Con questa guida vi mostriamo la procedura per rimuovere Ertfor dal sistema. Ertfor è un rogue software, un falso antivirus che ha trovato il modo di diffondersi anche sui canali del P2P e che infetta il sistema proponendo all’utente l’acquisto di finti antivirus per ripulirlo.
La prima cosa da fare è disattivare momentaneamente il Ripristino configurazione di sistema per evitare che Windows possa salvare copie di backup infette dei file e delle impostazioni di sistema.
Per disabilitare questa funzione, su tutte le unità disco installate nel computer, basta seguire il percorso “Start/Pannello di controllo“, cliccare due volta sull’icona “Sistema” e, spostandovi nella scheda “Ripristino configurazione di sistema“, mettere la spunta su “Disattivare ripristino configurazione di sistema“, confermando con “Applica“.
Ora, dovete scaricare ed installare il software The Avenger (download).
Alcuni file creati dal virus hanno nomi o posizioni prestabiliti ma altri sono caratterizzati da nomi casuali. Per individuarli, avviate la funzione di ricerca di Windows dal menù “Start“.
Nella finestra visualizzata scegliete “Tutti i file e le cartelle” e digitate il nome a6gt9v9.exe e avviate la ricerca. Eliminate il file che trovate.
La stessa procedura seguitela per il file zxhstn.exe.
Nella directory in cui sono stati individuati questi due file rimuoveten qualsiasi altro il cui nome sia composto da una serie consistente di caratteri del tutto casuali. E’ comunque possibile che tali file corrispondano a processi attualmente in corso e non siano quindi eliminabili.
Per ovviare a questo problema, dovete prima terminare il processo relativo al file. Premete la combinazione di tasti Ctrl+Alt+Canc per avviare il Task manager e nel tab “Processi” individuate quello che riporta lo stesso nome del file che avete provato di eliminare.
Selezionate il processo, cliccate su “Termina processo” e confermate con “Si“. Fatto questo, dovreste riuscire a rimuovere il file senza problemi.
Il passo successivo consiste nel rimuovere anche le librerie create dal trojan, un’operazione non semplice da completare perchè i file DLL potrebbero essere in uso da parte del processo explorer.exe relativo ad Esplora risorse di Windows e quindi non terminabile.
Per risolvere questo problema andate su “Start/Esegui” e digitate cmd. Nel prompt digitate C:\Windows\System32 e confermate con “Invio“.
A questo punto digitate il comando regsvr32/u hsari3jndsbfi73.dll, hs7f3uhduhfukde.dll e taif83ikdmf.dll. Al termine, chiudete il Prompt del Dos e, da “Risorse del computer” spostatevi nella directory C:\Windows\System32, quindi rimuovete le librerie appena deregistrate.
Eliminate anche i file infetti creati da Ertfor che risiedono nella cartella dei file temporanei dell’utente. Da “Risorse del computer” spostatevi in C:\Users\[Nome_Utente]\AppData\Local\Temp, selezionate il contenuto ed eliminatelo.
Adesso, spostetvi nella cartella nella quale avevate scompattato The Avenger e avviate l’eseguibile del programma con un doppio clic del mouse e confermando con “Ok“.
Nella schermata principale del programma cliccate “Load script from file” e caricate il file script.txt con “Apri“.
Ora, potete avviare la scansione del sistema cliccando su “Execute“. Terminata la scansione, non vi resta che riavviare il sistema.
