Come rimuovere System Guard 2009!

System Guard 2009 è un falso software di sicurezza della stessa famiglia di SpyProtector e PC Defender 2008.

Il falso antivirus una volta infettato il pc, avvia false scansione facendo credere all’utente di avere il sistema infettato, invitandolo ad acquistare la licenza del falso antivirus per disinfettarsi.

Ovviamente non acquistate nulla!

I sintomi che presenta un pc rimasto vittima di System Guard 2009 sono:

sistema rallentato, settaggi del browser modoficati, apertura continua di finestre pop-up durante la navigazione ed infine l’impossibilità in alcuni casi di collegarsi ad internet.

Questi sono i files creati dal falso antivirus:

c:\Program Files\System Guard 2009
c:\Program Files\System Guard 2009\conf.cfg
c:\Program Files\System Guard 2009\mbase.vdb
c:\Program Files\System Guard 2009\quarantine.vdb
c:\Program Files\System Guard 2009\queue.vdb
c:\Program Files\System Guard 2009\systemguard.exe
c:\Program Files\System Guard 2009\uninstall.exe
c:\Program Files\System Guard 2009\vbase.vdb
c:\Program Files\System Guard 2009\quarantine
c:\WINDOWS\reged.exe
c:\WINDOWS\spoolsystem.exe
c:\WINDOWS\sys.com
c:\WINDOWS\syscert.exe
c:\WINDOWS\sysexplorer.exe
c:\WINDOWS\vmreg.dll
c:\WINDOWS\system32\winscenter.exe
c:\Documents and Settings\Bleeping\Desktop\System Guard 2009.lnk
c:\Documents and Settings\Bleeping\Start Menu\Programs\System Guard 2009
c:\Documents and Settings\Bleeping\Start Menu\Programs\System Guard 2009\System Guard 2009.lnk
c:\Documents and Settings\Bleeping\Start Menu\Programs\System Guard 2009\Uninstall.lnk
c:\Documents and Settings\All Users\Application Data\winlogon.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\Network\svchost.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\Network\track.sys
c:\Documents and Settings\All Users\Application Data\Microsoft\Network\DLLs
c:\Documents and Settings\All Users\Application Data\Microsoft\Network\DLLs\c.cgm
c:\Documents and Settings\All Users\Application Data\Microsoft\Network\DLLs\eewhptdpyl.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\Network\DLLs\ieModule.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\Network\DLLs\moduleie.dll

Queste invece le chiavi di registro:

HKEY_CLASSES_ROOT\CLSID\{77C96E10-FDA7-4AA7-B318-0631C0D27DBB}
HKEY_CLASSES_ROOT\CLSID\{AB6DAA8C-F726-4FDD-8B06-9537C5878612}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\System Guard 2009
HKEY_LOCAL_MACHINE\SOFTWARE\System Guard 2009
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “systemguard”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad “ieModule”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad “InternetConnection”

Come disinfettarsi.

Il tool che si è dimostrato efficace nel rimuovere System Guard 2009 è:
Malwarebytes Anti-Malware – Download

Disinfettarsi con Malwarebytes Anti-Malware

Scaricate Malwarebytes’ Anti-Malware sul desktop e procedete con l’installazione.

Avviate il software, procedete prima con l’update e successivamente effettuate una scansione in modalità “rapida” del sistema.

Selezionate tutti i malware scovati dal tool e cliccate su “Rimuovi selezionati”.

Ottenuto conferma che tutti i malware sono stati eliminati, potete chiudere il programma e riavviare il sistema.

In alternativa, risulta altrettanto efficace una scansione in modalità provvisoria con A-Square 4 scaricabile quì.

Se Malwarebytes Anti-Malware e A-Square 4 non si dovessero avviare, molto probabilmente il Pc è stato infettato dal trojan TDSSserv.

Pertanto, occorre prima rimuovere il trojan, e succesivamente effettuare una pulizia con Malwarebytes Anti-Malware o A-Square 4.

Rimozione trojanTDSSserv

Cliccate sull’icona Start (nel caso usaste XP) e succesivamente con il tasto destro del mouse su Risorse del computer e subito dopo su Proprietà

Nella nuova finestra che visualizzate scegliete Hardware e subito dopo Gestione periferiche
Dal menu Gestione Periferiche cliccate su Visualizza e successivamente spuntate l’opzione Mostra periferiche nascoste

Nella lista dei driver, selezionate TDSSserv.sys ( ma può creare altri nomi a caso come TDSSxyz.sys dove xyz sono caratteri randomici, clbdriver.sys, seneka o seneka.sys ) e successivamente Disabilitatelo (come mostrato in figura)

Nella finestra di dialogo cliccate su Si
Chiudete tutte le applicazioni e finestre e riavviate il pc

Scaricate Avenger a questo link e scompattatelo dove volete

Avviate Avenger, copiate ed incollate lo script in basso nella finestra del programma e cliccate su Execute

Drivers to delete:
TDSSserv.sys
clbdriver.sys
seneka.sys
seneka

Una finestra di dialogo vi chiederà se volete veramente eseguire lo script inserito, cliccate su Yes ed attendete la fine della scansione
Alla fine della scansione riavviate il Pc.