Eliminare XP Antispyware 2010

Per rimuovere il finto antivirus/antispyware "XP Antispyware 2010", che si presenta anche con i nomi Vista Antispyware 2010 e Win7 Antispyware 2010 si può procedere come indicato di seguito.

1. chiudete le finestre aperte dal finto antivirus (dovrebbero essere 2) cliccando sul tasto posto sul limite estremo destro della cornice (il terzo pulsante, quello a X insomma)... non cliccante niente di ciò che compare all'interno delle stesse, nemmeno su ipotetici tasti "esci", "cancella", "disinfetta";
2. lanciate il task manager premendo contemporaneamente CTRL, ALT e CANC e terminate il processo AV.EXE, quindi mantenete aperto il task manager;
3. lanciate l'utility per ricercare file (START -> CERCA -> FILE e CARTELLE), quindi fategli cercare AV.EXE... attendete, perchè nel giro di pochi secondi si dovrebbero riaprire le finestre del finto antivirus;
4. ripetete i punti 1 e 2, quindi velocemente cancellate il file AV.EXE dalla finestra di ricerca (selezionatelo e premete MAIUSCOLO+CANC);

A questo punto il finto antivirus non dovrebbe più "girare", dobbiamo quindi rimediare a ciò che nel frattempo ha fatto al povero PC: ha modificato il registry in maniera da rendere impossibile l'esecuzione di tutti i file .exe.

1. Provate a lanciare il regedit, se non vi riesce lanciate il prompt dei comandi (START -> PROGRAMMI -> ACCESSORI -> PROMPT DEI COMANDI) e digitate "regedit" (senza virgolette)... se invece del prompt vi si apre una finestra che vi chiede con cosa eseguire il prompt... scegliete di farlo col prompt, vale a dire WINDOWS (la directory d'installazione del s.o.) -> SYSTEM32 -> CMD.EXE;
2. fate il backup dei registri tramite FILE -> ESPORTA;
3. ora dovremmo intervenire sulle voci modificate che sono:
• HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “%1″ %*
• HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “%1″ %*
• HKEY_CLASSES_ROOT\.exe\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “%1″ %*
• HKEY_CLASSES_ROOT\secfile\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “%1″ %*
• HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “C:\Program Files\Mozilla Firefox\firefox.exe”
• HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “C:\Program Files\Mozilla Firefox\firefox.exe” -safe-mode
• HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “C:\Program Files\Internet Explorer\iexplore.exe”
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “AntiVirusOverride” = “1″
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “FirewallOverride” = “1″
4. le ultime due vanno cancellate in toto, mentre per le altre bisogna rimuovere i pezzi di stringa sino a /START compreso;
5. uscite dal regedit e scaricate Malwarebytes Anti-Malware, basta la versione free;
6. installatelo, aggiornatelo e fategli effettuare una scansione rapida.

Il sistema andrà riavviato dopo la rimozione dell'infezione.

Fonte: Im-Infected.com