Come si presenta:
se il computer è dotato di un antivirus, esso verra segnalato come trojan horse nei temporanei di internet. Nella traybar apparirà un'icona che vi segnala pericoli sulla sicurezza in inglese, e appariranno delle finestre come un normale antivirus evidenziando un quantità esagerata di virus, proponendovi di acquistare la versione completa del software di rimozione. Inoltre il computer si potrebbe bloccare e addirittura riavviare, rendendo particolarmente difficile il suo utilizzo. Il Task Manager risulta disabilitato e se provate a lanciare spybot search and destroy, subito dopo vi verrà chiuso e l'eseguibile del programma stesso vengono alterate le autorizzazioni.
Come si può eliminarlo:
come ogni virus e spyware che si rispetti, non c'è una unica soluzione ma un insieme di utility e controlli da attuare. Il mio consiglio è quello di riavviare in modalità provvisoria con rete, in maniera tale da poter utilizzare il collegamento internet per poter aggiornare e reperire tutti gli strumenti necessari. Nel mio caso anche in modalità provvisoria avevo diversi problemi in quanto il virus stesso mi avevo modificato il:
C:\WINDOWS\system32\userinit.exe
senza questo file non riusciremmo ad entrare dentro al profilo dell'utente, e quindi il consiglio che posso darvi è reperire il file da un altro pc con stessa versione di service pack, altrimenti potete recuperalo dalla cartella i386 del cd del vostro sistema operativo, per fare questo operazione ho usato una distribuzione live-cd tipo Bart-Pe.
Successivamente controllate i servizi di sistema e disabilitate il servizio chiamato antivirus2010, se controllate vedrete che fa partire un file presenti nella cartella temp dell'utente.
Controllate anche nella cartella esecuzione automatica e troverete un file con un nome generato a random.
Con gmer riuscirete a rilevare e a eliminare un servizio nascosto, controllando nelle periferiche troverete un driver con un nome strano con il punto esclamativo, vi consiglio di disattivarlo.
Fatte queste operazioni iniziali, potete lanciare le varie utility Malwarebytes, Spybot SD, Ccleaner, e Hijackthis per eliminare le varie tracce del virus.
Controllate anche il file hosts che potrebbe risultare compilato con siti infetti.
Effettuate un paio di riavvii per verificare di essersi sbarazzati dall'infezione.
Nessun commento:
Posta un commento