[GUIDA] Virus “SIAE” e “Guardia di Finanza”: come eliminarlo


Nella giornata di ieri un mio amico mi chiama al telefono preoccupato perchè, all’avvio del PC, compariva una bella pagina della SIAE dove erano richiesti 50€ per sbloccare il PC e renderlo nuovamente funzionante. Armato di molta pazienza, ho tentato di risolvere il problema con i classici trucchetti (ALT+F4, CTRL+ALT+CANC, ALT+TAB) ma nessuno di questi è riuscito a disabilitare la pagina; anche la Modalità Provvisoria riportava lo stesso problema.

Stiamo parlando chiaramente di un innovativo virus, molto intelligente oserei dire, che sta “mietendo” numerose vittime sulla rete (in molti hanno pagato per sbloccare il loro PC) che risponde al nome di Rasomware. Questo Virus si camuffa con i loghi della SIAE e Guarda di Finanza e ci impone di pagare per sbloccare il nostro PC. Ovviamente non DOVETE PAGARE, ma solo eliminare questo virus!

Vediamo insieme come ripristinare il vostro computer.

La procedura più veloce per cancellare completamente questo virus, è quella di fare un bel Format dell’hard disk e reinstallare tutto dall’inizio. Ovviamente se avete dati importanti, questa prima soluzione è da escludere a priori.

Ad oggi (Giugno 2012) i tool più efficaci per debellare questo virus sono  AVIRA RESCUE DISK e Kaspersky Rescue Disk. Entrambi i tool necessitano di essere eseguiti da CD/DVD come disco di boot.

[arrowlist]

  • Procedura AVIRA:

[/arrowlist]

Scaricate il file .exe dalla link allegato in alto. Al termine del download, apriamo il file scaricato, inseriamo un CD/DVD vuoto e avviamo la procedura per la masterizzazione del disco. Dopo qualche minuto il programma ci confermerà la creazione del disco, possiamo riavviare il PC e avviare il disco che abbiamo creato.

Nella prima schermata, premiamo 1 e diamo Invio; AVIRA caricherà tutti i moduli e ci permetterà di eseguire una scansione del nostro hard disk. Al termine della procedura (nel mio caso sono stati trovati oltre 30 file infetti) riavviamo il PC e tutto dovrebbe essere tornato alla normalità.

[arrowlist]

  • Procedura Kaspersky:

[/arrowlist]

Con il tool di Kaspersky, la situazione è leggermente diversa. Per creare il disco di boot, è necessario scaricare questo programma e avviare la procedura per creare o un CD/DVD di boot o un pendrive USB.

Al termine del processo riavviamo il PC e avviamo il disco appena creato. Invece di eseguire una scansione come per AVIRA, con il tool di Kaspersky andremo a cancellare alcune stringe del registro di sistema che avviano l’esecuzione del virus.

Apriamo il tool Kaspersky Registry Editor e modifichiamo/cancelliamo le seguenti stringe:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system  e verificate il valore di DisableTaskMgr, deve essere impostato a 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (Cancellare le stringhe poco chiare)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (Cancellare le stringhe poco chiare)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx (Cancellare le stringhe poco chiare)

Selezioniamo la voce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Verifichiamo che sotto la voce Shell ci sia l’eseguibile Explorer.exe e su Userinit invece il seguente collegamento (virgola inclusa): C:\Windows\system32\userinit.exe,

La procedura è terminata; il virus dovrebbe essere stato eliminato. Vi consigliamo comunque di effettuare una scansione con un antivirus come Norton o Kaspersky.

E’ buona norma avere installato, sempre e comunque, un antivirus sul vostro PC (ce ne sono sia di gratuiti che a pagamento, a voi la scelta).

Se avete utilizzato altri metodi, e sono funzionanti, vi prego di allegarli nei commenti; aggiornerò mano mano questa guida per renderla sempre più completa.