Domanda: Qualche giorno fa, l’antivirus Eset Smart Security ha individuato il worm Dojrwjbvd, una nuova variante di un cavallo di Troia già schedato alcuni mesi fa. Al momento della rilevazione ho autorizzato la sua eliminazione, ma l’antivirus mi ha informato che l’operazione non era fattibile. Ho cercato in Rete un software specifico per la rimozione di questo malware, ma non ho trovato nulla. Ho quindi tentato di eseguire la rimozione manualmente attraverso il percorso indicato dall’antivirus. Inizialmente, cancellare il file non è stato possibile perché era in esecuzione. Poi in qualche modo sono riuscito dopo aver chiuso un paio di processi dalla finestra di Gestione delle attività di Windows e aver cambiato l’estensione al file. Ora, però, ogni volta che avvio il Pc appare una finestra d’errore “RunDll” che dice: “Errore durante l’avvio di C:\Progra~3\Dojrwjbvd.dss – Impossibile trovare il modulo specificato”. Il Pc sembra funzionare correttamente, ma vorrei comunque eliminare questo fastidio.
Risposta: Per eliminare il messaggio d’errore, come prima cosa bisogna esaminare alcune sezioni del Registro di configurazione utilizzate durante il caricamento del sistema operativo per lanciare i programmi residenti in memoria. Invece di eseguire manualmente questa operazione, consigliamo di ricorrere a uno strumento apposito come Startup Cpl (www.mlin.net/StartupCPL.shtml). Questo software offre una visione sinottica di tutte le aree che consentono di lanciare eseguibili in maniera automatica. Esaminando il contenuto dei vari segnalibri si potrà agevolmente verificare la presenza di una voce che contiene il nome dell’eseguibile del cavallo di Troia e procedere alla sua eliminazione. Se la voce desiderata non fosse presente, si dovrebbe aprire l’editor del Registro (Regedit), cercare la stringa Dojrwjbvd in tutto il database ed eliminare ogni chiave che la contenga al suo interno. Come sempre, prima di ogni modifica del Registro è consigliabile eseguirne una copia di backup. Se la ricerca nel Registro non evidenziasse alcuna istanza del file in questione, è possibile che il cavallo di Troia sia caricato in memoria sotto forma di servizio o come componente di un altro eseguibile. In questo caso si dovrà eseguire una scansione completa del disco con un antivirus stand-alone oppure con altri strumenti antispyware: questo per scongiurare che nel sistema sia ancora attiva una componente Downloader del worm che può scaricare e reinstallare in modo occulto il malware appena eliminato.