Pagine importanti

lunedì 30 aprile 2012

Il virus della Guardia di Finanza... anche in provvisoria

[NOTA: soluzione del 30 aprile anche quando parte il virus in provvisoria]
[NOTA 2: articolo aggiornato dopo la pubblicazione iniziale] 
Da diversi giorni molta gente (soprattutto utenti di Facebook che hanno clickato su link a presunti filmati degli amici) mi porta il pc infettato dalla maledetta schermata virale:

Il virus, famoso appunto come "Virus della Guardia di Finanza" o, più specificatamente, come "Trojan.Win32.FakeGdF" sta facendo in questi giorni tabula rasa. Appare quella bella schermata e vi viene detto che il computer è stato bloccato e per sbloccarlo si deve pagare una multa di 100 euro con carta di credito.

Il punto è che molti siti (a cominciare da quello del GAT della Guardia di Finanza) fino ad oggi davano istruzioni sulla rimozione che prevedono di avviare il computer in modalità provvisoria per togliere l'eseguibile dall'esecuzione automatica.
Ma, c'è un sano ma.
Una nuova versione di questo ospite simpaticamente indesiderato, infatti, appare con questa bella schermata anche avviando il computer in "modalità provvisoria", e finiscono le possibilità di intervenire, perché anche premendo Ctrl-Alt-Canc appare il task manager per una frazione di secondo e poi sparisce sotto la finestra (e anche la pressione di Alt-F4 chiude questa finestra e la riapre in pochi secondi).

Eppure si può venirne ugualmente a capo. Un'escamotage c'è, e in questo caso l'ho scoperto per caso determinando che non volevo formattare l'ennesimo computer.

Anzitutto all'accensione del computer premete F8 più volte, ma a questo punto NON SCEGLIETE "modalità provvisoria" (perché tanto parte il virus ugualmente), bensì scegliete:

Modalità provvisoria con prompt dei comandi

Per un qualche motivo con questo gioco non parte l'intero ambito di windows ma solo una finestra col prompt dei comandi. Bene. Quando vi appare la finestra del prompt dei comandi digitate regedit e premete invio, per avviare il registro di sistema.
Dovete modificare o controllare le seguenti chiavi:
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion:
    controllate le voci di avviamento automatico: Run, RunOnce, RunOnceEx, RunServices, RunServicesOnceEx e RunServicesOnce: non deve comparire un servizio (anche se si chiama "Windows Network Service" o quelchelè) il cui file si chiami 0.[numeriacaso].exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion:
    come sopra: Run, RunOnce, RunServices eccetera verificate e ripulite 0.[eccetera].exe
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon:
    compare un elenco, la voce "Shell" è impostata a "explorer_new.exe" (oppure a in generale a qualcosa di diverso dal comando di Explorer), e voi clickate e modificatela in "Explorer.exe" (senza le virgolette)
 Adesso uscite dal registro e tornate sul prompt. Digitate explorer.exe c:\ e premete invio. Dopo qualche istante vi si aprirà esplora risorse con la cartella principale dell'hard disk. A questo punto, eventualmente dopo un colpo su Strumenti -> Opzioni e date un "visualizza file nascosti" e "visualizza contenuto cartelle di sistema", oltre a togliere la spunta da "nascondi i file protetti di sistema" [se Windows protesta e vi dice che è pericoloso, clickate che va bene perché vi do il permesso io (-: ]; dicevo: a questo punto navigate su:
C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica
e cancellate l'eventuale icona che si collega a 0.[quelchelè].exe
Lo stesso lo farete poi per C:\Documents and Settings con ognuna delle sottocartelle utente (es. Administrator, PC, WinXP, Mario, Grizzly, ZioPippo, LocalService eccetera).

Quando avete finito, premete una volta Ctrl-Alt-Canc: dopo qualche istante apparirà il task manager, e voi scegliete dal menu "Chiudi sessione" (ultimo comando del menu) e "riavvia il sistema".

Al 99,9999999999999999999999% il sistema è pulito, ma a questo punto una volta accertato che il sistema si avvia, aggiornate subito il vostro antivirus. Se, nonostante la connessione attiva, l'aggiornamento fallisce, aprite un prompt dei comandi (start -> tutti i programmi -> accessori -> prompt dei comandi oppure start -> esegui -> cmd -> ok) e date sul terminale questi comandi:
  • cd \WINDOWS\System32\Drivers\etc
  • attrib -h -r -s -a hosts
  • del hosts
  • exit
E riprovate ad aggiornare l'antivirus. Infine riavviate il sistema e (premendo f8 più volte all'avviamento o tenendo premuto Shift) avviate in modalità provvisoria (stavolta dovrebbe partire tranquillo) e fate una sacrale scansione completa del sistema, mandando al macero (quarantena o direttamente cancellazione) tutti i file infetti trovati.

4 commenti:

  1. Ottimo se non fosse che mi sono scontrato con una versione che mi blocca anche il prompt dei comandi... proverò con Linux oppure scollego il disco e lo leggo esternamente!

    RispondiElimina
  2. Tutto perfetto se non fosse che non riesco ad accedere al prompt dei comandi... ho provato anche una live di Ubuntu ma non sono comunque riuscito a trovare le voci nelle chiavi da te citate.. in esecuzione automatica c'era una voce strana il cui nome era una serie di numeri e lettere ma eliminandola non mi ha comunque risolto il problema.
    sono arrivato a scollegare l'HDD backuppare i dati e formattare.
    Grazie

    Matt

    RispondiElimina
  3. e mi sa che da maggio a oggi si sono fatti un tantino più furbi )-:

    RispondiElimina
  4. Raga io l'ho beccato ora. Il problema è che non mi fa entrare in documents and settings, Qdo da lì in poi non riesco a fare più niente. Help me

    RispondiElimina

Come detto sull'intestazione del Blog, sarete ospiti ben graditi, e per questo vi ringrazio anche per i vostri commenti, anche se messi per criticarmi. (-:
Visto lo spam ricevuto in questo periodo, i commenti sono moderati, pertanto vi prego di utilizzare questo spazio per costruire qualcosa assieme a me e agli altri lettori, astenendovi invece dal limitarvi ad approfittare di questo spazio aperto per fare pubblicità ai vostri prodotti o servizi. In caso di dubbi, in home page trovate il mio indirizzo e-mail e il mio numero di telefono (attivo dal lunedì al venerdì dalle 9 alle 13 e dalle 15 alle 19), per contattarmi.
Infine, vi prego di non utilizzare parolacce, bestemmie o termini che possano urtare la sensibilità mia o dei lettori.
Grazie mille! Grizzly