Buongiorno a tutti,
in questi giorni mi sono imbattuto in un noioso malware che scimmiotta un po la suite di Microsoft che tra le altre funge da antivirus.
Il programma è piuttosto subdolo per gi utenti meno smaliziati perchè si camuffa da antivirus e raggira il malcapitato di turno chiededo di fornire le autorizzazioni per installarsi poichè sul pc è stato trovato un virus… Falso, la minaccia e proprio lui, “Internet Security Essentials“.
Fortunatamente nel mio caso il tool-malware non era stato installato completamente ed è stato abbastanza facile rimuoverlo a mano; di seguito le istruzioni per farlo e i siti di riferimento.
Le istruzioni che seguono si riferiscono sia ai sistemi windows 2000 / xp che vista / 7; controllate se ci sono, e in caso, rimuovete i seguenti file:
- %UserProfile%\ApplicationData\Internet Security Essentials
- %UserProfile%\ApplicationData\Internet SecurityEssentials\cookies.sqlite
- %UserProfile%\Desktop\InternetSecurity Essentials.lnk
- %UserProfile%\StartMenu\Internet Security Essentials.lnk
- %UserProfile%\ApplicationData\Internet SecurityEssentials\Instructions.ini
- %UserProfile%\StartMenu\Programs\Internet SecurityEssentials.lnk
- %UserProfile%\ApplicationData\Microsoft\InternetExplorer\Quick Launch\Internet Security Essentials.lnk
- C:\Documentsand Settings\All Users\ApplicationData\23077d\CB130_287.exe
- C:\Documentsand Settings\All Users\Application Data\38gdr2\
- C:\Documentsand Settings\All Users\Application Data\38gdr2\[SETOF RANDOM CHARACTERS].dll
- C:\Documentsand Settings\All Users\ApplicationData\38gdr2\[SET OF RANDOM CHARACTERS].ocx
- C:\Documentsand Settings\All Users\Application Data\SMEYFE%UserProfile%\ApplicationData\Internet Security Essentials\
%UserProfile% è una variabile d’ambiente che fa riferimento a:
C:\Documents and Settings\[UserName] (for Windows 2000/XP)
C:\Users\[UserName]\ (for Windows Vista & Windows 7)
Eliminate anche le seguenti chiavi di registro:
- HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Download”RunInvalidSignatu res” = ’1′
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings”Pro xyServer” = “http=127.0.0.1:18392″
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”InternetSecurity Essentials”
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFile Execution Options “Debugger” =”svchost.exe”
Le istruzioni per la rimozione sono state prese dal sito della comunity di McAfee.
Un’altra risorsa utile che però non ho testato personalmente può essere Stinger, info qui e qui.
Good hunting!
