MS Removal Tool è un falso software di sicurezza (comunemente chiamato rogue) che infetta i PC attraverso un trojan creato ad hoc dai pirati informati per estorcere denaro.
Il falso antivirus appena infettato il pc avvia false scansioni e messaggi pop-up per far credere all’utente che il proprio sistema è infettato, allo scopo di invitarlo a comprare la finta licenza del falso antivirus.
Non acquistate nessuna licenza!
I sintomi che presenta un pc rimasto vittima di MS Removal Tool (nonostante il nome nulla a che vedere con Microsoft) sono:
- sistema rallentato
- settaggi del browser modificati
- apertura continua di finestre pop-up durante la navigazione
- l’impossibilità in alcuni casi di collegarsi ad internet
Come disinfettarsi.
Il tool che si è dimostrato efficace nel rimuovere MS Removal Tool è:
Malwarebytes Anti-Malware
Disinfettarsi con Malwarebytes Anti-Malware
Avviate il PC in modalità provvisoria:
-Immediatamente al termine del caricamento del BIOS, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Se si comincia a premere il tasto F8 troppo presto, su alcuni computer viene visualizzato il messaggio di errore “errore di tastiera”. Per risolverlo, riavviare il computer e provare di nuovo.
– Usando i tasti freccia di direzione sulla tastiera, scorrere le opzioni e selezionare il menu Modalità provvisoria, quindi premere Invio (Enter).
Scaricate ATF Cleaner, salvatelo sul desktop e successivamente avviatelo.
Dalla schermata principale del software cliccate prima su Select All e successivamente su Empty Selected.
Scaricate Malwarebytes’ Anti-Malware sul desktop, avendo cura di rinominare il file in modo generico, per esempio:
- mbam-setup.com
- iexplore.exe
- explorer.exe
- userinit.exe
- winlogon.exe
Successivamente procedete con l’installazione.
Avviate il software, procedete prima con l’update e successivamente effettuate una scansione in modalità “Scansione completa” del sistema.
Selezionate tutti i malware scovati dal software e cliccate su “Rimuovi selezionati”.
Ottenuto conferma che tutti i malware sono stati eliminati, potete chiudere il programma e riavviare il sistema.
Se il malware impedisce l’avvio di Malwarebytes’ Anti-Malware, scaricate ed avviate una scansione con uno dei seguenti tools per ripristinare l’avvio:
- RKill.com Download Link
- RKill.exe Download Link
- RKill.scr Download Link
- eXplorer.exe Download Link
- iExplore.exe Download Link
- uSeRiNiT.exe Download Link
- WiNlOgOn.exe Download Link
N.B. Durante la scansione con uno dei sopracitati tools è possibile che il vostro antivirus o Malwarebyte’s vi segnali che il tool è un virus: IGNORATE il messaggio e procedete con la scansione!
Terminata la scansione non riavviate il PC ma avviate Malwarebyte’s e prrocedete alla scansione come indicato sopra.
Se con i software indicati sopra ancora non si riesce a far avviare Malwarebytes’ Anti-Malware procedete così:
Dirigitevi sulla cartella C:\Programmi\Malwarebytes’ Anti-Malware, da qui individuate e rinominate il file mbam.exe con uno dei seguenti nomi:
- mbam.com
- iexplore.exe
- explorer.exe
- userinit.exe
- winlogon.exe
Se ancora nonostante ciò Malwarebytes’ Anti-Malware non si dovesse avviare, provate ad avviarlo con i diritti di Amministratore: tasto destro del mouse “Esegui come ….” e scegliete ovviamente l’account Amministratore.
Se il malware vi inibisce l’accesso ad internet e quindi all’update del software, procedete come di seguito:
Avviate Internet Explorer e dal menu cliccate prima su Strumenti e dopo su Opzioni Internet
Successivamente cliccate su Connessioni e dopo su Impostazioni LAN
Togliete il segno di spunta sul campo “utilizza un server proxy…“, cliccate su OK per confermare.
A questo punto dovreste ripristinare il collegamento internet.
In alternativa a Malwarebytes Anti-Malware sono altrettanto efficaci i seguenti tool:
Attenzione se non riuscite ad installare i software segnalati nell’articolo, leggete qui.
il procedimento si può attuare anche in modalità normale o solo provvisoria?
@ Matteo
E’ consigliabile effettuare il tutto in modalità provvisoria.
Saluti.
ah ok grazie 🙂 Magari provo prima in modalità normale visto che il mio mouse e tastiera non funzionano in modalità provvisoria 🙁
ho provato in modalità normale ma non mi apre nè atf cleaner nè l’ anti-malaware, solo che come faccio a muovermi in modalità provvisoria se il mio mouse e la mia tastiera sono usb?
Ho fatto tutto ciò che è scritto qui sopra, ma al riavvio del pc in modalità normale MS removal c’era ancora!!! Qualcuno sa dirmi come rimuoverlo manualmente con gli indirizzi esatti dove andare a cercare i file corrotti?
@ Alessio
Files da cancellare:
c:\Documents and Settings\All Users\Application Data\\
c:\Documents and Settings\All Users\Application Data\\
c:\Documents and Settings\All Users\Application Data\\.exe
Chiavi di registro da eliminare:
KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “”
Saluti.
come posso in modalità provvisoria scaricare i programmi che richiedete!
siete gentilissimi, aiutooo!!!
grazie mille!
Grandissimi, mi avete salvato!
Soltanto una piccola nota: è meglio scaricare Malwarebytes’ Anti-Malware direttamente dal sito. Io poi, avendo perso la connessione wi-fi con la modalità provvisoria ho scaricato i programmi normalmente, ma li ho installati e usati in provvisoria. Per il resto, tutto perfetto.
Grazie ancora 🙂
Ragazzi dopo 24 ore di combattimento sembra che sia riuscito ad eliminare questo MS Removal Tool. Ma da dove arriva questo maledetto? Al rientro nella stanza mi sono ritrovato il pc riavviato con MS Removal Tool che chiedeva di seguire le sue istruzioni…
Segnalo che il collegamento per scaricare Malwarebytes’ presente qui sopra produce un download di un file corrotto “guasto” che quando lo lanci da messaggio di errore e non installa niente.
Come ha suggerito Empai meglio scaricare dal sito ufficiale.Quello ufficiale funziona come installazione e soprattutto come disinfestazione.
Grazie 1000
Ottimi suggerimenti per rimediare al maledetto malware!!!
Grazie tante! Ho seguito alla lettera il procedimento per disinfestare il mio pc. Tutto ok!
Grazie
Che fare se il malware non rileva elementi infetti? -.-
Grazie per l’aiuto, seguendo i suggerimenti, risolto!
ciao a tutti
ho seguito passo passo tutte le istruzioni ma nonostante questo il problema non viene risolto,infatti dopo la scansione riavvio il pc ma ms pro tool è sempre li.forse è perché nemmeno in modalità provvisoria riesco a connettermi(avendo un fisso utilizzo il wi fi con una chiavetta)?come posso fare? Grazie
provato in modalità provvisoria ma il mio pc non si connette a internet neppure come avete consigliato (togliere segno di spunta … proxy)
così non trova il virus da cancellare
help
Mi chiedevo la stessa cosa di Sara: se l’Anti-Malware non rileva file infetti che cosa significa? E come si fa a ovviare al problema?
Vi ringrazio tantissimo per l’aiuto: questo sito e le vostre risposte mi hanno salvato in momenti molto bui.
@ Chiara
Effetua una ulteriore scansione con SuperAntispyware.
Cordiali saluti.
Nunzio.
grazie mille!! davvero utilissimo!!! ero disperato, con malaware ho risolto subito!!
sei un grande! 😉
Grazie a tutti!!!
Grazie Nunzio, ieri ho fatto una scansione con SuperAntispyware e ho risolto.
Peccato però che il bello è durato solo 10 minuti, perchè non so come il virus si è “rigenerato” ribloccando nuovamente il mio pc 🙁
Mi hanno detto che dopo la scansione si dovrebbero cancellare alcuni file di registro…qualcuno sa dirmi come ci arrivo e quali sono?
@ Carlo
Hai ragione ho provato ad installare il Malwarebytes’ presente qui e produce un download di un file corrotto “guasto” che quando lo lanci da messaggio di errore e non installa niente, e non mi ha risolto il problema…..sob!
Tu sapresti dirmi dove scarico il Malwarebytes’ funzionante?
Grazie in anticipo a tutti ;o))
Buon pomeriggio
@Asia
Prima di effettuare nuovamente la scansione con SuperAntispyware e/o Malvarebyte’s elimina tutti i punti di rispristino del sistema operativo. Il virus non dovrebbe ritornare.
Come si eliminano i punti di ripristino? Basta sapere quale è il sistema operativo (XP, Vista, W7) e dopo fare una ricerca in rete per ottenere le dovute informazioni.
Cordiali saluti.
Nunzio.
grazie.
tutto fatto
il virus è sparito
ho lavorato in modalità provvisoria con rete, altrimenti non si aggiornava il database di Malwarebytes’ Anti-Malware
grazie ancora!!!!
Anche io sono caduto nella trappola … 🙁 e grazie al vostro provvidenziale suggerimento sono riuscito in breve tempo a disinstallare questo schifosissimo malware (MS Removal Tool),
ancora tante grazie,
Fabio
Ciao. ho seguito tutto il procedimento…ma al momento di fare l’update del malwarebytes mi da un codice d’errore…poi però il programma parte normalemente( ovviamente in versione non aggiornata). Fatto sta che a fine scansione ha trovato un solo file dannoso…ma quando ho fatto ripartire il pc il maledetto MS removal tool era ancora lì!!! sto provando a scaricare uno dei tool che hai impostato…speriamo vada meglio!!
Grazie mille mi avete salvato il pc!
Ragazzi scusatemi ma il fatto è che avendo la chiavetta internet una volta entrata in modalita provvisoria mi chiede di installarla per potermi connettere ma poi anche una volta raivviato il computer non me la legge e mi richiede nuovamente di reinstallarla….come faccio?? in piu ho provato a seguire il tutto in modalita normale ma da un altro account visto che il mio si è disabilitato, e nessuno dei software consigliati mi trovano niente!!!! aiutatami vi prego ho messo apposto il computer poco tempo fa e adesso con sta bastardata è andato tutto a quel paese!!!!!!!!
@Ylenia
Prova ad utilizzare uno dei seguenti codici per attivare la licenza del falso software:
WEEA-S0DF5-GS5E0-FG14S-2DF8G
WEEA-JUYH3-24GHJ-HGKSH-FKLSD
WEEA-89OF7-7324R-5SAD4-TG68U
WEEA-HFVDR-9844O-U54DA-5TBSC
WEEA-G8FB6-1V87S-DRT1S-63SRG
WEEA-4BGY2-JY4KO-IT98Y-7HJ43
WEEA-5D1V2-XB0D5-JT1TY-97DS3
WEEA-F40SA-1ER5H-4FG5D-F8412
WEEA-SERFH-2642S-F04SD-64FG1
WEEA-S0DF5-GS5E0-FG14S-2DF8G
WEEA-452S3-ER00F-TSE35-S8FSD
WEEA-FGS5D-649RG-4S53D-412SF
WEEA-4TS8R-D6F5D-4JH8T-U4JK5
WEEA-2AE32-1VFC2-B6894-G67YU
WEEA-P9685-4H41A-DSW3A-2R64T
WEEA-5SRTS-AEHUF-YA54S-D6F35
WEEA-A1SDF-RY4E8-7U98D-F1GB2
WEEA-A1SDF-6AS4D-RF5RE-79G84
WEEA-TTUYJ-7UO54-G561H-J1D6F
WEEA-G84H6-S854F-79ZA8-W4ERS
WEEA-6W954-FX65B-41VDF-8G4JI
WEEA-U94KO-LF4G4-1V8S1-2CRFE
WEEA-TGN15-RFF29-AASDJ-ASD65
Successivamente procedi con la disinfezione con i software indicati nella guida.
Cordiali saluti.
ho fatto tutto ma il malware è ancora li, ho scaricato malwarebytes ma mi da errore all’inizio..fa la scansione elimina i file ma niente..il collegamento qui porta sempre al sito ufficiale di sto malwarebytes percio cliccare qui o cercarlo su google sempre quel exe li è..cosa faccio? scrivetemi alla mail
ragazzi andatelo a elminare manualmente
C:\Documents and Settings\All Users\Dati applicazioni trovate una cartella strana con un nome molto piu lungo delle altre e dentro l’eseguibile bxxxxx.
rinominate il .exe
riavviate il pc
ops nn ti avvii più adesso! che peccato buttarti nel cestino e svuotarlo malware bxxxx.
😉
non riesco ad aprire atf cleaner x che?
Ciao, non ho parole per ringraziarvi. Grazie alle vostre istruzioni sono riuscita a rimuovere il maledetto! Ma come caspita si installa, un attimo prima non c’è e pam eccolo sul pc.
Grazie ancora!
Sto usando adesso malwerebytes per sconfiggerlo…credo che sia riuscito a rilevarlo!!
Grazie per le vostre utilissime dritte!!
Ma come si fa a impedire a questo virus di entrare??..io come antivirus uso avira, lo aggiorno sempre, e nonostante questo non è riuscito a bloccarlo..anzi…non se ne è proprio accorto.
Qualche miglior antivirus da suggerire?
@Viola
Ti sembrerà strano, ma purtroppo per questo genere di malware (rogue) molto spesso gli antivirus possono fare ben poco.
Antivir, l’antivirus da te utilizzato, lo considero senza dubbio tra i migliori, pertanto non mi sento di suggerirtene un altro.
In ogni caso a questo indirizzo puoi trovare dei test di efficacia condotti da un noto laboratorio indipendente sui più conosciuti Antivirus, e da li farti un’idea su quale adoperare per il tuo PC.
Cordiali saluti.
Malware, dopo aver trovato il virus in modalità provvisoria, lo ha eliminato. Ho riavviato ma il virus c’è ancora.
sto provando a eliminare i punti di ripristino del sistema..vediamo se funziona stavolta!!
Grazie mille per i consigli!!
Effettua ancora una scansione con superantispyware in modalità provvisoria avendo cura di rimuovere prima tutti i punti di ripristino.
Cordiali saluti.
Guardate a me è andata un po’ peggio.
Qualsiasi EXE veniva bloccato dal virus (quindi non potevo usare msconfig per far ripartire il pc in modalità provvisoria).
Non riuscivo ad accedere alla modalità provvisoria da boot.
Ho formattato.
Ora ho verificato e f8 funziona per accedere alla modalità provvisoria quindi se prima non ci riuscivo vuol dire, almeno credo, che mi abbia modificato anche le configurazioni del boot.
…