Il falso antivirus una volta infettato il pc, avvia false scansione facendo credere all’utente di avere il sistema infettato, invitandolo ad acquistare la licenza del falso antivirus per disinfettarsi.
Ovviamente non acquistate nulla!
I sintomi che presenta un pc rimasto vittima di XP Internet Security 2010 sono:
sistema rallentato, settaggi del browser modoficati, apertura continua di finestre pop-up durante la navigazione ed infine l’impossibilità in alcuni casi di collegarsi ad internet.
Come disinfettarsi.
Il tool che si è dimostrato efficace nel rimuovere XP Internet Security 2010 è: MalwareBytes scaricalo,installalo e aggiornalo,fai una scansione completa in modalità provvisoria. All'avvio premi ripetutamente F8 e scegli la 1 delle 3 modalità in lista,aspetta che arrivi al desktop nero e spartano e avvia MB alla fine cancella tutto quello che segnala e riavvia.
Il pc sarà pulito
scarica Mb: http://www.techportal.it/dl/mbam-setup.exe
______________________________________________
Allora fallo manualmente:
1) Fermare i processi (sulla barra di stato , tasto destro , Task manager ..,processi , termina processo) av.exe
Sel il task Manager non dovesse funzionare è consigliabile l'uso di RunAlyzer© , una utility che
mostra tutti i punti in cui il malware tenta di nascondersi
E' anche disponibile rkill.com (rogue killer) che provvederà a bloccare tutti i processi in esecuzione sospetti .
2) Disinstallare XP Internet Security 2010 :Start > Impostazioni > Pannello di controllo > Aggiungi/rimuovi programmi : Cerca e , nel caso , disinstalla il pacchetto : XP Internet Security 2010
3) Cercare e rimuovere le chiavi di registro : (Start/esegui/regedit)
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command “(Default)” = “av.exe” /START “%1? %*
HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command “(Default)” = “av.exe” /START “%1? %*
HKEY_CLASSES_ROOT\.exe\shell\open\command “(Default)” = “av.exe” /START “%1? %*
HKEY_CLASSES_ROOT\secfile\shell\open\command “(Default)” = “av.exe” /START “%1? %*
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command “(Default)” = “av.exe” /START “firefox.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command “(Default)” = “av.exe” /START “firefox.exe” -safe-mode
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command “(Default)” = “av.exe” /START “iexplore.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “AntiVirusOverride” = “1?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “FirewallOverride” = “1?
4) Cercare e rimuovere i files e le cartelle: (start /cerca)
c:\Documents and Settings\All Users\Application Data\XP Internet Security 2010 (Tutta la Cartella)
%UserProfile%\Application Data\XP Internet Security 2010. (Tutta la Cartella)
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\av.lnk
%UserProfile%\impostazioni locali\temp (Tutta la Cartella)
C:\Windows\Temp Tutta la Cartella
c:\Programmi\XP Internet Security 2010. - Tutta la Cartella (controlla anche C:\Program Files\XP Internet Security 2010... e la cartella Documenti\XP Internet Security 2010) - non è detto che ci siano tutte.
Da Menu Avvio\Programmi cancella la cartella XP Internet Security 2010
Cancella av.lnk sia dal Desktop che da Menu avvio.
Ed infine svuotare il cestino e la cartella dati recenti (%UserProfile%\Recent)
Si ricordi che %UserProfile% corrisponde a "C:\Documents and Settings\nome utente"
Eventualmente impostare Strumenti/opzioni cartella/visualizzazione - Visualizza cartelle e file nascosti.