Virus GDF

Per poter gestire meglio i commenti, arrivati ormai a circa 200 sul primo post del virus della guardia di finanza, ho creato questa pagina dedicata proprio ai commenti.
Del virus se n'è parlato in questo post
Per consigli, suggerimenti e richieste lasciate pure qui il commento....
Grazie lollo

17 commenti:

Anonimo ha detto...

Ciao a tutti,
questa mattina mi sono trovato la sorpresa: appena visualizzato il desktop, quasiasi scelta facessi, schermo blu senza icone ne barra commandi. Dopo alla partenza è apparsa la pagina web. intestata "Guardia di Finanza" con la richiesta di pagamenti di 50€bloccare il computer bloccato a causa di navigazione in siti porno. Proprio una bella fantasia. Concludendo, 2 ore per ripristinarlo com "COMBOFIX". Adesso sembra che tutto sia risolto. Grazie per i consigli ottenuti in questo sito.

luca89 ha detto...

Ciao lollo anche io stesso problema su due macchine una con vista già risolta in modo molto più complicato infatti ho creato un nuovo account da modalità provvisoria poi ho tolto tutti i file dell'account e disinstallato avast dal pc infetto poi ho eliminato il nuovo account e riavviato ed ha funzionato, su questo xp dove sono alle prese adesso il file sembra non apparire più ma il pc è imballatissimo adesso ho fatto girare combofix e vedo che succede.

grazie per i consigli ottimo blog

Anonimo ha detto...

Grazie mille Lollo, ho risolto con la guida di Combofix.
sei un genio mi hai salvato da un inizio settimana drammatico, cominciare la settimana lavorativa senza pc e davvero un dramma, figuriamoci in questo periodo.
menomale che ci sono persone come te, ci sono altre invece che speculano anche su queste cose, mi riferisco ad annunci riguardanti il debellamento(se cosi si dice) di questo virus con 50 €, consulenza online. saranno gli stessi che hanno inserito il virus?
grazie di nuovo

Roberto Quaranta ha detto...

Ciao,
questa sera ho eliminato il virus e volevo condividere con voi la procedura che ho seguito.
Non riuscendo ad avviare in modalità provvisoria ho utilizzato KasperSky rescue.
Purtroppo non disponevo della connesione internet e non ho potuto aggioranre il db dei virus.
Durante la scansione Kaspersky ha rilevato ed eliminato dei virus. Pensando di aver risolto il problema ho riavviato ma purtroppo il problema si è ripresentato.
Ho pensato allora di utilizzare l'altra applicazione presente su KasperSky rescue, ossia Kaspersky registery editor. Il virus, come dovrebbe essere chiaro, agisce all'avvio di windows quindi basta eliminare dal registro di sistema la voce relativa al file che viene lanciato all'avvio.
Di seguito vi riporto le chiavi di registro in cui potete vedere i programmi all'avvio:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Nella prima chiave ho individuato il file 0.245s8f4f3s0.exe (non considerate questo nome perchè potrebbe cambiare) tra i programmi lanciati all'avvio di windows. Ho eliminato la chiave e soprattutto il file che si trovava nella cartella c:\windows\system32.
Ho riavviato e windows è partito normalmente.
Spero che questa procedura possa essere utile a qualcuno.

Rob

francesca ha detto...

Ciao, sono nei guai, ho il virus "guardia di finanza" ho letto i vari post ma nn riesco assolutamente a entrare in modalità provvisoria ho provato in vari modi come posso fare? mi aiuti? francesca

Mauro ha detto...

Ciao Lollo Grazie per le info , mi appariva sempre la schermata GDF etc e non riuscivo ha entrare in modalità provvisoria , come S.O. ho XP , Combofix non partiva e dopo aver letto i vari post con malwarebytes è andato tutto a posto .
Combofix l'ho usato dopo Malware e ora funziona tutto .
Grazie ottimo blog

francesca ha detto...

Ciao, sono riuscita ad eliminarlo! magnifico! Ho seguito la procedura descritta da Roberto, al quale volevo chiedere, io ho eliminato solo il file (0.xxxxxxxxx), ma nn la chiave, come invece hai scritto tu, funziona ugualmente. Dovevo eliminare l'intera chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run?
Ciao francesca

Roberto Quaranta ha detto...

Ciao Francesca, non devi eliminare la macro chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, in quanto contiene le chiavi che permettono al sistema operativo di avviare alcuni programmi all'avvio del pc.

Ciao
Roberto

Anonimo ha detto...

salve, scusate l'ignoranza della domanda, sto cercando di creare un disco di avvio con KasperSky, l'ho scaricato in .ISO però il computer me lo vede come un archivio di winzip e nero burning non me lo vede come file immagine disco, che devo fare? lo copio così com'è sul cd creando un disco dati? va bene lo stesso? o devo prima estrarre i file e poi copiare quelli sul disco?

Lollo ha detto...

Ciao, prova ad installare imgburn (http://download.imgburn.com/SetupImgBurn_2.5.6.0.exe) che è gratuito e serve proprio a masterizzare le immagini iso.
Fammi sapere. Ciao Lollo

Michele ha detto...

Ciao! da quanto ho letto mi sa che sei la mia unica speranza. Ho provato a seguire le varie soluzioni, ma per il momento no riesco proprio a risolvere il problema. La schermata non indica più la GdF ma la SIAE (e questo non è un problema, forse indica una nuova versione?) ma in nessun modo non riesco a farlo ripartire in modalità provvisoria, mi esce sempre la schermata che mi blocca tutto. Come posso fare ad installare sul cpu che non risponde piu a nulla combo? Grazie 10000 in anticipo

Anonimo ha detto...

Ho beccato pure io questa "nuova versione": ho provato a partire in modalità provvisoria, con rete, senza rete e con propt dei comandi. Nulla di nulla il virus si avvia sempre, oltretutto con Ctrl + Alt + Canc il tasto Task Manager (con cui volevo far partire antivirus e ccleaner) non è elitabile. Non ho provato ancora con il cd ripristino di kaspersky, anche perchè il pc in questione...è un netbook!!! Potrei utilizzare un lettore esterno usb ma nn so se è la stessa cosa. Eventualmente potete formirmi un link/forum ecc dove scaricare l'ISO per il cd???

ciao Daniele

Lollo ha detto...

Ciao Daniele,
purtroppo non ho molto tempo adesso per spiegarti dettagliatamente, però nel primo post che avevo scritto trovi tutte le indicazioni del caso.
Hai due possibilità: usare il lettore cd esterno, che va benissimo. Oppure caricare l'iso di avira (che per questo virus sembra meglio del kasper) su una chiavetta usb come descritto sempre nel post....
Inizia a dare un'occhiata qui:
http://bellalollo.blogspot.it/2011/12/virus-guardia-di-finanza-che-chiede-100.html
nel caso poi mi fai sapere e vedrò di seguirti meglio.ok?
Buona giornata, Lollo

Anonimo ha detto...

Ciao Lollo,
posto la mia esperienza perché penso (incrocio le dita :D) di aver risolto grazie a te e a tutti i contributi in questo post. Nel mio caso pc con Vista e antivirus Avira che ha preso il virus "SIAE".

1° tentativo: Kasperky da usb (non CD). Inizialmente non partiva la modalità grafica e apparivano delle righe di testo che non consentivano di interagire con il programma (almeno io cioè non avrei saputo che comandi dargli). Dopo un paio di tentativi è partito, ha trovato qualche trojan e l'ha debellati.

Purtroppo non è stato sufficiente perché dalla schermata SIAE siamo passati ad una finestra bianca con la scritta
"please wait while a connection is being established" e sotto anche in tedesco.

2° tentativo: Malwarebytes. Nella scansione veloce ha trovato e debellato alcuni file in quella completa non trovava più nulla.
La schermata bianca però persisteva.

3° tentativo: Windows defender (boot da usb). Scansione di tre ore senza trovar nulla né risolvere.

4° tentativo: AVIRA RESCUE DISK (boot da usb). Scansione di un paio di ore senza trovar nulla né risolvere.

5° tentaivo: vorrei far ripartire Kasperky e entrare nell'editor di registro ma non ci riesco perché non parte in modalità grafica e mi si pianta su due righe di testo (perché? non è la modalità testo credo perché non consente di interagire agevolmente!)

6°tentativo: disinstallo Avira e provo con Combofix. Inizialmente mi comparivano messaggi di Combofix minacciosi in cui diceva che avira antivir desktop era in esecuzione e questo comportava gravi rischi (eppure dopo la disinstallazione di avira avevo riavviato e non compariva più nei programmi). Comunque combofix ha continuato: in nemmeno 40 minuti ha finito e RISOLTO! E sembra che non ci siano stati effetti collaterali.

Adesso ho di nuovo installato Avira ma terrò anche Malware per fare ogni tanto una scansione.

GRAZIE MILLE!
ciao
Marta

Lollo ha detto...

@Marta, grazie a te! Hai riassunto praticamente tutti i tentativi possibili per eliminare il virus in modo molto preciso e dettagliato. Sarà sicuramente utile ad altri.
Ciao Lollo

raffaele ha detto...

Si potrebbe provare con spybot. Ma non so fino a che punto possa servire.

Anonimo ha detto...

Ciao a tutti,

perfavore mi potete spiegare come avviare combofix quando la modalita' provvisoria e' inaccessibile.

Grazie mille

J