mi sono imbattuto in questi giorni nella nuova versione del virus che alcuni mesi fa aveva infettato parecchi pc. il comportamento è simile alla prima versione ossia una pagina con tanto di logo della polizia di stato (ma potrebbero esserci anche delle varianti tipo guardia di finanza etc.) che avverte l'utente che il suo pc è stato bloccato a seguito di una violazione non ben precisata di una legge italiana! L'utente non deve preoccuparsi però perchè la pagina spiega che pagando 100€ si risolve tutto mentre in caso contrario i propri dati verranno passati all'interpol!!!
Trattasi naturalmente di una bufala, il povero utente non ha violato nessuna legge ma probabilmente ha preso questo virus da qualche banner presente in una pagina visitata di recente, il problema è che il computer è bloccato su questa pagina fin dall'avvio e non si riesce a passare a nessun'altra schermata, nè è una buona idea pagare i 100€ perchè dubito che il pc poi si sblocchi!
Vediamo come rimuovere il virus. La versione precedente era più semplice da rimuovere in quanto nella maggior parte dei casi bastava avviare il pc in modalità provvisoria premendo F8 all'avvio e cancellare il collegamento al virus che di solito si trovava in esecuzione automatica.
Nei computer che ho avuto sotto mano infettati dalla nuova versione del virus la soluzione di cui sopra non è applicabile in quanto cercando di accedere in modalità provvisoria il computer si riavvia oppure carica comunque la pagina del virus e non permette quindi di fare nulla nemmeno in modalità provvisoria.
La soluzione più semplice che ho trovato è stata quindi quella di avviare il pc con il Kaspersky Rescue Disk che potete scaricare da qui
http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso
Una volta scaricato l'iso lo masterizzate e avviate il pc infetto da questo cd. Una volta avviato tramite interfaccia grafica accedete a una serie di strumenti che possono essere utili in varie situazioni, in questo caso useremo il tool Kaspersky Registry Editor che permette di aprire e modificare il registro di sistema del pc infetto.
La chiave che ci interessa raggiungere è:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
il virus va a modificare il valore "shell" che di default in questa chiave non esiste o comunque ha come valore
explorer.exe
e lo cambia in
"explorer.exe,c:\users\nomeutente\appdata\skype.dat"
il file skype.dat (o qualsiasi nome file che ci fosse dopo explorer.exe) è in realta il nostro virus quindi per eliminarlo definitivamente basterà ripristinare il valore in "explorer.exe" e andare a cancellare nel percorso che abbiamo visto prima il file skype.dat (o altro nome che abbiamo trovato nella chiave di cui sopra) dal percorso
c:\users\nomeutente\appdata.
A questo punto facendo un riavvio del pc dovreste ritrovarvi col vostro consueto desktop e il pc di nuovo funzionante.
Nessun commento:
Posta un commento