martedì 3 aprile 2012

virus guardia di finanza eliminazione definitiva

Ho ricevuto diverse segnalazioni relativamente al mio articolo dove descrivevo come eliminare il Virus "Guardia di Finanza"/"Polizia di Stato" in cui mi segnalate l'inefficienza della procedura. Ho verificato io stesso ed effettivamente in alcuni casi non ha funzionato.
Ho quindi sviluppato una nuova procedura che ha risolto positivamente su tutti i sistemi dove non aveva funzionato la prima procedura.


Di seguito vi descrivo la procedura :
Scaricate AVIRA RESCUE DISK  create il cd-live di kaspersky. Avviate con il CD inserito, ma invece di eseguire lo scan, lanciate sul desktop l'editor di registro, quindi controllare nelle seguenti voci :   (Fig.1)


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
Fig.1



dovreste trovare un file posto in  (Fig.2)




C:\windows\system32 che inizia con o. _______.exe

Fig.2



cambiate l'estensione da .exe a .BAM salvate.  (Fig.3)
Fig.3


Riavviate il PC.


Arrivederci al prossimo Articolo
Michele Balzano

6 commenti:

  1. Ciao, la guida è fatta molto bene..Io c'ero riuscito collegandomi all'utente che non è stato attaccato...
    Comunque il Trojan disabilità anche il TASKMANAGER!!!!
    Ciò mi ha lasciato stupito...ad ogni modo pronta la soluzione:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

    se non è già presente create una nuova REG_DWORD chiamata DisableTaskMgr
    di seguito il valore da imputare
    1----> disattiva il TaskManager
    0 ---> attiva il TaskManager

    RispondiElimina
  2. ciao, scusa ho un problema, non riesco a capire il primo passaggio, in cui dici che invece di eseguire lo scan dobbiamo lanciare sul desktop l'editor di registro. potresti spiegarmi passo passo come devo fare, scusa per l'ignoranza.

    RispondiElimina
  3. Ciao, anch'io ho lo stesso problema di Giovanni (sopra) non riesco a capire come aprire l'editor di registro per poter completare la procedura da te indicata. Rispondi presto... pleaseeee!

    Scusa per il disturbo e grazie per quello che fai per noi comuni mortali del computer...
    Ciao!!

    RispondiElimina
  4. Ciao a tutti, io ieri sera sono riuscito ad eliminare il trojan entrando in modalità provvisoria, il problema che al riavvio normale va tutto bene , ma mi esce un messaggio che dice che il pc on trova il file 000.dll che era il trojan, come possofare per eliminare quasto messaggio?

    grazie

    ciao

    RispondiElimina
  5. Io ho "preso" il virus Polizia di Stato venerdì scorso, probabilmente parecchio tempo dopo che questi consigli (e quellki deel Polizia Postale stessa) sono stati pubblicati. Temo che abbiano preso qualche contromisura, come collocare il trojan in un altro indirizzo.
    Io apro l'editor di registro e raggiungo la posizione, ma trovo solo le sotto cartelle HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    ma NON trovo
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx

    e in nessuna di queste sottocartelle trovo il file descritto, che quindi non ho potuto eliminare o rinominare.
    Anche le altre due procedure suggerite non funzionano - non riesco ad entrare in moidalità provvisoria, l'uso del tasto F8 in fase di accensione provoca solo un ripetuto segnale d'allarme, e i colleghi si alontanano pensando che stia per scoppiare una bomba...

    Grazie comunque

    Sergio
    (Ho Windows 7)
    in nessuna delle due sottocartelle c'è un file come quello

    RispondiElimina
  6. Ciao a tutti,
    Vi riporto la mia esperienza di come ho risolto il problema.
    Ho Winxp , avevo beccato il virus e non mi andava in modalità provvisoria. Ho masterizzato il cd di kaspersky usando il file .iso ma il pc non si avviava (avevo correttamente impostato il boot da cd infatti il cd di Acronis, che uso per ripristinare l'immagine di windows, si avviava correttamente). HO provato allora a creare una chiavetta usb bootable con dentro l'iso scaricato, con l'apposito tool di kaspersky. Da questa , selezionando il boot da usb sono riuscito ad avviare kaspersky rescue cd. Si avvia come spiegato in questo articolo ma, invece di andare nel registro windows, ho avviato la scansione virus (prima ho aggiornato il database virus visto che kaspersky da la possibilità di collegarsi alla rete wifi) ed ho selezionato tutti i drive x la scansione..... tempo 40/50 minuti mi ha trovato il virus ed eliminato.... riavviato il pc poi ho usato x sicurezza anche combofix.

    RispondiElimina

Post più popolari