[GUIDA] Virus “SIAE” e “Guardia di Finanza”: come eliminarlo

giugno 22, 2012 2 Comments »




Nella giornata di ieri un mio amico mi chiama al telefono preoccupato perchè, all’avvio del PC, compariva una bella pagina della SIAE dove erano richiesti 50€ per sbloccare il PC e renderlo nuovamente funzionante. Armato di molta pazienza, ho tentato di risolvere il problema con i classici trucchetti (ALT+F4, CTRL+ALT+CANC, ALT+TAB) ma nessuno di questi è riuscito a disabilitare la pagina; anche la Modalità Provvisoria riportava lo stesso problema.

Stiamo parlando chiaramente di un innovativo virus, molto intelligente oserei dire, che sta “mietendo” numerose vittime sulla rete (in molti hanno pagato per sbloccare il loro PC) che risponde al nome di Rasomware. Questo Virus si camuffa con i loghi della SIAE e Guarda di Finanza e ci impone di pagare per sbloccare il nostro PC. Ovviamente non DOVETE PAGARE, ma solo eliminare questo virus!

Vediamo insieme come ripristinare il vostro computer.

La procedura più veloce per cancellare completamente questo virus, è quella di fare un bel Format dell’hard disk e reinstallare tutto dall’inizio. Ovviamente se avete dati importanti, questa prima soluzione è da escludere a priori.

Ad oggi (Giugno 2012) i tool più efficaci per debellare questo virus sono  AVIRA RESCUE DISK e Kaspersky Rescue Disk. Entrambi i tool necessitano di essere eseguiti da CD/DVD come disco di boot.

  • Procedura AVIRA:

Scaricate il file .exe dalla link allegato in alto. Al termine del download, apriamo il file scaricato, inseriamo un CD/DVD vuoto e avviamo la procedura per la masterizzazione del disco. Dopo qualche minuto il programma ci confermerà la creazione del disco, possiamo riavviare il PC e avviare il disco che abbiamo creato.

Nella prima schermata, premiamo 1 e diamo Invio; AVIRA caricherà tutti i moduli e ci permetterà di eseguire una scansione del nostro hard disk. Al termine della procedura (nel mio caso sono stati trovati oltre 30 file infetti) riavviamo il PC e tutto dovrebbe essere tornato alla normalità.

  • Procedura Kaspersky:

Con il tool di Kaspersky, la situazione è leggermente diversa. Per creare il disco di boot, è necessario scaricare questo programma e avviare la procedura per creare o un CD/DVD di boot o un pendrive USB.

Al termine del processo riavviamo il PC e avviamo il disco appena creato. Invece di eseguire una scansione come per AVIRA, con il tool di Kaspersky andremo a cancellare alcune stringe del registro di sistema che avviano l’esecuzione del virus.

Apriamo il tool Kaspersky Registry Editor e modifichiamo/cancelliamo le seguenti stringe:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system  e verificate il valore di DisableTaskMgr, deve essere impostato a 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (Cancellare le stringhe poco chiare)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (Cancellare le stringhe poco chiare)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx (Cancellare le stringhe poco chiare)

Selezioniamo la voce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Verifichiamo che sotto la voce Shell ci sia l’eseguibile Explorer.exe e su Userinit invece il seguente collegamento (virgola inclusa): C:\Windows\system32\userinit.exe,

La procedura è terminata; il virus dovrebbe essere stato eliminato. Vi consigliamo comunque di effettuare una scansione con un antivirus come Norton o Kaspersky.

E’ buona norma avere installato, sempre e comunque, un antivirus sul vostro PC (ce ne sono sia di gratuiti che a pagamento, a voi la scelta).

Se avete utilizzato altri metodi, e sono funzionanti, vi prego di allegarli nei commenti; aggiornerò mano mano questa guida per renderla sempre più completa.

Ti potrebbe interessare anche

  • teicuns (luigi)

    Si elimina il virus in modo estremamente semplice. NON collegarsi ad internet. il computer si avvia normalmente senza la pagina col virus. andare sul pannello di controllo e creare un nuovo account. disconnettere l’account attuale e loggarsi col nuovo account. eliminare il vecchio account e tutti i suoi file (dopo aver fatto una copia dei tuoi dati da un account all’altro) riconnettersi ad internet e verificare che il virus non e’ piu’ presente.

  • Renato

    Chi non avesse altri pc su cui scaricare gli antivirus appropriati può fare così (metodo utilizzato su portatile Compaq con Windos Vista): all’avvio del PC, prima che venga caricato il sistema operativo, premere il tasto con cui si accede al menu di startup (sul pc Compaq è il tasto ESC), fra le opzioni presenti selezionare “System recovery”, dovrebbe aprirsi una finestra in cui sono indicati alcuni punti di ripristino del sistema in date precedenti quella attuale. Scegliere una data precedente a quando sono state modificate le impostazioni del sistema e avviare la procedura di ripristino. Se ad esempio ho modificato le impostazioni ieri, dovrò scegliere la data dell’altro ieri o precedente. In questo modo il PC viene riportato nelle condizioni in cui era prima di modificarne le impostazioni, senza modificare i file presenti.
    Spero di essere stato utile a qualcuno. Ciao.
    Renato