1 reply to this topic

[Kuma]

Attenti alla "diffida" dell'avvocato Gentili
sembra provenire dallo studio di un avvocato e intima di smettere di inviare e-mail oscene all'avvocato in questione. Il tono è perentorio e la tattica è molto persuasiva, ma si tratta di una trappola. Non rispondete al messaggio e non visitate il sito citato nella "diffida". Il messaggio in sé non è infettante, per cui è sufficiente cestinarlo per non correre alcun pericolo, ma il sito indicato nella diffida invita a scaricare un programma che viene presentato come antivirus ma è in realtà un virus.
[tratto dal blog di Paolo Attivissimo]

_________________________________

RIMOZIONE:

1)
TOOL DI RIMOZIONE:
(ATTENZIONE, viste le molte varianti, potrebbe non riconoscerlo) Scarica il cleaner per SpamBot

Se non riusciste più a navigare in Internet, (dopo la rimozione usando il tool) significa che è stata bloccata la porta 80 ...

utilizzare il fix per sbloccare la porta 80




2)

RIMOZIONE MANUALE:
Eliminate dalla cartella di windows la DLL incriminata: (C.\Windows\webdesk.dll)
(in modalità provvisoria)

Eliminate le voci al registro (Start\Esegui -> regedit)


HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser
Helper Objects/{BD2E165D-1BC6-23AA-345B-1C234F173CBD} = Web Desk
HKEY_CLASSES_ROOT/WebDesk.webq.1
HKEY_CLASSES_ROOT/WebDesk.webq
HKEY_CLASSES_ROOT/CLSID/{BD2E165D-1BC6-23AA-345B-1C234F173CBD}
HKEY_CLASSES_ROOT/Interface/{BDA8125F-55CA-4168-6D9A-168E76C11ABD}




3)
UTILIZZARE SAV32CLI (Sophos)

Scaricati Sav32CLI
+ Ides (firme) http://www.sophos.com/downloads/ide/ (le prime tre)

esegui il file che si scompatterà in una cartella (che si chiama SAV32CLI) copia le ides (-firme - nella stessa cartella dopo averle scompattate e quindi copia la cartella generata in un CD-RW

Riavvia il Pc

Al riavvio (durante la schermata della RAM premi F8 e nel menu opzioni seleziona

"Riavvia in Modalità provvisoria con Prompt dei comandi" (DOS)

Quando il computer si è avviato , al Prompt digita:

D: [+Invio] (sempre che D: sia la lettera del tuo lettore CD , altrimenti cambiala di conseguenza...)

Entrato nell'unità CD digita:
CD SAV32CLI

e quindi digita:
SAV32CLI -REMOVE -P=C:\LOGFILE.TXT

Un file LOG sarà generato in C:\ (LOGFILE.TXT) controllalo o postalo qui per vedere il risultato

[Steve75]

L'Avvocato Gentili, il video di Babbo Natale, il video del mio compleanno, il messaggio di San Valentino etc...sono tutte email che sfruttano la stessa tecnica , e cioè quella dell'ingegneria sociale, volta ad indurre l'utente a scaricare e lanciare un "falso antivirus" denominato nella maggior parte dei casi removal_tool.exe (può avere anche altri nomi).

Una volta lanciato l'eseguibile, vengono modificate alcune chiavi nel registro di sistema e viene installata la libreria webdesk.dll che dialoga con il browser Internet Explorer.

Nonostante la maggior parte degli antivirus siano ormai in grado di riconoscere il trojan molti utenti infettati lamentano la difficoltà nella rimozione.

A tal proposito Gianni Amato ha creato un tool per rimuovere tale file e per ripulire il registro di sistema

Il file è compresso in formato .zip ed è stato denominato webdesk_destroy.exe (12 kb)

All'apertura controllerà se esiste il file webdesk.dll, in caso positivo verrà visualizzato un avviso ,
Cliccate sul pulsante Remove webdesk.dll - Clean registry per eliminare il file e ripulire il registro di sistema

download