Il log che hai postato è pulito ... meglio così.
Inoltre sei riuscito a cancellare la cartella "C:\Program Files\AV9" e tutto il suo contenuto ... bene.
Adesso concentriamoci un'attimo su "AV2009"... meglio essere sicuri di aver eliminato tutti i riferimenti a questo malware ... poi verifichiamo quella riga del log che non si cancella.
Questo procedimento manuale che ti posto... potrà sembrarti lungo ... ma è meglio essere sicuri (... comunque non troverai tutti i file che ti indico ... molti sono possibili varianti dei file del malware).
Esegui la procedura in modalità normale ...assicurati che sia sempre disabilitato il ripristino di configurazione di sistema.
Iniziamo:
1) Premi i tasti CTRL+SHIFT+ESC per aprire "Gestione attività" (oppure CTRL+ALT+CANC e premi "Avvia gestione attività").
Passa sulla scheda "Processi" e verifica se in memoria sono presenti uno o più di questi file:
av2009.exe
av2009[1].exe
Antivirus2009.exe
AV2009Install.exe
AV2009Install[1].exe
AV2009Install_880405[1].exe
AV2009Install_880405[2].exe
ieupdates.exe
Power-Antivirus-2009.exe... se sono presenti ... selezionali e poi premi "Termina processo".
2) Fai una ricerca su
tutto il disco dei file che ti indico.
Se vedi una corrispondenza ...
selezionali e cancellali.
Per fare la ricerca attiva le opzioni avanzate come: Cerca nelle sottocartelle, cerca nei file e nelle cartelle nascosti e cerca nelle cartelle di sistema.
I file da cercare sono quelli segnati in grassetto.
Per fare questa prima ricerca puoi usare la parola "Antivirus20" (...senza virgolette naturalmente):
Antivirus2009.exe{sotto la cartella del Desktop}\
antivirus 2009.lnk{sotto la cartella Start menu}\antivirus 2009\
antivirus 2009.lnk{sotto la cartella Start menu}\antivirus 2009\
uninstall antivirus 2009.lnk
... invece per la ricerca di queste righe puoi usare la parola "AV20":
av2009.exe
av2009[1].exe
av2009install.exe
av2009install_0011.exe... per le prossime invece copia e incolla le singole righe da questo post... questi file si dovrebbero trovare sotto la cartella di sistema (...System32) ... sempre se li trovi:
Power-Antivirus-2009.exe
ieupdates.exe
ieupdates[1].exe
shlwapi.dll
winsrc.dll
winsrc[1].dll
scui.cpl... segnati se trovi ma non riesci a cancellare uno di questi file.
3) Verificare se è presente questo file:
c:\WINDOWS\mscornet.exe ...
se NON è presente saltare quest'ultimo passaggio ed andare direttamente al 4).Se è presente cancellarlo.
Poi dalla modalità NORMALE Cancellare il seguente file:
c:\Windows\System32\wininet.dll... viene subito rigenerato da Windows... in quanto è un file essenziale per il sistema.
L'importante è cancellare SOLO il file presente nella cartella c:\Windows\System32 ... penserà poi Windows a ricreare il file/libreria prelevandola da una cartella di backup ... cioè c:\Windows\System32\dllcache ...
da questa cartella NON DEVE ESSERE CANCELLATO.Chiedere per qualsiasi dubbio !4) Avvia l'editor di registro di sistema (Start, digita "regedit" nella casella Cerca e quindi premi INVIO)
Cerca sotto il percorso che ti indico e cancella le seguenti chiavi segnate in grassetto (...se presenti):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\
Antivirus 2009HKEY_CURRENT_USER\Software\
75319611769193918898704537500611HKEY_CLASSES_ROOT\CLSID\
{037C7B8A-151A-49E6-BAED-CC05FCB50328}HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"ieupdate"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"75319611769193918898704537500611"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{037C7B8A-151A-49E6-BAED-CC05FCB50328}... mi raccomando, seleziona solo la chiave che ti ho indicato
in grassetto prima di cancellarla.
Se vuoi fare un backup del registro di sistema, prima di cancellare quelle chiavi, guarda
QUI (...sempre che tu non sappia già usare l'editor di registro
).
Se hai dei dubbi ... chiedi pure.
5) Riavvia il sistema in modalità provvisoria.
Avvia HiJackThis e premi il solito tasto "Do a system scan only"
seleziona e Fixa le solite voci (...se presenti):
O4 - HKCU\..\Run: [?????????] ??????????????eO23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
Fai una pulizia con CCLEANER (Pulizia + Registro) , riavvia il sistema in modalità normale e posta un nuovo log di HiJackThis.
Ciao.
Modificato da Spfx - 26/Novembre/2008 alle 19:47