Un problema che sovente affligge gli utilizzatori di PC con sistema operativo Windows è il famigerato quanto terrorizzante virus che fa apparire sui nostri schermi dei finti avvisi da parte di Polizia Postale o della Finanza o di altri organi di controllo dello Stato.
Questo richiede il pagamento di un “riscatto” per riavere pieno possesso del proprio PC. Tale virus si sta diffondendo a macchia d’olio, infettando i Computer di milioni di utilizzatori.
Nostro scopo è spiegarvi come fare a rimuoverlo definitivamente nonostante le sue continue mutazioni.
Ostaggio del virus della polizia postale
Negli ultimi mesi, in Italia si è registrata una nuova e più grossa ondata di contagi con questo virus che appartiene alla categoria dei Ransomware (dall’inglese ransom, riscatto e ware ovvero contrazione del termine software).
La finestra aperta si spaccia per messaggio della Guardia di Finanza, della Polizia di Stato o della polizia Postale per richiedere somme di circa 100 euro al fine di sbloccare il nostro PC.
Le prime versioni del virus erano facili da rimuovere, come riportato dalla Guardia di Finanza (quella vera).
Bastava riavviare il pc in modalità provvisoria (premendo F8 prima dell’avvio di Windows), spostarsi in Start/Tutti i programmi/Esecuzione Automatica e da qui cancellare il file prodotto dal virus (al solito una .dll o un file il cui nome cominciava con lo 0).
Le nuove versioni del virus, però, modificano anche il registro e non permettono di riavviare il PC in modalità provvisoria.
In questo caso è utile avviare il sistema usando un apposito tool di ripristino come RescueDisk di Kaspersky, antivirus che possiamo scaricare gratis (con alcune limitazioni) anche sul sito di Win Magazine, ad esempio.
Al termine del download è sufficiente masterizzare su DVD il file .iso scaricato e poi riavviare il computer da questa unità ottica.
A questo punto possiamo entrare nel registro di configurazione (scrivendo regedit, nel menù Start e premendo invio), andare alla voce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winglogon e cliccare due volte su shell a destra, cancellare quanto troviamo in Dati valore e scrivere explorer.exe.
Alla voce Userinint.it dobbiamo tenere solo C:\Windows\system32\userinint.exe, (virgola inclusa): dal Task manager (avviabile premendo Ctrl+Alt+Canc) spostiamoci nella scheda Processi e terminiamo Userinint.
Dal registro cancelliamo anche i riferimenti a BSI.bund.exe e a mahmud.exe, file che possiamo trovare anche in cartelle di sistema (al solito, C\Documents And Settings\{nome_utente}\DatiApplicazioni\Roaming) e che sono da cancellare.
A dire il vero, vale la pena provare anche con un antivirus tipo Vir.it, che secondo i creatori può eliminare questo specifico malware: ci sono anche Combofix o Antispyware che ovviamente vanno avviati da chiavetta USB, dopo essere stati scaricati da un altro computer.
Per eliminare chiavi sospette dal registro possiamo usare inoltre HijackThis, sebbene sia preferibile utilizzarlo solo contro le voci che siamo certi essere virus, oppure passare a una versione di Linux che risulti essere virtualmente inattaccabile dalle infezioni software.
Leggi Anche: Come eliminare i virus che infettano il browser