Come rimuovere Win Antivirus Vista/XP!

di | 17/02/2009
0 commenti

Win Antivirus Vista/XP è un falso software di sicurezza della stessa famiglia di SysAntivirus 2009 e PC Defender 2008.

(Clicca sull'immagine per ingrandirla)

Il falso antivirus una volta infettato il pc, avvia false scansione facendo credere all’utente di avere il sistema infettato, invitandolo ad acquistare la licenza del falso antivirus per disinfettarsi.

Ovviamente non acquistate nulla!

I sintomi che presenta un pc rimasto vittima di Win Antivirus Vista/XP sono:

sistema rallentato, settaggi del browser modoficati, apertura continua di finestre pop-up durante la navigazione ed infine l’impossibilità in alcuni casi di collegarsi ad internet.

Questi sono i files creati dal falso antivirus:

c:\Program Files\Win-Antivirus
c:\Program Files\Win-Antivirus\AntiSpyware_Uninstall.exe
c:\Program Files\Win-Antivirus\default.xml
c:\Program Files\Win-Antivirus\fastcam.exe
c:\Program Files\Win-Antivirus\ignore.xml
c:\Program Files\Win-Antivirus\quarantine.xml
c:\Program Files\Win-Antivirus\settings.xml
c:\Program Files\Win-Antivirus\WinAntivirus.exe
c:\Program Files\Win-Antivirus\conf
c:\Program Files\Win-Antivirus\conf\clamd.conf
c:\Program Files\Win-Antivirus\conf\freshclam.conf
c:\Program Files\Win-Antivirus\data
c:\Program Files\Win-Antivirus\data\block.reg
c:\Program Files\Win-Antivirus\data\block_un.reg
c:\Program Files\Win-Antivirus\data\daily.cvd
c:\Program Files\Win-Antivirus\data\database.dat
c:\Program Files\Win-Antivirus\Microsoft.VC80.CRT
c:\Program Files\Win-Antivirus\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
c:\Program Files\Win-Antivirus\Microsoft.VC80.CRT\msvcm80.dll
c:\Program Files\Win-Antivirus\Microsoft.VC80.CRT\msvcp80.dll
c:\Program Files\Win-Antivirus\Microsoft.VC80.CRT\msvcr80.dll
c:\Program Files\Win-Antivirus\modules
c:\Program Files\Win-Antivirus\quarantine
c:\WINDOWS\svchost.exe
c:\WINDOWS\system32\bills.dat
c:\WINDOWS\system32\dddesot.dll
c:\WINDOWS\system32\ersddat.dat
c:\WINDOWS\system32\lpsdat.dat
c:\WINDOWS\system32\setupixs.dat
c:\WINDOWS\system32\ssddat.dat
c:\WINDOWS\system32\tdferte.dat
%UserProfile%\Desktop\Win Antivirus.lnk
%UserProfile%\Start Menu\Programs\Win Antivirus
%UserProfile%\Start Menu\Programs\Startup\ASC-AntiSpyware.lnk
%UserProfile%\Start Menu\Programs\Win Antivirus\Win Antivirus.lnk

Queste invece le chiavi di registro:
HKEY_CURRENT_USER\Software\Softimer
HKEY_CURRENT_USER\Software\WinAntivirusVista-XP
HKEY_CURRENT_USER\Software\WinAntivirusVista-XP\WinAntivirus
HKEY_CLASSES_ROOT\CLSID\{8BAB8541-6E7B-F904-EEBD-D2A51C6CD329}
HKEY_CLASSES_ROOT\CLSID\{F54AF7DE-6038-4026-8433-CC30E3F17212}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F54AF7DE-6038-4026-8433-CC30E3F17212}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinAntivirus
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ANTIPWINSX32_
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AntipWinsx32_
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANTIPWINSX32_
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AntipWinsx32_

Come disinfettarsi.

Scaricate Avenger a questo link e scompattatelo dove volete.

Avviate Avenger, copiate ed incollate lo script in basso nella finestra del programma e cliccate su Execute

Drivers to delete:
AntipWinsx32_

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2F3D01F3-2A8E-4814-AA0F-8315172D22BF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F54AF7DE-6038-4026-8433-CC30E3F17212}

Files to delete:
%windir%\system32\setupixs.dat
%windir%\system32\bills.dat
%windir%\system32\ssddat.dat
%windir%\system32\ersddat.dat
%windir%\system32\dddesot.dll
%windir%\system32\lpsdat.dat
%userprofile%\Start Menu\Programs\Startup\ASC-AntiSpyware.lnk

Folders to delete:
%programfiles%\Win-Antivirus

Una finestra di dialogo vi chiederà se volete veramente eseguire lo script inserito, cliccate su Yes ed attendete la fine della scansione.
Alla fine della scansione riavviate il Pc

A questo punto effettuate una pulizia del sistema con Malwarebytes’ Anti-Malware

Scaricate Malwarebytes’ Anti-Malware sul desktop e procedete con l’installazione.

Avviate il software, procedete prima con l’update e successivamente effettuate una scansione in modalità “rapida” del sistema.

Selezionate tutti i malware scovati dal tool e cliccate su “Rimuovi selezionati”.

Ottenuto conferma che tutti i malware sono stati eliminati, potete chiudere il programma e riavviare il sistema.

Per finire, effettuate un’altra operazione  di pulizia con SUPERAntiSpyware, scaricabile  a questo link.