L'antivirus segnala minacce bloccate con elevata frequenza.
Il riepilogo fornito dall'antivirus, indica che i tentativi di accesso provengono da:
http://differentia.ru/diff.php
http://disorderstatur/order.php
Probabilmente il malware ha creato una connessione e, da quei siti si sta ricevendo della pubblicità. L'antivirus, inoltre, specifica che l'applicazione locale che ha originato la connessione è msiexec.exe.
Temporaneamente, allo scopo di non essere ancora avvertiti dall'antivirus che "è stata bloccata una minaccia", avviare il Task Manager e terminare il processo msiexec.exe
Non cancellare msiexec.exe (si trova nella cartella System32) perchè il virus si è camuffato per non farsi riconoscere. Il vero processo che esegue la richiesta di connessione è un altro.
Avviare CCleaner. Scegliere Strumenti e poi premere il pulsante Avvio. Si troverà una voce simile a questa: HKCU: RUN {ECFE98398 ecc. }. Prima di eliminare questa riga, leggere tutto il testo. È simile a questo:
C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -noprofile -windowstyle hidden
-executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String
((gp 'HKCU:\Software\Classes\YRXVBQL').JEUHCEOQJU)));
La riga specifica una seconda chiave: YRXVBQL.
Prendere nota dei valori ECFE98398 e YRXVBQL ed avviare RegEdit. Cercare la chiave ECFE98398 ed eliminarla: tasto destro sulla chiave, scegliere Autorizzazioni, dal menu contestuale, spuntare la casella "Controllo completo", applicare la modifica e cancellare la chiave. Ripetere la ricerca sulla seconda chiave e cancellarla.
Nel menu modifica controllare, mediante la voce "trova successivo", che non ci siano altre istanze delle stesse chiavi.
Dagli strumenti di SysInternal, scaricare autoruns.exe. Si tratta di uno strumento gratuito per la diagnostica del sistema operativo. In particolare, riporta un riepilogo delle operazioni che avvengono in fase di avvio del sistema.
Avviare autoruns.exe. Osservare che nelle colonne "Description" e "Pubblisher" c'è una riga vuota. La mancanza dell'autore del programma è una prima conferma che si tratta di un virus. La corrispondente voce nella prima colonna, "Autorun Entry" indica che il programma è msemgic.exe e, inoltre, questo ha generato un processo denominato msiexec.exe. È anche possibile vedere il percorso del file msemgic.exe (C:/programdata), ma se lo si va a cercare, non si troverà.
Clic destro sul nome msemgic.exe e clic sul comando "Jump To". Si verrà portati direttamente sulla voce della chiave del registro: Cancellarla. Se non si riesce a cancellare, clic destro sulla chiave e prendere il controllo completo, poi clic sul valore Load della chiave ed eliminarlo.