Numerosissimi in questi giorni sono gli utenti che lamentano la nuova ondata di questo malware che a dir poco è scocciante per rimuoverlo. Tante sono le guide che trovate in rete e pressappoco vi orientano su questa tipologia di intervento:
Metodo 1: (in questo caso la modalità provvisoria funziona ed è il metodo consigliato sul sito della guardia di finanza)
Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto ‘Modalità provvisoria”. Una volta avviato Windows cliccare con il mouse su START posto in basso a sinistra della barra delle applicazioni.
All’apertura del menu a tendina verticale fare clic su “Tutti i programmi”, così da aprire l’elenco dei software installati, cercare la cartella “Esecuzione automatica” e, una volta individuata, fare clic con il mouse sull’icona corrispondente.
Sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer.
Dovrebbe apparire, tra gli altri, il file “WPBT0.dll” oppure un file con nome identificativo del tipo “0..exe” (il file si può presentare in altre varianti sintattiche).
Selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer . Ad ogni modo vi consiglio di eliminare tutto ciò che non conoscete!
Selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware
Spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione aspettando qualche minuto.
Al riavvio installate o aggiornate l’antivirus ed effettuate una scansione totale del sistema.
Metodo 2: (modalità provvisoria funzionante)
Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto il tasto “F8” durante la fase di accensione. Premendo questo tasto sarà visualizzato un elenco di scelte, selezionare appunto ‘Modalità provvisoria”
Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle applicazioni
Cliccando su START–> ESEGUI digitare: “msconfig.exe“
Spostarsi nella colonna “Servizi” e disattivare i servizi sospetti o comunque in cui come produttore non vi sia alcuna voce oppure il cui elemento di avvio abbia un nome strano tipo: aaaaaaaeaeaaaaa.exe
Poi cliccate sulla colonna Avvio e deselezionate tutti i programmi che hanno nomi sospetti.
Cliccare su OK e riavviare.
Al riavvio installate o aggiornate l’antivirus ed effettuate una scansione totale del sistema.
Metodo 3: (altro metodo trovato in rete che sfrutta combofix, che funziona solo se parte la modalità provvisoria con prompt dei comandi)
-Fate partire il pc in modalità provvisoria con supporto di rete, scaricate COMBOFIX, un ottimo antivirus utilissimo in questi casi e che farete eseguire una sola volta e che risolve al 100% il problema.
Si può scaricare da
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
- dopo averlo scaricato posizionatelo sul desktop e disabilitate eventuali antivirus / firewall.Cliccate due volte e fatelo installare. Terminata l’installazione, si aprirà una finestra con il prompt dei comandi su fondo blu ed automaticamente si avvierà la creazione di un punto di ripristino del sistema. Successivamente clicca NO alla richiesta di scaricare la console di ripristino (sarebbe inutile in quanto sei in modalità provvisoria e disconnesso da internet).
Finalmente Combofix comincerà a scansionare il sistema. Mettiti comodo (è il momento di un buon caffè) ed aspetta circa 10 minuti. Al termine della scansione con i relativi passaggi o stage, apparirà un file di log in cui saranno descritte tutte le operazioni che Combofix ha compiuto, il virus dovrebbe essere stato definitivamente eliminato. Per verificarlo non ti resta che riavviare il computer.
Se tutto è Ok non ti resta che l’ultima operazione ovvero la disinstallazione di combofix in quanto non più necessario anzi, se usato senza cognizione di causa, potrebbe fare danni.
Metodo 4: (modalità provvisoria non funzionante)
In questo caso il pc non riesce ad entrare in modalità provvisoria poichè il virus ha disabilitato la sua attivazione con tasto F8. Quello che tipicamente succede è che il pc si riavvia in continuazione se si prova ad accedere con la modalità provvisoria.
In questa modalità andiamo a modificare le chiavi di registro di sistema, vi consiglio di procedere con il cd di kaspersky che ha una interccia grafica abbastanza gradevole.
Inseriamo il disco di Kaspersky creato e avviamo il PC. Se non abbiamo impostato il cd/dvd come prima periferica di avvio facciamo dalle configurazioni del bios (F2 all’accensione del computer).
Quando il cd si avvia appare la schermata principale di Kaspersky Rescue Disk (che puoi scaricare facilmente da qui)dove viene chiesto di selezionare la lingua, licenza d’uso, ecc.
Alla fine apparirà una simulazione di sistema operativo e sul desktop verde eseguire Kaspersky Registry Editor.
Ora cerchiamo di sistemare le chiavi di registro corrotte dal virus:
Riattivare il TaskManager:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system e verificate il valore di DisableTaskMgr deve essere impostato a 0
Controllate le chiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
e, se presenti, anche queste per tutti gli utenti presenti sul sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Tra queste chiavi ci sono i servizi che partono quando accendiamo il pc e quindi ci sarà sicuramente anche il nostro virus. Dunque individuate i nomi sospetti che sono presenti in tutte le chiavi e cancelliamole (tasto destro – elimina)
Prendete nota della chiave che cancellate, o meglio del loro valore in quanto c’è scritto il nome del file e la posizione…ci servirà nei metodi successivi.
Fatto questo riavviate e dovrebbe essere tutto ok.
Metodo 5 (per utenti un po’ più esperti e per chi vuole rischiare il tutto per tutto)
Nella fine del metodo precedente vi ho detto di prendere nota del valore della chiave eliminata: questo perchè è presente la posizione dei possibili file incriminati….andiamo a cancellarli.
Dal cd di Kaspersky ora esploriamo le cartelle di sistema (C o D) e andiamo nella cartella dove risiedono i file che ci siamo scritti, tipicamente sono in system32 dentro la cartella Windows.
Una volta trovati, prima di cancellarli, rinomiamoli ad esempio aggiungendo “old” prima o dopo il nome.
Questo metodo è più rischioso perchè potremmo intaccare qualche file di windows però ci garantisce di trovare sempre il file del virus in quanto lo ricaviamo dall’esecuzione automatica (non è detto che il virus abbia sempre lo stesso nome).
Ora possiamo riavviare il pc e se tutto funziona eliminiamo i file che in precedenza avevamo rinominato e procediamo con le varie scansioni di antivirus tipo Antivir e Malwarebyte. Vi consiglio anche un controllo con Hijackthis. (fonte http://fabiobonanni.altervista.org/archivioNews.php?page=1&id=41)
Io li ho provati tutti e l’unico metodo che sicuramente funziona perchè l’ho personalmente provato è quello di combofix, che mi ha tranquillamente tolto il malware e rimosso alcuni files “sospetti”.