prospettata nell’articolo. sto tentando di capire come agire per segnalarvi la risoluzione. ad ogni modo prova a fare cosi:

      Spegni il modem e riavvia il pc normalmente(lasciando spento il modem quindi, sarai senza connessione ad internet)
      Appena appare la schermata di windows agisci (velocemente) facendo queste mosse:
      Start –>esegui—> taskmgr oppure facendo sulla tastiere ctrl + alt + canc
      Chiudi il processo con iexplorer.exe e notepad.exe (il virus agisce tramite notepad)
      Se nel frattempo si apre una finestra di Internet explorer chiudila tempestivamente.
      Dopodichè andate in c:utentinometuoutenteAppdatalocaltemp ed eliminate tutto quello che c’è nella cartella.Il file in questione è composto da numeri ed è un applicazione (15432982398122.exe) una cosa del genere.
      Poi a questo punto prova con combofix

      • Mi è già capitato con tre clienti, il primo e il secondo l’ho eliminato subito pulendo lìMSCONFIg e avviando CCleaner in modalità provvisora, il terzo non mi permetteva di far nulla in modalità provvisoria, ho provato a pulire il disco (collegandolo su un altro PC) con Malwerbytes e Avira ma niente.
        La soluzione è stata quella di accede in modalita provvisoria con prompt dei comandi e da l avviare Combofix che ha pulito tutto, per sicurezza però verificate MSCONFIG e perchè no date una bella pulita con CCleaner
        In bocca al lupo

  44. ciao a tutti
    dico la mia,il procetimento descritto di avviare in modalità provvisoria (con F8 a l’avvio) e scaricare ed installare e scansionare con combofix va bene ma alcune nuove varianti del virus non vengono viste da combofix e questo punto vi suggerisco di usare lo stesso procedimento ma invece di istallare combofix ,scaricate installate ed aggiornate Malwarebytes (si trova in rete con una semplice ricerca con google)funziona garantito ho resuscitato 4macchine in una sola settimana……

    per eventuali aiuti e consigli contattatemi pure …..ciao bella gente

  45. Salve a tutti…
    ho un pc con il suddetto problema del virus della fantomatica segnalazione da parte della guardia di finanza….
    leggendo la guida e provando ad eseguire i due metodi elencati….
    mi sono subito arenato.. in quanto nella macchina mi è impossibile avviarla in modalità provvisoria sia con rete ne senza rete..
    La macchina è un MAXDATA con Win XP Pro SP2

    Qualcuno può darmi altre indicazioni per rimuovere il virus senza l’ausilio della modalità provvisoria?

    • Ciao, abbiamo già risposto a questo quesito. leggi tutti i commenti all’interno di questo articolo e troverai la soluzione cioè quella di farlo con MSCONFIG
      fammi sapere,

  46. ciao io ho beccato il virus maledetto, perchè non so per quale motivo mi è andato in crash l’antivirus (antivir versione gratuita9 . Tra una bestemmia e l’altra entrando in modalità provvisoria , ho eseguito un ripristino di sistema risalente a 5-6 giorni fa e il pc mi è ripartito normalmente come se niente fosse.

    sono andata di nuovo in modalità provvisoria e ho eseguito il metodo della guarda di finanza ma la mia cartella “esecuzione automatica” è proprio vuota.

    mi consigliate cmq di scaricare cmq combofix?

    • Ciao, se non ti da più il problema il virus è rimosso. ad ogni prova a fare start—> esegui dal pc e poi a scrivere MSCONFIG. in AVVIO togli il FLAG a tutti i programmi che NON CONOSCI!

  47. Ciao ragazzi, volevo sapere una cosa..ma a voi è capitato che questo virus blocchi anche la possibilità di andare in modalità provvisoria??in pratica devo pulire il pc di un amico da questo virus solo che avevo pensato di andare in modalità provvisoria ancor prima di ottenere informazioni su questo trojan, ma le freccette non funzionano, si blocca praticamente..e non mi permette di andare neanche sulle altre voci..poi la barra in xp per andare nei menù e tutte le icone non esiste…o.o
    avete idee su come eliminarlo, o la soluzione è formattarglielo???
    grazie mille davvero per le risposte 😉

    • ciao, io sono sempre contro la formattazione.. per entrare in modalità provvisoria leggi qui nei commenti, ho già spiegato come fare.. 😉

  48. Ciao raga!
    ho preso questo virus stamattina, inutile dire che mi sono davvero spaventato e che nei primi 5 min ero realmente andato in panico!
    Poi ho notato che c’erano errori di ortografia, e mi sembrava molto strano che la Finanza dopo aver “presumibilmente” infranto la legge te la lasci passare con 100e.
    La sera prima per mia grande fortuna avevo istallato un programmino consigliatomi da un Developer che lavora in una società Tedesca di un giochino online, “Combofix”.
    L’ho attivato in mod. normale approfittando di quei 2 sec. fra l’accensione e l’apertura della schermata, da lì ho eliminato alla radice il problema 😉
    Chi ha dubbi mi contatti ^^

    • Ciao!
      scusa che ti chiedo un aiuto: ho contratto il virus siae. Ho un portatile con XP e non riesco a far partire il pc nelle modalità provvisorie (mi appare sempre la schermata siae) per risolvere il problema nelle modalità più semplici.
      Hai un aiuto da potermi dare? Io non sono fortissimo a smanettare coi pc ed in questo caso non so veramente cosa fare (ho letto di una modalità “kaspersky rescue disk” su https://www.chiccheinformatiche.com/virus-guardia-di-finanza-si-e-evoluto-ecco-la-nuova-guida-per-risolvere-il-problema/ ma il link è per un file iso da copiare su cd per windows vista o windows 7…)
      Eventualmente se per te non è un problema scrivimi in copia anche sulla mail.
      Grazie in anticipo,
      Emanuele

      • ti consiglio di leggere i commenti contenuti nell’articolo (guardia di finanza si è evoluto) perchè parlo anche di windows XP nei commenti.. se non lo trovi fammi sapere 😉

  49. Ascoltate un ragazzo ignorante che come voi ha beccato lo stesso virus, che xò dopo l’ennesimo tentativo è riuscito ad eliminare il problema in maniera semplice!!! Non bisogna scaricare assolutamente nulla anche perché la versione di compofix risale al 2009 ed è compatibile solo per XP… Per prima cosa è necessario avviare il pc in modalità provvisoria, in seguito cliccate su start, andate nella voce esegui e una volta aperta digitate “msconfig” nella schermata che si apre scegliete avvio e disattivate le voci dove spunta produttore sconosciuto o quello che ritenete nn sia roba vostra! Una volta riavviato non spuntera più nulla ma mi raccomando una volta fatto ciò mettete in funzione il vostro antivirus ho installatene uno come si deve!!! FATEMI SAPERE COM’È ANDATA

    • Gentile amico grazie per la segnalazione. Purtroppo vi sono più varianti di questo virus; non si risolve sempre con la procedura da te descritta e poi non credere che molte persone sappiano usare msconfig 🙂
      Ad ogni modo è molto più difficile beccare il virus se si ha windows 7 con il controllo account utente(consigliato).

      • ciao, l’ho beccato anche io, ma non riesco a riavviare in modalità provvisoria, all’avvio questo str… mi parte immediatamente… c’e qualche altro sistema per avviare in modalità provvisoria (il tasto F8 non fa niente…credo di aver beccato una versione del virus che lo disattiva…) un disco di avvio?

        • Il virus ha più varianti. prova a fare start—> esegui dal pc e poi a scrivere MSCONFIG. in AVVIO togli il FLAG a tutti i programmi che NON CONOSCI. Per entrare in modalità provvisoria c’è un’altra tecnica. Usare un programmino.
          Scaricati il programma BootSafe.
          Salvatelo sul desktop e lancialo selezionando la voce “Safe mode – minimal” (o Networking se desideri caricare i supporti di rete per accedere ad Internet anche in modalita provvisoria): il pc verrà riavviato immediatamente secondo la modalita scelta.
          ATTENZIONE: una volta terminato il lavoro in modalita provvisoria, NON CHIUDERE il pc con il consueto modo (start –> chiudi sessione) ma utilizza BootSafe scegliendo questa volta la voce ‘Normal restart‘. Fammi sapere 😉

          PS: non ci assumiamo responsabilità sul programma bootsafe in quanto non è stato prodotto da noi.

          • ho scaricato bootsafe, l’ho lanciato e il risultato è che adesso windows non solo continua a non partire in mod provvisoria, ma non parte proprio più in nessun altro modo e continua semplicemnte a riavviarsi ridandomi la schermata in cui scegliere la modalità di avvio ….. poichè sto bootsafe è ovviamente ancora in esecuzione, c’è un modo per disattivarlo non potendo accedere a nessuna modalità di avvio ? magari dalle bios? perchè ora invece di poter rimuovere solo il virus mi tocca portare per forza il pc in assistenza se sto problema non si risolve e di combofix e tutto il resto non me ne faccio nulla!!!
            grazie …

          • non riparte più in nessuna modalità, continua a riavviarsi e ripresentarmi la schermata di scelta sulla modalità da eseguire … qualunque scelta faccia non parte e si riavvia …. OS: windows XP service pack 3
            🙁

          • Metti il cd di Windows Xp.. è importante che sia con la stessa service pack dell’installazione!
            poi appena si avvia l’installazione premi “R” per ripristino.
            Dopodichè in C:windowspss trovi un boot.ini.backup
            lo sposti in c:
            rimomini boot.ini che si trova in c: con boot.ini2
            di seguito boot.ini.backup in boot.ini
            poi il pc dovrebbe partire..

          • grazie ma purtroppo non ho il cd d’installazione …. mi tocca portarlo dal dottore 🙁 grazie lo stesso di tutto … ciao

          • Attenzione a ciò che fanno i tecnici dei computer! spesso formattano il PC senza chiedere nemmeno se avevi qualche dato importante! la soluzione è quella inviata nel post precedente 😉

      • scusa v.sav , non ci vuole mica un genio o un laureato in fisica nuclare per conoscere e sopratutto utilizzare msconfig. Cmq il procedimento descritto dal ragazzo funziona nel 99% , secondo me! Utilizzatelo , senza scaricare inutili antimalware
        ciao

        • Gentilissimo, non è detto che tutti sappiano usare l’msconfig perchè non tutti sono utilizzatori di PC. Lo dico da tecnico informatico!

    • Ciao Calo88,per la seconda volta ho subito qst virus,la prima è stata facile,l’ho trovato in esecuz automatica,e avevo antiv NOD,ora ho Avira Premium in prova,ma il virus è penetrato ugualmente,ho Vista anch’io e avevo timore a usare Combofix con assistenza in inglese,ho usato msconfig ancora e ho risolto il problema,ma ho memo qst link..moolto utile.grazie a tutti

  50. salve, sto scaricando combofix ma è rimasto fermo alla prima schermata e nn fa nulla inoltre da me spunta amministratore cosa devo fare? risp grazie

    • Forse ha internet lento? cosa significa resta alla prima schermata? Spunta amministratore dove? quando tenta di entrare in modalità provvisoria? si spieghi meglio

  51. salve, io ho provato a fare tutta la trafila, ma quando arrivo a cliccare su avvia in modalità provvisoria mi appare una schermata blu che mi dice che windows è stato bloccato e che devo controllare se ci sono virus ecc che devo fare?

    • che sistema operativo usi? Sicuramente questo problema che ti si presenta non è da legare al virus della guardia di finanza!

  52. scusate sto provando combofix sul p.c. infettato
    ma non in modalita provvisoria, non mi riesce proprio di mandarcelo, una domanda vedo gira mi dice , credo, che sta analizzando dati, quanto ci mette mediamente?
    grazie in anticipo

    • ci mette circa 10-15 minuti a seconda della velocità del PC. Ad ogni modo tale operazione (combofix) va fatta con il computer in modalità provvisoria!!

      • A ben pensarci devo averlo usato da modalità provvisoria visto che non potevo accedere alla modalità normale… Ma è modalità provvisoria con rete o senza? Altro problema che mi fa pensare di aver preso una versione avanzata del virus: in modalità provvisoria senza rete non mi appare alcuna icona, ma solo la schermata di dos impostata sulla dir system32 se non erro o qualcosa di simile. Ho provato a scrivere windows e invio ma niente, forse scrivendo vista il programma si attiva?
        In pratica l’unico modo che ho per interagire col pc è in modalità provvisoria con rete con lo schermo a bassissima risoluzione e rigato… Ora il pc è solo e spento per 10 giorni, mi auguro che Avira o malwarebytes sui aggiornino per eliminare sta nuova schifezza perché non so davvero cosa fare…

        • Il virus è sempre quello, non ha varianti particolari. Credo che vi sia un altro virus ancora oltre a quello noto della guardia di finanza. Combofix anche in questo caso potrebbe esserti d’aiuto anche se a questo punto proverei proprio a fare un RIPRISTINO CONFIGURAZIONE di SISTEMA e portare il PC a circa un mese fa (ad esempio)! Ovviamente perdi solo impostazioni fatte a windows (e non file o programmi presenti). Ti consiglio di procedere in questo modo a questo punto. Per eseguirlo lancia questo: c:windowssystem32rstrui.exe da ESEGUI

          • Di nulla, dovere 🙂 – Poi se ci fai sapere com’è andata, magari può essere utile a qualche altro lettore.

  53. Salve a tutti, non so se l’argomento sia in topic, ma ho bisogno di aiuto.
    Mi si è installato il maledetto virus che blocca il pc con la schermata della guardia di finanza. Ho fatto ripartire in modalità provvisoria scatenando antimalware ed antivirus e hanno trovato roba. Pensavo di aver risolto, invece riavvio e zero… Ho provato spybot che ha trovato altra roba ma al riavvio sempre il maledetto virus… Da quanto ho visto sui forum non dovrebbe fare danni e invece lo schermo durante questi tentativi è rigato da tante lineette bianche e a bassissima risoluzione, a stento riuscivo a lavorarci e non mi lasciava cambiare risoluzione. Naturalmente ho guardato anche nei programmi in esecuzione automatica ma non appare nulla… Dicevano anche di usare un certo programma combofix che ho installato, ma non va con vista… Ora lascerò il pc spento una decina di giorni, sono via da casa, mi auguro che al ritorno malwarebytes e avira siano stati aggiornati per eliminare sta schifezza, sempre sperando che lo schermo o la scheda video non siano stati danneggiati irremediabilmente dal virus. Mi dareste qualche consiglio o rassicurazione vi prego? Grazie mille.

    • Ciao Stefano, io personalmente ho rimosso varie volte, tramite combofix, il virus in questione. ti confermo che è assolutamente innocuo. Hai usato il link a combofix nel mio precedente commento? prova anche a usare la procedura ufficiale rilasciata dalla guardia di finanza a questo link
      fammi sapere

      • Combifix mi pare di averlo scaricato da lì, ma non sono sicuro, comunque, dopo averlo fatto partire mi ha detto che era incompatibile con vista… Ho controllato l’esecuzione automatica per pulire la roba come diceva il link della GDF, c’era solo un altro programma che ho messo io…

        Sicuro che non fa nulla al PC, come si spiegano le disfunzioni a livello di schermo o scheda video?

        • Strano che combofix non sia compatibile con Vista!! Nelle specifiche tecniche c’è scritto anche vista. ad ogni modo se hai il controllo account utente inserito hai provato a fare tasto destro sull’eseguibile –> esegui come amministratore?
          Ricordati anche che combofix va eseguito da Modalità Provvisoria!

          • Non ricordo se lo ho mandato in modalità provvisoria o meno, riproverò, grazie 🙂

      • ciao savino sono lele, anch’io incappato in ”polizia di stato” ma ho un’altro problema : accedendo al pc in mod provvisoria ed applicando come da metodo 1. tramite prog. ed esecuzione automatica le uniche icone sono due ,karspesky security scan e ctfmon che ovviamente non mi portano da nessuna parte.
        Non ho molta dimestichezza e sarei molto grato se tu mi potessi aiutare.
        Grazie

        lele

      • Ciao, io ho provato tutti e due i modi ma non riesco.. Sono disperata! combofix Non mi ha fatto niente, e con il primo metodo non riesco a spostarlo nel cestino! Vi prego aiutatemi!

        • Guarda che combofix risolve al 100%. Hai fatto fare tutto il procedimento al programma? ti è uscita una schermata blu che ti diceva i vari step di lavorazione?

    • Ciao Ragazzi!Dopo aver seguito i passaggi,sembra tutto a posto!Domani faccio ulteriori test!
      Siete davvero in gamba! Spiegato alla perfezione! 🙂
      Grazie mille!

    • grazie per la soluzione per toglire questo virus il file che ho trovato nella cartella siportava questa sigla: ctfmoon. grazie ciao

Rispondi a Silvia Cancella la risposta

Please enter your comment!
Please enter your name here

NOTA BENE: tutti i commenti che inserisci entrano a far parte di una coda di moderazione e quindi se non li vedi è del tutto normale. Devi aspettare che l'amministratore del sito li veda e li approvi (con relativa risposta). Per questo motivo si è pregati di inviare un solo commento per volta per non intasare il sito di commenti doppi. Tranquilli! Rispondiamo a tutti. Dateci solo il tempo :)

Notificami per e-mail

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.