Salve a tutti amici, torniamo a parlare di uno dei nostri “cavalli di battaglia”: il virus guardia di finanza e le sue infinite varianti. Il virus è conosciuto anche come polizia di stato unità di analisi sul crimine informatico virus e come virus Siae!
Le varianti sono tante, l’obiettivo è unico: quello di estorcervi denato: precisamente 100€! C’è da dire che alcuni nostri lettori hanno anche pagato 🙁
Come si prende
L’infezione viene trasmessa attraverso pagine Web, molto spesso di siti con contenuti per adulti(porno) che sfruttando dei computer non aggiornati, in particolare nei programmi Java, Adobe Reader e Flash Player, o poco protetti riescono a infettare il vostro sistema operativo senza praticamente che ve ne accorgiate in tempo.
Sintomi
Di questo virus esistono numerose(quasi infinite) varianti. Si va da quella che si limita a bloccare il desktop con un avviso di dover telefonare ad un numero(ovviamente a pagamento) a quella dove minacciando azioni legali perchè siete in possesso di materiale illegale e coperto da copyright e quindi vi viene chiesto di pagare (da parte delle varie forze dell’ordine)100€ per lo sblocco del vostro pc(come se fosse una multa). Quest’ultima variante(la più diffusa in italia) a sua volta si divide in altre varianti molto pericolose. Si parla anche di blocco totale del PC(compresa la modalità provvisoria, task manager e login di windows)
Tutte le soluzioni
In questi mesi abbiamo prospettato moltissime soluzioni nostre e altre suggerite dai nostri lettori . Vediamo assieme quelle più importanti e che hanno aiutato migliaia di persone a risolvere il problema.
Soluzione 1 – disconnettere internet
Andate su un altro PC e scaricate combofix, dopodichè mettetelo su una chiavetta. Spegnete il vostro PC infetto –> poi scollegate “internet” (togliete dal PC cavo di rete o cavo usb del modem) –> accendete il PC. In questo modo(senza internet) windows dovrebbe partire normalmente. Se vi parte normalmente eseguite il programma Combofix (precedentemente copiato sulla chiavetta) e penserà a tutto lui!
Soluzione 2 – ripristino sistema
Proviamo a far partire il PC in modalità provvisoria con prompt dei comandi(spesso anche se è disabilitata la modalità provvisoria questo comando funziona normalmente)
Per avviare Windows in modalità provvisoria occorre seguire sempre la stessa semplice procedura, indipendentemente dalla versione del sistema in uso (XP, Vista o Windows 7 che sia). non dovrete far altro che riavviare il computer (o accenderlo se è spento) e premere continuamente il tasto F8 della tastiera del vostro PC dopo la schermata di accensione. Comparirà una schermata su fondo nero con varie opzioni fra cui scegliere: utilizzando le frecce direzionali della tastiera potrete scegliere l’opzione sopra descrittà (cioè modalità provvisoria con prompt dei comandi)
Quando viene aperta la finestra di comando, digitare: c: Al prompt, digitare: %systemroot%system32restorerstrui.exe
Premere Invio.
Seguire la normale procedura per ripristinare una configurazione precedente del sistema utilizzando Ripristino configurazione di sistema. Impostate una data precedente al virus ed il gioco è fatto
Soluzione 3 – Mix tra la 1 e la 2
E’ possibile unendo le due soluzioni prospettate prima fare un’altra cosa. Staccate “internet” dal PC cosi come spiegato nella soluzione 1 e accendete il PC. Windows dovrebbe avviarsi normalmente senza virus. Appena avviato windows andate nel Menù Start –> Programmi –> Accessori –> Strumenti di sistema –> Ripristino configurazione di sistema e scegliete il punto da dove ripristinare il PC(ovviamente precedente al virus – i vostri dati non verranno persi)
Soluzione 4
Un’altra soluzione l’abbiamo già prospettata in un nostro precedente articolo. E’ un pò più complessa perchè vi fa agire sulle chiavi d registro di windows – quindi la consigliamo ad un utenza un pò più esperta. Eccola
Sono ben accette altre soluzioni, le pubblicheremo.
Ti potrebbero interessare:
Scusate. Mi è successo su Mac con Polizia Penitenziaria. Dopo un po’ (due tre minuti) ho spento il computer e riacceso. Ed è sparita la schermata e funziona tutto. E’ ok? O nei prossimi giorni succede qualche cosa di nuovo?
Buona sera sono riuscito a riconfigurare windows con la modalita provvisoria col prompt solo eseguendo rstrui.exe ora per essere sicuro di aver eliminato il problema che consigliate di scaricare combofix o cosa? Grazie
Io nn riesco a fare niente!
Mi è comparso questa schermata dell’interpol ma nn riesco nè a fare la midalità provvisoria nè quella con rete…mi aiutate?
Nn so come sn riuscito ad arrivare ad una skermata ke mi dice:
administrator:X:windowssystem32cmd.exe
Nella skermata nera mi kiede:
C:>
Ke devo fare?
Ciao mi è comparsa la celebre schermata della polizia dello stato, l’ho semplicemente chiusa, ho spento e riacceso il pc, e ne prima ne dopo ho notato alcun problema o blocco. Posso star tranquillo? Significa che non ho subito infezioni? Grazie
conviene che installi combofix e fai una scansione
Scusa l’ignoranza in materia ma combofix rischia di eliminarmi qualche file dal disco? Ne ho alcuni importanti di lavoro che dovrei assolutamente conservare
no no tranquillo
Non ce traccia del virus
Quindi funziona? 😉
Andato…ora sta ripristinando
Ok dovrebbe funzionare cosi 😉
Ho il prompt dei comandi che devo fare?
Prova a digitare rstrui.exe e a fare invio. dovrebbe aprirsi la console di ripristino del sistema. scegli una data precedente a quando è successo il casino e dovresti risolvere
Ma non ho la mod provvisoria ..la guida dice che e indispensabile
Assolutamente no. non è cosi. Hai letto qui = https://www.chiccheinformatiche.com/virus-guardia-di-finanza-si-e-evoluto-ecco-la-nuova-guida-per-risolvere-il-problema/
Non riesco a far partire combofix
.mi si apre la pagina drl virus e si blocca il.pc…help plsss
Infatti mi sembrava strano che funzionasse. di consiglio di partire con kaspersky rescue disk e seguire la guida. risolvi sicuramente cosi
Ho il setup di combo..solo che il pc si sta aggiornando cosa devo fare ?
Ma combofix funziona anche nel mio caso ? Un mio amico me lo sta passando su un usb
Non l’ho mai provato su windows 8. dovrebbe andare anche li
Ho trovato userinit nella gestione attività. .ma non ho il tempo di eliminarlo…il virus mi blocca tutto subito
Non ho kasperky
vabbè scaricalo, è gratis.
Non mi fa fare nulla …accendo il pc ..e va solo lo start..
Microsoft su windows 8 ha rimosso la possibilità di utilizzare la modalità provvisoria. Fa accedere ad essa da windows (stronzata). Ti consiglio di seguire la guida con le chiavi di registro.
Questa
Salve a tutti. Ho beccato il virus e non riesco a entrare in mod provvisoria. .non riesco a fare il ripristino come devo fare?
é windows 7?
No 8
Scusatemi, dal Mac, invece, come si rimuove?! Grazie!
Dal Mac si toglie con un antimalware per sistema MAC lo istalli aggiorni e via se hai un portatile disistalla la web cam da la entra.
Sono riuscito a rimuoverlo.. Ma la multa non è che arriva lo stesso, con supplento di mora magari?
Noooooooo che dici. è una truffa
salve, mi sono beccato questo maledetto virus! la schermata della polizia penitenziaria mi appare anche partendo con modalità provvisoria e modalità provvisoria con rete!
Posso far partire il pc solo in modalità dos! Premesso che ho installato windows 7, quale percorso devo seguire per arrivare alla cartella esecuzione automatica?
Ho provato anche con Kaspersky Rescue Disk: il valore DisableTaskMgr è impostato a 0, in Shell c’è explorer.exe e in Userinit il valore C:Windowssystem32userinit.exe, (virgola inclusa).
Come faccio a sapere se le voci nelle chiavi:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunEx
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
sono da considerarsi “strane”?
Vi prego aiutatemi!!!
PS: è possibile far partire combofix da modalità dos?
Scrivi il contenuto di esse (in genere ci sono poche righe quindi non è faticoso) e ti aiuto io 😉
Visto che hai windows 7 come sistema operativo potresti partire DA DVD/CD e selezionare l’opzione ripristina dal CD e ripristinare un “punto di ripristino” precedente al fattaccio. Spero di essermi spiegato
Voglio rispondere, nessuna paura scarica malwarebytes, se puoi, vai in modalità provvisoria con rete, istalla malwarebytes,aggiorna scan. veloce rimozione virus riavvia cclenaer pulizia.dovresti risolvere,se no ripristino di sistema,seno malwarebites se lo puoi scaricare camaleonte,non si istalla ma non viene bloccato da virus perchè risulta un file normale ma quando lo avvii diventa un potente antimalware dai il tempo di scansionare il pc,pulizia,risolverai,con uno di questi metodi.L ultimo è la formattazione,falla senza connessione.Un saluto.
Malwarebytes in modalita provvisoria con rete scan veloce rimozione riavvii, pulizia con cclenaer,dovresti risolvere,se no malwarebytes camaleonte fallo partire lui si trasforma da file innocuo in un potente Antimalware,stessa procedura.L ultima soluzione drastica formattazione senza connessione cosi il Malware combinato viene estirpato dalla formattazione.Un saluto.
Grazie Mariano per i suggerimenti, ma purtroppo il virus mi parte anche in modalità provvisoria, sia con rete che senza ed anche se cerco di farlo partire senza collegamento internet, perciò non posso fare la prova con Malwarebytes.
Volevo chiederti se era possibile far partire camaleonte da cd o comunque da dos, perchè l’unica modalità di accesso al pc che ho a disposizione è quella con il prompt di dos.
Grazie 1000 per l’aiuto!!
Grazie Savino,, ti elenco di seguito le voci presenti nelle varie chiavi di registro:
in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ci sono le voci:
– HotKeysCmds (file hkcmd.exe);
– IgfxTray (file igfxtray.exe);
– Persistence (file igfxpers.exe);
– SetDefault (file SetDefault.exe);
– SynTPEnh (file SynTPEnh.exe);
– SysTrayApp (file sttray64.exe).
in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce non c’è neanche una voce.
la chiave HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunEx non ce l’ho.
la chiave HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun non ce l’ho, ma penso sia corretto (correggimi se sbaglio) se controllo la chiave HKEY_USERSnome del mio computerSoftwareMicrosoftWindowsCurrentVersionRun e qui ho la voce:
– Skype (file Skype.exe).
in HKEY_USERSnome del mio computerSoftwareMicrosoftWindowsCurrentVersionRun Once non ho alcuna voce.
Spero di essere stato chiaro!
Per quanto riguarda la partenza da DVD/CD, quando ho acquistato il computer, non mi hanno dato alcun cd di windows.
Ho notato che sul pc in gestione risorse, oltre al disco C: vi erano anche un disco D: e un disco E: (per uno dei due, ma non ricordo quale vi era di fianco la dicitura disco di ripristino).
Secondo te posso provare a fare una partenza da uno di questi due dischi? Se si come posso fare?
Scusa, ma non sono un grande “smanettone” e non conosco molto bene queste “tecniche”.
Grazie in anticipo per l’aiuto!!!!
visto che hai a disposizione la modalità provvisoria fa una cosa. che all’avvio per avviare il pc in modalità provvisoria devi premete F8, vedi che oltre a questa voce c’è anche RIPRISTINA COMPUTER. Usa questo comando e successivamente fai Ripristino configurazione di sistema scegliendo un salvataggio con data precedente al virus! fammi sapere
Grazie!Il ripristino non ha funzionate per me…pero combofix si! Ho aperto una sessione provvisoria con rete mi ho scaricato combofix e cosi via!Grazie ancora!
semplicemente grazie x la soluzione …. 😉
ho risolto.. grazie mille ragazzi.. siete grandi.. persino un’ignorante come me è riuscito ha risolvere grazie hai vostri consigli..grz ancora
La mia soluzione andare in modalità provvisoria con rete,istalla malwarebytes, fallo aggiornare scansione veloce, virus trovato ,eliminare,riavviare normalmente pulire con cclenaer,il pc ritorna nuovo.
L’ho beccato dopo aver scaricato un video da un sito porno. MAI fare doppio click nella finestra di download, bensì si deve fare click destro e “apri con”. In questo modo se non è un vero filmato il programma non lo riconosce. Mentre con un doppio click si avvia il programma .exe mascherato da filmato.
Per nascondere un programma .exe come un documento diverso, è sufficiente rinominare il file cambiando l’estensione da “.exe” a… del tipo “.{778r9qhfew0q….} che è una chiave che windows associa ad un particolare documento. Una volta rinominato il file appare con l’estensione del documento e tanto di icona.
Grandi ragazzi grazie mille!!!
Io sono abbastanza inesperto Sulla pagina dei comandi ho digitato: c: Al prompt e dopo mi è ricomparso “C. windowssystem32>”. Allora ho digitato: %systemroot%system32restorerstrui.exe ma mi dice “Impossibile trovare il percorso specificato”. Che devo fare? Ho sbagliato qualcosa?
se sei già in system32 basta lanciare l’altra parte:
fai CD RESTORE poi INVIO
poi scrivi rstrui.exe e poi INVIO
scusate l’ignoranza.. ho seguito il passaggi in modalità provvisoria..e anche io come Saverio, sono gia in system 32; successivamente ho scritto CD restore, poi rstrui.exe ma pio non mi esce più nulla.. osa devo fare? ho sbagliato qualcosa
Forse ho fatto tutto bene.. E non ho capito questo passaggio : “Seguire la normale procedura per ripristinare una configurazione precedente del sistema utilizzando Ripristino configurazione di sistema. Impostate una data precedente al virus ed il gioco è fatto.” Potete spiegarmi cosa devo fare.. scusate ancora l’ignoranza..
polizia penitenziaria….nessuno sa dirmi niente?
è sempre lui il virus. segui questa guida..
le ho provate un pò tutte…non parte in modalità provvisoria……combofix li fa un baffo…….l’unico modo mi semnpra con modalita prompt ma tutti i tentativi sono vani.
combofix lo toglie 100%. se non riesce a toglierlo(strano) prova a fare un ripristino configurazione di sistema ad una data in cui al 100% non avevi virus.
La versione che ha contagiato il mio PC, rendeva impossibile l’ avvio in
modalità provvisoria e ha inquinato i back-up del registro, rendendo impossibile un ripristino. Tuttavia si poteva leggere in “run” il nome del file esecutivo “wlsidten.exe”. Eliminato questo file e riaggiustato il
registro, finalmente ho risolto il problema.
Risolto con il metodo n°2 + una spazzata di Combofix, grazie!
A me non va la modalità provvisoria in nessun modo!!! Help
Ciao! Potete spiegarmi meglio come far ripartire il pc da un punto di ripristino precedente? A me il virus non fa partire la modalità provvisoria, mi aiutate?
x Paolo: come faccio a leggere il “run”??
GRAZIE!!!
Anche con internet scollegato mi appare il blocco,come posso fare?
modalità provvisoria con prompt dei comandi ti parte?
ciao, queste cose funzionano ancora? volevo sapere se il virus si prende usando il browser anonimo Tor. grazie
no no il virus si prende soprattutto quando si cerca di scaricare qualcosa dal web. ad ogni modo si, funzionano ancora
grazie! balordo perchè m’è preso un infarto, c’era tanto di webcam accesa!! e stavo semplicemente leggendo degli appunti di facoltà online!
Si, in effetti il virus è fatto bene e trae in inganno 🙂
salve, mi è appena successo pure a me..mi è apparsa la schermata polizia di stato ecc..si è bloccato il pc, ho spento tutto scollegato da internet..poi ho riacceso e tutto ok..ho fatto scansione antivirus l’ha trovato, quarantena ed eliminato..secondo voi può bastare?
Certo! se non esce all’avvio lo hai rimosso 😉
ciao
volevo chiederti..mi è comparsa una scritta “polizia penitenziaria il tuo brower (mozilla) è stato bloccato…” HO CHIUSO TUTTO SPENTO TUTTO SCOLLEGATO TUTTO
ora lo riapro per fare le operazioni che mi consigli ma va tutto….sto provando antivirus ..ma tutto va bene….il computer non sembra avere problemi nemmeno con internet e mozilla … che mi consigli? che può essere successo? devo far altri controlli? grazie
ti consiglio di fare una ripulita con combofix. dopo sei ok! 😉
se scollego internet non mi parte combofix dalla chiavetta usb aiutoooooooooooo
strano, combofix dovrebbe lavorare anche offline. forse hai scaricato una versione un pò vecchia?
ho usato poi il sistema 3 che consigli ….con data
ok, spero abbia risolto 😉
io ho risolto faceno un ripristino a qualche giorno prima… tutto ok virus sparito… ciao……..
Siete grandi grazie.
salve a tutti,
ho beccato anche io il virus siae, inizialmente si è bloccato il pc ( notebook win 7 ) dopo alcuni tentativi è ripartito ed ha funzionato per alcuni giorni normalmente. adesso quando accendo il mio pc viene visualizzata una pagina tutta bianca, oppure la pagina di win7 tutta celeste con il logo centrale. non mi escono piu le icone sul desktop.non parte neanche in modalità provvisoria. come posso risolvere?
grazie
è netbook installato tramite penna usb
se riesci a far partire il windows tramite la pennetta puoi fare un ripristino del computer e ripristinare una vecchia immagine tramite ripristino configurazione di sistema.
mi puoi spiegare come faccio il ripristino da windows?
inserisci il CD o chiavetta usb con il sistema operativo.
Riavviare il computer utilizzando il pulsante di alimentazione.
Se richiesto, premere un tasto qualsiasi per avviare il computer dal disco di installazione o dal disco usb
Se il computer non è configurato per l’avvio da un CD o DVD o usb bisogna impostarlo nel bios
Scegliere le impostazioni di lingua e quindi fare clic su Avanti.
Fare clic su Ripristina il computer.
ciao ieri sera ho beccato il virus.
all’inizio riuscivo ad entrare in modalità provvisoria ma nn ho potuto fare niente perchè non disponevo di connessione wireless ma di una pennina che non veniva riconosciuta in modalità provvisoria con rete.
ora non posso entrare nella modalità provvisoria perchè una volta ke carica i device del pc non parte il boot del sistema ma rimane in schermata nera con trattino bianco che lampeggia in alto a sinistra.
Come posso procedere?
strano che windows non ti da opzioni- è windows 7?
si
hai per caso un cd/dvd di installazione del sistema operativo?
ho dati importanti salvati.
penso di avviare una live di linux e salvarmi i dati e poi procedere con la live di windows.
devo fare tutto da shell?
si se sei esperto puoi anche salvarti i dati prima con una distro linux avviabile da cd usb. il ripristino configurazione di sistema che ti ho consigliato io non cancella nulla. semplicemente porta windows ad una versione di qualche giorno precedente(impostazioni, non file)
ho paura che abbia compromesso il bootmngr di windows e non parta per quello
Mio fratello aveva preso il virus sul suo portatile e per rimuoverlo, anzichè riavviare in modalità provvisoria, ho premuto ctrl+alt+canc, ho rieffettuato il log on, e, basandomi sui consigli trovati in rete, l’ho eliminato manualmente dalla voce “esecuzioni automatiche”