Il virus della Guardia Di Finanza PDF Stampa E-mail
Scritto da ventus85   
Domenica 15 Luglio 2012 20:57

Visto che ho passato una serata in compagnia dei virus che hanno attaccato il computer di mio fratello vi spiego come fare ad eliminare il virus della guardia di finanza, sia quello "semplice" sia quello "evoluto".

Tale virus arriva quasi sempre per email. Cliccando sulla mail o sul link si espone automaticamente il pc all’attacco del virus con il blocco del computer: il computer e il sistema operativo (ovviamente Windows) si avviano, ma una volta caricato il desktop scompare tutto disabilitando le diverse funzioni e compare una pagina con scritto che dall'indirizzo IP del computer sono stati eseguiti degli accessi a pagine web illegali o con contenuti pedopornografici. Poi continua dicendo che per sbloccare il tutto bisogna effettuare compilare un modulo e fare un versamento. Non dobbiamo fare nessun versamento, anche perché la Finanza se scopre qualcosa di illecito viene direttamente a casa e non ti avverte tramite il computer!

Di questo malware esistono due versioni: una prima dove non viene inibita la modalità provvisoria e una seconda più evoluta dove non si può accedere nemmeno alla modalità provvisoria.

Vediamo come toglierlo.

SOLUZIONE CON MODALITA' PROVVISORIA

  1. Spegnere il computer e farlo ripartire in "modalità provvisoria". Per accedere alla modalità provvisoria quando riparte il computer si deve tenere premuto un tasto, generalmente è F8 (ma per altri computer può essere F5 o altri) e scegliere la modalità.
  2. Cliccare su Start, poi su "Tutti i programmi" e cercare la cartella "Esecuzione automatica".
  3. Nella lista dei programmi cercare uno sconosciuto (es. è un file con nome "WPBT0.dll" oppure un file con nome identificativo del tipo "0..exe") e cancellarlo. Sarà spostato nel cestino.
  4. Svuotare il cestino.
  5. Spegnere il computer e riavviarlo normalmente.
  6. Fare un giro con l'antivirus (aggiornato) o altri utility per walmare e compagni (es. Spy Bot).

SOLUZIONE CON MODALITA' PROVVISORIA INIBITA

  1. Poichè non è possibile nella versione evoluta del virus utilizzare la modalità provvisoria e che operazioni come CHKDSK o FIXBOOT e FIXMBR sono inutili dobbiamo utilizzare un tool apposito che parte da CD. Io ho utilizzato Kaspersky Rescue Disk.
  2. Scaricare il file iso del programma.  Masterizzate su CD o DVD l’iso (per farlo ci sono dei programmi apposta).
  3. Avviare il computer facendo partire il cd (per farlo bisogna tenere premuto un bottone all'avvio del computer, per esempio F5).
  4. Si avvierà la schermata di impostazioni del programma. Scegliere la lingua (inglese). Scegliere alla schermata successiva la modalità grafica. Accettare la licenza d'uso.
  5. Comparirà una schermata stile desktop. Cliccare su Kaspersky Registry Editor. In questo modo si aprirà la gestione del registro di sistema di windows, simile a quella che troviamo proprio dentro Windows.
  6. Andare su HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system e verificate che il valore di DisableTaskMgr, se presente, è impostato a 0;
  7. Controllare queste chiavi:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
    bisogna vedere se ci sono voci strane. In tal caso eliminarle. Se una voce non siamo sicuri che sia da eliminare possiamo prendere il nome e cercarla su un motore di ricerca, ci sono un sacco di siti che spiegano a cosa servono. Nel mio caso, per esempio, la voce strana era "fest0r_ot.exe" ed era effettivamente il virus!
  8. Controllare adesso che nella chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon al valore "Shell" ci sia scritto explorer.exe. In caso contrario inserire questo valore.
  9. Infine, sempre nella stessa chiave, cercare la voce Userinit. Essa deve avere come unico valore "C:\Windows\system32\userinit.exe," (virgola compresa, escluse le virgolette".
  10. Riavviate il computer normalmente.
  11. Fare un giro con l'antivirus (aggiornato) o altri utility per walmare e compagni (es. Spy Bot).
 

Link utili

Per avere almeno 2 GB di spazio gratis per i tuoi file da condividere con chi vuoi! Per iniziare a usarlo: http://db.tt/fbnCDQM

Per creare i tuoi fumetti in modo rapido e semplice! http://www.pixton.com/sign-up/from/author/ventus85

Valid XHTML 1.0 Transitional

CSS Valido!



Template realizzato da ventus85.
Copyright © 2010 Il sito di ventus85. Tutti i diritti riservati.
Joomla! è un software libero rilasciato sotto licenza GNU/GPL.