Win Antivirus Vista/XP è un falso software di sicurezza della stessa famiglia di SysAntivirus 2009 e PC Defender 2008.
Il falso antivirus una volta infettato il pc, avvia false scansione facendo credere all’utente di avere il sistema infettato, invitandolo ad acquistare la licenza del falso antivirus per disinfettarsi.
Ovviamente non acquistate nulla!
I sintomi che presenta un pc rimasto vittima di Win Antivirus Vista/XP sono:
sistema rallentato, settaggi del browser modoficati, apertura continua di finestre pop-up durante la navigazione ed infine l’impossibilità in alcuni casi di collegarsi ad internet.
Questi sono i files creati dal falso antivirus:
c:\Program Files\Win-Antivirus
c:\Program Files\Win-Antivirus\AntiSpyware_Uninstall.exe
c:\Program Files\Win-Antivirus\default.xml
c:\Program Files\Win-Antivirus\fastcam.exe
c:\Program Files\Win-Antivirus\ignore.xml
c:\Program Files\Win-Antivirus\quarantine.xml
c:\Program Files\Win-Antivirus\settings.xml
c:\Program Files\Win-Antivirus\WinAntivirus.exe
c:\Program Files\Win-Antivirus\conf
c:\Program Files\Win-Antivirus\conf\clamd.conf
c:\Program Files\Win-Antivirus\conf\freshclam.conf
c:\Program Files\Win-Antivirus\data
c:\Program Files\Win-Antivirus\data\block.reg
c:\Program Files\Win-Antivirus\data\block_un.reg
c:\Program Files\Win-Antivirus\data\daily.cvd
c:\Program Files\Win-Antivirus\data\database.dat
c:\Program Files\Win-Antivirus\Microsoft.VC80.CRT
c:\Program Files\Win-Antivirus\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
c:\Program Files\Win-Antivirus\Microsoft.VC80.CRT\msvcm80.dll
c:\Program Files\Win-Antivirus\Microsoft.VC80.CRT\msvcp80.dll
c:\Program Files\Win-Antivirus\Microsoft.VC80.CRT\msvcr80.dll
c:\Program Files\Win-Antivirus\modules
c:\Program Files\Win-Antivirus\quarantine
c:\WINDOWS\svchost.exe
c:\WINDOWS\system32\bills.dat
c:\WINDOWS\system32\dddesot.dll
c:\WINDOWS\system32\ersddat.dat
c:\WINDOWS\system32\lpsdat.dat
c:\WINDOWS\system32\setupixs.dat
c:\WINDOWS\system32\ssddat.dat
c:\WINDOWS\system32\tdferte.dat
%UserProfile%\Desktop\Win Antivirus.lnk
%UserProfile%\Start Menu\Programs\Win Antivirus
%UserProfile%\Start Menu\Programs\Startup\ASC-AntiSpyware.lnk
%UserProfile%\Start Menu\Programs\Win Antivirus\Win Antivirus.lnkQueste invece le chiavi di registro:
HKEY_CURRENT_USER\Software\Softimer
HKEY_CURRENT_USER\Software\WinAntivirusVista-XP
HKEY_CURRENT_USER\Software\WinAntivirusVista-XP\WinAntivirus
HKEY_CLASSES_ROOT\CLSID\{8BAB8541-6E7B-F904-EEBD-D2A51C6CD329}
HKEY_CLASSES_ROOT\CLSID\{F54AF7DE-6038-4026-8433-CC30E3F17212}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F54AF7DE-6038-4026-8433-CC30E3F17212}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinAntivirus
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ANTIPWINSX32_
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AntipWinsx32_
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ANTIPWINSX32_
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AntipWinsx32_Come disinfettarsi.
Scaricate Avenger a questo link e scompattatelo dove volete.Avviate Avenger, copiate ed incollate lo script in basso nella finestra del programma e cliccate su Execute
Drivers to delete:
AntipWinsx32_
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2F3D01F3-2A8E-4814-AA0F-8315172D22BF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F54AF7DE-6038-4026-8433-CC30E3F17212}
Files to delete:
%windir%\system32\setupixs.dat
%windir%\system32\bills.dat
%windir%\system32\ssddat.dat
%windir%\system32\ersddat.dat
%windir%\system32\dddesot.dll
%windir%\system32\lpsdat.dat
%userprofile%\Start Menu\Programs\Startup\ASC-AntiSpyware.lnk
Folders to delete:
%programfiles%\Win-AntivirusUna finestra di dialogo vi chiederà se volete veramente eseguire lo script inserito, cliccate su Yes ed attendete la fine della scansione.
Alla fine della scansione riavviate il PcA questo punto effettuate una pulizia del sistema con Malwarebytes’ Anti-Malware
Scaricate Malwarebytes’ Anti-Malware sul desktop e procedete con l’installazione.
Avviate il software, procedete prima con l’update e successivamente effettuate una scansione in modalità “rapida” del sistema.
Selezionate tutti i malware scovati dal tool e cliccate su “Rimuovi selezionati”.
Ottenuto conferma che tutti i malware sono stati eliminati, potete chiudere il programma e riavviare il sistema.
Per finire, effettuate un’altra operazione di pulizia con SUPERAntiSpyware, scaricabile a questo link.