Ancora una volta mi trovo a combattere contro una delle tante varianti del simpaticissimo (si veda: gatto nero attaccato ai maroni) Antivirus XP, ormai noto malware che attacca la macchina dell’utente ignarno proponendo un’avanzata protezione e disinfezione dei suoi file.
Casistica: utente molto inesperto, navigazione in rete con Internet Explorer 7, Norton Antivirus, nessuna protezione firewall e /o resident contro Adware / Malware generici provenienti da pagine web di terze parti (tipo quello offerto da SpyBot S&D).
L’ecosistema perfetto per una vasta e sana propagazione di codice dannoso, calcolando che le soluzioni Norton sono tra quelle in grado di rilevare una quantità infima di virus e simili. *
A questo punto torna in gioco la stessa soluzione proposta l’ultima volta: “Malwarebytes’ Anti-Malware”, da installare ed eseguire possibilmente (caldamente consigliato) in modalità provvisoria con rete, affinché il virus non abbia effetto ma l’applicativo sia capace di scaricare i propri aggiornamenti ed eseguirsi con diritti amministrativi.
Nel caso in cui vogliate essere sicuri che il virus sia presente, potete dare una occhiata alle seguenti location:
c:\WINDOWS\qegbdmwf.dll c:\WINDOWS\pntqkflv.dll c:\Program Files\rhcnkrj0etfg c:\Program Files\rhcnkrj0etfg\database.dat c:\Program Files\rhcnkrj0etfg\license.txt c:\Program Files\rhcnkrj0etfg\MFC71.dll c:\Program Files\rhcnkrj0etfg\MFC71ENU.DLL c:\Program Files\rhcnkrj0etfg\msvcp71.dll c:\Program Files\rhcnkrj0etfg\msvcr71.dll c:\Program Files\rhcnkrj0etfg\rhcnkrj0etfg.exe c:\Program Files\rhcnkrj0etfg\rhcnkrj0etfg.exe.local c:\Program Files\rhcnkrj0etfg\rhcnkrj0etfgSkin.dll c:\Program Files\rhcnkrj0etfg\Uninstall.exe c:\WINDOWS\system32\pphcjkrj0etfg.exe c:\Documents and Settings\All Users\Desktop\Antivirus XP 2008.lnk c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008 c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008.lnk c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\Antivirus XP 2008.lnk c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\License Agreement.lnk c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\Register Antivirus XP 2008.lnk c:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\Uninstall.lnk %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk %UserProfile%\Application Data\rhcnkrj0etfg %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun\HKCU %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun\HKCU\RunOnce %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun\HKLM %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun\HKLM\RunOnce %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun\StartMenuAllUsers %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Autorun\StartMenuCurrentUser %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\BrowserObjects %UserProfile%\Application Data\rhcnkrj0etfg\Quarantine\Packages
Con queste eventuali sostituzioni (nel caso in cui stiate utilizzando un sistema operativo in lingua italiana):
- C:\Program Files con C:\Programmi
- All Users\Start Menu\Programs con All Users\Menu Avvio\Programmi
Andando ad esplorare il registro di sistema spuntano fuori diverse chiavi associate all’applicativo:
HKEY_LOCAL_MACHINE\SOFTWARE\rhcnkrj0etfg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcnkrj0etfg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "rhcnkrj0etfg" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform "AntivirXP08" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "SMrhcnkrj0etfg"
Insomma, un mare di roba da pulire nel caso in cui veniate infettati da una delle rogne più fastidiose degli ultimi tempi. Sophos Antivirus –giusto per informazione– blocca automaticamente i processi del malware non permettendone l’installazione, sarebbe comunque buona norma –nel caso in cui non siate particolarmente ferrati in materia– navigare con un browser nettamente più sicuro, un software antispyware da far girare sporadicamente (tanto per controllare che sia tutto ok) ed un buon antivirus da tenere sempre aggiornato (anche le soluzioni gratuite sono quasi sempre ottime).
Per i più curiosi ho pubblicato il log della scansione: 4 chiavi di registro, 2 valori di registro, 13 cartelle e 23 file infetti, sicuramente un ottimo risultato :mrgreen:
services.gxware.org/nopaste/?1
Buona pulizia ;)
* Giusto per coloro che volessero fare osservazioni sulla mia affermazione: non parlo per “partito preso” come certificato per soluzioni Sophos (EndPoint Lvl II), a casa monto l’ottimo NOD32 con regolare licenza annuale e sul portatile aziendale il valido AVG 8.0 in versione Free.
L'articolo potrebbe non essere aggiornato
Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)