- chiudete le finestre aperte dal finto antivirus (dovrebbero essere 2) cliccando sul tasto posto sul limite estremo destro della cornice (il terzo pulsante, quello a X insomma)... non cliccante niente di ciò che compare all'interno delle stesse, nemmeno su ipotetici tasti "esci", "cancella", "disinfetta";
- lanciate il task manager premendo contemporaneamente CTRL, ALT e CANC e terminate il processo AV.EXE, quindi mantenete aperto il task manager;
- lanciate l'utility per ricercare file (START -> CERCA -> FILE e CARTELLE), quindi fategli cercare AV.EXE... attendete, perchè nel giro di pochi secondi si dovrebbero riaprire le finestre del finto antivirus;
- ripetete i punti 1 e 2, quindi velocemente cancellate il file AV.EXE dalla finestra di ricerca (selezionatelo e premete MAIUSCOLO+CANC);
- Provate a lanciare il regedit, se non vi riesce lanciate il prompt dei comandi (START -> PROGRAMMI -> ACCESSORI -> PROMPT DEI COMANDI) e digitate "regedit" (senza virgolette)... se invece del prompt vi si apre una finestra che vi chiede con cosa eseguire il prompt... scegliete di farlo col prompt, vale a dire WINDOWS (la directory d'installazione del s.o.) -> SYSTEM32 -> CMD.EXE;
- fate il backup dei registri tramite FILE -> ESPORTA;
- ora dovremmo intervenire sulle voci modificate che sono:
- HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “%1″ %*
- HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “%1″ %*
- HKEY_CLASSES_ROOT\.exe\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “%1″ %*
- HKEY_CLASSES_ROOT\secfile\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “%1″ %*
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “C:\Program Files\Mozilla Firefox\firefox.exe”
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “C:\Program Files\Mozilla Firefox\firefox.exe” -safe-mode
- HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “C:\Program Files\Internet Explorer\iexplore.exe”
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “AntiVirusOverride” = “1″
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “FirewallOverride” = “1″
- le ultime due vanno cancellate in toto, mentre per le altre bisogna rimuovere i pezzi di stringa sino a /START compreso;
- uscite dal regedit e scaricate Malwarebytes Anti-Malware, basta la versione free;
- installatelo, aggiornatelo e fategli effettuare una scansione rapida.
Fonte: Im-Infected.com
Nessun commento:
Posta un commento