Ricapitolando, avviando la gestione attività, vedi il processo explorer.exe?
Poi...
Avvia la gestione attività, vai in
File,
Nuova attività (esegui) e nella casellina che si apre digita "
regedit" (senza virgolette), premi invio per avviare il file.
Avviato il regedit, che sarebbe l'editore del file di registro, dobbiamo cercare una chiave, la chiave che avvia il file:
71c9ffff.com
Il file è stato rinominato dall'antivirus, quindi, presumibilmente potrebbe anche essere che si sia aggiunto un ulteriore valore alla chiave, ulteriore valore che avvia un altro file dal nome simile al precedente: <valore esadecimale>.com
Oppure, comunque il valore che riporta la posizione del file da avviare sia stato modificato e punta ad un altro file dal nome simile.
Quindi, in regedit, vai in modifica -> trova e, nella casellina trova, cerca il nome file:
71c9ffff.comPresumo che potrebbe trovarsi a questo percorso:
(devi espandere le voci che trovi nella colonna di sinistra, fino ad arrivare a Run, a questo punto, nella parte destra, dovresti trovare il valore infetto)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
2600 = ".../TEMP/71c9ffff.com"
(in luogo di HKEY_LOCAL_MACHINE potrebbe esserci HKEY_CURRENT_USER, non cambia, l'importante è trovare dove si avvia)
il valore che ti ho indicato in rosso (
2600), associato appunto al file 71c9ffff.com o comunque a file dal nome simile, va eliminato, eventuali altri valori che trovi al percorso che ti ho indicato, riportali nella discussione.
Qualora, in regedit, non dovessi trovare nessuna stringa
71c9ffff.com, vai comunque al prercorso che ti ho indicato e verifica che non ci sia il valore
2600.
Il malware è ancora presente, nei temporanei, internet e non, nella cartella del cestino, e comunque potrebbe esserci qualche eventuale altro file che si avvia... per questo potresti usare, al riavvio, un altro rescue cd, questa volta di kaspersky:
http://support.kaspersky.com/faq/?qid=208282173considera che avira ha trovato altri file infetti, e lo stesso farà kaspersky, file che non sono relativi al malware in questione... quindi valuta tu l'eventuale eliminazione o meno.
Hai ancora il link del file infetto che hai scaricato? Se si, inviamelo per
messaggio privato, usando appunto il messenger privato del forum.
Se non è chiaro, chiedi chiarimenti... Facci sapere
Ciao
Modificato da prgn - 25/Ottobre/2011 alle 12:59