Antivirus 2008 XP (Rimozione /2)
21 August, 2008 | da gioxx |
Ancora una volta mi trovo a combattere contro una delle tante varianti del simpaticissimo (si veda: gatto nero attaccato ai maroni) Antivirus XP, ormai noto malware che attacca la macchina dell’utente ignarno proponendo un’avanzata protezione e disinfezione dei suoi file.
Casistica: utente molto inesperto, navigazione in rete con Internet Explorer 7, Norton Antivirus, nessuna protezione firewall e /o resident contro Adware / Malware generici provenienti da pagine web di terze parti (tipo quello offerto da SpyBot S&D).
L’ecosistema perfetto per una vasta e sana propagazione di codice malevolo, calcolando che le soluzioni Norton sono tra quelle in grado di rilevare una quantità infima di virus e simili. *
A questo punto torna in gioco la stessa soluzione proposta l’ultima volta: “Malwarebytes’ Anti-Malware”, da installare ed eseguire possibilmente (caldamente consigliato) in modalità provvisoria con rete, affinché il virus non abbia effetto ma l’applicativo sia capace di scaricare i propri aggiornamenti ed eseguirsi con diritti amministrativi.
Nel caso in cui vogliate essere sicuri che il virus sia presente, potete dare una occhiata alle seguenti location:
c:\WINDOWS\qegbdmwf.dll c:\WINDOWS\pntqkflv.dll c:\Program Files\rhcnkrj0etfg c:\Program Files\rhcnkrj0etfg\database.dat c:\Program Files\rhcnkrj0etfg\license.txt c:\Program Files\rhcnkrj0etfg\MFC71.dll c:\Program Files\rhcnkrj0etfg\MFC71ENU.DLL c:\Program Files\rhcnkrj0etfg\msvcp71.dll c:\Program Files\rhcnkrj0etfg\msvcr71.dll c:\Program Files\rhcnkrj0etfg\rhcnkrj0etfg.exe c:\Program Files\rhcnkrj0etfg\rhcnkrj0etfg.exe.local c:\Program Files\rhcnkrj0etfg\rhcnkrj0etfgSkin.dll c:\Program Files\rhcnkrj0etfg\Uninstall.exe c:\WINDOWS\system32\pphcjkrj0etfg.exe c:\Documents and Settings\All Users\Desktop\Antivirus XP 2008.lnk c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008 c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008.lnk c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\Antivirus XP 2008.lnk c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\License Agreement.lnk c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\Register Antivirus XP 2008.lnk c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\Uninstall.lnk %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk %UserProfile%\Application Data\rhcnkrj0etfg %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun\HKCU %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun\HKCU\RunOnce %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun\HKLM %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun\HKLM\RunOnce %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun\StartMenuAllUsers %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun\StartMenuCurrentUser %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\BrowserObjects %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Packages
Con queste eventuali sostituzioni (nel caso in cui stiate utilizzando un sistema operativo in lingua italiana):
- C:\Program Files con C:\Programmi
- All Users\Start Menu\Programs con All Users\Menu Avvio\Programmi
Andando ad esplorare il registro di sistema spuntano fuori diverse chiavi associate all’applicativo:
HKEY_LOCAL_MACHINE\SOFTWARE\rhcnkrj0etfg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcnkrj0etfg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "rhcnkrj0etfg" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform "AntivirXP08" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "SMrhcnkrj0etfg"
Insomma, un mare di roba da pulire nel caso in cui veniate infettati da una delle rogne più fastidiose degli ultimi tempi. Sophos Antivirus -giusto per informazione- blocca automaticamente i processi del malware non permettendone l’installazione, sarebbe comunque buona norma -nel caso in cui non siate particolarmente ferrati in materia- navigare con un browser nettamente più sicuro, un software antispyware da far girare sporadicamente (tanto per controllare che sia tutto ok) ed un buon antivirus da tenere sempre aggiornato (anche le soluzioni gratuite sono quasi sempre ottime).
Per i più curiosi ho pubblicato il log della scansione: 4 chiavi di registro, 2 valori di registro, 13 cartelle e 23 file infetti, sicuramente un ottimo risultato 
services.gxware.org/nopaste/?1
Buona pulizia 
* Giusto per coloro che volessero fare osservazioni sulla mia affermazione: non parlo per “partito preso” come certificato per soluzioni Sophos (EndPoint Lvl II), a casa monto l’ottimo NOD32 con regolare licenza annuale e sul portatile aziendale il valido AVG 8.0 in versione Free.
View Giovanni Francesco Solone's profile
August 26th, 2008 at 5:09 pm
Grazie!!!
il tuo post mi e’ stato utilissimo
August 26th, 2008 at 5:39 pm
Figurati!
August 30th, 2008 at 2:57 pm
Stanotte mi sono beccato questa seccatura, le sto provando tutte. Prima ho provato manualmente ma le voci descritte nei vari siti non sempre corrispondono alle voci da cancellare ( voci nel registro per esempio), e per evitare ulteriormente di fare casini, ho pensato di scaricare un removal tool. Ora sono in modalita provvisoria, ma non riesco a scaricare nessun spyware ( freeware),in quanto al momento dell’installazione, mi appare un messaggio “Le impostazioni del sistema ( o dell’amministratore) non ti consentono l’installazione”…o qualcosa del genere. Ovviamente non ho cambiato io queste impostazioni. Come posso fare? Ovviamente non vorrei formattare, anche perche al momento non funziona il lettore e non saprei come reinstallare windows.
Qualche aiuto/soluzione?
Ho fatto pure la scansione con l’Avira Antivir, ha riconosciuto qualche file infetto, messo in quarantena, ma ho ancora il virus :S
Grazie mille!
August 31st, 2008 at 7:40 pm
@ ste:
seguito semplicemente quanto detto nel mio post? Devi entrare in modalità provvisoria ma fornire delle credenziali che siano amministratori locali della macchina. Solo allora potrai scaricare il tool, installarlo (quello suggerito nel mio post) ed eliminare totalmente la minaccia!
September 11th, 2008 at 10:27 pm
ciao…sono riuscito a rimuovere il virus dal pc ma continua a farmi vedere una pagina ogni volta che navigo in internet che dice che la navigazione non è sicura…solo che è veramente pesante come cosa xke non posso aprire nessuna pagina web senza che prima non mi sia venuta questa pagina…come faccio a rimuoverla?!?! x favore aiutami…ciao e grazie
September 12th, 2008 at 12:55 am
@ Alessandro:
probabilmente si tratta della finestra di filtro anti-phishing inclusa (di default) in Internet Explorer, confermi? In caso di risposta positiva è una finestra lecita, seleziona “attiva filtro” e prosegui.