Un cliente mi ha portato un notebook (sistema operativo Vista Home Premium) con un curioso problema:
All’avvio parte un “Virus Protector” che simula una scansione antivirus, sostiene di rilevare numerosi virus, e chiede l’acquisto del prodotto. Non si chiude, non fa apparire il desktop, monopolizza la finestra. Non e’ nemmeno disponibile il task manager se si preme ctrl-alt-canc.
La dotazione antivirus del notebook era AVG free edition.
Anche riavviandolo in modalità provvisoria con F8 il problema persiste: Virus Protector monopolizza il notebook e non c’è verso di fare altro.
Il “virus protector” si presenta così:
Schermata di virus protector
Una buona notizia: con il riavvio in modalità provvisoria con prompt dei comandi viene vista la chiavetta usb, e riesco a copiare sull’hd Malwarebytes Anti Malware e a installarlo (a questo punto ero tranquillo, con questo programma avevo risolto un precedente analogo problema).
Brutta notizia: il programma parte, effettua la scansione, rileva alcuni elementi, li cancella… ma al riavvio il problema persiste identico.
Tento anche con Spyware Doctor ma purtroppo richiede l’aggiornamento via web, impossibile da fare col notebook in queste condizioni, rimane solo la rimozione manuale.
A questo indirizzo trovo qualche istruzione (in inglese) e provo.
Innanzitutto ripeto la scansione con Anti-Malware, ma non riavvio il notebook.
Apro l’editor dei registri e cancello le seguenti voci:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Virus Protector”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows “LoadAppInit_DLLs” = “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows “AppInit_DLLs” = “???.dll”
Annotandomi quali sono le DLL utilizzate nella terza voce.
A questo punto “Unregistro” le dll di cui sopra, col comando regsrv32/u [nome_della_dll]
Riavvio, e rimane un ultimo problema: non si aggiorna AVG.
Disinstallo AVG, installo AVIRA ed eseguo una scansione approfondita. L’ombrellino rileva e corregge numerosi virus, e al riavvio finalmente tutto e’ nuovamente a posto.
speriamo bene…sei l’unico che in pratica ha scritto qualcosa di sensato e niente copia e incolla da altri siti
Grazie
In bocca al lupo !
ciao
scusami potresti specificare meglio cosa signfica questo passaggio??
“Annotandomi quali sono le DLL utilizzate nella terza voce”
perchè sono entrato nel registro con regedit, ho seguito il percorso e mi trovo
AppInit_DLLs (sotto alla voce dati non c’è scritto NULLA)
LoadAppInit_DLLs (sotto alla voce dati c’è scritto 0×00000000 (0))
mentre questo percorso HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Virus Protector” non me lo trova
come faccio a trovare le DLL da cancellare poi con regsrv32?
grazie mille
ciao,
(mumble) … se non ci sono le dll, non c’e’ nulla da cancellare … e’ gia’ stato rimosso col primo giro di antimalware?
sono stato 3 giorni a cancellare AppInit_DLLs e LoadAppInit_DLLs e i malware erano smepre 5…e tutte le volte al riavvio tornava il virus
ieri ho acceso normalmente…ed è partito il sistema, senza problemi…(ovvio ho fatto scansioni su scansioni con l’antivirus avira e altri)
boh
scusatemi anche io ho avuto questo problema!ho fatto molti tentativi ma non ho risolto nulla! poi dopo due giorni il virus è scomparso da solo all’avvio!forse mi sembra di aver contemporaneamente premuto esc ctrl alt ma non ne sono sicuro distinti saluti