Come fare per... — 23 maggio 2012

Salve a tutti amici, oggi vi devo nuovamente parlare dell’ormai famosissimo virus della guardia di finanza perchè purtroppo si è evoluto e la sua rimozione non è più cosi facile. Noi di chiccheinformatiche siamo riusciti a rimuoverlo da un pc di un nostro amico e vi postiamo la procedura corretta per la risoluzione del problema. Vediamola assieme!!

Prima di tutto c’è da premettere che la nuova variante del virus inibisce l’utilizzo della modalità provvisoria, quindi questo articolo resta valido solo per gli utenti che possono andare in modalità provvisoria!

Eccovi la soluzione rivolta a tutti quelli a cui non funziona la modalità provvisoria!

Prerequisiti

Kaspersky rescue disk, eccovi il link. Masterizzate su CD o DVD l’iso.

Windows Vista o Windows 7

Procedimento

Una volta effettuata la masterizzazione dell’immagine ISO, bisogna avviare il PC con il CD appena creato, solitamente la configurazione di avvio del PC prevede come impostazione predefinita l’avvio dall’unità CD/DVD, in caso contrario verificare le impostazioni di avvio dal BIOS oppure premere il tasto assegnato per la selezione dell’unità di avvio prima del caricamento del sistema operativo.

A questo punto se avete impostato correttamente l’avvio dovrebbe apparire la schermata principale di Kaspersky Rescue Disk 10 dove vi viene chiesto di selezionare la lingua

 

Selezionate quella inglese (l’italiano non è presente). Lo step successivo alla lingua è quello della modalità grafica, basta fare invio.

 

Successivamente vi verrà chiesto di confermare la licenza d’uso, premiamo il tasto A per confermare e lanciare il programma.

Una volta entrati nel programma, attendere qualche secondo(il sistema riconoscerà tutti i dischi installati) e successivamente chiudete tutte le finestre che si aprono.

Vi si presenterà una schermata simile alla seguente:

Aprire l’utility presente sul desktop denominata Kaspersky Registry Editor.

A questo punto si aprirà la gestione del registro di sistema di windows(come da figura sotto)

Da questo momento in poi state molto attendi a ciò che fate. Seguite questa guida passo passo.

Dobbiamo modificare alcune chiavi che non vi permettono di far funzionare windows!

Modifica1

Posizionatevi sulla seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system  e verificate il valore di DisableTaskMgr, deve essere impostato a 0

Modifica2

Controllate le seguenti chiavi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx

**AGGIORNAMENTO**

Alcuni nostri lettori fanno notare che potrebbero esserci delle voci anche nelle chiavi

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Dovreste trovare all’interno di queste chiavi (sulla destra) dei puntamenti a degli eseguibili con nomi “strani”. Cancellate tutti gli elementi che vi sembrano poco chiari!

Modifica3

Posizionatevi sulla seguente chiave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

controllate che il valore “Shell” sia explorer.exe  – Quasi sicuramente, se il virus s’è insediato bene, dovreste trovare scritto altro!

Quindi in SHELL, se non c’è scritto, dovrete inserire  explorer.exe

Successivamente sotto alla voce “shell” trovate un’altra voce denominata Userinit. Deve avere come valore SOLO C:\Windows\system32\userinit.exe,  (virgola inclusa!!)

Ci siamo quasi, se avete seguito tutti i passaggi riavviate il PC e il virus della guardia di finanza dovrebbe esser rimosso!

Windows dovrebbe partire normalmente anche se dovrebbero esserci ancora residui del VIRUS(ad esempio le icone sul desktop non si vedono tutte). 

Fate una pulizia del vostro sistema con il programma gratuito SPY BOT SEARCH&DESTROY(link) e tutto dovrebbe tornare alla normalità!

Fatemi sapere ;)



   
   



Share

About Author

Vito Savino

CEO e fondatore del sito Chiccheinformatiche. Appassionato da anni all’informatica, è un programmatore esperto con la passione per le novità e gli aggiornamenti. Diplomato presso l’ITIS, vanta la realizzazione di software e applicazioni per computer e dispositivi mobili. Con una comprovata esperienza nell’ambito dei sistemi di rete, è esperto anche in hardware e installazioni di network. Oltre all’informatica ha un’altra grande passione, il calcio, che coltiva allenando una squadra di categoria dilettante con enormi soddisfazioni.

(285) Readers Comments

  1. scusa un altra cosa, non sono esperta, e ho letto quello che hai detto per ripristinare, ma a me nel prompt mi dice che il comando non esiste. mi dici per favore esattamente cosa aggiungere dopo questo: C: windows system32>….
    grazie, perdona la mia incapacità :D

    • eseguito alla lettera: non funziona!
      Ci sarà stata una nuova evoluzione? O_O

  2. Ciao! Lavoro in un negozio di PC come tecnico, e PC con questo virus ne arrivano in media due a settimana…

    L’evoluzione si riconosce dal fatto che se il PC è dotato di webcam ti fa una fotografia prima di bloccare il PC. Se non c’è la webcam mostra un immagine confusa in grigio.

    Anche se è molto efficace come Live CD, si può anche avviare Windows in modalità provvisoria con prompt dei comandi. Una volta avviato si scrive explorer.exe e si ha l’interfaccia grafica. Una volta lì, scansione e via.

    Inoltre, visto che Combofix è un pò troppo “drastico” per i miei gusti (per esempio, resetta il file hosts) si può utilizzare tranquillamente Malwarebytes Anti-Malware.

    Spero di poter dare una mano a qualcuno!

    Tiziano

    • ciao, in modalita’ provvisoria l’antivirus non funziona e non fa funzionare nemmeno il task manager. non riesco a cancellare manualmente il dll fonte dei nostri mali perche’ e’ in esecuzione… avete qualche consiglio? :( (((

    • Purtroppo ne ho vista una variante che parte anche andando in “Modalità provvisoria con Prompt dei comandi” e avviando l’interfaccia grafica lanciando Explorer.exe

    • Ottima Guida. E ottima replica.
      Ho una piccola fix da aggiungere.
      Si puo’ invece che scaricare e creare iso di kaperspy, o usare prompt dei comandi, semplicemente terminare il processo skype.dat all’avvio normale del pc.
      Basta un ctrl alt canc appena eseguito il login, mettiamo i processi in ordine di consumo decrescente della cpu, ed ecco che il nostro dannato virus si manifestera’ (nel mio caso con il nome “Skype.dat” ma ho trovato nei registri un NwlTefdsqualcosa.exe ).

      E’ proprio cercando skype.dat su google che vi ho trovato… ;) Ciau!

  3. Io ho risolto partendo dal secondo sistema operativo del secondo disco visto che qualsiasi azione anche in modalità provvisoria erano inibite. Ho usato l’ultima versione di Combofix.

  4. Mah!! basta mettere su il cd di win 7 dopodichè andare su opzione ripristina pc e scegliere tra i vari file di BCK quello di almeno 2 giorni prima…et voilà..poichè ripristinerà anche il file di registro precedente al virus…..etcc….etcc…

  5. ho appena preso il virus ieri sera alle 11:30 , il virus si mi impediva di andare in modalità provvissoria ho risolto facendo partire il pc in modalita prompt dei comandi , dopo lunghe ricerche ho individuato il virus che era situato nella cartella utenti , il nome è il seguente wgsdgsdgdsgsd.exe il propietario è Редактор дескрипторов безопасности , ho bloccato il virus semplicemente disabilitando le atorizzazioni di avvio automatico .

  6. per loris, come faccio dal prompt dei comandi a disabilitare l’autorizzazione di avvio automatico per wgsdgsdgdsgsd.exe ??

  7. Chiedo scusa ma il video fatto dalla webcam attivata dal virus va in mano a qualcuno che puo’ diffonderlo in rete o la webcam che si accende e’ usata solo per rendere il tutto piu’ realistico?

    • nooooo stai tranquillo, usano questa tecnica per spaventarvi!!

    • Ma perchè ti preoccupi, eri con l’amante ??

  8. Salve a tutti , fino ad ora avevo rimosso senza tanti problemi (anche a distanza) questo virus, ma ieri sul pc di un cliente ne ho trovato un altra variante che si allaccia ad un seguibile di sistema (monitor delle stampanti epson in questo caso lanciando un file dalla cartella temp) e bloccava il pc con schermata bianca anche se erano state effettuate tutte le modifiche al registro. Mi ha fatto penare , ma poi ho notato lo strano percorso di root che eseguiva il prg epson .

    • ciao frANCESCO penso lo stersso che ho beccato io ieri. mi fa ANDARE sul dos ma con i classici consigli non risolvo. te come hai fatto? grazie gio.

    • Come dicevo, anche io mi sono traovato a dover risolvere il problema in una delle sue ultime varianti, questa volta ho visto da Task Manager che veniva avviato un processo Skype.dat il quale impiegava fino al 50% della cpu, non avendo skype sul pc, con il tasto dx ho terminato il processo e la videata non si più presentata.
      La conferma l’ho avuta con l’antivirsu AVG che l’ha rilevato come Trojan BackDoor Generic16.AVZD, presente nella cartella c:\Document and Setting\Master\Dati Applicazioni\skype.dat
      Un’altro eseguibile che è stato scovato e rimosso da AVG era nascosto nelle cartelle della stampante Epson e il percorso era
      c:\Documente and setting\Master\Dati applicazioni\Epson\Event Manager\Model00c6\AppInfo1\Scan to PC\freecell.exe
      Ora sembra tutto a posto, speriamo in bene

  9. Anche io mi trovo nella vostra stessa situazione, nel senso che in precedenza ero riuscito a rimuovere questo virus che caricava vari file .exe, ma questa ultima variante è + rognosa, dopo alcuni secondi dall’avvio si blocca e schermata bianca, potresti gentilmete indicarci come hai fatto a rimuoverlo, straGrazie !

  10. Io ho appena avuto lo stesso problema.
    PREMESSA: HO UN PC AZIENDALE CON ACCESSO NON DA MMINISTRATORE, QUINDI NON SO SE CON GLI ALTRI DUE PROFILI PRESENTI SUL PC AVREI POTUTO RISOLVERE DIVERSAMENTE D INOLTRE QUALSIASI MANOVRA RICHIEDESSE LA PW DA AMMINISTRATORE NON RIUSCIVO A PORTARLA A TERMINE (ad es. rstrui.exe) .
    La versione che ho preso io si attivava all’accesso di windows e non mi dava il tempo di agire escludendo i programmi ad esecuzione automatica.
    Lo stesso per la modalita’ provvisoria.
    L’unica cosa che riuscivo a fare era entrare in mod.provvisoria con prompt comandi.
    A questo punto ho fatto regedit e seguito le indicazioni riportate nella vostra guida, ma nn trovavo nessuna chiave di registro con i valori sopetti od alterati. Le chiavi run, runonce e shell erno corrette, anche per il registro HKEY_CURRENT_USER.
    Non riuscivo a venirn a capo, quando alla fine ho spulciato nel registro HKEY_USERS (l’ultima in basso), sono andato nella sottocartella relativa al mio profilo utente (identificata d una serie di numeracci, ma che ho individuato perche’ era l’unica a cui mi facesse accedere) poi sono andato in \Software\Microsoft\Windows NT\CurrentVersion\Winlogon ed ho trovato anche ui la chiave shell, dove in effetti c’era una scritta con diversi exe. Ho cancellato tutto tranne explorer.exe ed ho riavviato. Sembra che abbia funzionato.
    In pratica si deve trovare la chiave riferita all’utente “infetto” e modificarla come indicato nell vostra guida.
    Grazie ancora per le dritte e spero che la mia esperienz possa aiutare qualcuno!
    Ciao!

  11. Maledetti inventori di virus…l ho appena beccato!!!schermata bianca all’avvio di Windows…stavo semplicemente leggendo una mail…Peccato che io di pc nn ci capisca nulla…nn saprei dove mettere le mani…domani lo consegno a mani esperte…sperando riescano a sistemare il tutto!!!

  12. io ho fatto un errore…quando sono arrivato a shell modifica stringa al posto di explorer.exe ho scritto c:\users\emilia eho cliccato su ok…ho capito di aver sbagliato e ora dal prompt quando provo a scrivere regedit.exe mi esce una scritta C:\windows\system32\regedit.exe non è un applicazione di Win32 valida. ora come faccio? vi prego rispondetemi sulla mia mail mattr

  13. scusate la mia ignoranza,ma oggi avg free ha rilevato e messo in quarantena un virus.
    Trojan backdoor.generic16.BHTN il computer per ora funziona, volevo solo sapere se devo fare qualcosa o se essendo stato messo in quarantena sono apposto.
    Grazie

  14. Buona sera a tutti ! Non riesco neanche ad avviare il pc in modalità provvisoria, questo virus appare subito all’ apertura del pc, non da il tempo di intervenire, ho solo due secondi di tempo: pertanto impossibile qualsiasi operazione.
    Cordiali saluti a tutti Giulio.

  15. ahhaha tutti che spariscono

  16. Ciao a tutti ieri sera ho preso questo virus e possiedo windows 8 ma nn appena accendo il computer ho una schermata bianca e non riesco ad aprire niente cosa devo fare? Grazie mille!

    • hai provato a partire in modalità provvisoria?

      • Non riesco ad avviare niente perchè mi diventa subito lo schermo bianco e mi funziona solo il tasto di accensione..

      • Purtroppo mi funziona solo il tasto di accensione e dopo due secondi che ho inserito la password x entrare nel computer mi diventa lo schermo bianco

        • la modalità provvisoria parte prima di windows. appena avvii il pc premi tasto Maiusc + F8 , velocemente , all’avvio. dovrebbe uscire un menu con una serie di opzioni e tra queste c’è modalità provvosoria. prova

          • purtroppo non succede nulla..

          • Ok, lo immaginavo. Hai un cd di installazione di windows 8? se cosi possiamo tentare il ripristino (senza perde nulla come dati)

          • Eh no perchè due settimane fa ho acquistato il computer che si è infettato, quindi era già dentro il sistema operativo.. adesso sto cercando di fare un ripristino di configurazione del sistema con data precedente al giorno in cui ha preso il virus.. può esseere una soluzione? Ti ringrazio x la disponibilità..

          • si è quello che stavo per dirti. di ripristinare il pc ad uno stato precedente. Uno dei modi possibili è proprio quello dell’avvio tramite CD/DVD ROM. cosi dovresti risolvere! ;)

          • Sinceramente è da mezz’ora che sta eseguendo questo ripristino però non va avanti, può impiegarci così tanto tempo o non sta lavorando?

          • in genere il ripristino configurazione di sistema impiega tra i 5 ed i 10 min. dipende dalla velocità del PC. Essendo installato windows 8 non penso sia un PC lento. A questo punto conviene comunque aspettare, un arresto del PC mentre sta scrivendo dei file potrebbe generare altri problemi! (di disco ad esempio)

          • si ok, ma fino a quando devo attendere perchè se continua per più di 12 ore come posso intervenire?

          • se continua cosi tanto dovrai per forza resettare dal case

          • però lo sto facendo senza cd/cd-rom perchè non ce l’ho in dotazione..

  17. Allora con il ripristino è ritornato tutto normale solo che non so se sono riuscita a eliminare in modo definitivo il virus..cosa mi suggerisci?

    • ti suggerisco di SpyBot Search & Destroy per fare una scansione nel PC

      • Devo acquistarlo o scaricarlo su internet?

        • no no è gratis. c’è anche a pagamento ma va benissimo la gratis. ecco http://www.safer-networking.org/it/mirrors/

          • Grazie mille per tutto l’aiuto.. ora lo installo.. speriamo di averlo eliminato..

          • se non esce lo hai eliminato, può starci solo qualcosa di “sporco”. continua a seguirci ;)

  18. kaspersky con la propria scansione dopo agg risolve tutto

  19. Attenzione ragazzi e ragazze esistono 3 tre tipi di virus – polizia di stato – guardia di finanza e polizia penitenziaria che è l’ultimo ma tremendo.Io ho risolto con il programma Combofix istallato su una chiavetta usb e poi lanciato con il pc in modalità provvisoria quando finisce il pc risulta pulito e poi procedere con la pulizia totale tramite cclear – glary utiliti e sopratutto avg 2012. Se non riuscite in questo modo staccate l’Hdd e scansionatelo con un altro pc provvisto ovviamente di Combofix sicuramente andrà tutto a posto.Buon lavoro a tutti voi.

  20. Grazie mille per le utilissime informazioni e complimenti per il sito.

    Saluti, Orazio C.

  21. Zio che bastardo sto virus! Lo aveva preso mio padre mesi fa, e lo avevo pulito in 10 minuti.
    Ore lo ha beccato mio cugino… niente modalità provvisoria ne prompt.
    Riesco a beccare il gestione attività, ma non faccio a tempo a fare nulla.
    Ho provato la pulizia usando Kaspersky Rescue Disk, ma dopo 3 ore di ricerche e nonostante questa ottima guida (veramente ben fatta!) non trovo nessuna delle chiavi di registro che dovrebbero essere infette – o meglio, le trovo ma sono corrette!
    La ricerca del disco non ha portato ad evidenziare nessun file ‘strano’ – ne ho cancellati diversi che potrebbero, ma nulla…

    Qualche idea prima del formattone a zero? Sempre che mio cugino abbia i dischi originali del VAIO…

    • la strada delle chiavi di registro è quella migliore. che sistema operativo hai? forse le chiavi sono cambiate.

      • E’ un Windows Vista Home Premium, OEM di Sony. Non so se 32 o 64 bit… non riesco ad arrivarci e nell’etichetta non c’è scritto…
        Le chiavi HKEY_CURRENT_USER\ non ci sono.

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
        ci sono e sono pulite.

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
        non c’è

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
        è corretto.

        Un problema che ho con Kaspersky è che gira da CD, e quando cerco di cancellare i files dalle cartelle TEMP o da altri posti mi dice che il trash è pieno. Tempo che si tratti del trash nel CD, e quindi non può cancellare nulla. Io ho spostato tutti i file da cancellare in una cartella ‘spazzatura’, sperando che il virus non se la ritrovi…

        Grazie di ogni consiglio…

        • tramite kaspersky (avviato da CD) hai provato a fare una scansione del PC? ad ogni modo l’idea di cancellare i file temporanei è buona. forse converebbe partire con un linux da CD, tipo ubuntu per esempio

  22. Io conosco Linux moooolto poco…. lo ho installato un paio di volte, anni fa, e non saprei proprio come fare un CD Live… oltretutto sembra che questa opzione non sia più supportata nelle ultime versioni… :-( ((

    • Ho risolto… con Kaspersky Rescue Disk ho potato il registro (non pulito, veramente potato, se c’era una cosa non non mi piaceva, via…), poi con Puppy Linux ho cancellato a pene di segugio tutti i files che non mi piacevano.
      Alla fine, finalmente sono riuscito a far partire il disco di ripristino (mi bloccava pure quello!!!) ed a recuperare un vecchio punto di ripristino…
      Virus bastardo veramente….

      • Meno male che c’erano diversi punti di ripristino, ne ho preso uno di Aprile…

  23. Ho windows xp.Questo virus mi rendeva impossibile l’accesso alla modalità provvisoria. Ho dovuto usare il cd di Kaspersky Rescue Disk 10 che trovava alcuni virus, ma nelle chiavi di registro sembrava tutto ok e il virus all’avvio si ripresentava. Ho dovuto ripulire l’HD collegandolo ad un portatile con cavetto appropriato e scansionare il tutto. Norton a pagamento non rilevava niente. Avast free rilevava 2 virus. Tolti questi ho azionato antimalwere e anche questo mi ha trovato due virus. Poi sono entrato c:\Document and Setting\nome amministratore\..menu avvio \ e ho individuato il file responsabile con un nome piuttosto strano fatto di sigle tipo wjx….ect. Ho copiato il nome del file e ho fatto la ricerca anche nelle sotto cartelle e nei file nascosti che contenevano lo stesso nome rilevandone altri 3 o 4 con estensione diversi tutti nelle cartelle del menu di avvio ed esecuzione automatica. I virus si trovano tutti in queste cartelle e in windows\system. Alla fine il virus è stato tolto. Per sicurezza ho riavviato il tutto facendo scansionare da Combofix, il quale però è un antivurs che nel mio caso ha cancellato anche file di sistema di windows, per cui al riavvio la schermata si presentava distorta ed illeggibile. Ho riattivato i file mancanti con quelli del sistema di ripristino avendone uno nell’HD ripartito appositamente. Il mio consiglio è quindi quello di scannerizzare con avast aggiornato e togliere i virus anche manualmente una volta individuati nella cartella del menù di avvio.

  24. Ciao a tutti!!
    Purtroppo il virus ha colpito anche il mio pc (Sony vaio con Windows 7)!! Il problema è che la prima volta che mi era comparsa la schermata del virus dal task manager ero riuscito a chiudere il tutto senza problemi…ora invece non riesco più a fare niente!!
    Appena accendo il pc tempo 2 secondo mi ricompare la schermata senza darmi il tempo di fare niente!! Ho già provato con tutte e 3 le modalità provvisorie ma non riesco ugualmente a fare nulla…
    Se qualcuno gentilmente in modo chiaro e preciso (non me ne intendo molto di computer) può darmi una soluzione ne sarei molto grato!!
    Una soluzione può essere il ripristino del pc senza però perdere tutto quello che ho memorizzato??? Grazie ancora

    • letto qui?

Lascia un Commento