Virus guardia di finanza: si è evoluto, ecco la nuova guida per risolvere il problema!!

288
551
virus

Salve a tutti amici, oggi vi devo nuovamente parlare dell’ormai famosissimo virus della guardia di finanza perchè purtroppo si è evoluto e la sua rimozione non è più cosi facile. Noi di chiccheinformatiche siamo riusciti a rimuoverlo da un pc di un nostro amico e vi postiamo la procedura corretta per la risoluzione del problema. Vediamola assieme!!

Prima di tutto c’è da premettere che la nuova variante del virus inibisce l’utilizzo della modalità provvisoria, quindi questo articolo resta valido solo per gli utenti che possono andare in modalità provvisoria!

Eccovi la soluzione rivolta a tutti quelli a cui non funziona la modalità provvisoria!

Prerequisiti

Kaspersky rescue disk, eccovi il link. Masterizzate su CD o DVD l’iso.

Windows Vista o Windows 7

Procedimento

Una volta effettuata la masterizzazione dell’immagine ISO, bisogna avviare il PC con il CD appena creato, solitamente la configurazione di avvio del PC prevede come impostazione predefinita l’avvio dall’unità CD/DVD, in caso contrario verificare le impostazioni di avvio dal BIOS oppure premere il tasto assegnato per la selezione dell’unità di avvio prima del caricamento del sistema operativo.

A questo punto se avete impostato correttamente l’avvio dovrebbe apparire la schermata principale di Kaspersky Rescue Disk 10 dove vi viene chiesto di selezionare la lingua

 

Selezionate quella inglese (l’italiano non è presente). Lo step successivo alla lingua è quello della modalità grafica, basta fare invio.

Successivamente vi verrà chiesto di confermare la licenza d’uso, premiamo il tasto A per confermare e lanciare il programma.

Una volta entrati nel programma, attendere qualche secondo(il sistema riconoscerà tutti i dischi installati) e successivamente chiudete tutte le finestre che si aprono.

Vi si presenterà una schermata simile alla seguente:

Aprire l’utility presente sul desktop denominata Kaspersky Registry Editor.

A questo punto si aprirà la gestione del registro di sistema di windows(come da figura sotto)

Da questo momento in poi state molto attendi a ciò che fate. Seguite questa guida passo passo.

Dobbiamo modificare alcune chiavi che non vi permettono di far funzionare windows!

Modifica1

Posizionatevi sulla seguente chiave:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem  e verificate il valore di DisableTaskMgr, deve essere impostato a 0

Modifica2

Controllate le seguenti chiavi

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunEx

**AGGIORNAMENTO**

Alcuni nostri lettori fanno notare che potrebbero esserci delle voci anche nelle chiavi

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

Dovreste trovare all’interno di queste chiavi (sulla destra) dei puntamenti a degli eseguibili con nomi “strani”. Cancellate tutti gli elementi che vi sembrano poco chiari!

Modifica3

Posizionatevi sulla seguente chiave

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

controllate che il valore “Shell” sia explorer.exe  – Quasi sicuramente, se il virus s’è insediato bene, dovreste trovare scritto altro!

Quindi in SHELL, se non c’è scritto, dovrete inserire  explorer.exe

Successivamente sotto alla voce “shell” trovate un’altra voce denominata Userinit. Deve avere come valore SOLO C:Windowssystem32userinit.exe,  (virgola inclusa!!)

Ci siamo quasi, se avete seguito tutti i passaggi riavviate il PC e il virus della guardia di finanza dovrebbe esser rimosso!

Windows dovrebbe partire normalmente anche se dovrebbero esserci ancora residui del VIRUS(ad esempio le icone sul desktop non si vedono tutte).

Fate una pulizia del vostro sistema con il programma gratuito SPY BOT SEARCH&DESTROY(link) e tutto dovrebbe tornare alla normalità!

Fatemi sapere 😉


Ti potrebbero interessare:

mm
CEO e fondatore del sito Chiccheinformatiche. Appassionato da anni all’informatica, è un programmatore esperto con la passione per le novità e gli aggiornamenti. Diplomato presso l’ITIS, vanta la realizzazione di software e applicazioni per computer e dispositivi mobili. Con una comprovata esperienza nell’ambito dei sistemi di rete, è esperto anche in hardware e installazioni di network. Oltre all’informatica ha un’altra grande passione, il calcio, che coltiva allenando una squadra di categoria dilettante con enormi soddisfazioni.

288 Commenti

  1. Salve a tutti . ho preso il virus polizia di stato , non funziona in modalità provvisoria per cui ho scaricato kaspersky rescue 10 e masterizzato su cd . facendo avviare il pc da cd si avvia continua con la schermata verde di kaspersky e poi si blocca , non funziona il registry editor e non da nessun segno di vita. ho riscaricato e rimasterizzato il cd non so quante volte ma rimane sempre lo stesso problema . qualcuno puo’ aiutarmi ? ps ho installato Windows 7 . grazie in anticipo.

    • probabilmente oltre al virus il PC non funziona tanto bene. Ad ogni modo se premi ripetutamente F8 all’avvio del PC dovrebbe uscire una schermata con un menu. tra le voci del menu oltre a modalità provvisoria dovresti trovare anche RIPRISTINO COMPUTER! capito come fare?

  2. Ciao a tutti!!
    Purtroppo il virus ha colpito anche il mio pc (Sony vaio con Windows 7)!! Il problema è che la prima volta che mi era comparsa la schermata del virus dal task manager ero riuscito a chiudere il tutto senza problemi…ora invece non riesco più a fare niente!!
    Appena accendo il pc tempo 2 secondo mi ricompare la schermata senza darmi il tempo di fare niente!! Ho già provato con tutte e 3 le modalità provvisorie ma non riesco ugualmente a fare nulla…
    Se qualcuno gentilmente in modo chiaro e preciso (non me ne intendo molto di computer) può darmi una soluzione ne sarei molto grato!!
    Una soluzione può essere il ripristino del pc senza però perdere tutto quello che ho memorizzato??? Grazie ancora

  3. Ho windows xp.Questo virus mi rendeva impossibile l’accesso alla modalità provvisoria. Ho dovuto usare il cd di Kaspersky Rescue Disk 10 che trovava alcuni virus, ma nelle chiavi di registro sembrava tutto ok e il virus all’avvio si ripresentava. Ho dovuto ripulire l’HD collegandolo ad un portatile con cavetto appropriato e scansionare il tutto. Norton a pagamento non rilevava niente. Avast free rilevava 2 virus. Tolti questi ho azionato antimalwere e anche questo mi ha trovato due virus. Poi sono entrato c:Document and Settingnome amministratore..menu avvio e ho individuato il file responsabile con un nome piuttosto strano fatto di sigle tipo wjx….ect. Ho copiato il nome del file e ho fatto la ricerca anche nelle sotto cartelle e nei file nascosti che contenevano lo stesso nome rilevandone altri 3 o 4 con estensione diversi tutti nelle cartelle del menu di avvio ed esecuzione automatica. I virus si trovano tutti in queste cartelle e in windowssystem. Alla fine il virus è stato tolto. Per sicurezza ho riavviato il tutto facendo scansionare da Combofix, il quale però è un antivurs che nel mio caso ha cancellato anche file di sistema di windows, per cui al riavvio la schermata si presentava distorta ed illeggibile. Ho riattivato i file mancanti con quelli del sistema di ripristino avendone uno nell’HD ripartito appositamente. Il mio consiglio è quindi quello di scannerizzare con avast aggiornato e togliere i virus anche manualmente una volta individuati nella cartella del menù di avvio.

  4. Io conosco Linux moooolto poco…. lo ho installato un paio di volte, anni fa, e non saprei proprio come fare un CD Live… oltretutto sembra che questa opzione non sia più supportata nelle ultime versioni… :-(((

    • Ho risolto… con Kaspersky Rescue Disk ho potato il registro (non pulito, veramente potato, se c’era una cosa non non mi piaceva, via…), poi con Puppy Linux ho cancellato a pene di segugio tutti i files che non mi piacevano.
      Alla fine, finalmente sono riuscito a far partire il disco di ripristino (mi bloccava pure quello!!!) ed a recuperare un vecchio punto di ripristino…
      Virus bastardo veramente….

  5. Zio che bastardo sto virus! Lo aveva preso mio padre mesi fa, e lo avevo pulito in 10 minuti.
    Ore lo ha beccato mio cugino… niente modalità provvisoria ne prompt.
    Riesco a beccare il gestione attività, ma non faccio a tempo a fare nulla.
    Ho provato la pulizia usando Kaspersky Rescue Disk, ma dopo 3 ore di ricerche e nonostante questa ottima guida (veramente ben fatta!) non trovo nessuna delle chiavi di registro che dovrebbero essere infette – o meglio, le trovo ma sono corrette!
    La ricerca del disco non ha portato ad evidenziare nessun file ‘strano’ – ne ho cancellati diversi che potrebbero, ma nulla…

    Qualche idea prima del formattone a zero? Sempre che mio cugino abbia i dischi originali del VAIO…

      • E’ un Windows Vista Home Premium, OEM di Sony. Non so se 32 o 64 bit… non riesco ad arrivarci e nell’etichetta non c’è scritto…
        Le chiavi HKEY_CURRENT_USER non ci sono.

        HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
        HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
        ci sono e sono pulite.

        HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunEx
        non c’è

        HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
        è corretto.

        Un problema che ho con Kaspersky è che gira da CD, e quando cerco di cancellare i files dalle cartelle TEMP o da altri posti mi dice che il trash è pieno. Tempo che si tratti del trash nel CD, e quindi non può cancellare nulla. Io ho spostato tutti i file da cancellare in una cartella ‘spazzatura’, sperando che il virus non se la ritrovi…

        Grazie di ogni consiglio…

        • tramite kaspersky (avviato da CD) hai provato a fare una scansione del PC? ad ogni modo l’idea di cancellare i file temporanei è buona. forse converebbe partire con un linux da CD, tipo ubuntu per esempio

  6. Attenzione ragazzi e ragazze esistono 3 tre tipi di virus – polizia di stato – guardia di finanza e polizia penitenziaria che è l’ultimo ma tremendo.Io ho risolto con il programma Combofix istallato su una chiavetta usb e poi lanciato con il pc in modalità provvisoria quando finisce il pc risulta pulito e poi procedere con la pulizia totale tramite cclear – glary utiliti e sopratutto avg 2012. Se non riuscite in questo modo staccate l’Hdd e scansionatelo con un altro pc provvisto ovviamente di Combofix sicuramente andrà tutto a posto.Buon lavoro a tutti voi.

  7. Allora con il ripristino è ritornato tutto normale solo che non so se sono riuscita a eliminare in modo definitivo il virus..cosa mi suggerisci?

  8. Ciao a tutti ieri sera ho preso questo virus e possiedo windows 8 ma nn appena accendo il computer ho una schermata bianca e non riesco ad aprire niente cosa devo fare? Grazie mille!

      • Purtroppo mi funziona solo il tasto di accensione e dopo due secondi che ho inserito la password x entrare nel computer mi diventa lo schermo bianco

        • la modalità provvisoria parte prima di windows. appena avvii il pc premi tasto Maiusc + F8 , velocemente , all’avvio. dovrebbe uscire un menu con una serie di opzioni e tra queste c’è modalità provvosoria. prova

          • Ok, lo immaginavo. Hai un cd di installazione di windows 8? se cosi possiamo tentare il ripristino (senza perde nulla come dati)

          • Eh no perchè due settimane fa ho acquistato il computer che si è infettato, quindi era già dentro il sistema operativo.. adesso sto cercando di fare un ripristino di configurazione del sistema con data precedente al giorno in cui ha preso il virus.. può esseere una soluzione? Ti ringrazio x la disponibilità..

          • si è quello che stavo per dirti. di ripristinare il pc ad uno stato precedente. Uno dei modi possibili è proprio quello dell’avvio tramite CD/DVD ROM. cosi dovresti risolvere! 😉

          • Sinceramente è da mezz’ora che sta eseguendo questo ripristino però non va avanti, può impiegarci così tanto tempo o non sta lavorando?

          • in genere il ripristino configurazione di sistema impiega tra i 5 ed i 10 min. dipende dalla velocità del PC. Essendo installato windows 8 non penso sia un PC lento. A questo punto conviene comunque aspettare, un arresto del PC mentre sta scrivendo dei file potrebbe generare altri problemi! (di disco ad esempio)

          • si ok, ma fino a quando devo attendere perchè se continua per più di 12 ore come posso intervenire?

  9. Buona sera a tutti ! Non riesco neanche ad avviare il pc in modalità provvisoria, questo virus appare subito all’ apertura del pc, non da il tempo di intervenire, ho solo due secondi di tempo: pertanto impossibile qualsiasi operazione.
    Cordiali saluti a tutti Giulio.

  10. scusate la mia ignoranza,ma oggi avg free ha rilevato e messo in quarantena un virus.
    Trojan backdoor.generic16.BHTN il computer per ora funziona, volevo solo sapere se devo fare qualcosa o se essendo stato messo in quarantena sono apposto.
    Grazie

  11. io ho fatto un errore…quando sono arrivato a shell modifica stringa al posto di explorer.exe ho scritto c:usersemilia eho cliccato su ok…ho capito di aver sbagliato e ora dal prompt quando provo a scrivere regedit.exe mi esce una scritta C:windowssystem32regedit.exe non è un applicazione di Win32 valida. ora come faccio? vi prego rispondetemi sulla mia mail mattr

  12. Maledetti inventori di virus…l ho appena beccato!!!schermata bianca all’avvio di Windows…stavo semplicemente leggendo una mail…Peccato che io di pc nn ci capisca nulla…nn saprei dove mettere le mani…domani lo consegno a mani esperte…sperando riescano a sistemare il tutto!!!

  13. Io ho appena avuto lo stesso problema.
    PREMESSA: HO UN PC AZIENDALE CON ACCESSO NON DA MMINISTRATORE, QUINDI NON SO SE CON GLI ALTRI DUE PROFILI PRESENTI SUL PC AVREI POTUTO RISOLVERE DIVERSAMENTE D INOLTRE QUALSIASI MANOVRA RICHIEDESSE LA PW DA AMMINISTRATORE NON RIUSCIVO A PORTARLA A TERMINE (ad es. rstrui.exe) .
    La versione che ho preso io si attivava all’accesso di windows e non mi dava il tempo di agire escludendo i programmi ad esecuzione automatica.
    Lo stesso per la modalita’ provvisoria.
    L’unica cosa che riuscivo a fare era entrare in mod.provvisoria con prompt comandi.
    A questo punto ho fatto regedit e seguito le indicazioni riportate nella vostra guida, ma nn trovavo nessuna chiave di registro con i valori sopetti od alterati. Le chiavi run, runonce e shell erno corrette, anche per il registro HKEY_CURRENT_USER.
    Non riuscivo a venirn a capo, quando alla fine ho spulciato nel registro HKEY_USERS (l’ultima in basso), sono andato nella sottocartella relativa al mio profilo utente (identificata d una serie di numeracci, ma che ho individuato perche’ era l’unica a cui mi facesse accedere) poi sono andato in SoftwareMicrosoftWindows NTCurrentVersionWinlogon ed ho trovato anche ui la chiave shell, dove in effetti c’era una scritta con diversi exe. Ho cancellato tutto tranne explorer.exe ed ho riavviato. Sembra che abbia funzionato.
    In pratica si deve trovare la chiave riferita all’utente “infetto” e modificarla come indicato nell vostra guida.
    Grazie ancora per le dritte e spero che la mia esperienz possa aiutare qualcuno!
    Ciao!

  14. Anche io mi trovo nella vostra stessa situazione, nel senso che in precedenza ero riuscito a rimuovere questo virus che caricava vari file .exe, ma questa ultima variante è + rognosa, dopo alcuni secondi dall’avvio si blocca e schermata bianca, potresti gentilmete indicarci come hai fatto a rimuoverlo, straGrazie !

  15. Salve a tutti , fino ad ora avevo rimosso senza tanti problemi (anche a distanza) questo virus, ma ieri sul pc di un cliente ne ho trovato un altra variante che si allaccia ad un seguibile di sistema (monitor delle stampanti epson in questo caso lanciando un file dalla cartella temp) e bloccava il pc con schermata bianca anche se erano state effettuate tutte le modifiche al registro. Mi ha fatto penare , ma poi ho notato lo strano percorso di root che eseguiva il prg epson .

    • ciao frANCESCO penso lo stersso che ho beccato io ieri. mi fa ANDARE sul dos ma con i classici consigli non risolvo. te come hai fatto? grazie gio.

    • Come dicevo, anche io mi sono traovato a dover risolvere il problema in una delle sue ultime varianti, questa volta ho visto da Task Manager che veniva avviato un processo Skype.dat il quale impiegava fino al 50% della cpu, non avendo skype sul pc, con il tasto dx ho terminato il processo e la videata non si più presentata.
      La conferma l’ho avuta con l’antivirsu AVG che l’ha rilevato come Trojan BackDoor Generic16.AVZD, presente nella cartella c:Document and SettingMasterDati Applicazioniskype.dat
      Un’altro eseguibile che è stato scovato e rimosso da AVG era nascosto nelle cartelle della stampante Epson e il percorso era
      c:Documente and settingMasterDati applicazioniEpsonEvent ManagerModel00c6AppInfo1Scan to PCfreecell.exe
      Ora sembra tutto a posto, speriamo in bene

  16. Chiedo scusa ma il video fatto dalla webcam attivata dal virus va in mano a qualcuno che puo’ diffonderlo in rete o la webcam che si accende e’ usata solo per rendere il tutto piu’ realistico?

  17. per loris, come faccio dal prompt dei comandi a disabilitare l’autorizzazione di avvio automatico per wgsdgsdgdsgsd.exe ??

  18. ho appena preso il virus ieri sera alle 11:30 , il virus si mi impediva di andare in modalità provvissoria ho risolto facendo partire il pc in modalita prompt dei comandi , dopo lunghe ricerche ho individuato il virus che era situato nella cartella utenti , il nome è il seguente wgsdgsdgdsgsd.exe il propietario è Редактор дескрипторов безопасности , ho bloccato il virus semplicemente disabilitando le atorizzazioni di avvio automatico .

  19. Mah!! basta mettere su il cd di win 7 dopodichè andare su opzione ripristina pc e scegliere tra i vari file di BCK quello di almeno 2 giorni prima…et voilà..poichè ripristinerà anche il file di registro precedente al virus…..etcc….etcc…

  20. Io ho risolto partendo dal secondo sistema operativo del secondo disco visto che qualsiasi azione anche in modalità provvisoria erano inibite. Ho usato l’ultima versione di Combofix.

  21. Ciao! Lavoro in un negozio di PC come tecnico, e PC con questo virus ne arrivano in media due a settimana…

    L’evoluzione si riconosce dal fatto che se il PC è dotato di webcam ti fa una fotografia prima di bloccare il PC. Se non c’è la webcam mostra un immagine confusa in grigio.

    Anche se è molto efficace come Live CD, si può anche avviare Windows in modalità provvisoria con prompt dei comandi. Una volta avviato si scrive explorer.exe e si ha l’interfaccia grafica. Una volta lì, scansione e via.

    Inoltre, visto che Combofix è un pò troppo “drastico” per i miei gusti (per esempio, resetta il file hosts) si può utilizzare tranquillamente Malwarebytes Anti-Malware.

    Spero di poter dare una mano a qualcuno!

    Tiziano

    • ciao, in modalita’ provvisoria l’antivirus non funziona e non fa funzionare nemmeno il task manager. non riesco a cancellare manualmente il dll fonte dei nostri mali perche’ e’ in esecuzione… avete qualche consiglio? :((((

    • Purtroppo ne ho vista una variante che parte anche andando in “Modalità provvisoria con Prompt dei comandi” e avviando l’interfaccia grafica lanciando Explorer.exe

    • Ottima Guida. E ottima replica.
      Ho una piccola fix da aggiungere.
      Si puo’ invece che scaricare e creare iso di kaperspy, o usare prompt dei comandi, semplicemente terminare il processo skype.dat all’avvio normale del pc.
      Basta un ctrl alt canc appena eseguito il login, mettiamo i processi in ordine di consumo decrescente della cpu, ed ecco che il nostro dannato virus si manifestera’ (nel mio caso con il nome “Skype.dat” ma ho trovato nei registri un NwlTefdsqualcosa.exe ).

      E’ proprio cercando skype.dat su google che vi ho trovato… 😉 Ciau!

  22. scusa un altra cosa, non sono esperta, e ho letto quello che hai detto per ripristinare, ma a me nel prompt mi dice che il comando non esiste. mi dici per favore esattamente cosa aggiungere dopo questo: C: windows system32>….
    grazie, perdona la mia incapacità 😀

  23. ciao! ho appena preso il virus e non posso entrare in modalità provvisoria, ma sì con il prompt di comandi e ho potuto verificare che shell per me è a posto. è assolutamente necessario il programma indicato qui o c’è un modo di eliminare il virus senza di esso attraverso il prompt di comandi? se sì per favore potrebbe spiegarmelo? sono in panico e non so masterizzare nulla… e una domanda: tutti i file indicati nella modifica 2 devono essere 0? grazie e saluti!

  24. Se chiedevi me ti rispondo di no, non mi fa accedere a nessuna delle modalità provvisorie. Pensi che riusciei a fare qualcosa mettendo l’hard disk in un altro computer con prestazioni migliori del mio (che ormai ha 7 anni) e provando a far partire kaspersky rescue disk?

  25. ciao, sono bruno e sono stato contagiato dal virus guardie di finanza quello evoluto, ma il mio pc è un XP e non mi fà andare in modalità provvisoria hai qualche soluzione per me ??? GRAZIE

  26. Salve a tutti. Ho contratto anch’io una forma del famoso virus della guardia di finanza e non riesco a risolvere nulla. inanzitutto non mi fa accedere in modalità provvisoria, quando ci provo si riavvia. Ho provato a scaricare kaspersky rescue disk e a masterizzarlo su CD, ma anche mettendolo prima che si apra windows non parte. Sono entrato nel BIOS per verificare che la priorità di apertura fosse per il CD e infatti al primo posto era collocato il boot dei CD. Come si spiega che non riesca a partire? E come posso eliminare quel maledetto virus?
    Uso sistema windows xp professional service pack 2.

  27. Sono incappato in questo problema per un mio amico, ha ben 2 portatili infetti. In effetti non posso scaricare kaspersky perche’ la mia connessione non ce la fa…(key pacco wind)…… e mio malgrado mi trovo in questa merda… ma voi.. mi fate pena… usate linux. mai preso virus, mai bloccato pc, mai formattato hd.. l’unico intelligente di questo post e’ quello che ha pubblicato il nome del file e lo ringrazio…. Ho lanciato la live ubuntu, trovato il file e seccato…e ora il pc e’ a posto. Niente pugnette varie fix, iso, programmi, registri, ccleaner, stacca il cavo di rete, attacca la key usb… .Buttate windows nel cesso, usate la testa… oppure continuate cosi’.. fatevi del male.. al prossimo virus… ciao ciao

  28. Problema RISOLTO. Il virus della guardia di finanza (nella sua forma evoluta) inibiva tutte e tre le modalità provvisorie (anche il prompt dei comandi), di conseguenza Combofix, il registro, l’esecuzione automatica ecc erano vie impossibili da percorrere. La soluzione l’ha fornita KASPERSKY CD RESCUE (che da me non partiva in modalità grafica ma solo in modalità testo – la guida qui sopra m’è servita poco – ).
    Il procedimento da seguire è questo: dopo aver scaricato e messo su cd l’Iso del Kaspersky Rescue, fatelo partire MA IN MODALITA TESTO, vi comparirà un menu con diverse opzioni (Network setup, Scan C, Scan all objects, scan startup objects ecc). Voi dovrete cliccare su SCAN STARTUP OBJECT che farà una scansione degli oggetti caricati all’avvio. Kaspersky troverà il trojan e a quel punto cliccando “L” lo potrete cancellare. Riavviate e il gioco è fatto.

  29. Buongiorno Savino, ho letto con attenzione tutti i suggerimenti, ma non riesco a liberarmi da questo virus: non riesco ad avviare in modalità provvisoria, nemmeno con prompt dei comandi, ho scaricato combofix su chiavetta USB e Kaspersky su CD, ho disconnesso il cavo di rete e disattivato la rete wifi, ma non c’è verso !
    Non riesce a leggere il CD come prima opzione, ho provato andare sul boot di sistema (F2) ma non accetta USBCDROM com prima opzione (selezionato, F10 ma non lo salva), quindi parte sempre e comunque dallo HDD.
    Lasciando avviare windows compare sempre la finestra GdF.
    Grazie per un ulteriore consiglio, se possibile.

    • hai provato con modalità provvisoria con prompt dei comandi? cerca nel sito, c’è un articolo recente con altre tecniche x eliminare il virus 😉

      • Il punto è che selezionando e lanciando l’avvio con modalità prompt dei comandi dopo l’esecuzione auomatica di alcuni comandi (schermo nero), compare per un attimo una schermata blu (non c’è il tempo di leggere il contenuto) e ritorna alla schermata nera che indica l’avvio non riuscito e ripropone l’avvio normale, mod. provvisoria e mod.provv, con prompt comandi.
        Quindi di fatto l’unica possibilità è l’avvio normale, però con la comparsa della finestra del virus …

        • fai un ripristino del sistema ad uno stato precedente lanciando il comando rstrui.exe
          Quando viene aperta la finestra di comando(prompt dei comandi modalità provvisoria), digitare: c:
          Al prompt, digitare: %systemroot%system32restorerstrui.exe
          Se ti continua a dare schermata blu potrebbe essere un difetto hardware.

  30. salve ho provato con Kaspersky Rescue Disk 10 e suHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem e ho rimesso il DisableTaskMgr, deve essere impostato a 0 che era sparito ,del tutto il mio unico dubbio che quando arrivo a
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
    la cartella run ha un segno piu e contirnr diversi fike e una sottocartella ) sul vostro esempio non ha nulla e non contiene nessun file ) , che file dovrebbero esserci normanmente? comunque il pc non va lo stesso , schermata bianca che blocca tutto all’avvio , grazie

      • infatti ho seguito tutte le procedurev, ma come dicevo——ho provato con Kaspersky Rescue Disk 10 e suHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
        ho rimesso il DisableTaskMgr, impostato a 0 che era sparito del tutto ,il mio unico dubbio che quando arrivo a
        HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
        la cartella run HA UN SEGNO PIU E CONTIENE DIVERSI FILE E UNA SOTTOCARTELLA ) sul vostro esempio non ha nulla e non contiene nessun file ) , che file dovrebbero esserci normalmente? comunque il pc non va lo stesso , schermata bianca che blocca tutto all’avvio , grazie

    • Molto strano. è un programma che viene eseguito da cd e dovrebbe SEMPRE uscire. abbiamo fatto un altro articolo che risolve il problema complicandovi meno la vita, dai un’occhiata nei commenti

  31. Ciao ragazzi,io ho preso il virus questa sera,e vi chiedevo se la procedura è valida anche per windows 7 perchè ho letto nei commenti precedenti che in molti utilizzavano xp.
    Sono riuscito ad usare la modalità provvisoria,ma quando apro ‘esecuzione automatica’ e provo ad eliminare il file ‘cftmon’ mi ricompare subito dopo.
    Consigli?
    Grazie

  32. è davvero una gran rogna questo worm, anche mio fratello che usa win xp sp.3 lo ha beccato, ma grazie ai consigli dell’articolo sono riuscito a eliminarlo! 🙂
    il pc non funzionava neanche in modalità provvisoria, allora ho utilizzato il kaspersky rescue cd al boot del sistema, attenzione però: dovete aggiornare le firme dell’antivirus prima di fare la scansione via internet!!! poi una volta che il programma ha rilevato e eliminato il virus dovete aprire l’editor per il registro ( sempre dall’interfaccia del kaspersky) e andate a controllare le chiavi di registro segnalate dall’autore dell’articolo eliminando le stringhe strane ( se presenti… in genere il worm ha nome tipo cfmon.exe).
    Al riavvio, tutto riprenderà a funzionare senza problemi! 🙂

  33. Aiuto!!!! l?ho preso su un notebook, che non ha il lettore cd/dvd. Come posso fare? ho provato a copiare il programma del vostro link a Kaspersky lab su una penna ed a mettere come boot priority USB FDD, ma all’avvio, con la chiavetta inserita, non succede niente, schermata nera con underscore lampeggiante. Come devo agire?
    Grazie

  34. Ieri ho risolto su un computer nel quale la modalità normale era bloccata dal solito virus e la provvisioria era inibita da una schermata totalmente bianca che non permetteva l’accesso nemmeno al task manager.
    Ho avviato in provvisoria con prompt dei comandi; il pc si avvia ma si blocca sul prompt prima che il virus parta. Sul desktop non c’era niente ma il task manager era avviabile, quindi tramite questo ho selezionato ESEGUI e sono andato sulla chiavetta USB sulla quale avevo salvato Combofix e l’ho fatto partire.
    I soliti 10 minuti ed il computer era perfetto.

  35. Buongiorno a tutti,
    Vi comunico una variante alla faccenda virus GdF; le schermate ora sono due,una sopra l’altra,la macchina è bloccata dopo circa un minuto di apparente funzionalità piena e con l’F8 si arriva solo alla schermata blu con tanti saluti. Occorre il Kaspersky Rescue 10 installato su un Cd che sia di Boot,in caso contrario,ovviamente,non parte nulla da Cd e la macchina si rivolge all’Hard Disk con le note conseguenze; dopo aver “costruito” il Cd di kasp versione bootstrap,dopo le varie richieste di lingua e accettazione,non compaiono le icone utili; bisogna usare il file manager che si trova nel menu in basso a sinistra oppure cliccando con il tasto destro del mouse; scordatevi l’editor di registro,non c’è,dovete andare a cercare a mano un file che abbia data e ora del presunto ingresso del virus in casa vostra; in pratica si tratta si riordinare tutte le directory per data e ora e cercare in quelle che hanno subito modifiche recenti il/i file/files con la data più recente; tra questi ultimi dovreste vedere un file “wdsgdgsgdwsg.exe” o numeri vari seguiti da exe; copiatevi con il tasto destro nome ed estensione ed eliminatelo. Nel mio portatile è ripartito tutto perfettamente; lanciate un regedit e cercate il nome copiato nel registro,lo troverete in due o tre punti; eliminate non solo il nome ma anche l’indirizzo del registro a cui fa capo; attenzione,SOLO l’indirizzo specifico del file inciriminato e NON l’indirizzo sorgente che governa anche altro; nel dubbio eliminate solo il nome del file.
    Coraggio,al prossimo colpo basso estivo (estivo=dall’est).

  36. Ciao, grande ringraziamento per questa guida.
    Sono riuscito a togliere il virus con kaspersky rescue disk, ed ho trovato il virus sia il local_machine, sia in user.
    Il virus era quello della gdf, e nei comandi si presentava con fvJcRgr.exe.
    Grazie ancora, non ci speravo piú.

  37. io sono riuscita a toglierlo con combofix però non ero in modalità provvisoria… spero che vada bene lo stesso!
    mi si è aperta la schermata blu e alla fine mi ha eliminato il file ctfmon e altri due file! grazie mille veramente non so come ringraziarvi

  38. Non capisco anche cosa intendiate per “Controllare le chiavi” alla modifica 2. In che senso? Deve esserci scritto qualcosa di specifico per valutarlo come sospetto…? grazie ancora

  39. salve,
    sto cercando di utilizzare kaspersky seguendo la procedura, ma prima ancora di aprire l’editor si spalanca una finestra kaspersky rescue disk che non riesco in alcun modo a chiudere. sos!!! grazie

  40. ciao.. non riesco a risolvere il problema.. anche in modalità provvisoria non faccio in tempo a fare nulla che il virus ricompare.. e con il metodo del cd.. il cd non parte in automatico all’avvio e dp qualche secondo il caricamento di windows il virus ricompare..

  41. Miha aperto la graphic mode :
    1)Non c’ era il Disable… , l ho aggiunto come nuovo .
    Nei passi dopo è tutto ok.

    Ora per sicurezza gli sto facendo fare uno scan.

    Vi faccio sapere

  42. Purtroppo non parte, si riavvia di continuo fino a quando non avvio Windows normalmente. Penso di andare a pagare il riscatto, non so più cosa fare.

  43. Ciao, le ho provate tutte, defender offline non trova nulla e kaspersky rescue disk si blocca dopo pochi secondi, aiutatemi perché non so più cosa fare, il mio è un vecchio xp

        • prova con modalità provvisoria prompt dei comandi, dovrebbe andare..
          fai un ripristino del sistema ad uno stato precedente lanciando il comando rstrui.exe
          Quando viene aperta la finestra di comando, digitare: c:
          Al prompt, digitare: %systemroot%system32restorerstrui.exe

          • Niente da fare, non mi fa avviare nulla, ho provato i rescue disk di kasperski, avg e avira ma nulla, che faccio?

          • com’è possibile!! la MODALIDA’ PROVVISORIA CON PROMPT DEI COMANDI deve fartela avviare per forza, li il virus non può agire!

  44. Scusa ancora ho scaricato il file kav rescue l’ho masterizzato in un cd, ma inserendolo nel pc infetto all’avvio
    il programma non parte si avvia windows normalmente.
    Ho provato anche con modalità provvisoria ma non funziona non so che fare .
    mi puoi aiutare???

    • Ti parte windows perchè molto probabilmente non hai impostato nel bios del PC l’avvio da CD ROM. Ad ogni modo prova a partire in modalità provvisoria prompt dei comandi e successivamente fai un ripristino del sistema ad uno stato precedente lanciando il comando rstrui.exe
      Quando viene aperta la finestra di comando, digitare: c:
      Al prompt, digitare: %systemroot%system32restorerstrui.exe

  45. Usando kav rescue 10, quando faccio graphic mod mi dice che ha trovato degli errori e non mi fa partire questa modalità grafica.

    Come posso fare ?? Aiuto !

    • Molto strano, nessuno ha mai avuto questo problema. forse la sk video non è compatibile.. prova altre strade, tipo quella di fare un ripristino della configurazione di sistema.. leggi nei commenti, c’è spiegato tutto

  46. Ciao, ho preso anche io questo virus (il mio era della polizia di stato e riguardava la violazione dei diritti d’autore). Dopo che il pc (portatile, SO window Vista 32bit) mi si è bloccato con quella pagina ho riavviato e sembrava tutto a posto, per sicurezza ho fatto una scansione con “malwarebytes” mi ha rilevato un po’di schifezza, ho cancellato ed ho riavviato. A questo punto una volta entrato nel mio account (amministratore) visualizzo solamente una schermata nera, posso solo muovere il cursore, taskmanager non funziona e non so nemmeno come riavviare o spegnere il pc (se non spegnendolo in modo poco ortodosso, tenendo premuto il tasto dell’alimentazione) . A questo punto mi sono informato e mi sono reso conto di aver preso questo tipo di virus.
    Per prima cosa ho seguito la procedura della guardia di finanza, ma in esecuzione automatica era (vuoto); quindi mi sono limitato a cancellare i file in : <<C:Utenti\AppDataLocalTemp>> di entrambi gli utenti del pc. Tuttavia riavviandolo in modalità normale ottengo sempre la schermata nera (ho provato anche a togliere il w-fi e a spegnere il modem, ma nulla).
    Quindi ho provato la via combofix in modalità provvisoria…ha fatto tutti gli stage, ha cancellato un po’ di roba, ma dopo il riavvia in modalità normale c’è sempre la schermata nera.
    Come ultima spiaggia mi procuro Rescue Disk 10, lo faccio partire, ma già alla prima modifica mi sono intoppato perchè non ho la voce da voi indicata (DisableTaskMgr). Ho letto di un utente che l’ha aggiunta manualmente ma non sono così smanettone…cosa posso fare

    • Piccolo aggiornamento:
      In<> ho tre voci: una di combofix, e due di malwarebytes.
      In <> ne ho un po’di più, alcune si riferiscono agli antivirus, anti-malware e combofix…poi ce ne sono alcune di cui non so a cosa si riferiscono (PLFSetl, Skyrel, SynTPEnh)
      Shell e userint sono ok.

    • prova a partire con modalità provvisoria prompt dei comandi e a fare un ripristino del sistema ad uno stato precedente
      lanciando il comando rstrui.exe
      Quando viene aperta la finestra di comando, digitare: c:
      Al prompt, digitare: %systemroot%system32restorerstrui.exe

      • Allora sono tornato ad un punto di ripristino (seguendo la strada: tutti i programmi->accessori->utilità di sistema->ripristino configurazione di sistema) è la stessa cosa? Poi è partito anche in modalità normale, ho fatto una scansione con spybot, ma stamattina quando l’ho riacceso, compare sempre la schermata nera, in cui per lo meno posso lanciare il task-manager, poi dopo circa 5 minuti ricompare tutto. Il computer a prima vista sembra essere tutto a posto, comunque non penso sia normale quello che accade all’apertura dell’account.
        Grazie 1000 per la disponibilità

          • Una volta che partono tutti i processi della modalità normale, mi sembra che sia come era prima di prendere il virus, per adesso non mi sembra di aver notato un netto calo delle presatazioni. L’unica cosa è che quando accedo nel mio account (o nell’altro) rimane lo schermo nero per circa cinque minuti prima che tutto cominci a funzionare.

          • Beh è un pò strano, potresti provare a fare uno scandisk del disco.
            risorse del computer –> tasto destro su c: –> proprietà

  47. Anche io ho preso questo maledetto virus.

    In serata provo questo metodo (l’ ultima via rimasta), sennò mi tocca formattare o portare da un tecnico.

    Il mio problema è che non posso usare combo fix, perchè per installarlo ho bisogno dei privilegi di amministratore, che l’ account non infetto non ha.

  48. ciao a tutti, ho preso anche io questo virus malefico e dopo vari tentativi (andati a vuoto) per riprendere il controllo del mio pc ho risolto come segue…. Ho semplicemente recuperato il sistema ad un punto di ripristino creato durante l’ultimo aggiornamento del sistema operativo. Ho perso un paio di programmi che avevo installato, ma è un problema inesistente. Il Pc è guarito perfettamente e ho dunque provveduto ad eliminare anche Windows Security Essential e a rimettere il mio buon AVAST che in tanti anni di utilizzo non mi aveva mai dato un problema di virus!!!! Mentre con il Windows Antivirus ho preso questa bestiaccia in meno di una settimana!!!

      • puoi farlo in vari modi: modalità provvisoria è quello più semplice. oppure con prompt dei comandi sempre di modalità provvisoria – lanciando il comando rstrui.exe
        Quando viene aperta la finestra di comando, digitare: c:
        Al prompt, digitare: %systemroot%system32restorerstrui.exe

  49. Spiego un attimo il mio problema, ho preso il virus ma sono riuscito ad “eliminarlo” un pò con la guida della gdf e antivirus vari. Ma sono rimaste delle tracce ad esempio il task non va, e cosa più IMPORTANTE il pc funziona meravigliosamente per 30-40 min dall’ avvio ma dopo internet crasha e di conseguenza tutto il pc, non me lo fa spegnere non funziona, ma certe applicazione continuano a funzionare magari. Aiuti??? C’è un altro problema non ho il masterizzatore (è rotto)

    • Prova a far partire il pc in modalità provvisoria con prompt dei comandi e fai un ripristino configurazione di sistema lanciando il comando rstrui.exe
      Quando viene aperta la finestra di comando, digitare: c:
      Al prompt, digitare: %systemroot%system32restorerstrui.exe
      Premere Invio. Seguire la normale procedura per ripristinare una configurazione precedente del sistema utilizzando Ripristino configurazione di sistema.

      • ho provato ma non riparte, do l’invio x mod provv. con prompt, ma poi il pc sembra spegnersi (no signal detected) e riparte da solo tornando alla schermata nera di avvio di windows non riuscito…quindi non riesco a dare alcun comando….

          • ok…allora forse è subentrato il problema in concomitanza con il virus…ammazza ke sfiga, cerco di salvarmi i dati utilizzando kasper e poi lo porto da qualche parte o lo butto 😉
            grazie cmq per i consigli
            ciao

  50. ciao,ti spiego la situazione spero mi possa aiutare…ho preso il virus GF, quando facevo partire la modalità provvisoria ripartiva normalmente con schermata GF, ho aperto il Task, dal quale seguendo uno dei vari post, ho flaggato bootsave per far ripartire il pc in mod provv., solo che da quel momento in poi è un circolo vizioso (parte mod provv, lo rimanda a quella normale ma ke avendo messo la flag su bootsave nn parte mai e torna sempre alla schermata nera di scelta di modalità)…poi ho trovato il tuo forum e ho eseguito i passaggi di kaspersky cm dicevi, eliminando i file sospetti tranne il file CTFMON.EXE che ho trovato in Users….Run è il virus o è 1 file di Office?…intanto la situazione nn è cambiata
    grazie in anticipo…ciao

  51. Ciao a tutti.
    Uno dei miei pc con windows xp è stato infettato. Prima la schermata polizia di stato, dopo schermata bianca con vari siti e riferimenti a “opendns”. Ma il problema è sempre lo stesso. Riesco ad entrare in modalità provvisoria e dove aver eliminato apparentemente il problema riavvio e nada, tutto come prima. Provato allora secondo metodo. Trovato virus nelle cartelle hkey local machine e curtensi user. Riavvio standard e ancora nada. Il virus è ancora lì. A questo punto cosa mi consigliate? Grazie per l’aiuto

  52. Ho provato scollegando dalla rete il pc, ho addirittura spento il router ma niente da fare nn si avvia se nn in provvisoria con prompt dei comandi, ho già installato nel pc combofix per eliminare il virus della GdF ma nn so farlo partire dal prompt dei comandi, è possibile agire dal prompt in qualche maniera? dal prompt ho già verificato le key ma è tutto in ordine. Grazie per la disponibilità.

  53. Salve,
    ho beccato anche io il virus ma non riesco a risolvere.Uso Windows XP.

    In esecuzione automatica non vi è nulla (vuoto)
    Non mi fa partire in modalità provvisoria,posso usare solo il prompt.
    Ho eseguito i comandi partendo da HKEY_LOCAL_MACHINE ma arrivato a SHELL mi accorgo che la voce scritta è explorer.exe e quindi non vi è traccia di virus.
    Ho provato anche da HKEY_CURRENT_USER ma nulla da fare.
    In RUN non ci sono file sospetti o strani.
    Che devo fare??????
    Vi chiedo di aiutarmi tenendo presente che posso agire solo sul prmpt dei comandi.
    Grazie.
    Adolfo
    do da

    • Prova a fare un ripristino configurazione di sistema lanciando il comando rstrui.exe
      Quando viene aperta la finestra di comando, digitare: c:
      Al prompt, digitare: %systemroot%system32restorerstrui.exe
      Premere Invio. Seguire la normale procedura per ripristinare una configurazione precedente del sistema utilizzando Ripristino configurazione di sistema.

  54. Ciao savino, ho beccato il virus stamattina farò tutto quello che hai scritto nel post, adesso mi trovo in uff. stasera provo e ti faccio sapere. Se ho ulteriori problemi dovrò disturbarti, ti ringrazio in anticipo.

  55. Ciao, purtroppo ho beccato il virus SIAE, dovrei procedere all’eliminazione ma il mio dubbio e’ sapere se il computer infetto se fa parte di una rete domestica c’e pericolo che infetti anche gli altri computer o no? Inoltre se possiedo un box in cui collegare l’hard disk infetto posso collegarlo via USB e cancellare l’exe una volta individuato… Grazie

  56. chiedo scusa per la perdita di tempo che ho causato a leggere i miei commenti stupidi, ignoranti e pieni di cazzate!!! mi ha preso la rabbia e non ragionavo più, mi è bastato riavviare il pc e ora tutto funziona alla perfezione! grazie mille coi tuoi consigli mi hai aiutato davvero tanto 😀

  57. Rettifico: non mi va più un C di niente!! programmi installati da me non ne gira neanche uno, esce sempre il solito messaggio di errore, non mi apre neanche programmi già presnti nel sistema come prato fiorito!!!! Porca M stasera spacco tutto se non riesco a risolvere sta cosa :S
    per favore datemi una mano 🙁

  58. innanzitutto grazie a chi a scritto l’articolo aiutandomi a sbloccare il pc da sto virus di M fatto da dei gran figli di P che dovrebbero andare a lavorare invece di rompere il C alla gente, ora però ho un altro problema! (maledetti ‘sti gran bastardi russi o chi C sono)
    Ho usato combofix per “pulire” il pc..ora però a quanto pare mi ha eliminato google chrome, firefox e internet explorer, insomma non mi fa accedere a nessun browser, si apre una finestra di errore con scritto:
    “E’ stata tentata un’operazione non consentita su una chiave di registro di sistema segnata per l’eliminazione”
    sapete aiutarmi?!
    GRAZIEEEEEE

  59. Ciao ragazzi,
    ho anche io stò benedetto virus… però ho fatto passare un pò di quello detto ma non succede nulla…
    Mosdalità provvisoria non và, metodi provati tutti, chiavi di registro sono tutte ok come descritto…
    Spegnendo wifi non cambia nulla…
    Mò che faccio?! Mi tocca formattare?!

  60. Ho il problema del maledetto virus con un pc con xp sp3. Ho provato con kaspersky rescue disk ma certe chiavi non le trovo proprio (specialmente quella del taskmgr). Come suggerito provo combofix ma come si fa partire l’eseguibile dall’interfaccia kaspersky? Qualcuno mi può aiutare? grazie.

        • Prova cosi: scollega il cavo di rete del PC o il collegamento ad internet (chiavetta wireless) –> accendi il PC. Vedi che in questo modo windows parte normalmente. se ti parte normalmente allora scaricati COMBOFIX da un altro pc e su una chiavetta lo installi sul pc incriminato! 😉

          • Sì, sembra funzionare così come mi hai suggerito. Ti ringrazio molto per i preziosi suggerimenti.

  61. Ho scollegato il cavo ma si ripete lo stesso problema, non faccio neanche in tempo a selezionare eseuzione automatica che compare la maledetta schermata del virus…

  62. ok sono riuscito ad usare kaspersky, ho seguito tutte e tre le modifiche da fare ( il DisableTaskManager l’ho dovuto creare e mettere a 0 ).
    L’unico valore strano ( CTFMON ) l’ho trovato in: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
    Tutti gli altri percorsi sono a posto.
    Infine ho riavviato il computer ma mi è riapparsa la schermata del virus e non potevo neanche accedere al task manager.
    Ps: la modalità provvisoria non parte ancora…

    • Prova cosi: scollega il cavo di rete del PC o il collegamento ad internet (chiavetta wireless) –> accendi il PC. Vedi che in questo modo windows parte normalmente. poi vedi in esecuzione automatica se hai qualcosa di “strano” tipo ctfmon etc.

  63. Salve!Naturalmente anche a me è arrivato questo simpatico virus!
    Ho fatto la stessa identica procedura di winkledc,con la differenza che io ho xp e quando faccio ripartire il task non fa in tempo a caricare i prog. Avviati che già parte il virus.
    Come posso fare?

  64. Ciao a tutti, avviando windows xp normalmente mi compare la schermata della gdf e avviandolo in modalità provvisoria mi appare poco dopo la schermata blu! Così ho provato ad usare kaspersky rescue disk ma non appaiono le utility in alto a sinistra del desktop dunque non riesco ad accedere a kaspersky registry editor! Come faccio???

  65. Ciao,
    Ho un Asus con Windows 7 infettato dal virus nella versione della Polizia di Stato. Ho seguito la guida da cima a fondo! Ma tutti i passaggi che mi consigliate di fare risultano effettivamente puliti. Le chiavi del registro sono a posto e non riesco a trovare nessun file “Update” o “Ctfmon” in alcun luogo o null’altro di sospetto.
    Ho utilizzato anche Kaspersky, facendogli fare tra le altre cose una scansione di tutto quanto ma non ha trovato nulla.
    Una volta, non avendo per l’occasione connesso il pc alla rete, ha funzionato tutto correttamente e allora ho installato Spybot e fatto girare, ha eliminato un po’ di cose ma una volta riavviato il pc e riconnesso alla rete mi è tornata la schermata del virus.
    Qualche altro consiglio?

    Grazie per il vostro tempo.

  66. …io, dopo essermi venuto un colpo pur sapendo dell’esistenza di questo virus, ho deciso di formattare il pc e reinstallare il tutto…giusto per essere sicura di riumuoverlo completamente…

  67. Aiuto!! modalita provvisoria non funziona, kaspersky non rileva alcuna minaccia, manualmente i file non si rimuovono.. cosa devo fare?? sono disperata! il pc funziona normalmente quando e staccato dalla rete, ma appena attacco il cavo modem arriva la schermata.. aiutatemi per favore!

      • Cioa volevo dirti, anche se non credo ti sia molto utile, che una volta preso il virus che appariva anche nella modalità provvisori riprovando entrando in modalità provvisoria e prima che mi apparisse la solita schermata o provato a schiacciare start, invece della solita schrmata mi è apparsa una schermata nera in cui nei quattro angoli dello schermo appariva la scritta modalità provvisoria rimanendo in quella schermata per una decina di minuti il computer a iniziato caricare da solo dicendomi che c’era un problema e se volevo avviare la scansione dopo un altra decina di minuti il computer si è riavviato ed è tornato a posto. Solo fortuna?

  68. salve a tutti.

    provate anche così : dopo aver premuto f8 all’inizio fate un ripristino configurazione sistema. io ho tolto il virus e avevo tutto blokkato con immagine webcam e non visualizzavo nemmeno il desktop ma lcompariva polizia di stato di mio nonno in carriola etc

  69. ciao:)possiedo un toshiba con windows 7 e ho seguito le vostre indicazioni fino al punto in cui si apre la finestra gestione attività windows,poi sono andata processi ma non riesco a capire quali possano essere i file anomali!!grazie in anticipo per l’aiuto!!

    • Non e’ detto che in processi vi sia qualcosa.. Prova a far partire il pc normalmente e vedi se il virus si e’ tolto.. Altrimenti entra in mod. Provvisoria e usa combofix

      • Buongiorno… Purtroppo io riesco ad accedere solo in provvisoria con promp dei comandi ma sono entrato nel regsitro è ho riscontrato che tutti i valori sono normali… è possibile eseguire un qualsiasi antivirus dalla chiavetta o da lettore cd-dvd in provvisoria con prompt dei comandi? e se è possibile potresti indicarmi come? Ti ringrazio anticipatamente.

  70. ciao, è una settimana che sto cercando di rimuovere il virus senza riuscirci, con kaspersky non trovo nessuna voce anomala.
    in modalità normale cerco di far partire task manager, ma la finestra appare per un secondo per poi scomparire, non permettendomi di lavorarci sopra.
    sono riuscita a leggere, nelle applicazioni aperte, Windows Internet Explorer, nonostante fosse chiuso..cosa devo fare?

  71. Apposto alla fine ho risolto con il metodo più semplice:
    Appena lancio kaspersky mi appare anche una schermata di un antivirus ( nn so se è xkè ce l’ho nel computer o appare a tutti) e siccome con kaspersky ci si può connetere a internet ho fatto l’Upload e poi ho eseguito la scansione, che mi ha rilevato ed eliminato il Virus senza fare i passaggi sopra descritti.
    Vi ringrazio per avermi fatto trovare questo fantastico programma, è la prima volta che elimino un virus da solo, fantastico 😀

  72. Ciao, credo credo di aver preso il virus nella versione di WinkleDC e Daniele su Vista, in quanto la voce “DisableTaskMgr” nn c’è e ho dovuto crearla io ( nn so se l’ho fatto in modo corretto) e tutti le altri passaggi che descrivete sembrano apposto compresa la voce “Shell”, quindi deduco che nn riesco a trovare il file “sospetto” ora vi scrivo alcuni file di cui ho dei dubbi:
    -In HKEY_LOCAL_MACHINE/software/…./run
    1 Name:ROC_roc_dec12 Tipe:REG_SZ Data:C:ProgramFilesAVG Secure SearchROC_roc_dec12.exe/PROMPT/CMPID=roc_dec12

    2 Name:RtHDVCpl Tipe:REG_SZ Data: CProramm FilesRealtekAudioHDARtHDVCpl.exe

    3 Name: StartCCC Tipe:REG_SZ Data:CProgramFilesATI TechnologiesATI.ACECore-StaticsCLIStart.exe”MSRun

    -In HKEY_USERS/Utente/Softwere/…./Run
    1 Name: Akamai NetSession Interface Tipe: REG_SZ Data: CUsersUtenteAppDataLocalAkamaiNetsession_win.exe

    2 Name: swg Tipe: REG_SZ Data: CProgram FilesGoogleGoogleToblarNotifierGoogleToblarNotifier.exe

    Gli altri mi sembrano normali, secondo voi potrebbe essere uno di questi? in caso come dovrei fare per trovarli?

  73. Ciao,il sistema operativo è Vista.
    Nel frattempo sono riuscito a lanciare Malwarebyte che mi ha trovato minacce,dopo averle eliminate ho lanciato CCleaner e ho fatto un pò di pulizia,ho riavviato e sembra che vada tutto bene…
    Devo fare qualcosa o controllare qualcosa x essere sicuro che sia tutto ok?
    grazie

  74. sistema scaansionato,3 minacce rilevate e cancellate,ho riavviato e sembra che sia tutto ok….ora stò scansionando con CCleaner.
    Cosa devo fare o controllare per essere sicuro di aver eliminato la minaccia??
    oppure cosa mi consigli di fare ??
    grazie

    • La minaccia e’ un file .exe alla fine.. Lo hai eliminato sicuramente. Prova a fare una scansione anche con spybot search&destroy se vuoi esser certo 😉

  75. ciao,ho preso anche io questo virus e non riesco a venirne fuori,ho eseguito le istruzioni,ma non trovo “DisableTaskMgr” per il resto è ok come descritto nelle procedure,però riesco ad entrare nel taskmanager e cosa strana riesco anche a far funzionare il pc a patto che non rimanga inattivo per qualche secondo,se questo succede appare la pagina della polizia di stato e si blocca tutto
    che devo fare?
    grazie

  76. Grazie infinite per questa guida e anche per gli aggiornamenti nei commenti: io, con windows xp, sono riuscito a risolvere con il rescue Kaspersky ed eliminando CTFMON da HKEY_USERSoftwareMicrosoftWindowsCurrentVersionRun. Nel resto delle cartelle del registro avevo un paio di files sospetti, che ho cancellato, ma non sono sicuro che riguardassero il virus. Ora sembra tutto a posto, ma per sicurezza sto facendo una scansione con malwarebytes. Posso stare tranquillo? Fra parentesi, visto che AVG mi è stato bucato così facilmente, mi consigliate un altro antivirus? Grazie ancora!

  77. Chi usa Windows senza diritti di amministrazione non dovrebbe aver riportato alcuna modifica del registro di sistema, a patto di aver dotato l’account Administrator di una robusta password. In questo caso il trojan agirebbe innocuamente solo sulle cartelle dove non vi sono restrizioni di scrittura, cartelle da cui è facile eliminarlo.
    Credetemi, non vi è alcuna necessità, tranne quando occorre installare o disinstallare programmi, di agire da Amministratori, meno che mai quando si usa internet. Si parla di Linux per dire che Windows non è sicuro. In realtà se si è semplici User e si è provveduto a proteggere l’account Administrator, non occorre nemmeno l’antivirus sotto Windows.
    Provare per credere.

    • dipende dal tuo PC. in genere per entrare nel bios all’avvio si usa il tasto CANC della tastiera. Ripeto dipende dal PC, in altri PC è f2. prova

  78. ….scrivo dal cell, non so come fare…appena accendo mi si blocca già e mi compare subito la pg. della polizia dello stato…come faccio ad operare sé ho la schermata del virus?….c’è anche la telecamera….belloo scherzato che mi hanno fatto !!!!!

    • Come prima cosa prova a vedere se il pc ti parte im modalità provvisoria.. All’avvio del PC premi continuamente f8(prima che parta windows). dovrebbe uscirti un menu

  79. ciao,alla fine ce l’ho fatta anch’io!!!…anche se per essere piu’ sicuro,avrei voluto fare un ripristino configurazione di sistema,che pero’ mi è sparito.
    Andando in tutti i programmi+accessori+utilità di sistema,dove prima c’era la voce di ripristino,ora mi compare solo quella di internet explorer (nessun componente aggiuntivo)…cmq per adesso grazie mille!!!

  80. al successivo riavvio,la stringa mancante era al suo posto..mah…
    cmq pur rimuovendo 2 eseguibili sconosciuti,dal percorso che hai scritto,ho ancora la bestia bella viva.
    Probabilmente sarà insediato in qualche altra porzione di registro..si ma dove??..:-(

  81. Ciao,puoi gentilmente spiegarmi come creare una shell in HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon?
    Ci sono tre colonne con nome,tipo e data,che cosa bisogna esattamente inserirci?
    Ho windows XP,ho già eliminato le chiavi sospette,provato a far andare l’antivirus di kaspersky rescue,ma non c’è stato nulla da fare..:-( e spero che il problema sia proprio nella riga shell mancante
    Ti ringrazio…

    • tasto destro all’interno di quella sezione –> nuovo valore stringa

      Nome: Shell
      Valore: explorer.exe

      fammi sapere 😉

  82. sul mio pc con sistema operativo xp l’avvio attraverso il disco con masterizzato Kaspersky non funziona. mi appare una schermata nera con il trattino lampeggiante della digitazione, ma non posso fare niente.
    avete consigli?

  83. Ciao a tutti,
    sto cercando di togliere questo virus immondo, ma senza soluzione.
    ho installato il disco di Kaspersky rescue e seguito tutti i vostri consigli, ma il file Update non lo rìtrovo in nessuna cartella Run.
    in modalità provvisoria non funziona nulla.
    non so più che cosa fare.
    se qualcuna sa darmi un aiuto sarei molto grato

    ciao

      • ciao,ti spiego la situazione spero mi possa aiutare…ho preso il virus GF, quando facevo partire la modalità provvisoria ripartiva normalmente con schermata GF, ho aperto il Task, dal quale seguendo uno dei vari post, ho flaggato bootsave per far ripartire il pc in mod provv., solo che da quel momento in poi è un circolo vizioso (parte mod provv, lo rimanda a quella normale ma ke avendo messo la flag su bootsave nn parte mai e torna sempre alla schermata nera di scelta di modalità)…poi ho trovato il tuo forum e ho eseguito i passaggi di kaspersky cm dicevi, eliminando i file sospetti tranne il file CTFMON.EXE che ho trovato in Users….Run è il virus o è 1 file di Office?…ma la situazione nn è cambiata
        grazie in anticipo…ciao

  84. Salve, qualcuno puoi aiutarmi?
    Ho beccato il virus della polizia informatica.. Ho eseguito il metodo con la ‘modalità provvisoria’ ma arrivato al desktop dopo pochi secondi mi compare la schermata del virus e non faccio in tempo a fare niente. Premetto che non me ne intendo di queste cose, quindi sarei davvero grato che qualcuno mi aiutasse.
    Ho scaricato Kaspersky rescue disk e copiato su chiavetta. Purtroppo ho un notebook e non c’è l’entrata dei cd. Per avviare Kaspersky rescue disk dalla chiavetta devo fare qualcosa di particolare o solo mettere la chiavetta e accendere il note?
    Ringrazio in anticipo

  85. Salve al momento dell’avvio del programma dopo aver scelto la lingua ,al momento di accettare la licenza se digito la lettera A non succede niente, allora digito 1,
    tutto ok poi pero mi chiede la modalità grafica , di testo, …
    io scelgo la modalità di testo e appare una schermata nera di codici incomprensibile .
    Cosa posso fare ??
    Grazie mille saluti.

  86. ciao a tutti. ho beccato il virus della GUARDIA DI FINANZA e non riesco nemmeno ad entrare in modalità provvisoria.. il problema è che è un netbook e ho windows XP..come faccio?
    grazie mille

    • Non selezionare “modalità provvisoria” ma “modalità ripristino servizi directory”, in questo modo riesci ad accedere a windows. una volta entrata fai ripristino configurazione di sistema e fai lavorare il pc. Dopo di che vedrai che potrai entrare tranquillamente in windows e fare tutte le oprazioni di pulizia che vuoi.

  87. Ho anch’io lo stesso problema e ho seguito la vostra procedura, ma la modifica 1 non l’ho fatta in quanto non c’era la voce disable task, la modifcia 2 non l’ho fatta non c’era nessuna voce sospetta, ho fatto solo la modifca 3.
    Adesso il computer mi parte ma non riesco ad utilizzare il task manager mi si chiude istantaneamente, e ho cercato in tutte le cartelle indicate nel forum (es C:Users(nome utente)AppDataRoaming) ma non ho trovato niente. Cosa posso fare?

    Graizie

  88. Aiuto!!! nella prima fase di modifica HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem non ho presente le voce disable task manager!!non c’è proprio…quindi non posso andare avanti! che faccio?? salto il passaggio e faccio comunque il resto?

  89. confermo che la procedura con Kaspersky rescue disk funziona anche con XP. anche nel mio caso ho dovuto eliminare “Update” che si trova sia in

    HKEY_USERSoftwareMicrosoftWindowsCurrentVersionRun

    che in

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

    Tra l’altro c’era un file sospetto nella cartella C:WindowsSystem32

    VANNO ELIMINATI TUTTI ALTRIMENTI IL PROBLEMA SI RIPRESENTA, per quanto riguarda il system32 dal momento che non ho trovato un file tipo (Update.exe) ho eliminato (sempre da Kaspersky rescue disk) l’unico eseguibile installato durante i giorni della probabile contaminazione.
    al riavvio funziona tutto perfettamente……grazie ancora per la dritta savino

  90. Ciao ragazzi, mi chiedevo quali fossero le corrette misure di prevenzione da adottare per evitare di contrarre nuovamente il virus? Io sono riuscito a rimuoverlo ma in ogni caso quando mi è capitato il problema avevo un anti virus in esecuzione aggiornato (Avira) e navigavo con una versione aggiornata di firefox che ritengo un browser sicuro. Tra l’altro non ho cliccato esplicitamente su nessun eseguibile ne link sospetto, praticamente è andato in esecuzione da solo durante la normale navigazione. Mi sembra assurdo.. A presto, G

    • Misure di prevenzione non ce ne sono- stai soltanto attento a ciò che esegui! se hai windows 7 abilita il controllo account utente! gli antivirus non lo rilevano al momento purtroppo

  91. Ho lo stesso problema di Emanuele, all’avvio si carica Windows, nonostante abbia settato in modo da far partire il lettore cd, si può fare qualcosa ?

    • Purtroppo i problemi potrebbero essere innumerevoli (BIOS, CD Etc). Da qui possiamo far poco e nulla.. Come detto già in precedenza prova ad inserire all’interno del lettore un CD dell’installazione di windows e vedi se con quello funziona.! Se non dovesse funzionare nemmeno con quello allora sicuramente non hai settato bene il BOOT da BIOS

  92. partendo dal presupposto che non ne capisco molto, ho scaricato in 2 cd diversi il link kaspersky e penso anche correttamente, ma con nessuno dei due succede niente cioè si avvia lo stesso windows. Che faccio?

    • Prova a vedere se con un altro CD parte il pc(non di kaspersky). in questo modo inizi a capire se è un problema di CD, di boot dal bios o direttamente del supporto cd rotto.

  93. ciao non riesco a far partire il pc tramite il cd anche dopo aver cambito le impostazioni bios. Come posso fare? Sono in crisi.

  94. Complimenti dopo ore di disperazione, grazie a questo blog ho risolto!!
    Anche nel mio caso la chiave incriminata si chiamava “Update” e si trovava sia in:

    HKEY_USERSoftwareMicrosoftWindowsCurrentVersionRun

    e il file .exe era situato in:

    C:Users(nome utente)AppDataRoaming

    davvero 10 e lode continuate così!!!!!!!!!!!!

  95. Ciao, innanzitutto grazie per la tua guida che si è rivelata fondamentale.

    Vi do qualche info, che magari vi può tornare utile..

    Anche nel mio caso la chiave incriminata si chiamava “Update” e si trovava sia in

    HKEY_USERSoftwareMicrosoftWindowsCurrentVersionRun

    che in

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

    Tra l’altro il file era inserito nella cartella C:WindowsSystem32

    Grazie ancora.. ti do un bel +1 🙂 anche se meriteresti molto di più!

    • Windows XP ha delle chiavi in posizioni diverse. ad ogni modo se leggi i commenti di questo articolo ho incluso le chiavi da controllare 😉

  96. Ciao,
    qualcuno può aiutarmi?? sto cercando di far partire combofix da chiavatta per eliminare il virus su WINDOWS XP ma mi manca qualche passaggio!

    scusate l’ignoranza ma come posso lanciarlo se ho il computer bloccato!

    PS: il pc non si avvia nemmeno in modalità provvisoria!

    • combofix va usato quando il virus è quello più semplice da eliminare. nel tuo caso, visto che hai la modalità provvisoria che non va, devi usare la guida contenuta in questo articolo e usare kaskersky

  97. .ancora più facilmente:
    (..con Windows 7)
    Scollegate la rete (staccate il cavo Ethernet o spegnete il Wi-Fi)
    e vedrete che la schermata NON PARTE!
    poi
    Pannello di controllo
    Sistema e sicurezza
    bacckup e ripristino
    Ripristina le impostazioni di sistema o l’intero computer
    Apri Ripristino configurazione di sistema
    ..e seguite il wizard,
    scegliendo una data antecedente di circa una settimana
    da quando avete questa schermata.

  98. Ce l’ho fatta!!!! Grazie mille a entrambi!
    Era nella cartella Run e si chiamava Update. Poi ho rimosso definitivamente (semplicemente con MAIUSC+DEL) il file “C:UsersDanyAppDataRoamingglom0_og.exe”, file che Avira riconosceva come virus ma non cancellava, anche dandogli l’ordine. Devo fare altro? Tipo fare una bonifica con CCleaner?
    Grazie ancora.

    • Chiarisco: Ho rimosso il file nella cartella Run per mezzo di Kaspersky con il tasto CANC. Dopodiché ho acceso il computer, il virus non si avviava più e allora ho fatto tutto questo lavoro in Windows normalmente.

    • si fai una “bonifica” con CCleander e spybot. In genere è solo un EXE che fa tutto, quindi possiamo dire che è rimosso! 🙂

      • RAGAZZI, SIETE DEI GRANDI!!!…. GRAZIE VERAMENTE!!!….
        HO FINALMENTE RISOLTO!.. ‘TACCI LORO E DEI VIRUS CHE CREANO!!!…
        Premesso che anch’io ho Windows 7, e partendo dalla stessa situazione descritta da “Daniele”, cioè in apparenza tutto ok, non essendoci valori sospetti, o almeno non sospetti per me, non ho effettuato nessuna modifica.
        Ho comunque constatato come nel suo caso, che in:

        HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem

        non ho la chiave “DisableTaskMgr”. Quindi anch’io ho provato a crearla, ma è stata un’operazione del tutto inutile dato che non cambia in alcun modo le cose.

        Quindi direi che per chi ha Windows 7, “senza fare troppi giri” gli conviene entrare, dal desktop di Kaspersky in:

        C:Users(nome utente)AppDataRoaming

        e cercare li il file del virus, (file che dovrebbe trovarsi proprio nella cartella “Roaming” e non in sue sottocartelle, almeno cosi è stato sia per me che per “Daniele” e “WinkleDC”)
        ——————————————————————————————————————————–
        N.B.
        Da come ho capito, non ha sempre lo stesso nome, nel mio caso si chiamava “msconfig.dat”;
        molto probabilmente l’estensione viene camuffata con .DAT ma in realtà il file è un eseguibile.
        ——————————————————————————————————————————–

        dunque, una volta individuato e selezionato basterà semplicemente rimuoverlo con MAIUSC+DEL.

        Spegnere e riavviate normalmente il PC e tutto dovrebbe funzionare. (o almeno per me é andata cosi) 😉

  99. Buongiorno! Anzitutto grazie per l’aiuto offerto da questa guida.
    Io ho Windows 7 installato sul mio computer, sono incorso nel virus e ho trovato una situazione perfettamente corrispondente a quella di WinkleDC.
    Ho provveduto a creare la chiave “DisableTaskMgr”, che è nel formato REG_DWORD, impostato il valore 0, che risulta essere messo tra parentesi dopo una serie di 0x00000000. Devo dire che io non capisco un’acca di tutto ciò, quindi mi sono limitato a seguire passo passo la guida senza comprendere cosa stessi facendo.
    Tutti gli altri valori (delle modifiche successive) sono in ordine, o almeno credo, dal momento che non sono sicuro di essere in grado di individuare valori “sospetti” e ho paura di fare pasticci cancellando dei processi importanti.
    Ho notato però l’assenza della directory RunOnceEx o RunEx.
    Per precauzione vi dico cosa trovo nelle altre due (Run e RunOnce).

    RUN:
    1) AthBtTray REG_SZ “C:ProgramFiles (x86)Bluetooth SuiteAthBtTray.exe” —> mi pare corrisponda alla suite Bluetooth, appunto, cioè un programma installato
    2) AtherosBtStack REG_SZ “C:ProgramFiles (x86)Bluetooth SuiteBtvStack.exe” —> idem
    3) ETDCtrl REG_EXPAND_SZ %ProgramFiles%ElantechETDCtrl.exe —> dovrebbe essere legato al TouchPad del portatile o sbaglio?
    4) HotKeysCmds REG_SZ C:Windowssystem32hkcmd.exe
    5) IgfxTray REG_SZ C:Windowssystem32igfxtray.exe
    6) IntelTBRunOnce REG_SZ wscript.exe//b //nologo “C:Program FilesIntelTurboBoostRunTBGadgetOnce.vbs”
    7) Persistence REG_SZ C:Windowssystem32igfxpers.exe

    RUNONCE:
    Nessun file

    Gli altri passaggi li ho seguiti alla lettera, e ho anche tentato di avviare il Task Manager sulla schermata del virus premendo CTRL+ALT+CANC, ma, si è aperta soltanto la schermata blu di Windows7 con le varie opzioni, tra cui ho scelto “Avvia Gestione Attività” e poi non è più successo niente. Task Manager non si è avviato.

    Cosa devo fare?
    Grazie in anticipo

    • Ciao,
      tra le chiavi elencate non c’è nessuna sospetta.
      Il gestore attività ed il task manager sono la stessa cosa.
      Quindi appena avviato il gestore attività
      Scrivi explorer e vedi se parte windows. Prova a vedere se nella chiave HKEY_CURRENT_USER sempre in RUN c’è qualcosa.
      Percorso:
      HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
      HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

    • Daniele, vedi se riesci a risolvere con la mia procedura; e se hai problemi a visualizzare esplora risorse fai come giustamente ti suggerisce Savino, eseguendo “explorer.ee” direttamente dal task manager

    • fai questa prova. sulla schermata del virus fai ctrl + alt + canc(task manager). si dovrebbe aprire il gestore delle attività(task manager). a questo punto vai sul menu in alto chiamato FILE –> nuova attività (esegui) –> scrivi explorer e vedi se parte windows. fammi sapere

      • Beccato ! Ho premuto cntrl-alt-canc appena visualizzato il desktop, Windows mi ha chiesto cosa volessi fare ed io gli ho detto che volevo accedere al task manager; così è ritornato sul desktop e poco prima che si aprisse la famosa schermata del virus il task manager si è aperto e mi ha mostrato i processi in avvio; e tra questi uno, dal nome ambiguo, chiamato o_ou_l

        Ci ho tempestivamente cliccato su con il tasto destro per risalire alla destinazione e ce l’ho fatta meno di un secondo prima che si bloccasse tutto. Risiedeva in C:Users(nome utente)AppDataRoaming.

        Di nuovo cntrl-alt-canc per riavviare, ma ho annullato il riavvio e questo è stato un passo fondamentale (sembra infatti che l’annullamento inibisca il virus), infatti ho potuto lavorare di nuovo sul computer, ho potuto aprire Ccleaner, andare a sinistra alla voce strumenti e cercare il processo incriminato tra le voci di avvio.

        Ho visto che faceva riferimento alla posizione di registro HKCU:RUN (motivo per cui non lo trovavo in HKey_Local Machine, come da voi indicato), così l’ho cancellato da lì, sono andato direttamente a stanarlo attraverso esplora risorse e l’ho rimosso definitivamente attraverso lo strumento di cancellazione definitiva di McAffee, antivirus purtroppo incapace di riconoscere questo trojan (e alla cui casa mi accingo a segnalare il problema)

        Grazie di cuore per la tempestività nell’assistenza 🙂

        • evidentemente il virus s’è spostato dalla chiave HKey_Local Machine a quella HKEY_CURRENT_USER per quello non trovavi nulla. Grazie a te della segnalazione. sarà utile agli altri utenti. 😉

  100. Mio padre ha preso la nuova versione del virus, su Windows Vista, ed io ho seguito la procedura di questa guida per cercare di risolvere il problema, in vano.

    Dettagli:
    Innanzitutto la seconda e la terza immagine sono invertite; e poi bisogna premere il tasto “1” per accettare la licenza, non la lettera “A”.

    Modifica 1:
    Non ho incontrato la chiave “DisableTaskMgr”, né in quel percorso, né in altro. Me la sono dovuta creare io e gli ho dato valore “0”, ma non ho saputo impostarne la tipologia (seconda colonna), infatti la chiave creata è di tipo REG_BINARY e non REG_SZ. È importante ?

    Modifica 2:
    Nelle tre cartelle di registro non ci sono voci sospette; sono tutte riconducibili a programmi installati con licenza.

    Modifica 3:
    Tutto in ordine, secondo le vostre indicazioni.

    Conclusione:
    Non avendo apportato modifiche (se non l’inserimento di una nuova chiave di registro) al riavvio di Windows sul computer il problema, logicamente, si è ripresentato.

    Che faccio ? Grazie.

    • devi fare una chiave DWORD. ad ogni modo vedi bene, c’è sempre una chiave “malware”. con la chiave DisableTaskMgr non rimuoverai il problema perchè questa chiave si occupa solo di abilitarti il TASK Manager.

      • È DWORD la chiave che ho creato.

        Nella “Modifica 1” non si parla di malware, ma solo di controllare che DisableTaskMgr sia a “0”. Che devo fare ?

          • Rileggete il mio commento iniziale. Ho fatto tutto, ma il problema è ancora lì. Come risolvo ?

          • Hai verificato che la voce “Shell” sia presente qui?
            HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
            se non c’è la voce devi crearla e scrivere explorer.exe
            questa è la più importante…

  101. HO WIN XP, INIAZIALMENTE NON RIUSCIVO AD ENTRARE IN MODALITA’ PROVVISORIA, DOPO 4-5 TENTATIVI CI SONO ENTRATO, IN ESECUZIONE AUTOMATICA NON AVEVO NULLA, ALLORA….SEMPLICEMENTE…., HO FATTO UN RIPRISTINO DELLA CONFIGURAZIONE DI WINDOWS…PRECEDENTE A OGGI ( GIORNO IN CUI MI SONO BECCATO IL VIRUS ) E TUTTO ADESSO MI FUNZIONA…………..

  102. Buon pomeriggio,
    vi chiedo un aiuto: ho preso sul mio portatile con windows XP il “virus siae” e non riesco a risolvere il problema con la procedura in “modalità provvisoria” perchè mi compare comunque la scermata bianca del virus. Ho tentato con la modalità qui esposta (con il file .iso karspersky) ma sul mio portatile, seppur settando l’avvio da cd, si avvia comunque windows (dopo qualche secondo di attivazione del lettore cd) normalmente e non mi parte quindi la schermata di kaspersky come sopra descritto.
    Ne deduco che non mi resta che formattare tutto, o avete ancora qualche consiglio/aiuto da potermi dare?
    Vi ringrazio in anticipo,
    Emanuele

    • Ciao, la procedura con kaspersky è testata al 100%, controlla le opzioni di avvio(nel bios). Prova a vedere se con un altro disco di avvio parte da cd rom. poi per il resto appena partito il cd di kaspersky risolvi al 100%

  103. Grazie!!!!!
    La schermata di questa porcheria si apriva subito dopo l’avvio e mi impediva qualsiasi comando, la modalità provvisoria non funzionava più.Tutto risolto grazie a questa guida

  104. ciao!
    ho anch’io questo virus, ma riesco ad entrare in modalità provvisoria ma la cartella esecuzione automatica è vuota… cosa devo fare? seguo questa procedura???
    grazie mille in anticipo

  105. Salve a tutti,
    ho preso anch’io questo virus ma riesco ad usare il pc normalmente avendo raggirato il virus facendo finta di riavviare il sistema (annullando alla schermata mentre chiudeva gli altri programmi), ho fatto un ripristino di configurazione e ho fatto la scansione con Microsoft Security Essential (ho win 7) ha eliminato tutto tranne “Trojan:Win32/Medfos.A che nonostante avessi scelto come azione da intraprendere “Rimuovi” ora esce scritto vicino “Consentito” (?!!) e in Task Manager in Processi ci sono un sacco di svchost.exe che so sono sintomo che c’è un virus… Il pc funziona bene ma ho l’impressione che il virus sia ancora nel pc pronto a ricominciare daccapo! Cosa posso fare?? In esecuzione automatica non c’è nulla. Posso usare Combofix ma ho sentito voci che è molto potente e potrebbe causare danni a sua volta… Che potete dirmi a riguardo?

    • se non hai nulla in esecuzione automatica prova a fare start –> esegui –> msconfig
      posizionati su AVVIO e vedi tutti i programmi in esecuzione. prova a vedere se trovi qualcosa di strano che non conosci e togli la spunta!!
      io per esempio avevo delle applicazioni con PRODUTTORE sconosciuto!!

      • Ho provato, non c’è niente di strano… Ho trovato nella cartella “Temp” un sacco di file del tipo “tuttinumeri.tmp” e le immagini che sono comparse nella schermata quando il virus era attivo (i loghi etc.) Posso eliminarle secondo voi? O può succedere qualcosa? Non so che fare….

  106. All’inizio avete indicato che questa procedura è per windows vista e 7. Mia sorella ha il pc bloccato ed ha windows XP . Può seguire lo stesso questa procedura? Grazie

    • la procedura per windows xp in teoria sarebbe la stessa.. potresti non trovarti con alcune chiavi di registro.. il pc parte in modalità provvisoria?

      • Rispondo:
        quando riavvio in modalità provvisoria con pront dei comandi, si avvia windows ed entrando con il profilo utente si apre la finestra cmd.exe ed ho le directory di tutti i files. a questo punto che fare? vado a cercare un file specifico? e dove?

        • Siccome hai windows xp dovresti copiare il programma combofix su una chiavetta ed eseguire quello. Altrimenti mediante regedit dovresti accedere al registro di sistema e cancellare delle chiavi “strane” sotto i seguenti percorsi
          HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
          HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
          HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
          HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
          elimina tutte le chiavi che ti sembrano strane e prova a riavviare il PC

          • k grazie. Poverò prima con combofix e poi vedrò se riesco a fare quello che hai scritto……anche se mi spaventa! Sono una nonna un pò imbranata 🙁 ma danni non ne posso fare…..peggio di così….!

  107. Grazieeeeeee, siete grandi..
    grazie a voi ho risolto il problema!
    siete un grandissimo blog, non mi perdo mai un vostro articolo.

  108. speriamo di non prendercelo!!! dalle istruzioni che ho letto, sembra veramente un caos toglierlo.

    Ma sti cavolo di virus..perchè li progettano così sofisticati? sembrano fatti solo per rompere il prossimo!!!

      • Innanzitutto grz per il tempo e le risorse ke ci stai dedicando, ti scrivo perkè nn riesco a trovare in system DisabletaskMgr ma in tutte e altre chiavi ho riscontrato ke nulla era stato modificato dal virus, inoltre ho dovuto eseguire la ricerca in modalità provvisoria con prompt dei comandi in quanto nn mi si avvia in provvisoria ne con rete e ne senza, potresti darmi un aiuto? ti ringrazio anticipatamente.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here

NOTA BENE: tutti i commenti che inserisci entrano a far parte di una coda di moderazione e quindi se non li vedi è del tutto normale. Devi aspettare che l'amministratore del sito li veda e li approvi (con relativa risposta). Per questo motivo si è pregati di inviare un solo commento per volta per non intasare il sito di commenti doppi. Tranquilli! Rispondiamo a tutti. Dateci solo il tempo :)

Notificami per e-mail

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.