Personal Defender 2009 – Guida alla rimozione!

di | 30/10/2008

Personal Defender 2009 è un falso software di sicurezza della stessa famiglia di SpyProtector e PC Defender 2008.

.

Il falso antivirus una volta infettato il pc, avvia false scansione facendo credere all’utente di avere il sistema infettato,  invitandolo ad acquistare la licenza del falso antivirus per disinfettarsi.

Ovviamente non acquistate nulla!

I sintomi che presenta un pc rimasto vittima di Personal Defender 2009 sono:

sistema rallentato, settaggi del browser modoficati, apertura continua di finestre pop-up durante la navigazione  ed infine l’impossibilità in alcuni casi di collegarsi ad internet.

Questi sono i files  create dal falso antivirus:

c:\Program Files\Personal Defender 2009
c:\Program Files\Personal Defender 2009\dbbase.div
c:\Program Files\Personal Defender 2009\pdefendr.exe
%UserProfile%\Desktop\sccmsk.dll
%UserProfile%\Local Settings\Temp\ikbmqvex.exe
c:\Documents and Settings\Bleeping\Start Menu\Programs\Personal Defender 2009
c:\Documents and Settings\Bleeping\Start Menu\Personal Defender 2009.lnk
c:\Documents and Settings\Bleeping\Start Menu\Programs\Personal Defender 2009\Personal Defender 2009.lnk

Questi sono invece le chiavi di registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “asus32”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PDefender
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “Personal Defender 2009”

Come disinfettarsi.

I tools che si sono dimostrati efficaci nel rimuovere Personal Defender 2009 sono:

Malwarebytes Anti-Malware e SmitfraudFix

Disinfettarsi con Malwarebytes Anti-Malware

Scaricate Malwarebytes’ Anti-Malware sul desktop, avendo cura di rinominare il file in modo generico, per esempio:

  • mbam-setup.com
  • iexplore.exe
  • explorer.exe
  • userinit.exe
  • winlogon.exe

Successivamente procedete con l’installazione.

Avviate il software, procedete prima con l’update e successivamente effettuate una scansione in modalità “Scansione completa” del sistema.

Selezionate tutti i malware scovati dal software e cliccate su “Rimuovi selezionati”.

Ottenuto conferma che tutti i malware sono stati eliminati, potete chiudere il programma e riavviare il sistema.

Se il malware inibisse l’avvio di Malwarebytes’ Anti-Malware, scaricate ed avviate uno dei seguenti tool per sbloccarne l’avvio:

Rkill.com
Rkill.exe
iExplore.exe
rkill.pif
rkill.scr
uSeRiNiT.exe
WiNlOgOn.exe

Se con i software indicati sopra ancora non si riesce a far avviare Malwarebytes’ Anti-Malware procedete così:

Dirigitevi sulla cartella C:\Programmi\Malwarebytes’ Anti-Malware, da qui individuate e rinominate il file mbam.exe con uno dei seguenti nomi:

  • mbam.com
  • iexplore.exe
  • explorer.exe
  • userinit.exe
  • winlogon.exe

Se ancora nonostante ciò Malwarebytes’ Anti-Malware non si dovesse avviare, provate ad avviarlo con i diritti di Amministratore: tasto destro del mouse “Esegui come ….” e scegliete ovviamente l’account Amministratore.

Se il malware vi inibisce l’accesso ad internet e quindi all’update del software, procedete come di seguito:

Avviate Internet Explorer e dal menu cliccate prima su Strumenti e dopo su Opzioni Internet

Successivamente cliccate su Connessioni e dopo su Impostazioni LAN

Togliete il segno di spunta sul campo “utilizza un server proxy…“, cliccate su OK per confermare.

A questo punto dovreste ripristinare il collegamento internet.

Disinfettarsi con SmitfraudFix

  • Riavviare il PC in modalità provvisoria (prima dell’avvio di Windows digitare il tasto F8 e scegliere di avviare i sistema operativo in modalità provvisoria)
  • Fare doppio clic su SmitfraudFix.exe
  • Selezionare 2 e premere Invio per eliminare i file infettati

  • Alla domanda “Do you want to clean the registry” digitate “Y” e premere invio

  • Successivamente il tool analizzerà se wininet.dll risulta infettato. Nel caso lo fosse vi apparirà la seguente domanda:Replace infected file ?, digitate “Y” e premete invio
  • Riavviate il PC
  • Il rapporto dei file infetti e cancellati sarà disponibile su C:\rapport.txt.