Il virus Trojan-Downloader.Tiny.hi è riconosciuto praticamente da tutti i principali antivirus disponibili sul mercato. Questi dovrebbero essere in grado di bloccare il virus prima che infetti il PC, provvedendo alla sua rimozione nel caso in cui fosse già passato.
Il problema si presenta quando, al primo riavvio del computer, vi ritrovate con il vostro desktop completamente vuoto, a causa di due chiavi scritte dal virus nel registro di Windows.
I file che fanno parte del virus sono quattro eseguibili: iexplore_32.exe e w32dbg.exe presenti nella cartella Windows.
Spoolw.exe e igfxsvc.exe presenti nella cartella Windows\system32.
Un altro file, non sempre presente, si trova in Esecuzione automatica e si chiama imfe.exe.
Questo è il Task manager preso dal PC che avevo infettato per osservare il comportamento del virus. Nel mio caso sono presenti due processi uguali relativi al medesimo virus, ma altre volte mi è capitato di individuare un processo unico per ogni file.
Rimozione Manuale
Supponendo che il vostro antivirus abbia fatto il suo dovere rimuovendo tutti i file infetti, al primo riavvio del computer il desktop sarà completamente vuoto. L'unica cosa funzionante saranno i tasti Ctrl, Atl e Canc, che vi permetteranno di aprire il Task Manager. Selezionando File - Nuova operazione (Esegui) potrete avviare alcune applicazioni.
Il Regedit.exe è una delle applicazioni avviabili. Portatevi a queste due chiavi di registro:
Potete cancellare le due chiavi che trovate nella finestra a destra e, riavviando nuovamente il computer, ritroverete il vostro desktop pienamente funzionante.
Rimuovi.cmd
Nell'eventualità in cui il vostro antivirus non abbia rimosso il virus, o qualora non vogliate mettere mano nel registro di configurazione, in allegato all'articolo trovate tre file compressi in un archivio: estraeteli in una cartella qualsiasi, aprite il Task Manager e selezionate il file rimuovi.cmd nella cartella da cui avete estratto i file dell'allegato.
Premete Ok per proseguire.
Si apre una schermata nera Dos. Non fate caso ad alcuni messaggi di processi non trovati. Ho inserito la doppia riga di comando come era necessario per rimuovere il virus dal mio PC di prova.
A questo punto avviene la cancellazione dei file infetti e la rimozione delle chiavi dal registro di Windows.
Tra i file da eliminare non ho inserito quello che potrebbe trovarsi in esecuzione automatica, in quanto non è sempre presente e, posto che si trova in una cartella dal nome sempre diverso, risultava impossibile inserirlo nella lista dei comandi.
La rimozione di questo file è semplice: aprite il menu Start, selezionate Programmi, quindi Esecuzione automatica. Se è presente il file imfe.exe, cliccatevi sopra con il tasto destro del mouse e scegliete Elimina.
Riavviate il computer. Il vostro desktop dovrebbe essere tornato alla normalità.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati