RIMOZIONE VIRUS GDF (anche terminal server)

Il virus apre la pagina bianca con la richiesta di pagamento e inibisce tutto.

A UTENTE COLLEGATO si deve rimuovere la chiave:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon [shell] =

EXPLORER.EXE,%USERPROFILE%\APPDATA\ROAMING\SKYPE.DAT

Siccome non si può editare da utente, la chiave è:

HKEY_USERS\SID\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

ESEMPIO (manca chiave…):

per trovare il SID la strada più breve è cercarlo in

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

(cercare il nome utente nella finestra a dx scorrendo tutti i sid)

Prima di scollegare l'utente si deve cancellare i 2 files skipe.dat e skipe.ini:

scollegare l'utente dal task manager e farlo ricollegare

C e r t i f i c a z i o n i