mercoledì 14 dicembre 2011

L'angolo della soluzione: Come rimuovere Windows PC Defender (finto antivirus)

NOTA STRAMALEDETTAMENTE MOLTO BENE: Le soluzioni che pubblichero' hanno funzionato quando le ho applicate ma non mi assumo assolutamente NESSUNA responsabilita' nel caso in cui una di queste soluzioni vi incasinasse tutta l'azienda anziche' risolvere il problema. Siete stati avvisati e, nel caso ci fosse qualcosa di poco chiaro, siete pregati di rileggere questa nota finche' non vi si fissa nel cranio come si deve (e qua mi rivolgo piu' che altro agli utOnti). :)


Come rimuovere Windows PC Defender (finto antivirus)

Andare nei registri di windows e cancellare le seguenti chiavi:
  1. HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
  2. HKEY_CLASSES_ROOT\WP345d.DocHostUIHandler
  3. HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes "URL" => http://search-gala.com/?&uid=201&q={searchTerms}
  4. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer "PRS" = http://127.0.0.1:27777/?inj=%ORIGINAL%
  5. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "UID" = "201"
  6. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform "89770891803"
  7. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows PC Defender"
Nota: Le voci 1, 2, 6 e 7 possono essere differenti.

Nella voce "1" a me e' capitata un'altra chiave ma basta aprirla per vedere un collegamento a un eseguibile dentro C:\documents and settings\AllUsers\Dati Applicazioni. Il nome dell'eseguibile era molto strano (tipo Wu9801.exe).
Per la voce "2" a me cambiava dopo la "W" iniziale ma finiva comunque con .DocHostUIHandler.
Per la voce "6" cambiava il numero del Post Platform.
La voce "7" invece era non in CURRENT_USER ma in LOCAL_MACHINE.

Su un sito, a questo punto, dicevano di togliere dalla memoria alcune dll (il comando, per la cronaca, e': regsvr32 /u nome.dll). Io non le ho trovate perche' probabilmente avevano cambiato nome. Se volete fare una cosa pulita scaricatevi ListDLLs da Sysinternals e vedete quali sono collegate all’eseguibile di PC Defender. Le DLL che dicevano sul sito, comunque, sono queste: mozcrt19.dll sqlite3.dll cid.dll ddv.dll tempdoc.dll

Cancellare queste directory:
  1. C:\Documents and Settings\All Users\Application Data\3ad5ffe
  2. C:\Documents and Settings\All Users\Application Data\345d567
  3. C:\Documents and Settings\All Users\Application Data\345d567\WPCDSys
  4. C:\Documents and Settings\All Users\Application Data\WPCDSys
  5. %UserProfile%\Application Data\Windows PC Defender
Nota: Sul sistema che ho esaminato le cartelle "2" e "3" non c'erano mentre la "5" era da un’altra parte.

Rimuovere il collegamento al programma Windows PC Defender dal desktop.

3 commenti:

  1. questo problema non mi si è mai presentato *corna*
    però volevo dirti che il tuo blog è fantastico.

    RispondiElimina
  2. PC Defender non è un problema che si presenti.
    E' un disastro che ti vai a cercare!

    [ Marsupiale, ho visto i libri che commentavi. Interessanti e ben riassunti, peccato che poi tu abbia interrotto il blog ]

    RispondiElimina
  3. @La_Koalina: Grazie per i complimenti, fanno sempre piacere. :)

    @Valeren: Sono assolutamente d'accordo e lo stesso discorso vale per tutti i finti antivirus. Non hai idea di quanti utOnti mi hanno chiamato lamentandosi che l'antivirus che avevano installato rilevava un sacco di file infetti mentre Avira non ne trovava nessuno. Ovviamente il fatto che, dopo aver installato questo "fantastico" antivirus, non riuscivano a usare il PC e' un altro discorso. :)

    RispondiElimina