VIRUS CAPITANO DELLA POLIZIA PRISCO MAZZI
Nelle ultime ore, ignari personaggi stanno provvedendo ad un massiccio invio di messaggi di posta elettronica con i quali il mittente, un tale “Capitano della Polizia Prisco Mazzi – (indirizzo indicato: pr_mazzi@poliziadistato.it), segnalerebbe ai destinatari che il loro PC avrebbero visitato siti web che violano la normativa sul diritto d’autore, invitandoli, contestualmente ad effettuare il download di un file compresso con nome “avviso_98361420.zip” e che è allegato alle e-mail inviate. Viene inoltre invitato ad eseguirlo attraverso l’utilizzo di un codice che è: 1605.
Questo messaggio nasconde però un pericolosissimo tentativo di diffusione di un virus informatico, per i navigatori del web.
Attenzione quindi, la Polizia ha già fatto presente che nessun loro funzionario risponde a questo “Prisco Mazzi”.
Si consiglia caldamente a non tenere conto del messaggio che è stato inviato e a cancellarlo direttamente. L’esecuzione del file sopra riportato, potrebbe determinare la propagazione del virus e mandare in tilt il vostro PC e di quelli connessi in rete.
VIRUS POLIZIA DI STATO E GUARDIA DI FINANZA
Un
virus veramente pericoloso quello che si manifesta con la schermata
della Polizia di Stato, che si mostra anche con la schermata della Guardia di
Finanza e Polizia Penitenziaria.
Inizialmente
non era un granché e rimuoverlo era molto facile tant’è che riusciva facile
rimuoverlo con il normale alert di qualche antivirus.
Andando
nel dettaglio, il virus, vi mostra un avviso con scritto che se non mandate 100
euro ad un determinato indirizzo postale entro 72 ore, vi blocca per sempre il
PC con una schermata bianca. In seguito avviene quanto promesso.
Non
è un virus che ruba i dati, ma un programma che si attiva quando si accende il
Computer e che blocca ogni tipo di processo.
Varie sono le guide che sono reperibili nel web e qui, ne elenco alcune:
1°
MEDOTO
- Eseguire la "Modalità Provvisoria", tenendo premuto il tasto F8 non appena si avvia il computer;
- Andate su Start -> Tutti i programmi, e la cartella "Esecuzione automatica" (Su XP non ci si arriva in questo modo, ma andando in C:\Documents and Settings\NOMEUTENTE\Start menu\Programs\Startup) e aprirla;
- Vi è una lista di programmi che si avviano automaticamente all'accensione del PC. Tra questi appare il file "WPBT0.dll", oppure un file .exe, con nome identificativo contenente "0. ed una serie di numeri;
- Eliminate questo file svuotando anche il cestino;
- Riavviare quindi il PC.
2° METODO
Eseguire
"Modalità
Provvisoria" all’avvio del PC. Poi, Start -> Esegui e
digitare “regedit”
premendo invio. Ora cercare il percorso HKEY_LOCAL_MACHINE \ SOFTWARE \
Microsoft \ Windows NT \ CurrentVersion \ Winlogon ed eseguire un doppio click
su Shell.
Nella finestrella che vi compare dovete scrivere explorer.exe (o Explorer.exe
in XP);
- Con XP o 2000, entrare nel prompt dei comandi e digitare: cd "Dati Applicazioni" o cd "Applications Data" e premere invio; poi digitare del mahmud.exe (e premere invio)
- Con Vista, 7 o 8, entrare nel prompt e digitare: cd Appdata e premere invio; poi digitare cd roaming e premere nuovamente invio; infine scrivere del mahmud.exe (e premere invio).
3° METODO
Scaricare il software Kaspersky Rescue Disk e quindi masterizzarlo su un CD;
- Al momento dell'accensione tenete premuto F2 o Del (dipende dal PC) per entrare nel BIOS e selezionate come Boot di avvio principale il CD/DVD-ROM;
- Apparirà un vero e proprio sistema operativo e sul desktop verde eseguire Kaspersky Registry Editor.
Riattivare il TaskManager con Ctrl + Alt + Canc e controllare i seguenti percorsi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system verificate il valore di DisableTaskMgr deve essere impostato a 0
Controllate le chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
e, se presenti, anche queste per tutti gli utenti presenti sul sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
e, se presenti, anche queste per tutti gli utenti presenti sul sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
In queste chiavi ci sono i servizi che partono quando si accende il pc, con molta probabilità, ci sarà anche il virus.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
In queste chiavi ci sono i servizi che partono quando si accende il pc, con molta probabilità, ci sarà anche il virus.
Individuate
i nomi sospetti
che sono presenti in tutte le chiavi e cancelliamole (tasto destro – elimina)
Fatto
questo, riavviare…
incrociamo le dita.
ALTRO METODO (MOLTO) ALTERNATIVO
Scusate se lo chiamo così ma ho trovato molta difficoltà ad attuare quanto sopra per il semplice motivo che il computer non si avviava neanche in modalità provvisoria… e quando si avviava, si impallava con una schermata bianca.
Mi si presenta un collega di lavoro con il suo
portatile (vecchiotto a dir la verità e con xp installato) il quale mi dice bla
bla, virus gdf ecc. ecc. Capisco di cosa si tratta, facile facile penso, macché
… noto che è diverso dai precedenti casi risolti. Il notebook non ne vuole
sapere di avviarsi neanche in modalità provvisoria. Allora mi viene in mente il
disco di Kaspersky, ma tempo non ne ho (bisogna scaricarlo, masterizzarlo, non
avevo neanche disco vuoto). Ebbene, è stato banale, ma ho smonto l’hard disk
del nb infetto e, possedendo un cavetto con interfaccia IDE/SATA con USB,
collego il disco al mio computer. Mi è bastata una doppia scansione con
Malwarebytes e poi con Security Essential per ripulire il tutto.
Lo so, non tutti hanno sta benedetta interfaccia, ma essendo l’intervento
pienamente riuscito, ho preferito divulgarlo.
RIMUOVERE LA PAGINA DI RICERCA Qvo6.com
Qvo6.com è un sito che imita il look del noto motore di ricerca Google. it. Questo sito (come Babylon Search di cui parleremo dopo) viene appositamente inserito nelle opzioni di installazione dei vari software gratuiti che vengono scaricati dalla rete. Inutile dire quanto sia infido e scorretto chi diffonde questa pagina di ricerca ma occorre fare sempre molta attenzione quando si installa un programma nell'avanzamento delle finestre di installazione. C'è da dire peraltro che, viene tranquillamente classificato come un tipico virus hijack, in grado pertanto di rallentare il computer, studiare le abitudini dei naviganti e dirottarli (o reindirizzarli se preferite) nelle pagine che fanno comodo agli autori. Quello che si consiglia è sempre quello di scegliere “Installazione personalizzata” durante l’installazione di un software gratuito.
Una volta che si installa questo sito assieme alla barra degli strumenti, verrai reindirizzato a siti discutibili, che possono
davvero compromettere la privacy. A tal fine, ecco una piccola guida per disinstallare completamente Qvo6.com dal tuo PC.
Per utenti di Windows 7:
1. cliccare su “Start”
2. andare su “Pannello di
controllo”.
3. individuare e fare
clic su “Programmi e funzionalità”.
4. cercate “eSafe
Security Control” e “Desk 365″, selezionare queste voci e fare clic su
disinstalla.
Per utenti di Windows XP:
1. cliccare su “Start”,
2. scegliere
“Impostazioni”
3. fare clic su “Pannello
di controllo”.
4. Individuare e fare
clic su “Installazione applicazioni”.
5. cercare “eSafe
Security Control” e “Desk 365″, selezionare queste voci e fare clic su Rimuovi.
Se
non disinstallate il programma di “controllo di sicurezza eSafe”, la rimozione del processo non sarà efficace, perché dopo che si riavvia il computer, tutti i file di Qvo6.com e componenti aggiuntivi torneranno ad essere visibili.
Scansionate il vostro computer con un software anti-spyware, al fine di
rimuovere eventuali avanzi dei componenti Qvo6.com.
Dopo la scansione, si dovranno rimuovere tutte le voci rilevate per assicurarsi che il PC sia pulito da eventuali possibili
infezioni di tipo spyware e malware.
Comunque, se dopo tutto questo ambaradan non riuscite lo stesso a toglierlo un metodo efficace è quello di utilizzare AdwCleaner.
Serve principalmente a liberare i browser da fastidiose Toolbar e componenti aggiuntivi, che vengono installati senza il nostro consenso.
AdwCleaner cancella ogni riferimento riguardante questo genere di software, cercando nel nostro sistema ogni traccia, dai servizi, ai files, cartelle e chiavi presenti nel Registro.
Per agevolarvi e per agevolare il mio amico Martino, potrete trovare qui il software:
http://news.wintricks.it/software/sistema-operativo/37119/adwcleaner-2.112/
LA TOOLBAR DI BABYLON SEARCH
Quando
installiamo i programmi che sono stati attinti dalla rete, capita spesso di
proseguire nel menù di installazione senza fare caso alle opzioni previste per
l’installazione di questi ultimi. In tanti casi, capita che venga installata
una diabolica barra degli strumenti per i browser che è quella di Babylon. In particolare quest’ultima “infetta” browser come: Internet
Explorer, Firefox e Google chrome.
Ho usato il
termine “infetta” perché quando
questa barra si (auto)installa, la sua rimozione, non risulta per niente
facile. Essa, infatti, modifica la pagina iniziale di ricerca (Babylon search)
e funge da “spia”, monitorando le nostre abitudini navigatorie allo scopo di
inviare informazioni a dei server che le usano per delle pubblicità
espressamente mirate.
L’autore del software che propone Babylon come software di terze parti, viene pagato per ogni installazione avvenuta con successo
Quindi
attenzione a ciò che si scarica e si installa (controllate sempre le finestre
di installazione passo-passo) e alle sorgenti di download. Occorre far
soprattutto attenzione e leggere le condizioni circa la proposta di
installazione software additivi e quindi non accettare.
Ricordiamoci
che questi software, non sono assolutamente essenziali e rallentano (a causa
della loro funzione di “spia”) il computer di parecchio.
Disinfezione
Soluzione 1: Rimuovere da Pannello
di controllo
La più
semplice ma ad oggi quasi inefficace perché hanno aggiornato la toolbar in
maniera tale da non farla apparire nel pannello di controllo o farla sembrare
disinstallata.
Comunque
diamo lo stesso le istruzioni su come fare:
Per Windows Vista/Seven : Aprire il Pannello di controllo poi Programmi e funzionalità, ricercare Babylon e disinstallarlo.
Per Windows XP : Aprire il Pannello di controllo poi Installazione applicazioni, ricercare Babylon e disinstallarlo.
·
Quindi
controllare tramite le opzioni del browser e disinstallare il componente
aggiuntivo Babylon search, se ancora presente.
·
Per finire,
tramite le opzioni del browser reimpostare la home page desiderata invece di
Babylon search
Soluzione 2 : Adwcleaner di Xplode
E’ una soluzione
testata personalmente ed è quella che ritengo la più efficace in assoluto.
Come anticipato
prima, quando abbiamo parlato di Qvo6.com, questo software serve principalmente
a liberare i browser da fastidiose Toolbar e componenti aggiuntivi,
che vengono installati senza il nostro consenso e credetemi, è molto efficace, perché
cancella ogni riferimento riguardante questo genere di software,
cercando nel nostro sistema ogni traccia: servizi, file, cartelle e chiavi
presenti nel Registro.
Soluzione 3 : Malwarebytes Anti-Malware
Ovviamente, occorre scaricare ed installare il programma.
- Aggiornarlo;
- Avviare il PC in modalità provvisoria
- Avviare MalwareBytes
Anti-Malware, clic su "Scansione Completa"
- Una volta che la scansione è
completata, fare clic su Cancella (Se viene richiesto di riavviare il PC,
accetta!).
Per il resto…
in bocca al lupo, anzi in bocca al virus !
Nessun commento:
Posta un commento