FAQ

L'infezione Gumblar si diffonde tramite file PDF e Flash (.pdf e .swf) che, nella maggior parte dei casi, vengono scaricati da server FTP infetti in cui l'infezione crea copie dei suddetti file.

I computer che presentano vulnerabilità non corrette delle applicazioni Adobe Acrobat Reader o Adobe Flash Player potrebbero venire infettati tramite exploit presenti nei file .pdf e .swf. La sicurezza del server FTP viene compromessa dalla ricerca di connessioni salvate ai server FTP, pertanto è consigliabile modificare le password dopo la rimozione dell'infezione.

L'infezione da malware nota come Gumblar viene rilevata da AVG con le seguenti designazioni: trojan horse Agent2.HYG, Defiler, varianti di trojan horse Exploit o Exploit.PDF.

Se sono state visitate alcune pagine Web infette, è probabile che sia presente JS/Psyme o JS/Downloader nella cartella "File Internet temporanei". Non è disponibile un rimedio per questa infezione poiché si tratta di una parte originale della that pagina Web.

Il modo più semplice per rimuovere l'infezione consiste nell'eliminazione dei file temporanei del browser Internet Explorer. Procedere come segue:

• avviare Internet Explorer
• fare clic sul menu "Strumenti"
• selezionare l'elemento "Opzioni Internet..."
• fare clic sul pulsante "Elimina file..."
• deselezionare l'opzione "Elimina tutto il contenuto non in linea"
• confermare premendo il pulsante "OK"
• quindi rieseguire il Controllo completo per assicurarsi che l'infezione non venga rilevata ancora da AVG

In base alla versione di Internet Explorer, posizione e nomi potrebbero essere diversi.

Se si continua ad accedere alla pagina Web infetta, AVG potrebbe continuare a rilevare l'infezione.

Se viene rilevato un virus durante un controllo AVG e lo stato è "Oggetto annidato infetto", significa che il file del virus è parte di un file di archivio (ZIP, RAR, CAB e così via) oppure parte di un archivio con programma di autoestrazione (EXE). AVG rileva sicuramente tale file ma non è in grado di rimuoverlo automaticamente da un file di archivio e ricomprimere nuovamente l'archivio senza il file infetto, né di spostarlo automaticamente in Quarantena virus a causa della protezione dei dati.

In questo caso si è scelto il metodo di interazione dell'utente per la rimozione del virus.

Per rimuovere questo tipo di file di virus, procedere come segue:

1. Spostarlo in Quarantena virus, se la dimensione dell'archivio è inferiore a 5 MB.

Scegliere Risultati controllo (eseguire AVG->scegliere menu Cronologia->fare clic sulla voce Risultati controllo). In Risultati controllo evidenziare la riga con l'infezione (fare clic sulla riga con l'icona del punto esclamativo rosso)->fare clic sul pulsante Sposta in Quarantena.

2. Eliminare l'archivio: se la dimensione dell'archivio è superiore a 5 MB, non è possibile spostarlo in Quarantena virus.

Assicurarsi che l'archivio non contenga dati importanti.

Scegliere Risultati controllo (eseguire AVG->scegliere menu Cronologia->fare clic sulla voce Risultati controllo). In Risultati controllo evidenziare la riga con l'infezione (fare clic sulla riga con l'icona del punto esclamativo grigio)->scegliere il pulsante Vai al file. Verrà automaticamente visualizzato il file di archivio e sarà possibile eliminarlo facendo clic con il pulsante destro del mouse sul nome, quindi fare clic sull'opzione "Elimina" nel menu.

Nota

Se si è eliminato il file di archivio è anche necessario svuotare il Cestino in cui è stato spostato tale file:

• Fare doppio clic sull'icona del Cestino sul desktop del computer.
• Scegliere il menu File e l'opzione Svuota cestino.

Windows NT/2000/XP/2003/XP Pro x64/2003 Server x64:

In questo caso, si consiglia di utilizzare il prodotto AVG Rescue CD (per ulteriori informazioni sul prodotto, fare clic qui). Fondamentalmente, AVG Rescue CDè una variante portatile di AVG basata su piattaforma Windows PE. Viene distribuito come CD di avvio per il ripristino del sistema operativo nel caso in cui non sia possibile caricare il sistema in modo regolare, ad esempio a causa di una grave infezione da virus. Inizialmente AVG Rescue CD carica il sistema operativo temporaneo Windows PE e poi esegue il programma AVG, che può quindi essere utilizzato in modo normale per il rilevamento e la rimozione di virus e spyware.

Per ulteriori informazioni sulla creazione di AVG Rescue CD, vedere Domanda frequente 491.

• Accedere alla pagina Web dell'Enciclopedia dei virus e ricercare il nome esatto del virus indicato nel risultato del controllo.
• Se non lo si trova, contattare l'Assistenza tecnica e allegare il risultato esportato dell'ultimo controllo:
  

Eseguire il programma AVG (interfaccia di base o avanzata) e scegliere Risultati controllo dal menu Cronologia. Ora è possibile visualizzare l'elenco dei controlli terminati. Fare doppio clic sul risultato più recente per ottenere l'elenco completo dei virus rilevati (se presenti), con il percorso, il nome e lo stato dell'oggetto infetto. Una volta aperto l'elenco, fare clic sull'opzione "Esporta panoramica nel file...". Inviare questo file a GRISOFT per un'ulteriore analisi.

VCLEANER.EXE può essere utilizzato per la rimozione di alcuni virus specifici e delle loro varianti. Per ulteriori dettagli, visitare la pagina Web riportata di seguito.

Utilizzo:

Scaricare il file vcleaner.exe ed eseguirlo sul computer infetto.

Nota: alcuni virus possono interrompere l'operazione durante il processo di rimozione. In questo caso rinominare il file vcleaner.exe con un diverso nome di file EXE (ad esempio, qualcosa.exe). Riavviare il computer in modalità provvisoria (consigliato) ed eseguire lo strumento di rimozione virus sul computer infetto.

Nella pagina Web riportata sono disponibili anche altri strumenti di rimozione.

Provare ad aggiornare il sistema AVG  ed eseguire di nuovo  la scansione dell'intero computer . Se il file non viene rilevato ma si sospetta ancora che possa essere presente un'infezione, inserirlo in un archivio protetto da password (WinZip, WinRar, PowerArchiver e così via), allegarlo a un messaggio e-mail e inviarlo a virus@avg.com. Nel messaggio e-mail descrivere il motivo dell'invio del file e indicare la password per accedere all'archivio. Quindi, inviare il messaggio e-mail.

In caso AVG identifichi come infetto un file sul PC e lo sposti in Quarantena virus AVG e si sia sicuri che questo file è corretto e non infetto, è possibile che si tratti di un falso allarme.
In questo caso, è opportuno correggere l'operazione prima possibile.
Sfortunatamente talvolta si verificano dei falsi allarmi con qualsiasi software antivirus.

Per risolvere il problema, inviare questo file dal programma AVG direttamente a noi in modo che possa essere analizzato, procedendo come segue:

• Aprire Interfaccia utente di AVG.
• Scegliere l'opzione "Quarantena virus" dal menu "Cronologia".
• Fare clic con il pulsante destro del mouse sul falso positivo e scegliere l'opzione Invia per analisi dal menu di scelta rapida.
• Digitare il proprio indirizzo e-mail
• Confermare la finestra di dialogo

In questo modo il file verrà inviato ai nostri esperti che lo analizzeranno e in seguito vi sarà comunicato il risultato.

Questo argomento delle domande frequenti descrive l'infezione da rootkit con TDSSserv.sys/MSQPD*.sys, in genere rappresentata dall'infezione di Antivirus 2009.
I sintomi di queste infezioni comprendono:

• Avvisi di infezione popup fittizi che indicano all'utente di acquistare un'applicazione antivirus fittizia che rimuoverebbe l'infezione (ad esempio Antivirus 2009, Antivirus XP).
• Lo sfondo del desktop viene modificato in un messaggio di avviso e non può essere ripristinato.
• L'accesso a Gestione attività e all'editor del Registro di sistema è disattivato.
• Le pagine Web vengono reindirizzate a pagine scorrette nel browser Internet.
• Non è possibile aggiornare Windows (la pagina www.windowsupdate.com non è accessibile).
• Non è possibile aggiornare AVG.
• AVG rileva l'infezione mediante la scansione Anti-Rootkit sotto forma di driver o file nascosti nelle cartelle di sistema. I nomi dei file iniziano con "TDSS"/"MSQPD", ad esempio TDSSserv.sys, tdsslog.dll, TDSSl.dll, msqpdxserv.sys.

Se si ritiene che il computer sia interessato dall'infezione descritta in precedenza, per rimuovere l'infezione, attenersi alla procedura seguente:

• Scaricare l'utilità AVGRTK_remover.
• Estrarre l'archivio scaricato in una nuova cartella.
• Nella cartella individuare il file AVGRTK_remover.vbs.
• Eseguire il file facendovi doppio clic.
• Verrà visualizzato un messaggio di conferma.
• Riavviare il computer.
• Aggiornare AVG.
• Eseguire una scansione completa con AVG e rimuovere tutte le infezioni rilevate.

Questa utilità consente inoltre di rimuovere ulteriori effetti dell'infezione, ad esempio l'impossibilità di accedere alle funzioni del sistema. Se non è ancora possibile utilizzare alcune funzioni, eseguire nuovamente l'utilità come descritto in precedenza.

L'infezione è ora completamente rimossa. Se il problema persiste, contattare il Servizio clienti.

È possibile che il computer venga infettato con l'applicazione antispyware fittizia Antivirus 360. Questa applicazione tenta di apparire come un'applicazione antivirus regolare, ma in realtà non è prodotta da nessuna società per soluzioni antivirus esistente. L'applicazione simula solo false minacce per il computer e obbliga l'utente ad acquistare la versione completa del relativo prodotto. L'utente pagherà il prezzo richiesto, ma non otterrà alcun servizio. L'infezione può mostrare molti altri sintomi:

• Rallentamento del computer
• Falsi positivi su file di sistema importanti
• Visualizzazione di finestre a comparsa indesiderate
• Download di altri virus e trojan sul computer

Desideriamo informare gli utenti che il programma AVG rileva e rimuove la maggior parte delle varianti della suddetta applicazione. Tuttavia ogni giorno vengono generate molte nuove varianti, pertanto è possibile che alcune di esse non vengano rilevate e rimosse da AVG. Se si verificano problemi con la suddetta applicazione Antivirus 360 e non è possibile rimuoverla utilizzando il programma AVG, suggeriamo di seguire questi semplici passaggi per fornirci tutte le informazioni necessarie per correggere il problema e aggiungere la variante mancante al rilevamento AVG:

• Output dell'utilità Autoruns
  • Scaricare l'utilità AvgProci facendo clic sul seguente collegamento (si consiglia di salvare il file sul desktop):
    avgproci_it.exe
  • Eseguire il file scaricato e seguire le istruzioni a schermo per generare l'output diagnostico.
• Contattare l'assistenza tecnica AVG
  • Eseguire il file runner.avgdx che si trova nella cartella in cui è stato installato lo strumento AvgProci.
  • Immettere un indirizzo e-mail valido nel campo appropriato dello strumento Diagnostica AVG.
  • Come descrizione immettere un testo simile al seguente: "Antivirus 360 non rilevato".
  • Quindi fare clic sul pulsante Allega filee allegare l'output diagnostico avgproci precedentemente creato (file result.7z).
  • Fare clic sul pulsante Eseguire la diagnostica e inviare i risultati. Tutte le informazioni necessarie verranno inviate all'assistenza tecnica AVG.

Se il programma AVG rileva un virus in un file di sistema importante, tale virus non viene automaticamente rimosso. Questa funzionalità è stata aggiunta per evitare la rimozione accidentale di file di sistema infetti destinati all'esecuzione del sistema operativo.

Vengono indicati di seguito esempi di importanti file di sistema:

• "%WINDOWS%\system32\winlogon.exe"
• "%WINDOWS%\system32\user32.dll"
• "%WINDOWS%\explorer.exe"

Nota: la variabile %Windows% solitamente rappresenta la cartella C:\Windows.

Se viene rilevato un virus in un file di sistema, ripristinare il file infetto dal backup del sistema. Ulteriori informazioni sul ripristino del sistema operativo a uno stato precedente sono disponibili nella knowledge base di Microsoft all'indirizzo: 

• Windows XP
  http://support.microsoft.com/kb/306084 
• Windows Vista
  http://windowshelp.microsoft.com/Windows/en-US/help/517d3b8e-3379-46c1-b479-05b30d6fb3f01033.mspx

Se l'infezione si ripresenta, contattare il team dell'Assistenza tecnica AVG utilizzando l'opzione Utilizza Guida in linea nel menu ? di AVG. Ulteriori informazioni sulle modalità di contatto del Servizio clienti AVG sono disponibili nella domanda frequente 1467: Come contattare il Servizio clienti.