Salve a tutti amici, oggi vi devo nuovamente parlare dell'ormai famosissimo virus della guardia di finanza perchè purtroppo si è evoluto e la sua rimozione non è più cosi facile. Noi di chiccheinformatiche siamo riusciti a rimuoverlo da un pc di un nostro amico e vi postiamo la procedura corretta per la risoluzione del problema. Vediamola assieme!! Prima di tutto c'è da premettere che la nuova variante del virus inibisce l'utilizzo della modalità provvisoria, quindi questo articolo resta valido solo per gli utenti che possono andare in modalità provvisoria! Eccovi la soluzione rivolta a tutti quelli a cui non funziona la modalità provvisoria! Prerequisiti Kaspersky rescue disk, eccovi il link. Masterizzate su CD o DVD l'iso. Windows Vista o Windows 7 Procedimento Una volta effettuata la masterizzazione dell'immagine ISO, bisogna avviare il PC con il CD appena creato, solitamente la configurazione di avvio del PC prevede come impostazione predefinita l'avvio dall'unità CD/DVD, in caso contrario verificare le impostazioni di avvio dal BIOS oppure premere il tasto assegnato per la selezione dell'unità di avvio prima del caricamento del sistema operativo. A questo punto se avete impostato correttamente l'avvio dovrebbe apparire la schermata principale di Kaspersky Rescue Disk 10 dove vi viene chiesto di selezionare la lingua Selezionate quella inglese (l'italiano non è presente). Lo step successivo alla lingua è quello della modalità grafica, basta fare invio. Successivamente vi verrà chiesto di confermare la licenza d’uso, premiamo il tasto A per confermare e lanciare il programma. Una volta entrati nel programma, attendere qualche secondo(il sistema riconoscerà tutti i dischi installati) e successivamente chiudete tutte le finestre che si aprono. Vi si presenterà una schermata simile alla seguente: Aprire l'utility presente sul desktop denominata Kaspersky Registry Editor. A questo punto si aprirà la gestione del registro di sistema di windows(come da figura sotto) Da questo momento in poi state molto attendi a ciò che fate. Seguite questa guida passo passo. Dobbiamo modificare alcune chiavi che non vi permettono di far funzionare windows! Modifica1 Posizionatevi sulla seguente chiave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem e verificate il valore di DisableTaskMgr, deve essere impostato a 0 Modifica2 Controllate le seguenti chiavi HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunEx **AGGIORNAMENTO** Alcuni nostri lettori fanno notare che potrebbero esserci delle voci anche nelle chiavi HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce Dovreste trovare all'interno di queste chiavi (sulla destra) dei puntamenti a degli eseguibili con nomi "strani". Cancellate tutti gli elementi che vi sembrano poco chiari! Modifica3 Posizionatevi sulla seguente chiave HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon controllate che il valore "Shell" sia explorer.exe - Quasi sicuramente, se il virus s'è insediato bene, dovreste trovare scritto altro! Quindi in SHELL, se non c'è scritto, dovrete inserire explorer.exe Successivamente sotto alla voce "shell" trovate un'altra voce denominata Userinit. Deve avere come valore SOLO C:Windowssystem32userinit.exe, (virgola inclusa!!) Ci siamo quasi, se avete seguito tutti i passaggi riavviate il PC e il virus della guardia di finanza dovrebbe esser rimosso! Windows dovrebbe partire normalmente anche se dovrebbero esserci ancora residui del VIRUS(ad esempio le icone sul desktop non si vedono tutte). Fate una pulizia del vostro sistema con il programma gratuito SPY BOT SEARCH&DESTROY(link) e tutto dovrebbe tornare alla normalità! Fatemi sapere ;)