
-----------------------------------------------------------------------------------------------------------------------
Tornano alla carica i Virus Del Riscatto "Intestazione Forze Dell'Ordine", solita infezione che non permette il lancio di alcuna applicazione Antivirus, neanche in modalità provvisoria, per le cure valgono sempre le info date nelle discussioni precedenti, o l'uso di Live CD o PenDrive con a bordo software come
Kaspersky Rescue Disk o simili. Di questa ultima infezione, già beccata da molti miei conoscenti, vi propongo parte della schermata, non potevo grabbarla per intero per via della grandezza della finestra originaria. Nel controllare l'ultima vittima di questa particolare infezione, ho scoperto diciamo così una falla o un bug del virus. Praticamente premendo il tasto spegnimento Computer, simulando uno spegnimento del PC, ho provocato il caricamento del request di scelta Spegnimento-Riavvio, questa comparsa mi ha ridato il Desktop e la possibilità di lanciare Malwarebyte, che è riuscito prima a indebbolire e poi dopo un aggiornamento a debbellare l'infezione, non so se la pratica sia fattibile per tutte le infezioni di questo tipo, e per tutti i sistemi operativi, bisogna solo provare. Aggiungo ancora un metodo per sconfiggere questa infezione, naturalmente adatta per chi sa maneggiare Live CD o Pendriver Live, per fixare con un editore di Registro Remoto, le possibili chiavi infette del registro, o tentare di fregargli qualche eseguibile o dll (beccati per data e ora infezione) e poi passare ai software di pulizia e disinfettazione.
Verificare questa chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system e Controllare che il valore di DisableTaskMgr, se presente, è impostato a
0;
Controllare queste chiavi, se ci sono voci strane ed eliminarle.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Verificare la chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
A destra cercare il valore "Shell" e controllare che ci sia scritto
explorer.exeSempre nella finestra di destra della stessa chiave, cercare la voce
Userinit, che deve avere come valore
C:\Windows\system32\userinit.exe, virgola compresa