Il virus apre la pagina bianca con la richiesta di pagamento e inibisce tutto.
A UTENTE COLLEGATO si deve rimuovere la chiave:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon [shell] =
EXPLORER.EXE,%USERPROFILE%\APPDATA\ROAMING\SKYPE.DAT
Siccome non si può editare da utente, la chiave è:
HKEY_USERS\SID\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
ESEMPIO (manca chiave…):
per trovare il SID la strada più breve è cercarlo in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
(cercare il nome utente nella finestra a dx scorrendo tutti i sid)
Prima di scollegare l'utente si deve cancellare i 2 files skipe.dat e skipe.ini:
scollegare l'utente dal task manager e farlo ricollegare