25/01/13
Di talenti sprecati ne è pieno il mondo, non c'è dubbio. Ed oggi vi racconto di uno spreco di abilità votato a danneggiare e raggirare persone poco informate: un bel Trojan.
Questo simpatico virus di cui vi parlo è quello che vi spunta come suggerimento in automatico su Google solo digitando "Rimuovere virus", ovvero il virus della finta multa della Guardia di Finanza (o Polizia di Stato, dipende dalla variante). Questo vi da giusto una vaga idea di quanti italiani siano stati colpiti da questo schifo.
Se vi siete beccati la versione vecchia, siete fortunati. Senza collegamento ad internet la pagina che vi accusa di aver commesso reati, di rischiare la galera e che vi incita a pagare una considerevole somma di denaro (tramite canali poco rintracciabili) non compare e la modalità provvisoria funziona a dovere, quindi basta avviarla e modificare la voce in avvio relativa al virus (eseguendo msconfig.exe) e distruggerlo con il programma che più preferite. (Consiglio Spybot S&D e Ccleaner per un fix successivo)
Proprio oggi ho avuto modo di scontrarmi con la versione aggiornata, che si è evoluta ed ha raggiunto livelli di simpatia che ritenevo impossibili per un virus. E' qualcosa di ESASPERANTE.
Ci tengo a precisare che il pc infettato era quello di un amico ( tanto per non fare brutte figure :D )
Il miglior antivirus che ci sia è uno solo: Il Vostro Cervello. Usatelo.
Perchè è esasperante?
1. Niente modalità provvisoria: appena la avviate il computer si riavvia
2. Anche in assenza di collegamento internet (necessario per caricare la pagina con le finte minacce) la finestra vi appare comunque anche se bianca, e vi impedisce in ogni caso di fare qualsiasi cosa.
Quindi ora vi chiederete: cosa posso fare? DOVETE DISTRUGGERLO.
ISTRUZIONI:
 |
| Menù di scelta della modalità provvisorie |
Se riuscite ad entrarci passate al punto GNE
2) Senza modalità provvisoria, vi serve un modo per accedere al sistema senza usare windows. Dovrete masterizzare l'immagine iso di Kaspersky Rescue Disk DOWNLOAD (277 mb)
Masterizzate l'immagine con CD Burner XP ed avviate il computer selezionando l'unità ottica come 1st Boot nel BIOS (accessibile tramite F2 all'avvio del pc)
3) Avviato il cd, scegliete la lingua che più preferite, premete 1 per accettare la licenza e fate partire il programma in modalità grafica come vedete qui accanto. Vi apparirà una sorta di desktop e sullo sfondo troverete l'icona di Kaspersky Registry Editor. Avviatelo.4) E' ora di beccare il simpaticone. Sappiate che potreste fare danni seri, quindi cercate, modificate e cancellate solo le stringhe che vedete di seguito.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- Controllate le seguenti chiavi:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
E, se presenti, anche:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Se vedete dei percorsi che puntano ad un file che si chiama tipo "fxhgauoi.exe" che abita nella cartella Utenti allora è probabile che sia quello che cerchiamo. Fate attenzione a file eseguibili mai visti soprattutto nella sezione Run.
PUNTO GNE) Una volta rimosse le chiavi, la modalità provvisoria con Prompt dei comandi è funzionante. Avviate il pc in questa modalità e nella schermata di cmd.exe digitate explorer.exe e premete invio.
Comparirà la solita barra degli strumenti ed il solito desktop.
Ora procuratevi i seguenti file su una chiavetta usb: COMBOFIX e Spybot S&D.
Inserite la chiavetta nella presa usb del pc infetto, installate Spybot ed avviate la scansione (non importa se non potete aggiornarlo per ora dato che manca internet, l'importante è selezionare "protezione completa" in fase di installazione).
Una volta terminata la scansione, avviate Combofix.exe che avete sulla chiavetta.
Attendete la fine dell'operazione e riavviate. Una volta partito il pc avrete ancora Combofix attivo che genera un log, attendete che finisca ed il gioco è fatto. Infine consiglio anche di aprire CCleaner e controllare e riparare eventuali errori nel registro di sistema.
Se avete Windows 7 vi consiglio questo antivirus Microsoft Security Essentials, leggero e poco invasivo.
Tanto per dirvelo, sul computer del mio amico era presente NOD32, che si avviava insieme al virus senza farci caso. Utile.
ULTIMO SUGGERIMENTO:
INTERNET EXPLORER FA CAGARE, USATE MOZILLA FIREFOX O GOOGLE CHROME
(Mozilla è il più consigliato grazie all'integrazione con Spybot che ne aumenta la sicurezza, abbinandoci l'estensione Adblock Plus) e soprattutto, mantenete SEMPRE AGGIORNATO Windows. Lo strumento di rimozione malware che esce ogni mese può evitarvi molti di questi problemi.
Vi auguro di non imbattervi mai in questo genere di situazione :D
Saluti da AlexDroid ✌
Metodo alternativo ( Brutale )
Alex ha spiegato il metodo che ha utilizzato in prima persona una volta che si è imbattuto d'innanzi a questo virus, ma volevo ricordare che esiste un altro metodo più brutale e indubbiamente efficace.
Il virus è attivo solo una volta installato, e tende generalmente ad insediarsi nella cartella che l'utente usa di default per installare le varie applicazioni, quindi rimuoviamo in via diretta i due file che prendono nomi "strani" come " wagsdasdasd " o qualcosa del genere. Li trovate nella cartella utente o su qualche cartella temporanea ( perchè il virus in questione evita il controllo UAC, quindi non lo installa direttamente in Windows o sotto qualche cartella dove necessita autorizzazione ), controllate.
Beh, come faccio?
Ci sarebbe una piccola guida a riguardo per fare qualcosa di artigianale QUI.
Togliete l'hard disk e mettetelo su un altro fisso, oppure, se avete un qualche adattatore ( sATA o IDE, EsATA ) lo collegate ad un portatile. Fatto questo, se avete Windows 8 al 100% l'antimalware nativo lo toglierà senza batter ciglio una volta aperte le cartelle utente e temporanee ( C:\Users\.. ; e C:\Users\nomeutente\AppData\Local\Temp ), dubito che si insinui nelle cartelle sotto windows come C:\Windows\TEMP ma voi provate ad aprire anche quello, ci sono varie evoluzioni di questo virus.
Se non disponete di Windows 8 e dunque niente antimalware nativo, il suggerimento è di usare
COMBOFIX e Spybot S&D come suggerisce Alex ( Attenzione a COMBOFIX, usatelo solo come ultima risorsa perchè non sempre cancella i file giusti! ).
A questo punto avrà fatto tutto lui, l'unico accorgimento è di rimuovere manualmente eventuale file sospetto nella cartella utente.
Reinserite l'hard disk sul vostro computer. A questo punto all'avvio vi eseguirà un controllo ( perchè è stato montato su un altro computer ), per adesso evitatelo e premete un tasto qualsiasi quando vi chiederà di bypassarlo: prima dobbiamo accertarci che tutto funzioni.
All'avvio a questo punto spunterà un bell'errore di tipo RUNDLL - segno che il virus all'avvio è stato rimosso e che quindi il processo cui fa riferimento non riesce a trovarlo - avviate Ccleaner e togliete dall'avvio il programma che vi da questo errore.
ATTENZIONE: Potrebbe tuttavia chiedervi all'avvio di installare un programma, NON LO FATE, invece cercate di rimuovere dall'avvio anche questo da CCleaner e fategli fare una pulizia. Questo si tratta dell'installer del virus.
Avete il pieno controllo del vostro pc, adesso lasciate che gli antivirus facciano il loro corso.
Con la compartecipazione di:
