Rimuovere virus Polizia di stato o Guardia di finanza con Combofix

Se vi compare questa schermata avete preso un rootkit , per rimuoverlo potete entrare nel sistema premendo il tasto F8 all' avvio del computer ed entrare in modalità provvisoria.
Oppure all' avvio prima di visualizzare la schermata della violazione, premete contemporaneamente i tasti ctrl+alt+canc due tre volte, fino a visualizzare la schermata task menager e rimuovete l applicazione attiva e  nei processi terminate userinit.
A questo punto scaricate il file combofix e scansionate il sistema.


Vi ripulirà il sistema che viene infettato.
Il file colpevole si trova nel registro di sistema digitando regedit da esegui:

Nel percorso 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Dovete cambiare il valore SHELL che sarà un valore casuale nella cartella temp, mettendo il valore explorer.exe







Vedi anche tutte le Novità che riguardano WINDOWS iscriviti alla pagina di Goolge PLUS

112 commenti:

  1. Ciao,
    noi abbiamo avuto un Pc windows7 affetto da tale Trojan, abbiamo provato molte strade ma nessuna ha funzionato.
    L'unica soluzione provata come ultima spiaggia è stata di ripristinare la configurazione di sistema ad un data precedente a quella in cui è apparso il problema.

    RispondiElimina
    Risposte
    1. In alcune varianti del virus non si riesce ad effettuare il ripristino.

      Elimina
    2. Con modalità provvisoria e un po’ complicato, e poi io ho trovato una versione che si avviava anche in modalità provvisoria, meglio da fuori windows con il cd di Hiren’s. Trovate le indicazioni dettagliate e altri importanti consigli in una piccola applicazione chiamata Windows 7 Assistenza e Manuali che potete scaricare dal sito www.pubblicitasicura.com dalla pagina Servizi, ciao

      Elimina
  2. E' ancora piu semplice di quanto voi crediate rimuovere il virus in oggetto.
    allora per chi non avesse nozioni informatiche o sia poco pratico col pc seguite questa proceduta:
    1)andate su star>cerca>inserite la parola (esecuzione automatica),controllate tutte le cartelle all'interno di esse troverete dei files .exe o .ddl andate sul file e con il tasto destro del mouse controllate la data di creazione se corrisponde alla data di bloccaggio del vostro pc eliminate il file eseguibile,eliminate poi dal cestino,riavviate ed il gioco e' fatto.
    spero di essere stato utile
    buona rimozione a tutti

    RispondiElimina
    Risposte
    1. Ti ringrazio per il consiglio. Pur essendo a digiuno in questo campo
      sono riuscito a risolvere il problema.
      Ciao Tonino

      Elimina
    2. muito obrigado, grazie mille il tuo metodo è ottimo

      Elimina
    3. Con l'ultima versione, NESSUNO e ripeto NESSUNO dei metodi elencati funziona, è scandaloso che nessun antivirus lo rilevi, davvero una vergogna.

      Elimina
    4. Niente da fare, compreso combofix, consiglio rivolgersi a VERI esperti prima di formattare.

      Elimina
    5. Questo commento è stato eliminato dall'autore.

      Elimina
    6. Ottimo risolto il problema! Grazieeeeee!

      Elimina
    7. Ottimo risolto il problema! Grazieeeeee!

      Elimina
    8. sto provando il metodo, vedremo se funziona,vi farò sapere!

      Elimina
    9. facendo solo un ripristino del sistema a qualche settimana prima , ho risolto il problema.. grazie comnq.

      Elimina
    10. ma siamo sicuri che invece non sia vero?

      Elimina
    11. Grazie mille......avevo il pc bloccato da giorni e non potevo lavorare....soluzione rapida, semplice, ma sopratutto efficace!!!!!

      Elimina
    12. provare con una versione live di windows con hirens boot cd e togliere i file

      Elimina
  3. Alcuni file infetti però facendo così restano nel pc e non sempre riesci a fare questa operazione.
    La cosa migliore è ripassare i file con combofix

    RispondiElimina
    Risposte
    1. ciao, non riesco ad usare Combofix... mi spiego: il pc infettato funziona solo in modalità provvisoria ma non c'è connessione ad internet... ho scaricato Combofix da un altro pc, l'ho messo nella pen-drive ma quando lo scarico nel pc infettato il programma non parte...quindi funziona solo on line?? non c'è un antivirus che parte anche senza connessione internet??...ho provato di tutto...in "esecuzion e automatica" non c'è nessu file... hofatto il ripristino ma niente... ho digitato "regedit" ma non trovo "shell"... help!!!! grazie......

      Elimina
  4. Ciao. ho fatto tutti i step come da voi consigliato:

    -modalita' provisoria in rete-scaricato combofix-scansione-log salvato sul desktop...

    E ora non parte piu' l'internet, ne le applicazioni on line.

    help pleaseee!

    RispondiElimina
    Risposte
    1. anche io ho lo stesso problema non si connette nemmeno con la chiavetta e non so se sia dovuto al fatto che non si è eliminato del tutto o meno...oltretutto non riesco nemmeno a finire le scansioni con l'antivirus nod 32 :( devo rifare la procedura o basta ripristinare il pc a una data antecedente?

      Elimina
    2. Se riesci prova a ripristinare a una data antecedente il computer !

      Elimina
    3. ciao a tutti riguardo l'antivirus quello della polizia io ho proceduto ho agiornato avg 2013 e ho fatto scansione e x momento il mio pc non sie piu bloccato

      Elimina
  5. Questo potrebbe essere un problema legato alla tua connessione internet, comunque se adesso riesci ad aprire la scrivania di windows vai in programmi accessori e cerca la voce ripristino di configurazione e ripristina il pc a una data antecedente quella del contagio del pc.

    RispondiElimina
  6. Gentilissimi:

    Ho provato a seguire vari consigli, sospetto che intanto il virus sia stato cambiato perché non si trova più con le procedure consigliate dalla Polizia Postale e nemmeno dal blog del cortesissimo sig. Balzano.
    Inoltre, diversamente da quanto riportato da alcuni, il virus non blocca tutto ma scatta solo quando il PC è connesso a Internet (io uso la chiavetta).
    Cercando l'eseguibile responsabile come suggerito da Pippo Franco, si trova un file cftmon.exe, ma tentando di cancellarlo si ottiene solo... di vederlo ricomparire con la data di oggi! Quindi è a sua volta generato da qualche entità che non riesco ad individuare.
    Quindi ho potuto, senza collegarmi, eseguire prudenzialmente un backup in modoi da essere pronto anche al peggio,
    Per ora, apparentemente, funziona l'idea di ripristinare la configurazione a prima dell'evento, acccaduto venerdì scorso nel mio caso. Non sono però sicuro di aver risolto il problema definitivamente.

    Grazie dei consigli!

    Sergio

    RispondiElimina
    Risposte
    1. Se sei riuscito nel rispritino dovresti essere apposto, ti consiglio di scaricare e far fare una scansione a un buon antivirus gratuito come antivir ! Ciao

      Elimina
    2. Si dice "a posto"!

      Elimina
  7. ciao scusate, ho preso anche io il virus polizia di stato, ho fatto la procedura, ma quando apro esecuzione automatica nn ce nessun file. dove potrei cercarlo? grazie

    RispondiElimina
    Risposte
    1. Cerca di lanciare combofix o fare un ripristino di sistema, il file eseguibile è difficile da trovare.

      Elimina
  8. Che palle sto virus! Cazzo vogliono da noi 'sti nerd smanettoni kraker piscialletto! Ho seguito i vs. consigli ma credo che opterò al riavvio di una versione precedente di winzozz 7!

    RispondiElimina
    Risposte
    1. Questo commento è stato eliminato dall'autore.

      Elimina
    2. Potresti passare a un nuovo Sistema Operativo Ubuntu
      puoi andare in questo sito per leggere tutti i dettagli.
      http://linuxubuntu.myblog.it/

      Elimina
  9. Io non riucivo a fare più niente se connesso e in mod. Provvisoria nemmeno il ripristino pero sempre in provvisoria son riuscito a scaricare combofix: 10 minuti di scansione e ho risolto... ha fatto tutto da solo Grazie del consilio Ciao

    RispondiElimina
  10. aiutooo. x favore e' urgente sono arrivato a cliccare sulla cartella shell dopo k cosa devo fare ...sto impazzendo

    RispondiElimina
    Risposte
    1. Combofix elimina file
      Muzzapp. Exe

      Elimina
  11. Ho fatto la scansione con combofix ma ora non riesco ad aprire moltissimi file
    o lanciare programmi. Mi dice "è stata tentata un'operazione non consentita su una chiave di registro di sistema segnalata per l'eliminazione."
    Cosa faccio?

    RispondiElimina
    Risposte
    1. A questo punto prova ad effettuare un ripristino di configurazione di windows.

      Elimina
  12. il motivo per cui non va su internet è perchè il virus cambia il proxy, andate su impostazioni di rete e mettete i paramteri corretti.

    RispondiElimina
  13. ciao ragazzi, ho provato tutti i sistemi suggeriti, avevo già la modalità provvisoria e anche il ripristino bloccati, ma è possibile effettuarlo ugualmente: bisogna innanzitutto entrare con il modem spento, così non si attiva il virus. Per effettuare il ripristino basta cercare e fare doppio clic sul file rstrui.exe. Ora sto scaricando combofix, speriamo che funzioni. In questo momento ho il modem acceso e non si è ancora attivato.

    RispondiElimina
    Risposte
    1. boh adesso sembra funzionare tutto però lunedì lo porto ugualmente per un controllo

      Elimina
    2. Se riesci a scaricare combofix e fare una scansione direi che sei apposto!
      Se vuoi puoi utilizzare anche l' antivirus gratuito antivir !

      Elimina
    3. Si dice "a posto"!

      Elimina
  14. io ho provato il sistema di pippo francoci sono riuscito

    RispondiElimina
    Risposte
    1. Con le ultime varianti del virus l' utente non riesce a fare alcuna modifica al computer.
      potete provare alla partenza a cliccare tre volte ctrl+alt+canc e terminare l'esecuzione del file svchost.exe sperando di bloccare momentaneamente il virus per poi poter lanciare combofix, che fino ad ora è il miglior strumento per rimuovere tutti i file infetti dal pc.

      Elimina
  15. andate su cerca cliccate e viene fuori la finestra in rosso di avg e da lì lo eliminate io sono riuscito come diceva pippofranco

    RispondiElimina
  16. grandissimi consigli!!!!
    solo che ,praticamente non posso fare nulla.... TUTTE LE AZIONI SONO BLOCCATE ,perche' non son "AMMINISTRATORE".
    NON posso lanciare Combofix
    NON posso fare un Ripristino
    NON riesco a eliminare il File del Virus perche' è un "ctfmon" che continua a ricrearsi nella lista dei File in Esecuzione.

    Mi potete aiutare,onde evitare di chiamare in azienda e prendermi parole????

    RispondiElimina
    Risposte
    1. Se non sei amministratore del computer riesci a fare ben poco, l' unica possibilità potrebbe essere quella di fare partire il computer da cd/dvd,usando un cd di boot con installato o linux o un Sistema Windows PE, in modo da far fare il boot della macchina senza il Sistema Operativo originale!
      E una volta avviato cercare i file sospetti ed eliminarli!
      Oppure se riesci a reperire l' immagine iso di Erd Commander, programma a pagamento, potresti fare avviare il computer con quest' ultimo programma ed effettuare il ripristino di sistema in una delle opzioni che il programma consente!

      Elimina
  17. chiedo scusa ho preso anche io lo stesso tipo di virus, solo credo che sia la variante nuova perchè ho provato un paio di volte ad effettuare l'accesso in modalità provvisioria ma anche in quel caso il virus mi precede e blocca tutto! Una sola volta sono riuscito a cliccare su "programmi ad esecuzione automatica" appena prima che si attivasse il virus ma in ogni caso non ho visto nessun file tra quelli contrassegnati "exe" o "dll"! Che dovrei fare a questo punto? Non essendo molto pratico a livello informatico non ho idea di come muovermi. Come faccio ad installare combofix se il virus mi precede ed ha già bloccato tutto? Grazie in anticipo per la disponibilità!

    RispondiElimina
    Risposte
    1. Prova alla partenza dopo password a premere due tre volte ctrl+alt+canc,in processi termina userinit o svchost e poi prova il ripristino!

      Elimina
    2. Ciao anche io ieri ho avuto lo stesso problema...Non sapendo cosa fare ho seguito la procedura che utilizzai tempo fa per eliminare un virus che mi disattivava l'antivirus...
      Essendo un ignorante in materia ieri non riuscivo nemmeno a far partire il pc in modalità provvisoria...
      Con il pc acceso ho tolto la batteria,appena riacceso mi è uscito scritto "il computer non è stato spento correttamente avviare con: io ho scelto modalità provvisoria...Ho fatto una scansione con avira free "in modalità provvisoria" e mi ha rilevato 5 virus...ora il pc va benissimo...Spero che riuscirai a risolvere il problema!!ciao

      Elimina
    3. ho beccato il virus, sono entrato in modalità provvisoria il virus era in esecuzione automatica manon si cancellava. con il tasto di destra ho visto il percorso dove era COPIATO sono andato e l'ho cancellato.
      il pc è ripartito normalmente... ho fatto scansione avira e ha trovato 2 virus.

      Elimina
    4. Prova ad utilizzare anche combofix per essere sicuro di eliminare tutti i file, anche se già con avira dovrebbe essere tutto apposto!

      Elimina
    5. Si dice "a posto"!

      Elimina
  18. Ho ancche io il vostro problema....virus ....malefico !! Ho utilizzato combofix....ora sembra tutto ok.....devo rivedere la connesione internet, per il resto sembra tutto ok. Grazie.

    RispondiElimina
  19. Per chi ha problemi (nel senso che rimane tutto bloccato) dovete comporre ctrl+alt+canc e da li scegliere "disconnetti". Fatto questo staccate materialmente modem - chiavetta o qualsiasi altro mezzo che vi connette ad internet e poi riaccedete come amministratori al pc...ora non riappare la schermata del virus...quindi si può utilizzare combofix sperando che tutto torni ok...

    RispondiElimina
    Risposte
    1. Così non ho mai provato sei riuscito senza eliminare file in esecuzione ?

      Elimina
  20. Ho preso anche io il virus e non potendo usare la modalità provvisoria, ho provato e risolto in questo modo:

    1) quando compare la schermata del virus con il messaggio ecc ho fatto ctr-alt-canc e ho fatto log off e poi di nuovo log on, dopo il nuovo log on non compare più la schermata del virus
    2) ho scaricato da internet un altro task manager (dtaskmanager) perchè taskmanager di windows non lo fa aprire
    3) ho selezionato tutti i processi attivi sotto la mia user e gli ho killati tutti. a questo punto taskmanager torna a funzionare e il virus al momento non sembra più in eseciuzione
    4) ho aperto msconfig e sotto il tab starup/avvio ho controllato i programmi in avvio. Ne ho trovato uno strano sotto "ctmon" che si chiama g7i0ol_kaz.exe. Ho disabilitato l'esecuzione, ho rinominato il file come g7i0ol_kaz.old e ne ho creato uno fittizio g7i0ol_kaz.exe readonly
    5) ho riavviato il pc e il virus per adesso non si è più presentato

    RispondiElimina
  21. allora il virus polizia di stato si chiama RTY0_7Z.exe e di solito si puo'
    trovare nella cartella temp ma potrebbe anche essere altrove,quindi andate
    alla cartella predetta e quando lo trovate eliminatelo,qualora fosse altrove lo
    potrete trovare con la funzione "cerca"di Window
    poi riavviate il pc.
    Werner

    RispondiElimina
    Risposte
    1. Il Virus/Malware cambia nome e forma!
      Vi conviene sempre utilizzare un software per la rimozione, per essere sicuri di eliminare anche altri file sospetti, che potrebbero servire per attacchi futuri.
      PS: il migliore per ora è combofix !

      Elimina
  22. Spero do averlo risolto in questa maniera:
    Ho acceso in modalità provvisoria, dal menu start ho scritto in esegui "msconfig"
    e si è aperto il task manager.
    Ho controllato nei processi non caricati e ho trovato un processo annullato con una serie di numeri e lettere di provenienza sconosciuta.
    Dai percorsi riportati ho cancellato i file

    RispondiElimina
    Risposte
    1. Per sicurezza prova a far girare anche avira antivir , antivirus gratuito per vedere se ci sono rimasti altri file infetti.

      Elimina
  23. Il file da eliminare è nella cartella Temp, si chiama deo0_sar.exe; procedere in questo modo: start > tutti i programmi > esecuzione automatica - tasto dx > apri;
    nella cartella è presente un'icona che di solito si chiama ctfmon che punta al file di cui sopra; per arrivarci fate tasto dx su ctfmon e scegliete proprietà e potrete scoprire il percorso che dovrebbe essere il seguente: C:\utenti\nome_utente\AppData\local\temp\deo0_sar.exe. Eliminare il file e svuotare il cestino. Naturalmente tutto questo dopo aver fatto partire il computer in modalità provvisoria; al riavvio dovrebbe essere tutto a posto. Testato su un netbook con windows 7 e connessione con chiavetta vodafone.

    RispondiElimina
  24. Chiedo scusa, il file si chiama deo0_sar.exe

    RispondiElimina
  25. il sistema cambia lo zero finale e mette una o, me ne sono accorto solo adesso, credevo di aver sbagliato a digitare, il file è deo(zero)_sar.exe

    RispondiElimina
  26. Io avevo trovato questo file ma non me lo faceva eliminare ma era su una cartella Temp che ora non riesco più a trovare. Ho windows XP. Il file su esecuzione automatica mi diceva dove era ma non riesco ad accedere a quella cartella perchè ha un colegamento strano con quelle virgolette in alto che non so riprodurre .

    RispondiElimina
  27. Ciao, ho un problema con questo virus: sono riuscito ad eliminarlo con combofix, ma il fatto é che ha creato dei danni che sono tuttora presenti nel computer; nello specifico non ho piú connessione a internet (eliminate tutte le voci da risorse di rete), non legge più usb, ne chiavette ne altro, ha eliminato il tema classico di xp e ha eliminato tutti i vecchi punti di ripristino. Qualcuno sa come rimediare? Vorrei evitare di formattare, grazie della risposta.

    RispondiElimina
    Risposte
    1. Non so, forse nel tuo caso conviene reinstallare mi viene da dire, hai un sistema pulito e senza file che potrebbero essere infetti.

      Elimina
    2. Si, anch'io credo sia l'unica soluzione, grazie.

      Elimina
  28. Salve, io ho cancellato direttamente il file deo0_sar.exe , mi dice
    all'avvio di windows 7 errore durante l'avvio di C:\user|AppData\local\temp\deo0_sar.exe impossibile trovare il modulo specificato come devo fare?
    Grazie .

    RispondiElimina
    Risposte
    1. E' successo anche a me.
      Quel messaggio appare perché nonostante il file sia stato eliminato rimane nell'elenco dell'avvio automatico.
      Io l'ho risolto così: start--> esegui--> msconfig
      Nella scheda Avvio togli la spunta a Ctfmon

      Elimina
  29. Lancia Combofix per vedere se ti ripulisce il registro,o fai un ripristino di sistema di windows 7.

    RispondiElimina
  30. Beccato anch'io...
    Dpo avere letti i commenti ha tentato il ripristinodal punto del giorno precedente ma niente.
    Risolto con combofix.
    Meno male!!!
    Grazie a tutti.

    RispondiElimina
  31. modalità provvisoria f8, start, programmi, esecuzione automatica, rimuovere ctfmon.exe, svuota cestino.

    RispondiElimina
    Risposte
    1. Questo commento è stato eliminato dall'autore.

      Elimina
  32. Io ho risolto grazie al post di Albs, infatti il nome del virus che avevo preso era deo0_sar.exe
    Sono andata, in modalità provvisoria, nella cartella che lo conteneva, l'ho eliminato e svuotato il cestino.
    Al riavvio però il pc mi ha fatto due schermate blu nel giro di venti minuti, schermata blu relativa a un'immagine danneggiata.
    Il messaggio preciso diceva "L'applicazione o ddl \??\C:\WINDOWS\system32\MSCTF.dll non è un'immagine valida."
    Così sono tornata in modalità provvisoria e ho passato combofix.
    Quella schermata non è più riapparsa.
    Quindi sì, una passata di combofix ve la consiglio.

    RispondiElimina
  33. ragazzi, anch'io vittima di questo killer e che a differenza di tanti altri non mi ha dato possibilità alcuna nemmeno in modalità provvisoria. Alla fine leggendo in giro sul web consigliavano "malwarebyte" un antimalware piccolo ma tanto efficace che in un attimo ha beccato "il bastardo" e lo ha rimosso. Ho un notebook con O.S. VISTA, il virus si attivava ancor prima che finisse di caricare tutti i file, botta di c... fortuna, premo il pulsante di spegnimento e si apre una finestra di dialogo che mi chiede se voglio spegnere senza aver chiuso altre applicazioni (chissa quali visto che non potevo aprire nulla) clicco sul no e come per magia il virus si iberna dandomi la possibilità di aprire internet, scaricare l'antimalware ed avviarlo....PROBLEMA RISOLTO FORTUNATAMENTE!!!!!!!

    RispondiElimina
  34. Io ho risolto il problema MALWARE - POLIZIA DI STATO eliminando l'Account con
    cui ero entrato in WINDOWS nel pannello di controllo. Ora accedo con un altro
    nome utente senza poteri di amministratore. Prima di eliminare l'account ho
    recuperato tutte le icone del desktop del vecchio account "malato" da Documents and Setting\vecchio account\desktop. Ora tutto funziona bene.
    Dino Brighenti - Trento

    RispondiElimina
  35. Sto usando combofix e mi si é aperta una finestra blu..é quella la scansione che fa?

    RispondiElimina
    Risposte
    1. SI E' la scansione che fa al sistema e se trova qualcosa di grave lo riavvia. Al riavvio aspetta che combofix finisca la scansione, una volta finita di avvisa.

      Elimina
  36. In modalità provvisoria non sono riuscito a fare nulla perchè il file in esecuzione automatica era invisibile.
    Combofix partiva ma dopo diversi minuti mi bloccava tutto e la scansione andava a farsi benedire.
    Altri antivirus/antimalware sembrava che facessero solo il solletico (quando partivano) alTrojan che mi ha infettato il computer.
    Ho risolto eliminando definitivamente l'Account che mi proiettava la schermata del Rootkit/Trojan in argomento e poi ho istallato e fatto girare un antirootkit (Karspersky Killer) e un buon antivirus (Virit explorer lite).
    Mi sembra che ora il computer funzioni pure meglio

    RispondiElimina
    Risposte
    1. Facendo così hai impedito l' esecuzione automatica del virus che di solito si torva nella cartella temp del profilo utente.
      Direi che va bene cosi!

      Elimina
  37. Ottimo blog. Ma a me combofix alla fine non da nessun "report"...mi devo preoccupare??

    RispondiElimina
    Risposte
    1. Non ti preoccupare forse la finestra dos si è chiusa senza che tu la vedessi :-)

      Elimina
  38. Ottimo, funzionante al 100% su Windows 7 Enterprise 32 Bit
    ;)

    RispondiElimina
    Risposte
    1. Funziona anche su windows 8 il nuovo Sistema Operativo di Microsoft che uscirà a ottobre.

      Elimina
  39. trovato e sterilizzato ....... era in esecuzione automatica ma appena lo spostavo nel cestino riappariva il maledetto.percio' sempre in modalita provvisoria prima ripulire la cronologia di explorer e poi ripulire la cartella di esecuzione automatica poi un buon antivirus

    RispondiElimina
    Risposte
    1. Oltre all'antivirus ti consiglio di usare anche un antispyware come superantispyware oppure combofix .

      Elimina
  40. Mi sono beccato il virus ieri sera e già posso anticipare che con i vari ctrl-alt-canc, non ho risolto nulla. C'è da dire che non avevo spento il modem e tentato l'avvio in modalità provvisoria.
    Gentilemte, qualcuno potrebbe riepilogarmi gi step da effettuare per il ripristino con Windows XP?
    GRAZIE MILLE!

    RispondiElimina
    Risposte
    1. prova in modalità provvisoria e rimanda indietro il pc di qualche giorno, start-programmi-accesori-unità di sitema-ripristino configurazione di sistema.

      Elimina
  41. ma se invece non è un virus?

    RispondiElimina
  42. vi ringrazio per l'ottimo e utile blog. Scaricando combofix e seguendo le istruzioni il virus e' stato rimosso e il pc funziona bene (A parte un problemino per cui si è sconfigurata una stampante che non riesco a ricollegare). meritereste voi il compenso per i suggerimenti che date. GRAZIE!

    RispondiElimina
  43. ciao, scusa posto qui il mio comemnto che ho messo anche sopra (non sono riuscita a cancellarlo...)... non riesco ad usare Combofix... mi spiego: il pc infetto funziona solo in modalità provvisoria ma non c'è connessione ad internet... ho scaricato Combofix da un altro pc, l'ho messo nella pen-drive ma quando lo scarico nel pc infettato il programma non parte... quindi funziona solo on line?? non c'è un antivirus che parta anche senza connessione internet??...ho provato di tutto...in "esecuzione automatica" non c'è nessu file... ho fatto il ripristino ma niente... ho digitato "regedit" ma non trovo "shell"... help!!!! grazie......

    RispondiElimina
    Risposte
    1. sono sempre io...volevo dire che ho risolto il problema..in realtà non ho capito come abbia fatto perchè mi risultava che che tutti i metodi che avevo usato non fossero andati a buon fine...ma evidentemente qualcuno ha funzionato...probabilmente facendo il ripristino del sistema... cmq il pc è partitio tranquillamente e adesso è ok :-D...spero quel virus sia stato eliminato definitivamente e che non si ripresenti più...!!! ammetto di averlo beccato a causa del video hot di quella baldracca di Sara Tommasi...e pensare che ho sempre cercato di stare attenta a siti sospetti ma la curiosità e la testa intontita dal caldo pesante di questi gg mi ha fregataaa!!! cmq grazie per i consigli e i suggerimenti che date su questo sito. Alla prox:-)! anzi spero di no altrimenti vuol dire che ho beccato un altro virus ;-)cerchiamo di stare tutti più attenti...purtroppo il web è pieno di insidie... e teniamoci sempre aggiornati sui virus che corrono...ciaooo!!!

      Elimina
  44. ciao a tutti,ho beccato il virus poco fa. ero su internet con un account limitato. Provando a eliminare da esecuzione automatica ho notato che si trova solo nell'account ctfmon e non dall'amministratore e non riesco ad eliminarlo in quanto mi dice che serve l'autorizzazione da trustedinstaller. ho provato con malwarebytes, ma non ha funzionato. Inoltre nel file di registro shell mi da già explorer.exe. Ho installato da modalità provvisoria combofix sull'amministratore. ho fatto fare la procedura e alla fine ha riavviato windows.l'ho fatto partire in modalità normale sull'account limitato, ma si è bloccato il pc con l'apertura e chiusura velocissima della finestra di combofix. devo aspettare o posso provare chiudere combofix e/o disinstallarlo?
    ps. in precedenza in un tentativo di riavvio da utente senza privilegi mi dava la famosa schermata
    grazie mille per l'aiuto

    RispondiElimina
    Risposte
    1. anche riavviando la finestra di combofix mi appare sempre, cosa posso fare?

      Elimina
    2. come non detto. dovevo riavviare sull'account amministratore. sembra che tutto abbia funzionato. speriamo nn ci siano altri problemi

      Elimina
    3. Se sei riuscito a fare eseguire combofix non dovresti avere altri problemi!

      Elimina
  45. Se l'infezione è avvenuta avvigando con un account utente, allora il problema è semplicemente risolvibile. Si entra nel computer con l'account aumministratore e si va a "frugare" nell'unità "C" nella cartella intestata all'utente infettato. Bisogna trovare il file exe "maledetto" e cancellarlo. Il file si trova in una delle sottocartelle di "local" o "app data". In ogni caso è dentro in una cartelletta "temp". La sua identificazione è facile, anche se non ne conosciamo il nome. Infatti è l'unico file "exe" la cui data di creazione coincide con la data in cui abbiamo preso il virus. Il file va cancellato. A questo punto possiamo tranquillamente uscire dall'account amministratore ed entrare nell'account "infetto". La schermata del virus non apparirà più, ma comparirà un messaggio piccolo di errore che ci avvertirà che il sistema non riesce a trovare il file che noi abbiamo cancellato. Per fare sparire per sempre quel messaggio di errore basterò cancellare il file ctfmon dalla cartella "esecuzione automatica" (start/programmi/esecuzione automatica) facendo "cancella" sul file con i tasto dx del mouse.
    Se invece, disgraziatamente, si è contratto il virus navigando sotto l'account "amministratore" allora bisogna cercare di entrare nel computer in modalità provvisoria ed eseguire quelle operazioni di ripristino o pulizia descritte nei post precedenti.
    Ma se non è possibile entrare in modalità provvisoria non è necessario riformattare il computer o disperarsi. Infatti la Kasperskj mette a disposizione - gratuitamente - un cd rom utile a far partire il PC dal lettore cd con la possibilità di riparare il danno. Il file ISO è scaricabile dalla rete. Basta interrogare google e poi seguire le istruzioni.

    RispondiElimina
  46. A me si bloccava anche la modalità provvisoria semplice, quindi scrivo qui come ho risolto: scarica combofix ( è gratis) da un altro pc, carica su una penna usb, inserisci la penna nel pc infetto, avvia in “modalità provvisoria con prompt dei comandi”, digita “F:” e premi invio, poi scrivi “combofix.exe/Killall” e premi invio. Poi fa tutto da solo, riavvio del pc in modalità “normale” inclusa!
    Samia

    RispondiElimina
    Risposte
    1. Per avviare in provvisoria premete il tasto F8, in fase di avvio, se non vi viene proposta!

      Elimina
  47. Scaricatevi Malwarebytes, ed è sicuro che lo troverete e lo eliminerete, non è la prima volta che lo vedo questo virus ed ogni volta l'ho eliminato nello stesso modo ed ha sempre funzionato, ormai gli antivirus sono così obsoleti che occupano soltanto memoria in un pc, consiglio questo antivirus e consiglio di fare scansioni antivirus periodiche con Malwarebytes, io mi ci trovo bene e anche voi di sicuro vi troverete bene.

    RispondiElimina
  48. Comprarsi un Mac no eh? ;)

    RispondiElimina
  49. Scusate avrei bisogno di un aiuto, non da questo computer ma un altro sono riuscita a levare il virus di polizia di stato, però ora non mi va più in internet come mai? mi esce impossibilire visualizzare la pagina web. Consigli?grazie

    RispondiElimina
  50. Grazie della guida utile

    RispondiElimina
  51. Grazie ho risolto senza problemi

    RispondiElimina
  52. Grazie dei suggerimenti, con combofix ho risolto il mio problema.

    RispondiElimina
  53. se nn si apre nessuna modalita provvisoria come facciooooo pleaseeeeeeeeeeee

    RispondiElimina
  54. ciao ho provato a fare tutto come da istruzioni ma adesso mi rimane la schermata nera e non appare piu niente...e poi mi chiede la password per l hard disk si vede che ho fatto un po di casino...il pc non è il mio io ho un mac...e ho scaricato combofix...ma per il problema di prima non riesco a fare piu niente...c e qualcuno perfavore che mi puo aiutare..aspetto risposte...grazie..

    RispondiElimina
  55. Che gli venisse un male terminale a questi disgraziati, scusate ma ho perso mezza giornata per rimuoverlo e l'unico mezzo utile è installare Malwarebytes, cancellare manualmente il file infetto non ha risolto il problema con l'ultima versione di win7. Chiunque tu sia l'autore di questo virus fai schifo, vai a lavorare lazzarone!

    RispondiElimina
  56. Ciao, grazie mille per le informazioni e per gli altri post in generale.Complimenti per il blog,si rivela utilissimo.

    Un saluto,

    Orazio

    RispondiElimina
  57. ho eliminato il virus.. ma adesso nn riesco a collegarmi più a internet... aiutatemi!!!

    RispondiElimina
  58. uso vista. ho beccato anche io sto maledetto virus.
    La pagina fake è stata debellata ma non riesco poiu a connettermi a internet ne con Explorer ne con firefox mi aggiunge una stringa a qualsiasi indirizzo: ieframe/dnserrorhtt# e poi l indirizzo che volevo,
    ora in modalita provvisoria con rete riesco a connettermi mentre avviando il pc normalmente continua a darmi quell'errore, è successo a qualcunaltro ?
    Maurizio

    RispondiElimina
  59. io ho un cellulare lumia 520 con windows 8, e proprio ieri sera mi è apparso questo virus mentre ero su you tube.....come lo tolgo dal cellulare?
    da quando è successo non riesco piu ad attivare la connessione 3G per accedere a internet .....aiuto!!!!!

    RispondiElimina