In questi giorni, riparando un computer per dei conoscenti, mi sono imbattuto in un finto antivirus, in gergo chiamato rough antivirus. Si presenta con una maschera che avvisa che siamo pieni di worm e spyware, nonché di processi pericolosi. Tende a bloccare alcune pagine di internet explorer, dicendo che sono pericolose. Di tanto in tanto chiede anche se rimuovere uno spyware - che non esiste -: se voi rispondete di no avrete una bella schermata blu, finta anche quella, è solo uno screensaver. Infine si infila nel security center di Microsoft, mettendo un pulsante per richiamarlo.
Eliminarlo non è facile, in quanto blocca il task manager, blocca ogni eseguibile dall'office a soprattutto programmi che potrebbero aiutare per rimuovere questo parassita. Quindi scordatevi di eseguire regedit, command di dos, setup vari. Scordatevi pure di avviare qualunque antivirus. Provate a riavviare in modalità provvisoria, non riuscirete e verrete rimbalzati di nuovo nella schermata del Bios.
Sembra impossibile eliminarlo, ma ogni virus ha il suo tallone d'achille. Il punto debole di questo è che è facile trovare il file eseguibile del worm. Sta in C:\programmi\PSecurity - o C:\program files\PSecurity -. Non riuscirete ad eliminare la cartella, perché il file è in uso, ma potete benissimo rinominarla. Riavviando, il processo principale del virus non si avvierà, così da riavere il controllo degli eseguibili. Il task manager non va ancora, ma a quello pensiamo dopo.
In primis scaricate il programma Process explorer, un sostituto del task manager. Servirà per chiudere eventuali processi.
A questo punto seguite le istruzioni qui riportate. Sono in inglese, per chi non avesse bene dimestichezza sappia che deve scaricare il programma Avenger ed installarlo. All'avvio, nella schermata di testo, inserire questo testo
Fatto questo, eseguite questo script e alla domanda di riavviare, rispondete sì.
Drivers to delete:
NDISRDRegistry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{35A5B43B-CB8A-49CA-A9F4-D3B308D2E3CC}Folders to delete:
%ProgramFiles%\Common Files\PSecurityUninstall
%ProgramFiles%\PSecurity
%ProgramFiles%\PersonalSecFiles to delete:
%WinDir%\system32\win32extension.dll
%WinDir%\system32\drivers\NDISRD.sys
%WinDir%\tasks\PersonalSec.job
Dopo il riavvio scaricate ed installate Malware bytes Antimalware. Effettuate la scansione veloce.
Finito questo, è il caso di alzare le barriere di protezione di Windows. Io consiglio di installare Spybot search and destroy, installarlo e fare un'ulteriore scansione. Questo programma tra l'altro monitorizza il registro di Windows, avvisando quando un applicativo lo modifica. Se siete voi che state installando qualcosa, potete dare il permesso, se invece non state facendo nulla, allora meglio negare la modifica.
Come antivirus, consiglio Avira, la versione gratuita è già potente. Se poi volete, esiste anche quella a pagamento che offre ulteriori strumenti utili. In ultimo non scordate il firewall. Io uso ancora il vecchio Sygate Personal Firewall. Se preferite un software più nuovo, allora provate Comodo.
Spero di esservi stato utile. Per applicare questi consigli serve un minimo di conoscenza e di abilità al Pc. Se non siete sicuri di ciò che fate, fatevi aiutare semmai da un amico esperto. Cercate però di imparare per poter diventare più indipendenti col computer.
4 commenti:
ottima guida!
Siccome il virus è davvero tosto e ho letto che in molti lo prendono e poi non sanno rimuoverlo, ho voluto portare la mia testimonianza per la rimozione :-D
ciao Paolo, ieri sera mi sono lasciata guidare dai tuoi consigli anche se di pc ne capisco pochino. eppure (lo spero!!!) tutto è andato per il meglio.Grazie! ancora un consiglio:non ho ritenuto di lanciare processexplorer:è essenziale? i miei antivirus (avira e avg) non hanno intercettato psecutity.per non appesantire troppo basta un solo antimalvare/spyware?quale?
ProcessExplorer serve nel caso che il task manager sia disabilitato.
2 antivirus non servono, anzi si calpestano i piedi tra loro. Mi sembra strano che l'Avira non l'abbia beccato, comunque è sicuramente meglio di AVG.
Posta un commento