Navigaweb.net
Programmi Sicurezza Windows Guide PC iPhone Android Tecnologia Rete Facebook Immagini Musica Giochi

Data:

Tool rimozione SMART Virus Vediamo in questo post diversi strumenti che diventano una vera salvezza quando il proprio computer viene colpito da un virus piuttosto potente di cui andrò a raccontare la storia.
Mio padre, per nulla esperto di informatica ma neanche troppo sprovveduto, un giorno ha acceso il computer ed ha avuto una brutta sorpresa.
Lo schermo del desktop era diventato tutto nero, le icone quasi tutte sparite, il menu start mezzo vuoto, la cartella documenti anche era vuota.
Sul desktop compare la finestra di un programma apparentemente serio, che mostrava i risultati di una scansione disco rilevando numerosi e finti errori gravi ed evidenziando come il pc fosse pesantemente danneggiato.
L'errore rilevato diceva una frase come "Serious Disk Error Writing Drive C:\ " ed il programma si chiamava S.M.A.R.T Check HDD Data Recovery.

Se capita di vedere questo errore e questo programma, vuol dire che il pc è stato colpito da un virus micidiale chiamato SMART Virus o FakeHDD.
Questo Smart virus ha un effetto dirompente, almeno al primo impatto: sul pc sparisce tutto e quasi non si può fare nulla se non navigare su internet; peccato che la navigazione viene sempre reindirizzata verso siti palesemente dannosi.
Questo è il tipico programma fake che prende in ostaggio la macchina e che ha come scopo quello di far pagare l'acquisto del software.
Questo è un esempio di virus Rougueware, spiegato nella guida sui tipi di malware e le differenze tra Trojan, Worms e Virus, che può presentarsi come falso antivirus o come tool di ottimizzazione e riparazione del computer p dell'hard disk.
Nessuno dei problemi segnalati è reale, essi sono utilizzati solo per spaventare l'utente e portarlo ad acquistare l'antivirus SMART, rubando cosi i dati della carta di credito.
Il normale antivirus installato nel computer tenta di ripulire la macchina dalle infezioni ma non ci riesce.
La pulizia infatti fallisce nel momento in cui si riavvio Windows perchè il rootkit ricrea automaticamente tutti i file che l'antivirus aveva eliminato.
Siccome non esiste un tool di rimozione specifico per quasi nessuno di questi malware e sicuramente non c'è per il virus SMART, consiglio di leggere o conservare questa guida che riporta i link per scaricare diversi tool fondamentali per liberare il pc da questo ma anche da tanti altri tipi di malware che sembrano essere immuni alle scansioni dei normali antivirus.
Per rimuovere un virus di questo tipo, che si basa su un programma visibile, ci sono tre operazioni da fare:
- Fermare il programma dannoso ed ogni processo legato ad esso;
- Fare la scansione con un antimalware;
- Rimuovere gli effetti del virus.

Prima di tutto, bisogna tranquillizzarsi un attimo: in nessun caso occorre comprare questo finto antivirus che tiene in ostaggio il pc e, soprattutto, nessun file è stato cancellato.
I file non sono più visibili perchè sono stati nascosti dal virus.
I passaggi di rimozione del virus SMART, oltre a risolvere il problema in modo pulito, sono molto interessanti anche per imparare a ragionare con i malware.

1) Rimuovere tutti i dischi floppy, CD e DVD, e riavviare il computer in modalità provvisoria con rete premendo F8 nella schermata nera iniziale, prima che appaia il logo di Windows.
Nella schermata di opzioni del menu di avvio, utilizzare i tasti freccia per evidenziare la modalità provvisoria con rete e quindi premere INVIO.
Accedere poi a Windows con un account utente amministratore.

2) Rimuovere lo SMART server proxy.
Il Virus SMART può aggiungere un server proxy che impedisce all'utente di accedere a Internet oppure di navigare senza reindirizzamenti.
Per rimuovere il proxy, aprire Internet Explorer, entrare nelle opzioni internet (Iin IE9 dall'icona dell'ingranaggio in alto a destra) e, nella scheda connessioni, premere il tasto Impostazioni LAN.
Dove è scritto Server Proxy, controllare che non sia flaggato il quadratino e cancellare qualsiasi cosa sia scritta nel campo indirizzo.

3) Fermare il virus SMART ossia chiudere ogni processo legato al programma finto SMART Checker HDD.
Per stoppare l'esecusione del malware, andare su internet dalla modalità provvisoria con rete e scaricare un tool chiamato RKill di Bleeping Computer.
RKill è un programma che tenta di terminare tutti i processi maligni che l'antivirus non riesce a fermare.
Questo importante strumento vale per ogni tipo di infezione ed è come un task manager automatico che riconosce automaticamente ogni processo dannoso o quantomeno dubbio e non legato a Windows, per terminarlo.
Con RKill si può stare sicuri che il virus non è più in esecuzione (esso è ancora nel computer quindi non bisogna riavviare il pc adesso).
Per usare RKill basta cliccare due volte sull'icona del file eseguibile.
Se SMART Checker dovesse visualizzare un errore legato a RKill, ignorarlo lasciando l'avviso sullo schermo ed eseguire RKill nuovamente.
Se non si riesce ad eseguire RKill perchè viene bloccato dal virus, si può scaricare un'altra versione con nome diverso, dalla pagina di download di bleeping Computer.
Quando RKill ha completato il suo compito, viene visualizzato un file di testo che indica il successo dell'operazione.

4) Senza riavviare il pc e rimanendo con la modalità provvisoria, si può riaprire Internet Explorer e scaricare Malware Bytes Antimalware versione gratuita.
Seguire la procedura di installazione e di aggiornamento dell'antimalware senza fare modifiche, rifiutando il periodo di prova della versione completa e senza riavviare mai il pc, nemmeno se richiesto.
Da Malware Bytes, nella scheda dello SCanner, eseguire la scansione completa del computer (non quella veloce).
Attendere quindi che termini la scansione, premere OK assicurarsi che ogni virus trovato sia selezionato con la crocetta e rimuovere tutto.
Malwarebytes Anti-Malware chiederà ora di riavviare il pc per pulire le infezione e, questa volta, acconsentire alla richiesta.

5) Il computer adesso può essere usato in modalità normale e dovrebbe essere libero dal virus anche se le icone ed i file ancora non sono visibili.
E' vivamente consigliato, però, di fare una verifica e controllare se davvero il pc è libero dallo SMART VIrus, scaricando l'antivirus Hitman Pro.
Hitman Pro può ha la capacità di poter essere avviato in modalità forzata (Force Breach) che termina tutti i processi attivi, compresi quelli eventuali del malware.
Lanciare quindi la scansione sul disco e, se venissero trovati altri virus, rimuoverli attivando la licenza gratuita da 30 giorni e riavviando il pc se richiesto.

6) Riportare alla luce file e cartelle che erano scomparse.
Il Virus SMART modifica il file system in modo tale che tutti i file e le cartelle siano nascoste.
Per ripristinare le impostazioni predefinite di Windows, ed eliminare gli effetti del virus, ci sono due piccoli strumenti alternativi.
Si può scaricare Unhide oppure Tweaking.com Unhide Non System Files per far tornare visibili tutti i file e le cartelle.
Se il primo non dovesse scoprire tutti i file, lanciare anche il secondo.
Questi strumenti sono semplici ed automatici, l'unica cosa da fare e lanciarli.

7) Ripristinare i collegamenti e rimuovere eventuali residui di chiavi di registro create dal virus.
Il Virus SMART ha spostato i file dei collegamenti nella cartella temporanea di Internet inoltre ha aggiunto alcune chiavi di registro dannose per l'installazione di Windows ed ha cambiato lo sfondo del desktop.
Per ripristinare i file e per far tornare tutto come prima, bisogna finalmente scaricare RogueKiller, il programma migliore per eliminare i falsi antivirus.
Anche con RogueKiller, avviare la scansione e poi eliminare le chiavi di registro dannose che vengono trovate, ripristinare i collegamenti (Shortcuts Fix) ed eseguire tutte le altre azioni di pulizia.
Se lo schermo del desktop di Windows rimanesse nero, andare nelle impostazioni dello schermo dal Pannello di Controllo e selezionare il tema predefinito o un altro a propria scelta.

8) Ripristinare i collegamenti bloccati sulla barra delle applicazioni e altre icone mancanti.
Questo terribile virus SMART ha spostato gli elementi della barra delle applicazioni ed altre icone e collegamenti del menu Start in una cartella temporanea chiamata 'smtmp'.
Per riportarli nella posizione originale, (cosi da ritrovare tutti i programmi) scaricare ed eseguire il tool Repair Missing Start Menu Icons Removed By Infections.

Questo è tutto quindi, ricapitolando: Modalità provvisoria -> Rimuovere Proxy -> Rkill per fermare il virus -> Malware Bytes per fare la scansione e la pulizia -> Hitman Pro per un controllo di conferma ->Unhide per far ricomparire i file e le cartelle di Windows -> RogueKiller per eliminare i residui e ripristinare collegamenti e desktop -> Repair Missing Icons per far tornare i programmi visibili nel menu Start.

Sperando non debba mai servirvi, consiglio di salvarvi questa guida cosi da essere sempre pronti all'occorrenza.


Scrivi un commento

Per commentare, si può usare un account Google / Gmail.
33 Commenti
  • Roy85  
    23/mag/2012 01:10:00

    Come hai detto spero non mi serva mai ma questa guida è davvero fatta con i fiocchi...

  • Claudio Pomes  
    23/mag/2012 01:33:00

    Se sapessi che fatica che ho fatto per liberarmi dal virus... la guida si è scritta da sola!

  • Unknown  
    23/mag/2012 08:00:00

    Come sempre ottime indicazioni,grazie Claudio. Ma ti chiedo: avendo una licenza Acronis,risolvo rimettendo una immagine pulita?
    Buon lavoro.Antonio

  • Claudio Pomes  
    23/mag/2012 10:27:00

    teoricamente si

  • Alcazan  
    23/mag/2012 13:22:00

    L'ho preso pure io (dopo 10 anni che uso il pc) ma alla fine mi sono arreso e ho formattato tutto. Avessi avuto questa guida prima....... :(

  • Anonimo  
    23/mag/2012 17:29:00

    salvatore!!!!!!!!!!!!!

  • Anonimo  
    23/mag/2012 23:29:00

    sei un grande... ce l'ho fatta anch'io che di PC capisco molto poco!!
    Lorenza

  • Anonimo  
    24/mag/2012 05:44:00

    Ovviamente se si ha un clone del sistema tutto sommato credo che francamente è piu facile e forse anche piu veloce rimettere quella ed in questo modo vengono eliminati anche i virus perchè comunque si riformatta praticamente il pc cancellando e riscrivendo nello stesso tempo. Ovviamente la guida è ottima e molto accurata e quindi onore al merito e come sempre complimenti Claudio.

  • Anonimo  
    24/mag/2012 13:05:00

    MITICO!
    questo virus ha mandato in tilt la segreteria di uno studio e grazie a questa guida siamo riusciti a ripristinare tutto!
    Una domanda:
    nel menu Start -> Tutti i programmi mi è rimasta la cartella "Data Recovery". La cancello brutalmente?
    grazie 1000 e complimenti per la chiarezza

  • Claudio Pomes  
    24/mag/2012 15:32:00

    avrebbe dovuto levarsi da sola, cancellala se è vuota senno ripassa con hitman.

    Qual'è il canale di diffusione? credo basti un click sbagliato; mio padre l'ha preso da Facebook pare 8ma non me l'ha saputo dire chiaramente).

  • Anonimo  
    28/mag/2012 11:35:00

    Io dovrei aver risolto più o meno tutto, mi rimangono alcuni piccoli problemi, che dovrei provare a risolvere senza installare nuovi software non essendo amminsitratore della mia macchina:
    - c'è ancora il file Data recovery sul desktop: va rimosso?
    - mi sono spariti tutti i favoriti da IE, però se inizio a digitare il nome del favorito me lo trova....
    - le info che normalmente sono sul desktop (IP, nome macchina e dominio e così via...), nonchè l'immagine di sfondo, sono sparite tutte

  • Claudio Pomes  
    28/mag/2012 11:43:00

    non hai passato roguekiller al punto 7; non puoi risolvere manualmente e senza essere amministratore

  • Fabio Rossi  
    05/giu/2012 11:14:00

    SANTO SUBITO!
    Innanzitutto lasciami esprimere la mia gratitudine per questa istruzione, cercherò di divulgarla perchè lo merita veramente.
    Anch'io non ho capito dove e come posso aver contratto questo virus, sono veramente paranoico su queste cose, spendo costantemente tempo e denaro per scansioni e sistemi di protezione.


    Ho sistemato quasi tutto, lanciando l'ultima versione di Roguekiller (che hanno migliorato con interfaccia grafica) ho ricevuto un messaggio riguardante i Master Boot Record:

    ¤¤¤ MBR Check: ¤¤¤

    +++++ PhysicalDrive0: SAMSUNG HM500JJ +++++
    --- User ---
    [MBR] fbd084fd5f7ea4ff8a76672cb730a74d
    [BSP] 3dffc59bf3eef39bbcead0e2bac7c8fd : Windows 7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 461717 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 946006016 | Size: 14919 Mo
    3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 976560128 | Size: 103 Mo
    User = LL1 ... OK!
    User != LL2 ... KO!
    --- LL2 ---
    [MBR] 952185a2d1acfb422d11cca9cb040c6b
    [BSP] 3dffc59bf3eef39bbcead0e2bac7c8fd : Windows 7 MBR Code
    Partition table:
    0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 77824 Mo
    1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 159793152 | Size: 400 Mo

    +++++ PhysicalDrive1: Flash Disk USB Device +++++
    --- User ---
    [MBR] 805329971e829a3c24b576ada9c5b9f0
    [BSP] 91fee8f714d253fabd6d4bae3f5f718a : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 63 | Size: 1900 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Finished : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    come faccio a sapere se si tratta di un falso positivo? io ho effettivamete due partizioni sul pc di cui una è destinata al disco di riavvio e ripristino delle condizioni di fabbrica.

    Secondo te, devo lanciare comunque il comando "fix MBR?" di RK?
    ciao e grazie ancora

  • Claudio Pomes  
    05/giu/2012 11:44:00

    non è falso positivo, è evidente che il disco di ripristino è stato infettato; prova a riparare l'mbr e comunque dopo formattalo e fai un disco di ripristino nuovo

  • Anonimo  
    16/giu/2012 11:38:00

    grazie infinite, ottima guida contro questyo maledettisssimo problema.. bravo e grazie ancora!
    alberto

  • Anonimo  
    21/giu/2012 00:33:00

    ANCH'IO HO RISOLTO IL PROBLEMA CON LA TUA SPLENDIDA GUIDA. GRAZIE A TE ED ALLA TUA PAZIENZA! GIO

  • Anonimo  
    21/giu/2012 10:56:00

    Grazie mille! Guida utilissima: in poco tempo mi sono liberato di questo malefico virus e sono riuscito a ripristinare completamente il PC.
    Complimenti,
    Andrea

  • Anonimo  
    28/giu/2012 08:39:00

    Ciao, prima di tutto complimenti per la guida. Purtroppo a me il problema persiste. Ho fatto come hai detto tu, ho provveduto ad avviare in mod.provv. in rete il pc, ho eseguito i 2 programmi che hai detto, ha trovato un sacco di files infetti, ho cercato di riavviare il pc ma nulla.....l'ho dovuto spegnere a mano. al riavvio in modalità normale riecco tutte le schermate di errore...video nero e lo smart check che riparte.....Ho rifatto di nuovo tutto da capo per 3 volta ma nulla...... Hai qualche altro suggerimento? grazie

  • Claudio Pomes  
    28/giu/2012 08:58:00

    mah non sono 2 programmi, ho detto che bisogna usarne 6, sicuro che hai seguito tutto? è impossibile che non si rimuova

  • Anonimo  
    02/lug/2012 00:02:00

    GRAZIE! Non so come avrei fatto senza questa guida, magari avrei speso soldoni di assistenza e alla fine non mi avrebbero neanche saputo ripristinare i files nascosti, dandomeli per definitivamente andati persi...
    A una prima occhiata mi sembra di non aver perso nessun dato, mi mancano solo le icone sulla barra delle applicazioni, ma forse appariranno ora che riavvio il computer, speriamo. Certo, è stata una faticaccia di quasi quattro ore!! Non mi era mai successo prima di beccarmi un malware, non capisco come sia potuto succedere, stavo navigando in un piccolo negozio online italiano, mmah...

  • luca corsato  
    03/lug/2012 08:16:00

    a me invece, non è riuscito ad eliminarlo... in modalità provvisoria entro con l'account administrator e se alla prima volta ha installato tutto, scansionato e dato esito positivo, senza rimuoverlo... ora non mi dà nemmeno l'accesso: anche da amministratore mi dà accesso negato quando provo ad installare i programmi da te suggeriti... proverò ancora.. speriamo bene

  • luca corsato  
    03/lug/2012 08:20:00

    aggiungo che se prima mi avviava le risorse di rete e quindi potevo connettermi a internet, ora non fa più nemmeno questo nonostante la modalità provvisoria con networking

  • Claudio Pomes  
    03/lug/2012 08:27:00

    non so se hai un virus diverso, ma il principio resta comunque lo stesso, non stai bloccando i processi con rKill; la rete poi non ti serve, scarica i programmi da un altro computer e mettili in una penna USB

  • luca corsato  
    03/lug/2012 10:51:00

    grazie mille per l'aiuto!!! ora ho risolto, mi è stato d'aiuto anche questo link con il video allagato http://www.2-viruses.com/remove-smart-data-recovery
    grazie mille ancora

  • Anonimo  
    03/lug/2012 16:29:00

    grazie mille!!! ero disperata, la tua guida è stata la mia salvezza!

  • marco ronchi  
    03/lug/2012 17:06:00

    Complimenti, oltre ad aver risolto appieno il problema, mi hai fatto conoscere un sacco di programmi utilissimi!

  • sommobuta  
    07/lug/2012 18:03:00

    Grazie mille per questa splendida guida, mi sono beccato il virozzo maledetto e sono riuscito a risolvere. Ho solo un piccolo problema, ovvero l'ultimo punto: una volta lanciato "Repair Missing Start Menu Icons Removed By Infections" mi fa la scansione, dice di aver risolto, ma invece non mi ripristina i collegamenti. Qualche suggerimento?

  • Il Giomba  
    08/lug/2012 15:37:00

    Dio ti benedica per questa guida! ^_^

  • Stefano  
    11/lug/2012 18:27:00

    Innanzitutto grazie mille per la guida....ho seguito tutto passo dopo passo ma purtroppo son ancora lontanissimo dall'aver risolto il problema. Al primo riavvio dopo aver fatto tutto, infatti, ho notato che il computer era molto più lento, che prima comparisse il desktop lo schermo rimaneva nero per 30 almeno 30 secondi, che connettersi tramite wireless risultava impossibile, e che l'icona e il programma data recovery continuavano ad essere ben visibili e funzionanti. E' da ieri che provo e riprovo tutti i passaggi, ma non si vede soluzione: il computer continua a essere lento, non posso neanche aprire il mio wireless connection manager, e sinceramente sto per alzare bandiera bianca e riformattare tutto..
    Qualcuno ha avuto il mio stesso problema? Come ne siete usciti?

  • Anonimo  
    12/lug/2012 13:25:00

    per fortuna che ci siete. pare che l'infezione sia stata rimossa. grazie

  • Gabri  
    27/lug/2012 12:11:00

    Ho preso anch'io questo virus, non so dove. Avevo già fatto un po di pulizia con Malwarebytes, Superantispyware e altri ed erano tornate visibili le icone sul descktop e quello che c'era nel pc, poi ho trovato questa guida e per paura che il pc fosse ancora infettato l'ho seguita passo passo.

    Ora però trovo visibili cartelle e file nascosti anche con la spunta su NON VISUALIZZARE cartelle e file nascosti. Si può risolvere?

    Non vorrei andare a toccare, in futuro, qualcosa che non devo.

    Grazie mille per la guida e per la risposta.

  • LAU  
    04/set/2012 14:24:00

    ma se scarico Malware Bytes da modalità normale e non provvisoria è possibile che sia stato infettato? non mi trova niente...

  • Claudio Pomes  
    04/set/2012 14:31:00

    se non fermi il virus, non può essere rimosso