Antivirus 2010 è un rogue ovvero un falso programma anti-spyware della stessa famiglia di Antivirus 2008 e Antivirus 2009 che si finge come un benevolo aiuto contro infezioni presenti nel sistema per installarsi nel PC delle vittime. Come i suoi precedenti, Antivirus 2010 fa apparire delle false finestre di allarme che mostrano il PC infetto da vari virus e spyware e invita ad acquistare on-line la versione che permette di rimuove i fantomatici file infetti. Questi rogues sono anche noti per essere installati e pubblicizzati attraverso trojan che visualizzano falsi avvisi di sicurezza nella barra delle applicazioni di Windows  (avete presente lo scudo rosso di Microsoft?) affermando che il sistema è infetto. Dopo aver fatto clic su una di queste segnalazioni, si è reindirizzati alla pagina di download di Antivirus 2010, che a volte può essere scaricato e installato senza il consenso dell’utente.

Una volta che Antivirus 2010 si è installato sul computer, sarà automaticamente configurato per essere eseguito al logon in Windows. Questo avviene aggiungendo il file eseguibile “C:\Windows\System32\wingamma.exe” all’avvio di Windows. Questo eseguibile poi esegue il file “AV2010.exe” che è il falso Centro Sicurezza PC di Windows. Una volta in esecuzione, parte la falsa scansione sopra citata e l’elenco di infezioni che non possono essere rimosse a meno che prima non si acquisti il software. Questa infezione mostra in modo casuale anche falsi avvisi di sicurezza e protezione sul computer. Se si fa clic su questi avvisi, vi verrà chiesto di acquistare il software. Questi falsi avvisi, insieme con il falso Centro Sicurezza PC di Windows, sono utilizzati per spaventare l’utente e fare in modo che si proceda all’acquisto del software.

Un altro trucco oltre a questi falsi messaggi è la creazione di una falsa “schermata blu” di arresto critico di Windows. A intervalli casuali, Antivirus 2010 creerà ciò che sembra essere un crash di Windows, ma in realtà è solo una falsa videata. Se viene visualizzato questo falso crash, è sufficiente riavviare il computer, o premere Alt-Tab o Control-Alt-Canc per ritornare in Windows. La schermata visualizzata è:

 

***STOP: 0x000000D1 (0x0000000, 0xF73120AE, 0xC0000008, 0xC000000)

A spyware application has been detected and Windows has been shut down to prevent damage to your computer

SPYWARE.MONSTER.FX_WILD_0x0000000

If this is the first time you’ve seen this Stop error screen, restart you computer. If this screen appears again, follow these steps:

Click to make sure your antivirus software is properly installed. If this is a new installation, ask you software manufacturer for any antivirus updates you might need.

Windows detected unregistered version of Antivirus 2010 protection on your computer. If problem continue, please activate your antivirus software to prevent computer damage and data loss.

*** SRV.sys – Address F73120AE base at C0000000, DateStamp 36b072a3

 

Ma veniamo al dunque e cerchiamo di capire come eliminarlo:

 

1. Modo Manuale:

– Fare una scansione con Hijackthis (vedi articolo per il download e l’utilizzo) e rimuovere le seguenti voci:

O2 – BHO: IEDefenderBHO – {FC8A493F-D236-4653-9A03-2BF4FD94F643} – C:\Windows\System32\IEDefender.dll
O4 – HKLM\..\Run: [Windows Gamma Display] C:\Windows\System32\wingamma.exe /adjustment

 – Riavviare il PC in modalità provvisoria (F8 all’avvio di Windows) e eliminare i seguenti file e chiavi di registro:

File Associati con Antivirus 2010 :

c:\Program Files\AV2010
c:\Program Files\AV2010\AV2010.exe
c:\Program Files\AV2010\svchost.exe
c:\WINDOWS\system32\IEDefender.dll
c:\WINDOWS\system32\wingamma.exe
c:\Documents and Settings\All Users\Desktop\AV2010.lnk
c:\Documents and Settings\All Users\Start Menu\Programs\AV2010
c:\Documents and Settings\All Users\Start Menu\Programs\AV2010\AV2010.lnk
c:\Documents and Settings\All Users\Start Menu\Programs\AV2010\Uninstall.lnk

 

Chiavi di Registro di Windows associate con Antivirus 2010:

HKEY_CURRENT_USER\Software\AV2010
HKEY_CLASSES_ROOT\AppID\{3C40236D-990B-443C-90E8-B1C07BCD4A68}
HKEY_CLASSES_ROOT\AppID\IEDefender.DLL
HKEY_CLASSES_ROOT\CLSID\{FC8A493F-D236-4653-9A03-2BF4FD94F643}
HKEY_CLASSES_ROOT\IEDefender.IEDefenderBHO
HKEY_CLASSES_ROOT\IEDefender.IEDefenderBHO.1
HKEY_CLASSES_ROOT\Interface\{7BC7565C-5062-43CE-8797-DC2C271140A9}
HKEY_CLASSES_ROOT\TypeLib\{705FD64B-2B7B-4856-9337-44CA1DA86849}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC8A493F-D236-4653-9A03-2BF4FD94F643}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0012
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0013
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0014
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “Windows Gamma Display”

 

 2. Modo Automatico:

– Scaricare il software Malwarebytes’ Anti-Malware da qui  

  1. (Opzionale) Stampa queste istruzioni.
  2. Scaricare il software Malwarebytes’ Anti-Malware da qui  e salvalo sul desktop
  3. Chiudi tutti i programmi in esecuzione compresa questa pagina di internet.
  4. Doppio click sul file scaricato Download_mbam-setup.exe per avviare l’installazione.
  5. Quando l’installazione inizia, seguire le istruzioni senza fare nessun cambiamento alle opzioni di default  e quando il programma ha terminato l’installazione, assicurati di lasciare entrambe le opzioni “Update Malwarebytes’ Anti-Malware” e “Launch Malwarebytes’ Anti-Malware” attive. Poi clicca sul pulsante Finish.
  6. MBAM si avvierà automaticamente e si dovrebbe aggiornare automaticamente. Una volta finito l’aggiornamento premere OK, verrà visualizzata la schermata come da figura:
  7.  

  8. Nel tab Scanner, assicuratevi che l’opzione  Perform quick scan è selezionata e poi fate click sul pulsante Scan per avviare la scansione.
  9. MBAM adesso si avvierà, il processo richiede vari minuti in cui si consiglia di non lavorare con il computer.
  10. Quando il processo è finito premere OK nel messaggio di avviso. 

     

  11. Ora siete ritornati alla schermata principale. A questo punto cliccate su  Show Results.
  12. Verranno visualizzati i malware trovati, assicurarsi che siano tutti selezionati e cliccare sul pulsante Remove Selected. I file eliminati saranno messi in quarantena.
  13. Quando MBAM ha finito di rimuovere i malware, si asprirà il file log nel notepad, da qui è possibile visualizzare i file rimossi. Una volta visionato lo potete chiudere.
  14. Adesso potete chiudere il programma MBAM.

Nel tuo PC adesso dovrebbe essere stato completamente rimosso  Antivirus 2010. Potete prendere in considerazione l’acquisto della versione PRO di Malwarebytes’ Anti-Malware per proteggerti da altri tipi di malware in futuro.

 fonte: bleepingcomputer.com

[ad#ad-3]


6 Commenti in “Rimuovere Antivirus 2010”

  1. ciao grazie per questa guida.. a me invece di comparire ***STOP: 0×000000D1 (0×0000000, 0xF73120AE, 0xC0000008, 0xC000000)

    A spyware application has been detected and Windows has been shut down to prevent damage to your computer

    mi riavvia il sistema… con il ctrl+alt+canc funziona lo stesso.. perche dopo solo 1 min mi riavvia il computer…. e purtroppo quel falso anti virus me l’ha scaricato.. ed ho provato a toglerlo con i peggio programmi.. tipo Spybot S&D.. ma nulla… adesso provo.. ma sono costretto a portarlo ad aggiustare… se non ce la faccio da solo….

  2. Se cerchi nel blog puoi trovare diversi suggerimenti e programmi. Cerca nella categoria Sicurezza nel menù in alto e vedrai che troverai sicuramente qualcosa.
    In bocca al lupo.

  3. Crepi 😛 cmq grazie

  4. ciao a tutti..oggi ho passato tutto il pomeriggio a litigare con questo maledetto antivirus 2010..avevo il computer talmente mal ridotto che non mi si apriva più nulla e il collegamento ad internet mi si bloccava dopo pochi minuti..la situazione è decisamente migliorata dopo aver utilizzato malwarebytes, il problema è continuano ad aprirsi fastidiose finestre con scritte come questa

    “l’applicazione o DLL C:WINDOWS\system32\hatipati.dll non è un’immagine valida in Windows. Verificare con il dischetto di installazione”

    ogni volta che cerco di avviare un qualunque programma…cosa posso fare? grazie mille

  5. Ciao, link:

    http://www.trucchetti.com/2008/10/24/rimozione-virus-e-rootkit-con-combofix-e-hijackthis/

    Usali tutti e due.

    Questo invece ti spiega cosè il messaggio che ti compare:
    http://www.computerhope.com/cgi-bin/process.pl?p=hatipati.dll

    Probabilmente hai il pc infettato a dovere da virus/trojans.

    Buona fortuna

  6. non mi parte la scansione di mareblayte, anzi non riesco a effettuare la scansione in alcun modo e con nessun antivirus…

Lascia un commento