mercoledì 11 gennaio 2012

L'angolo della soluzione: Rimuovere falso antivirus Windows 7 Antispyware 2012

NOTA STRAMALEDETTAMENTE MOLTO BENE: Le soluzioni che pubblichero' hanno funzionato quando le ho applicate ma non mi assumo assolutamente NESSUNA responsabilita' nel caso in cui una di queste soluzioni vi incasinasse tutta l'azienda anziche' risolvere il problema. Siete stati avvisati e, nel caso ci fosse qualcosa di poco chiaro, siete pregati di rileggere questa nota finche' non vi si fissa nel cranio come si deve (e qua mi rivolgo piu' che altro agli utOnti). :)


Come rimuovere il falso antivirus Windows 7 Antispyware 2012 (o XP Internet Security 2012)

Questo "fantastico" (prego notare il sarcasmo) falso antivirus ha la splendida caratteristica di bloccare l'esecuzione di tutti i .exe che cercate di lanciare (veri antivirus e simili). Io l'ho trovato sia con il nome di "Windows 7 Antispyware 2012" che "XP Internet Security 2012".
La procedura che ho seguito per risolvere il problema e' stata questa:

  1. Registrate il falso antivirus utilizzando o questo seriale "1147-175591-6550" o questo "2233-298080-3424" oppure (che e' il piu' recente in circolazione) questo "3425-814615-3990";
  2. Fermate SUBITO tutti i processi di aggiornamento o rimozione che partono dopo la registrazione;
  3. Ora dovreste essere in grado di lanciare gli eseguibili quindi scaricatevi il "Process Explorer" e chiudete tutti i processi a tre lettere (cose tipo cjh.exe, per capirci) che partono da cartelle tipo %AppData% o %Temp% o simili (nel mio caso, su una macchina XP, era in C:\Documents and Settings\nome_utente\Impostazioni locali\Dati applicazioni\cjh.exe);
  4. Scaricare, installate e aggiornate il Malwarebytes' AntiMalware e fate fare una scansione COMPLETA di tutto il sistema;
  5. Al termine della scansione, cliccate (se non conoscete il programma) su "Mostra i risultati" ed eliminate i file infetti quindi, come richiesto, riavviate il PC.

Dimenticavo: Nel caso in cui questo falso antivirus vi abbia incasinato l'avvio dei file eseguibili (ogni volta che ne lanciate uno vi appare un errore del tipo "il file non e' associato a nessun programma") copia-incollate TUTTE le istruzioni in corsivo qua sotto in un file di testo e salvatelo con l'estensione .reg quindi lanciatelo.


Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\.com]
@="comfile"

[HKEY_CLASSES_ROOT\.com\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\comfile]
@="Applicazione per MS-DOS"
"EditFlags"=hex:30,00,00,00

[HKEY_CLASSES_ROOT\comfile\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,32,00,00,00

[HKEY_CLASSES_ROOT\comfile\shell]

[HKEY_CLASSES_ROOT\comfile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shellex]

[HKEY_CLASSES_ROOT\comfile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\comfile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\comfile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile]
@="Applicazione"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers\CmdLineExt]
@="{9869EFB4-18E9-11D3-A837-00104B9E30B5}"

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

16 commenti:

  1. Stica, questo fa davvero danni!
    Tra l'altro non mi sembra ci sia la certezza di riportare il PC ad uno stato pienamente funzionale.
    Quando si gioca con le shellex qualche problema rimane, nella mia esperienza.

    Onestamente se mi trovassi un PC così cercherei un punto di ripristino abbastanza recente e amen.
    Oppure si reinstalla.

    Però questi sono dei criminali veri.
    Da ficcargli la tastiera nel sottocoda, di traverso.

    RispondiElimina
  2. @Valeren: I virus che vanno a incasinare l'avvio dei .exe sono quelli che odio di piu'. Mi e' capitato una volta di pulire un PC da un'infezione, riavviarlo e trovarmi con un bel "explorer.exe il file non e' associato a nessun programma". Non ti dico le bestemmie.
    Concordo per il discorso della tastiera nel sottocoda, comunque. :)

    RispondiElimina
  3. Se vedessi partire il sistema per ricevere un messaggio che explorer.exe non parte, penserei ad uno scherzo.
    Se al secondo riavvio non guarisce formatto senza passare dal via.

    OT brutale: ma la sala macchine è ferma da dicembre?
    A memoria è totalmente pianificata, quindi gli articoli sarebbero dovuti uscire.
    Ne sai nulla?^

    RispondiElimina
  4. @Valeren: Prima o poi chiedero' al Boss se possiamo montare alcuni linux blindati di test con l'interfaccia IDENTICA a Windows. Devo provare la mia teoria che "tanto non cambia niente" agli utOnti mentre migliorerebbe tantissimo la mia esistenza. :)

    OT brutale: No, non so nulla della sala macchine purtroppo.

    RispondiElimina
  5. @ Bitmover [ che evidentemente non ha notato che sto scrivendo solo io ]

    Non funzionerebbe e lo sai benissimo.
    CL: " Perché non c'è Aggiungi / rimuovi applicazioni? "
    CL: " Dov'è Outlook? "
    CL: " Perché il mio programmino indispensabile [ leggi: inutile ] non funziona? "

    E via discorrendo.

    Per la sala macchine: sei totalmente inutile!
    Buono solo a scrivere di virus o come cambiare una risma di carta da remoto... :p

    RispondiElimina
  6. @Valeren [che evidentemente deve bere ancora il caffe' del pomeriggio]

    Prova tu a cambiare una risma di carta da remoto, dai, ti sfido. :P

    RispondiElimina
  7. @ Bitmover [ che evidentemente sta subendo una dipendenza da Twitter, mentre io sono al quinto caffé e al limite della soglia omicida ]

    Guarda che non è colpa mia se la gente dichiara di " Cambiare la carta di una stampante per un utente in RDP ".
    Oh, che Remote Desktop avesse le manine e aprisse le stampanti non lo sapevo! :D

    RispondiElimina
  8. @Valeren [che dovrebbe pensare seriamente di proporsi a Zelig vista la simpatia di questi commenti]

    Non e' che puoi incolpare me se certi tizi si fermano a leggere la prima riga di un post e non vanno oltre. :P

    RispondiElimina
  9. @ Bitmover [ che tra poco comincerà a parlare di sé in terza persona... ]

    Intanto vado una riga più in là dei tuoi utonti!

    RispondiElimina
  10. @Valeren [che penso parli gia' di se' stesso in terza persona]

    Non mi sono mai permesso di mettere in dubbio una cosa simile. Mi sarei preoccupato del contrario. :D

    RispondiElimina
  11. Ciao a tutti
    è successo anche a me sta cosa ieri (notte alle 2) e ho risolto in un modo un po' meno macchinoso (dopo un'ora di bestemmie assortite a Murphy e ai suoi parenti fino al settimo grado).

    ho aperto Process Explorer come amministratore (funzione inutile di win 7 ma che mi ha permesso di bypassare il doppio click) e ho visto quali fossero gli .exe "strani" (non ricordo i nomi e non li voglio nemmeno sapere) e ho terminato i processi.
    ho aperto la cartella dove si erano salvati i bastardi e ho cancellato i file.
    oggi il pc non fa casini. Non riconosce ancora firefox.exe ma adesso provo la tua soluzione

    RispondiElimina
  12. @Tsuki: Sfortunatamente io ho avuto a che fare con un XP e quel maledetto folletto (aka virus) non mi faceva aprire un tubo. :)
    Spero tu abbia risolto, comunque. :)

    RispondiElimina
  13. @ Bitmover: grazie intanto, causa un uTonto che qui in ufficio ha scambiato XP Internet Security 2012 per un antivirus....ho letto con profonda attenzione le tue indicazioni. Ti chiedo solo come occorre nominare il file .reg da eseguire con il contenuto che hai evidenziato? Perchè se la denominazione non ha influenza, purtroppo nel mio caso non ha funzionato :(

    RispondiElimina
  14. @Anonimo: Il file .reg lo puoi chiamare come ti pare (pippo.reg, sex.reg, antivirus.reg), l'importante e' che l'estensione sia .reg e non .txt o altro. Praticamente, facendo doppio click sopra il sistema deve chiederti se vuoi aggiungere il file al registro di Windows (o qualcosa del genere, vado a memoria).

    RispondiElimina
  15. maledetto a dir poco, io ho testato le coronarie e posso solo immaginare un povero utOnto che si vede il pc impazzire allegramente e soprattutto l'antispyware 2012(!!) di winsozz che gli dice di cominciare a recitare il rosario in yiddish pena la cancellazione dell'account di feisbuk, l'uccisione del pesce rosso dopo atroci torture e l'estinzione del genere umano.

    funziona tutto a meraviglia, grazie per le istruzioni del registro di sistema. il pc è tornato alla solita lentezza e allegra confusione che ho creato.
    se vuoi fare una statistica, me lo sono beccata sulla home di youtube, manco fosse stato youporn!!

    RispondiElimina
  16. @Tsuki: Mi fa piacere sapere che le istruzioni per il registro di sistema hanno sistemato il problema (o parte del problema). :)

    RispondiElimina