Salve a tutti amici, oggi vi devo nuovamente parlare dell’ormai famosissimo virus della guardia di finanza perchè purtroppo si è evoluto e la sua rimozione non è più cosi facile. Noi di chiccheinformatiche siamo riusciti a rimuoverlo da un pc di un nostro amico e vi postiamo la procedura corretta per la risoluzione del problema. Vediamola assieme!!
Prima di tutto c’è da premettere che la nuova variante del virus inibisce l’utilizzo della modalità provvisoria, quindi questo articolo resta valido solo per gli utenti che possono andare in modalità provvisoria!
Eccovi la soluzione rivolta a tutti quelli a cui non funziona la modalità provvisoria!
Prerequisiti
Kaspersky rescue disk, eccovi il link. Masterizzate su CD o DVD l’iso.
Windows Vista o Windows 7
Procedimento
Una volta effettuata la masterizzazione dell’immagine ISO, bisogna avviare il PC con il CD appena creato, solitamente la configurazione di avvio del PC prevede come impostazione predefinita l’avvio dall’unità CD/DVD, in caso contrario verificare le impostazioni di avvio dal BIOS oppure premere il tasto assegnato per la selezione dell’unità di avvio prima del caricamento del sistema operativo.
A questo punto se avete impostato correttamente l’avvio dovrebbe apparire la schermata principale di Kaspersky Rescue Disk 10 dove vi viene chiesto di selezionare la lingua
Selezionate quella inglese (l’italiano non è presente). Lo step successivo alla lingua è quello della modalità grafica, basta fare invio.
Successivamente vi verrà chiesto di confermare la licenza d’uso, premiamo il tasto A per confermare e lanciare il programma.
Una volta entrati nel programma, attendere qualche secondo(il sistema riconoscerà tutti i dischi installati) e successivamente chiudete tutte le finestre che si aprono.
Vi si presenterà una schermata simile alla seguente:
Aprire l’utility presente sul desktop denominata Kaspersky Registry Editor.
A questo punto si aprirà la gestione del registro di sistema di windows(come da figura sotto)
Da questo momento in poi state molto attendi a ciò che fate. Seguite questa guida passo passo.
Dobbiamo modificare alcune chiavi che non vi permettono di far funzionare windows!
Modifica1
Posizionatevi sulla seguente chiave:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem e verificate il valore di DisableTaskMgr, deve essere impostato a 0
Modifica2
Controllate le seguenti chiavi
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunEx
**AGGIORNAMENTO**
Alcuni nostri lettori fanno notare che potrebbero esserci delle voci anche nelle chiavi
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
Dovreste trovare all’interno di queste chiavi (sulla destra) dei puntamenti a degli eseguibili con nomi “strani”. Cancellate tutti gli elementi che vi sembrano poco chiari!
Modifica3
Posizionatevi sulla seguente chiave
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
controllate che il valore “Shell” sia explorer.exe – Quasi sicuramente, se il virus s’è insediato bene, dovreste trovare scritto altro!
Quindi in SHELL, se non c’è scritto, dovrete inserire explorer.exe
Successivamente sotto alla voce “shell” trovate un’altra voce denominata Userinit. Deve avere come valore SOLO C:Windowssystem32userinit.exe, (virgola inclusa!!)
Ci siamo quasi, se avete seguito tutti i passaggi riavviate il PC e il virus della guardia di finanza dovrebbe esser rimosso!
Windows dovrebbe partire normalmente anche se dovrebbero esserci ancora residui del VIRUS(ad esempio le icone sul desktop non si vedono tutte).
Fate una pulizia del vostro sistema con il programma gratuito SPY BOT SEARCH&DESTROY(link) e tutto dovrebbe tornare alla normalità!
Fatemi sapere 😉
Visualizza commenti (288)
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
1 2 3 … 7 Successivo »scusate ragazzi, ho appena beccato anch'io qst virus...sul cell però! come posso fare per debellarlo? help me :-(
Salve a tutti . ho preso il virus polizia di stato , non funziona in modalità provvisoria per cui ho scaricato kaspersky rescue 10 e masterizzato su cd . facendo avviare il pc da cd si avvia continua con la schermata verde di kaspersky e poi si blocca , non funziona il registry editor e non da nessun segno di vita. ho riscaricato e rimasterizzato il cd non so quante volte ma rimane sempre lo stesso problema . qualcuno puo' aiutarmi ? ps ho installato Windows 7 . grazie in anticipo.
probabilmente oltre al virus il PC non funziona tanto bene. Ad ogni modo se premi ripetutamente F8 all'avvio del PC dovrebbe uscire una schermata con un menu. tra le voci del menu oltre a modalità provvisoria dovresti trovare anche RIPRISTINO COMPUTER! capito come fare?
Ciao a tutti!!
Purtroppo il virus ha colpito anche il mio pc (Sony vaio con Windows 7)!! Il problema è che la prima volta che mi era comparsa la schermata del virus dal task manager ero riuscito a chiudere il tutto senza problemi...ora invece non riesco più a fare niente!!
Appena accendo il pc tempo 2 secondo mi ricompare la schermata senza darmi il tempo di fare niente!! Ho già provato con tutte e 3 le modalità provvisorie ma non riesco ugualmente a fare nulla...
Se qualcuno gentilmente in modo chiaro e preciso (non me ne intendo molto di computer) può darmi una soluzione ne sarei molto grato!!
Una soluzione può essere il ripristino del pc senza però perdere tutto quello che ho memorizzato??? Grazie ancora
letto qui?
Ho windows xp.Questo virus mi rendeva impossibile l'accesso alla modalità provvisoria. Ho dovuto usare il cd di Kaspersky Rescue Disk 10 che trovava alcuni virus, ma nelle chiavi di registro sembrava tutto ok e il virus all'avvio si ripresentava. Ho dovuto ripulire l'HD collegandolo ad un portatile con cavetto appropriato e scansionare il tutto. Norton a pagamento non rilevava niente. Avast free rilevava 2 virus. Tolti questi ho azionato antimalwere e anche questo mi ha trovato due virus. Poi sono entrato c:Document and Settingnome amministratore..menu avvio e ho individuato il file responsabile con un nome piuttosto strano fatto di sigle tipo wjx....ect. Ho copiato il nome del file e ho fatto la ricerca anche nelle sotto cartelle e nei file nascosti che contenevano lo stesso nome rilevandone altri 3 o 4 con estensione diversi tutti nelle cartelle del menu di avvio ed esecuzione automatica. I virus si trovano tutti in queste cartelle e in windowssystem. Alla fine il virus è stato tolto. Per sicurezza ho riavviato il tutto facendo scansionare da Combofix, il quale però è un antivurs che nel mio caso ha cancellato anche file di sistema di windows, per cui al riavvio la schermata si presentava distorta ed illeggibile. Ho riattivato i file mancanti con quelli del sistema di ripristino avendone uno nell'HD ripartito appositamente. Il mio consiglio è quindi quello di scannerizzare con avast aggiornato e togliere i virus anche manualmente una volta individuati nella cartella del menù di avvio.
Io conosco Linux moooolto poco.... lo ho installato un paio di volte, anni fa, e non saprei proprio come fare un CD Live... oltretutto sembra che questa opzione non sia più supportata nelle ultime versioni... :-(((
Ho risolto... con Kaspersky Rescue Disk ho potato il registro (non pulito, veramente potato, se c'era una cosa non non mi piaceva, via...), poi con Puppy Linux ho cancellato a pene di segugio tutti i files che non mi piacevano.
Alla fine, finalmente sono riuscito a far partire il disco di ripristino (mi bloccava pure quello!!!) ed a recuperare un vecchio punto di ripristino...
Virus bastardo veramente....
Meno male che c'erano diversi punti di ripristino, ne ho preso uno di Aprile...
Zio che bastardo sto virus! Lo aveva preso mio padre mesi fa, e lo avevo pulito in 10 minuti.
Ore lo ha beccato mio cugino... niente modalità provvisoria ne prompt.
Riesco a beccare il gestione attività, ma non faccio a tempo a fare nulla.
Ho provato la pulizia usando Kaspersky Rescue Disk, ma dopo 3 ore di ricerche e nonostante questa ottima guida (veramente ben fatta!) non trovo nessuna delle chiavi di registro che dovrebbero essere infette - o meglio, le trovo ma sono corrette!
La ricerca del disco non ha portato ad evidenziare nessun file 'strano' - ne ho cancellati diversi che potrebbero, ma nulla...
Qualche idea prima del formattone a zero? Sempre che mio cugino abbia i dischi originali del VAIO...
la strada delle chiavi di registro è quella migliore. che sistema operativo hai? forse le chiavi sono cambiate.
E' un Windows Vista Home Premium, OEM di Sony. Non so se 32 o 64 bit... non riesco ad arrivarci e nell'etichetta non c'è scritto...
Le chiavi HKEY_CURRENT_USER non ci sono.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
ci sono e sono pulite.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunEx
non c'è
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
è corretto.
Un problema che ho con Kaspersky è che gira da CD, e quando cerco di cancellare i files dalle cartelle TEMP o da altri posti mi dice che il trash è pieno. Tempo che si tratti del trash nel CD, e quindi non può cancellare nulla. Io ho spostato tutti i file da cancellare in una cartella 'spazzatura', sperando che il virus non se la ritrovi...
Grazie di ogni consiglio...
tramite kaspersky (avviato da CD) hai provato a fare una scansione del PC? ad ogni modo l'idea di cancellare i file temporanei è buona. forse converebbe partire con un linux da CD, tipo ubuntu per esempio
Grazie mille per le utilissime informazioni e complimenti per il sito.
Saluti, Orazio C.
Attenzione ragazzi e ragazze esistono 3 tre tipi di virus - polizia di stato - guardia di finanza e polizia penitenziaria che è l'ultimo ma tremendo.Io ho risolto con il programma Combofix istallato su una chiavetta usb e poi lanciato con il pc in modalità provvisoria quando finisce il pc risulta pulito e poi procedere con la pulizia totale tramite cclear - glary utiliti e sopratutto avg 2012. Se non riuscite in questo modo staccate l'Hdd e scansionatelo con un altro pc provvisto ovviamente di Combofix sicuramente andrà tutto a posto.Buon lavoro a tutti voi.
kaspersky con la propria scansione dopo agg risolve tutto
Allora con il ripristino è ritornato tutto normale solo che non so se sono riuscita a eliminare in modo definitivo il virus..cosa mi suggerisci?
ti suggerisco di SpyBot Search & Destroy per fare una scansione nel PC
Devo acquistarlo o scaricarlo su internet?
no no è gratis. c'è anche a pagamento ma va benissimo la gratis. ecco http://www.safer-networking.org/it/mirrors/
Grazie mille per tutto l'aiuto.. ora lo installo.. speriamo di averlo eliminato..
se non esce lo hai eliminato, può starci solo qualcosa di "sporco". continua a seguirci ;)
Ciao a tutti ieri sera ho preso questo virus e possiedo windows 8 ma nn appena accendo il computer ho una schermata bianca e non riesco ad aprire niente cosa devo fare? Grazie mille!
hai provato a partire in modalità provvisoria?
Purtroppo mi funziona solo il tasto di accensione e dopo due secondi che ho inserito la password x entrare nel computer mi diventa lo schermo bianco
la modalità provvisoria parte prima di windows. appena avvii il pc premi tasto Maiusc + F8 , velocemente , all'avvio. dovrebbe uscire un menu con una serie di opzioni e tra queste c'è modalità provvosoria. prova
purtroppo non succede nulla..
Ok, lo immaginavo. Hai un cd di installazione di windows 8? se cosi possiamo tentare il ripristino (senza perde nulla come dati)
Eh no perchè due settimane fa ho acquistato il computer che si è infettato, quindi era già dentro il sistema operativo.. adesso sto cercando di fare un ripristino di configurazione del sistema con data precedente al giorno in cui ha preso il virus.. può esseere una soluzione? Ti ringrazio x la disponibilità..
si è quello che stavo per dirti. di ripristinare il pc ad uno stato precedente. Uno dei modi possibili è proprio quello dell'avvio tramite CD/DVD ROM. cosi dovresti risolvere! ;)
però lo sto facendo senza cd/cd-rom perchè non ce l'ho in dotazione..
Sinceramente è da mezz'ora che sta eseguendo questo ripristino però non va avanti, può impiegarci così tanto tempo o non sta lavorando?
in genere il ripristino configurazione di sistema impiega tra i 5 ed i 10 min. dipende dalla velocità del PC. Essendo installato windows 8 non penso sia un PC lento. A questo punto conviene comunque aspettare, un arresto del PC mentre sta scrivendo dei file potrebbe generare altri problemi! (di disco ad esempio)
si ok, ma fino a quando devo attendere perchè se continua per più di 12 ore come posso intervenire?
se continua cosi tanto dovrai per forza resettare dal case
Non riesco ad avviare niente perchè mi diventa subito lo schermo bianco e mi funziona solo il tasto di accensione..
ahhaha tutti che spariscono
Buona sera a tutti ! Non riesco neanche ad avviare il pc in modalità provvisoria, questo virus appare subito all' apertura del pc, non da il tempo di intervenire, ho solo due secondi di tempo: pertanto impossibile qualsiasi operazione.
Cordiali saluti a tutti Giulio.
scusate la mia ignoranza,ma oggi avg free ha rilevato e messo in quarantena un virus.
Trojan backdoor.generic16.BHTN il computer per ora funziona, volevo solo sapere se devo fare qualcosa o se essendo stato messo in quarantena sono apposto.
Grazie
io ho fatto un errore...quando sono arrivato a shell modifica stringa al posto di explorer.exe ho scritto c:usersemilia eho cliccato su ok...ho capito di aver sbagliato e ora dal prompt quando provo a scrivere regedit.exe mi esce una scritta C:windowssystem32regedit.exe non è un applicazione di Win32 valida. ora come faccio? vi prego rispondetemi sulla mia mail mattr
Maledetti inventori di virus...l ho appena beccato!!!schermata bianca all'avvio di Windows...stavo semplicemente leggendo una mail...Peccato che io di pc nn ci capisca nulla...nn saprei dove mettere le mani...domani lo consegno a mani esperte...sperando riescano a sistemare il tutto!!!
Io ho appena avuto lo stesso problema.
PREMESSA: HO UN PC AZIENDALE CON ACCESSO NON DA MMINISTRATORE, QUINDI NON SO SE CON GLI ALTRI DUE PROFILI PRESENTI SUL PC AVREI POTUTO RISOLVERE DIVERSAMENTE D INOLTRE QUALSIASI MANOVRA RICHIEDESSE LA PW DA AMMINISTRATORE NON RIUSCIVO A PORTARLA A TERMINE (ad es. rstrui.exe) .
La versione che ho preso io si attivava all'accesso di windows e non mi dava il tempo di agire escludendo i programmi ad esecuzione automatica.
Lo stesso per la modalita' provvisoria.
L'unica cosa che riuscivo a fare era entrare in mod.provvisoria con prompt comandi.
A questo punto ho fatto regedit e seguito le indicazioni riportate nella vostra guida, ma nn trovavo nessuna chiave di registro con i valori sopetti od alterati. Le chiavi run, runonce e shell erno corrette, anche per il registro HKEY_CURRENT_USER.
Non riuscivo a venirn a capo, quando alla fine ho spulciato nel registro HKEY_USERS (l'ultima in basso), sono andato nella sottocartella relativa al mio profilo utente (identificata d una serie di numeracci, ma che ho individuato perche' era l'unica a cui mi facesse accedere) poi sono andato in SoftwareMicrosoftWindows NTCurrentVersionWinlogon ed ho trovato anche ui la chiave shell, dove in effetti c'era una scritta con diversi exe. Ho cancellato tutto tranne explorer.exe ed ho riavviato. Sembra che abbia funzionato.
In pratica si deve trovare la chiave riferita all'utente "infetto" e modificarla come indicato nell vostra guida.
Grazie ancora per le dritte e spero che la mia esperienz possa aiutare qualcuno!
Ciao!
Anche io mi trovo nella vostra stessa situazione, nel senso che in precedenza ero riuscito a rimuovere questo virus che caricava vari file .exe, ma questa ultima variante è + rognosa, dopo alcuni secondi dall'avvio si blocca e schermata bianca, potresti gentilmete indicarci come hai fatto a rimuoverlo, straGrazie !
Salve a tutti , fino ad ora avevo rimosso senza tanti problemi (anche a distanza) questo virus, ma ieri sul pc di un cliente ne ho trovato un altra variante che si allaccia ad un seguibile di sistema (monitor delle stampanti epson in questo caso lanciando un file dalla cartella temp) e bloccava il pc con schermata bianca anche se erano state effettuate tutte le modifiche al registro. Mi ha fatto penare , ma poi ho notato lo strano percorso di root che eseguiva il prg epson .
Come dicevo, anche io mi sono traovato a dover risolvere il problema in una delle sue ultime varianti, questa volta ho visto da Task Manager che veniva avviato un processo Skype.dat il quale impiegava fino al 50% della cpu, non avendo skype sul pc, con il tasto dx ho terminato il processo e la videata non si più presentata.
La conferma l'ho avuta con l'antivirsu AVG che l'ha rilevato come Trojan BackDoor Generic16.AVZD, presente nella cartella c:Document and SettingMasterDati Applicazioniskype.dat
Un'altro eseguibile che è stato scovato e rimosso da AVG era nascosto nelle cartelle della stampante Epson e il percorso era
c:Documente and settingMasterDati applicazioniEpsonEvent ManagerModel00c6AppInfo1Scan to PCfreecell.exe
Ora sembra tutto a posto, speriamo in bene
ciao frANCESCO penso lo stersso che ho beccato io ieri. mi fa ANDARE sul dos ma con i classici consigli non risolvo. te come hai fatto? grazie gio.
Chiedo scusa ma il video fatto dalla webcam attivata dal virus va in mano a qualcuno che puo' diffonderlo in rete o la webcam che si accende e' usata solo per rendere il tutto piu' realistico?
Ma perchè ti preoccupi, eri con l'amante ??
nooooo stai tranquillo, usano questa tecnica per spaventarvi!!