[NOTA 2: articolo aggiornato dopo la pubblicazione iniziale]
Il virus, famoso appunto come "Virus della Guardia di Finanza" o, più specificatamente, come "Trojan.Win32.FakeGdF" sta facendo in questi giorni tabula rasa. Appare quella bella schermata e vi viene detto che il computer è stato bloccato e per sbloccarlo si deve pagare una multa di 100 euro con carta di credito.
Il punto è che molti siti (a cominciare da quello del GAT della Guardia di Finanza) fino ad oggi davano istruzioni sulla rimozione che prevedono di avviare il computer in modalità provvisoria per togliere l'eseguibile dall'esecuzione automatica.
Ma, c'è un sano ma.
Una nuova versione di questo ospite simpaticamente indesiderato, infatti, appare con questa bella schermata anche avviando il computer in "modalità provvisoria", e finiscono le possibilità di intervenire, perché anche premendo Ctrl-Alt-Canc appare il task manager per una frazione di secondo e poi sparisce sotto la finestra (e anche la pressione di Alt-F4 chiude questa finestra e la riapre in pochi secondi).
Eppure si può venirne ugualmente a capo. Un'escamotage c'è, e in questo caso l'ho scoperto per caso determinando che non volevo formattare l'ennesimo computer.
Anzitutto all'accensione del computer premete F8 più volte, ma a questo punto NON SCEGLIETE "modalità provvisoria" (perché tanto parte il virus ugualmente), bensì scegliete:
Modalità provvisoria con prompt dei comandi
Per un qualche motivo con questo gioco non parte l'intero ambito di windows ma solo una finestra col prompt dei comandi. Bene. Quando vi appare la finestra del prompt dei comandi digitate regedit e premete invio, per avviare il registro di sistema.
Dovete modificare o controllare le seguenti chiavi:
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion:
controllate le voci di avviamento automatico: Run, RunOnce, RunOnceEx, RunServices, RunServicesOnceEx e RunServicesOnce: non deve comparire un servizio (anche se si chiama "Windows Network Service" o quelchelè) il cui file si chiami 0.[numeriacaso].exe - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion:
come sopra: Run, RunOnce, RunServices eccetera verificate e ripulite 0.[eccetera].exe - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon:
compare un elenco, la voce "Shell" è impostata a "explorer_new.exe" (oppure a in generale a qualcosa di diverso dal comando di Explorer), e voi clickate e modificatela in "Explorer.exe" (senza le virgolette)
Lo stesso lo farete poi per C:\Documents and Settings con ognuna delle sottocartelle utente (es. Administrator, PC, WinXP, Mario, Grizzly, ZioPippo, LocalService eccetera).
Quando avete finito, premete una volta Ctrl-Alt-Canc: dopo qualche istante apparirà il task manager, e voi scegliete dal menu "Chiudi sessione" (ultimo comando del menu) e "riavvia il sistema".
Al 99,9999999999999999999999% il sistema è pulito, ma a questo punto una volta accertato che il sistema si avvia, aggiornate subito il vostro antivirus. Se, nonostante la connessione attiva, l'aggiornamento fallisce, aprite un prompt dei comandi (start -> tutti i programmi -> accessori -> prompt dei comandi oppure start -> esegui -> cmd -> ok) e date sul terminale questi comandi:
- cd \WINDOWS\System32\Drivers\etc
- attrib -h -r -s -a hosts
- del hosts
- exit
Ottimo se non fosse che mi sono scontrato con una versione che mi blocca anche il prompt dei comandi... proverò con Linux oppure scollego il disco e lo leggo esternamente!
RispondiEliminaTutto perfetto se non fosse che non riesco ad accedere al prompt dei comandi... ho provato anche una live di Ubuntu ma non sono comunque riuscito a trovare le voci nelle chiavi da te citate.. in esecuzione automatica c'era una voce strana il cui nome era una serie di numeri e lettere ma eliminandola non mi ha comunque risolto il problema.
RispondiEliminasono arrivato a scollegare l'HDD backuppare i dati e formattare.
Grazie
Matt
e mi sa che da maggio a oggi si sono fatti un tantino più furbi )-:
RispondiEliminaRaga io l'ho beccato ora. Il problema è che non mi fa entrare in documents and settings, Qdo da lì in poi non riesco a fare più niente. Help me
RispondiElimina