Disinstallare correttamente un antivirus

Non sempre è possibile rimuovere un antivirus servendosi dell'uninstaller del programma, spesso nemmeno il Pannello di Controllo ci viene in aiuto. Le cause possono essere molteplici, un driver corrotto da un malware, le impronte virali appena scaricate corrotte .
Altre volte ci siamo imbattuti in disinstallazioni incomplete, spesso infatti molti valori presenti nel registro di sistema non venivano rimosse con la conseguente impossibilità di installare nuovi antivirus, a chi non è mai capitato almeno una volta di vedersi negare l'utilizzo di un nuovo software perchè risiedevano nel sistema tracce di precedenti antivirus?

Come rimuovere allora tutti i dati presenti nel nostro computer?

Da qualche anno ormai, quasi tutte le aziende, a fronte di parecchie lamentele da parte degli utenti hanno rilasciato applicazioni ad hoc, uninstaller prelevabili direttamente dal sito del produttore.

Ho voluto quindi raccogliere quelli che, al momento, sono sicuramente gli antivirus maggiormente utilizzati.

                                                             

 
 
Avast! 5
 

1. Scaricare il tool
2. Riavviare in modalità provvisoria
3. Eseguire il tool
4. Cliccare su "Rimuovi"
5. Riavviare in modalità normale il computer

AVG (s.o. 32 bit)

1. Scaricare il tool
2. Riavviare in modalità provvisoria
3. Eseguire il tool
4. Riavviare il computer in modalità normale

Avira

1. Scaricare il tool
2. Eseguire il tool
3. Eseguire una scansione
4. Rimuovere i valori
5. Riavviare il computer

BitDefender

1. Scaricare il tool
2. Cliccare su Uninstall
3. Terminata la rimozione dei valori riavviare il computer

Nod32



ISTRUZIONI PER Windows Vista/Home Server/XP/2003 R2/2003/2000

1. Scaricare il tool
2. Riavviare in modalità provvisoria
3. Eseguire il tool
4. Leggere le avvertenze e, per confermare la disinstallazione, premere "y"
5. Per iniziare la disinstallazione prenere Enter/Invio. Attendere la disinstallazione
6. Premere un tasto qualsiasi per uscire dal prompt dei comandi
7. Riavviare in modalità normale

ISTRUZIONI PER Windows7

1. Scaricare il tool sul desktop
2. Riavviare in modalità provvisoria
3. Cliccare su "Start" e scrivere "cmd" (senza apici) dare l'Invio
4. Nella finestra scrivere "cd desktop" (senza apici) e dare l'Invio
5. Scrivere il comando "ESETUninstaller.exe/reinst" (senza apici) e dare l'Invio
6. Leggere le avvertenzee, per confermare la disinstallazione, premere "y"
7. Per iniziare la disinstallazione prenere Enter/Invio. Attendere la disinstallazione
8. Premere un tasto qualsiasi per uscire dal prompt dei comandi
9. Riavviare in modalità normale

F-Secure

1. Scaricare il tool
2. Eseguire il tool di rimozione
3. Riavviare il computer

GData

1. Scaricare il tool
2. Eseguire il tool, cliccare su "Select All"
3. Cliccare su "Delete"
4. Cliccare su "Cancel" per chiudere il tool di rimozione
5. Riavviare il computer

Kaspersky

1. Scaricare il tool
2. Eseguire il tool ed inserire il codice nel box come richiesto
3. Selezionare il prodotto in uso e premere su "Remove"
4. Dopo la disinstallazione premere, all'interno del messaggio che comparirà a video, su "OK"
5. Riavviare il computer

McAfee

1. Scaricare il tool
2. Eseguire il tool di rimozione
3. Riavviare il computer

Norton

1. Scaricare il tool
2. Eseguire il tool, inserire il codice nel box come richiesto
3. Avviare la scansione
4. Riavviare il computer

Panda Security

1. Scaricare il tool
2. Eseguire il tool, leggere le avvertenze e cliccare su Yes/Sì
3. Cliccare su "Start" > "Esegui" digitare "regedit" (senza apici) dare l'Invio
4. Verificare la presenza della chiave HKEY_LOCAL_MACHINE\SOFTWARE\Panda Software\Setup\Hotfix se esiste eliminare (click di dx) il valore "Hotfix"
5. Premere F5 e riavviare il computer

NB:
su sistemi operativi WinVista e Win7 è consigliabile eseguire i tool di rimozione con privilegi di Amministratore.



Questo blog e l'autore di questo articolo non si assumono alcuna responsabilità per eventuali perdite di dati e/o successivi malfunzionamenti dei computer dopo l'utilizzo dei tool di rimozione.

Think Point si traveste da Microsoft Security Essentials

E' uno dei tanti rogue antivirus presenti in internet scaricati principalmente attraverso canali P2P che se installato crea non pochi problemi di rimozione. La sua caratteristica è quella di aprire delle finestre dove vengono segnalate false infezioni rilevate da una versione fake di Microsoft Security Essentials

L'esegubile del programma è TrojanRemovalKit.exe con un peso di 565.248 byte su disco, se installato esegue il file di sistema mshta.exe, applicazione che serve per leggere i file con estensione .hta, applicazioni html capaci di caricarsi indipendentemente dal browser.

Viene richiesta l'apertura dell'URL http://report[rimosso]bosn.com/ in seguito l'eseguibile

TrojanRemovalKit.exe aggiunge il file hotfix.exe nella dir (su sistemi Win XP)
C:\Documents and Settings\nome utente\Dati Applicazione
esegue il file di sistema cmd.exe e, da riga di comando, viene eseguito il file sdghzxfg.bat presente nella dir C:\Documents and Settings\nome utente\Dati Applicazione ecco il comando impartito dal file .bat

=

:dsfgdfh
del "C:\Documents and Settings\nome utente\Desktop\TrojanRemovalKit.exe"
if exist "C:\Documents and Settings\nome utente\Desktop\TrojanRemovalKit.exe" goto dsfgdfh
del "C:\Documents and Settings\nome utente\Dati applicazioni\sdghzxfg.bat"
=

Il file at.exe, aggiunto dal malware nella %SysDir%, aprirà tutti i giorni con una cadenza di 60 minuti a partire dall'ora dell'infezione l'URL http://funny[rimosso]show.com/ Viene modificata la chiave di registro HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon aggiungendo il valore

Nome valore: Shell

Dati valore: C:\Documents and Settings\nome utente\Dati applicazioni\hotfix.exe

vengono disabilitati il regedit, il task manager, il browser in uso, e il file rstrui.exe che serve al ripristino del sistema. Qualsiasi altro programma verrà aperto, sarà terminato dal falso virus Microsoft Security Essentials.
Dopo un riavvio del sistema operativo, verrà mostrata a video questa immagine collegata ad un secondo fake antivirus, cliccando su "Safe Startup" inizierà la sua installazione e la falsa scansione alla ricerca di fantomatiche infezioni, da notare che tutte le icone del desktop non saranno più visibili.

Verranno trovati infetti proprio i file terminati in precedenza dal finto antivirus, scegliendo l'opzione di rimanere non protetti, verremo avvisati della necessità di installare il modulo euristico di ThinkPoint, del fake antivirus.

Partendo con l'installazione verrà eseguita una richiesta DNS verso il sito http://www.pi[rimosso]il.com/ posizionato in Cina, la maschera del fake antivirus verrà modificata e verremo invitati a compilare il modulo di pagamento della licenza del programma modulo dove all'interno dovremo inserire dati sensibili e fra questi anche il numero della nostra carta di credito.

Ogni tentativo di chiudere il programma ci verrà precluso, non potremo nemmeno terminare il processo
servendoci del task manager perchè bloccato da ThinkPoint o riavviare la macchina perchè sia le icone presenti sul desktop, sia la barra del menu non saranno visibili.

RIMOZIONE:

- forzare lo spegnimento del computer tenendo premuto il tasto d'accensione
- riavviare il computer in modalità provvisoria con rete
- richiamare il task manager premendo i tasti CTRL+ALT+CANC
- cliccare sul tab "Processi" e terminare il valore hotfix.exe
- cliccare su "File" > "Nuova operazione" cliccare successivamente su "Sfoglia" portandosi nella dir dei programmi, cercare l'eseguibile del nostro browser e dopo averlo selezionato, cliccare su "OK"
- digitare nella barra degli indirizzi del browser l'URL http://www.malwarebytes.org/
- scaricare, installare ed aggiornare il programma ed eseguire una scansione completa del nostro sistema
- dopo aver eliminato i valori infetti, riavviare il computer in modalità normale
- aggiornare il nostro antivirus ed effettuare una nuova scansione completa del disco

Quanto sono sicure le pubblicità di Google AdSense?

Dopo l'rresponsabile indicizzazione di Google, dopo il mancato controllo dei link presenti in "Google Alert", dopo i problemi dovuti al mancato rispetto della privacy del servizio "Google Maps", ora dobbiamo difenderci anche da "Google AdSense", un servizio di banner pubblicitari offerto dalla società di Mountain View.
Alcuni mesi fa avevo deciso di inserire all'interno del mio blog dei banner pubblicitari, nella speranza...molto remota..., di potere avere un ritorno economico. Inutile scrivere che tutto questo non è avvenuto :D parte della colpa è anche mia visto che è da mesi che non lo aggiornavo.

Tornando ai banner mi sono accorto che alcuni erano di dubbia sicurezza, un click sul link avrebbe potuto portare il mio visitatore all'interno di siti... chiamiamoli stravaganti.

Nell'immagine sottostante un esempio dove viene pubblicizzato il download dell'antivirus Kaspersky

se clicchiamo sul link veniamo dirottati su hxxp://kaspersky.it2011.org

e da lì invitati a scaricare la versione del programma; sembrerebbe tutto normale e invece dopo aver scaricato il programma (~ 145 Kb)

ed avviata l'installazione, ecco la prima sorpresa.

Ci vengono propinati l'installazione di un nuovo motore di ricerca e la modifica della nostra pagina iniziale del nostro browser, ma il bello deve ancora arrivare.

in basso a sx una dicitura alquanto strana "Soletto Group, S.A - 2,40 €/sms" e cosa sarà mai?
Proseguiamo con l'installazione incuranti della scritta e clicchiamo su "Avanti".
Viene aperta la pagina della "Licenza d'uso"... leggendola attentamente mi sono soffermato sui punti 2.3 e 2.4 e ho capito il significato di quella scritta.

L'utente deve rispettare le istruzioni che verranno impartite dalla "Soletto Group, S.A" durante la fase d'installazione, quali saranno mai queste instruzioni che devono essere rispettate?
Semplice... l'invio di un sms pari al costo di 2,40 €.

Posso solo immaginare cosa succederà nelle fasi successive visto che, sempre all'interno della "Licenza d'uso" troviamo scritto che l'utente potrà esercitare diritto d'accesso, rettifica, cancellazione e opposizione dei propri dati personali (vedi ad esempio il numero del proprio cellulare...) facendo una richiesta scritta da inviare alla loro società domiciliata nella Repubblica di Panama!!!

ecco infine cosa ci apparirà se accetteremo i contenuti presenti nella "Licenza d'uso"

Conclusione?

La prima cosa che farò non appena avrò inserito questo mio articolo sarà quella di rimuovere tutti i banner pubblicitari, questo per tutelare chi visiterà il mio blog. Avviserò la Google Inc. chiedendo che venga effettuato un controllo mirato verso l'attendibilità, serietà delle aziende che pubblicizzano i propri prodotti, contatterò la Kaspersky Lab. per sapere se sono a conoscenza di questa situazione.

Per completezza d'informazione aggiungo che l'antivirus menzionato in questo articolo non è l'unico prodotto "usato" dalla "Soletto Group, S.A"

Norton Free Antivirus 2010... ma non è quello della Symantec, fate attenzione!

Negli ultimi anni i virus-writers, oltre ai "soliti" malware, hanno rilasciato nel web falsi programmi per la protezione dei nostri personal computer ma quello che più sconcerta è il nome dato a queste applicazioni, molto simili a quelli reali.
Di seguito alcuni esempi:

ByteDefender
SystemArmor
Smart Security
Security Essentials 2010
ArmorDefender
Malware Defense
Antivir 2010
QuickHealCleaner
Virus Sweeper

... e molti altri, ma fra i tanti ho voluto prendere in esame quello menzionato nel titolo perchè, ad oggi, è riconosciuto da soli 6 antivirus ma solo in 4 casi grazie alle firme presenti nel proprio database, gli altri 2 antivirus riconoscono la minaccia grazie alla loro euristica allertata dal packer usato per comprimere il programma.
Discorso a parte per ciò che riguarda l'azienda direttamente interessata, la Symantec, che grazie alla tecnologia Norton Download Insight riconosce e blocca il malware.

Vediamo i vari passaggi:
l'infezione arriva da pagine web appositamente modificate con codice malevolo, una volta entrati in queste pagine verremo avvisati, con un messaggio a video, che il nostro computer è infetto e verrà chiesta una scansione del nostro disco

indipendentemente da quale sia la nostra scelta se rifiutare o meno, la scansione avrà comunque inizio.
Dall'immagine però possiamo già notare che abbiamo a che fare con qualcosa di poco attendibile, basta leggere infatti i nomi dati alle varie directory per capire che abbiamo a che fare con una falsa scansione.

il passaggio successivo è quello di scaricare sul computer della vittima l'eseguibile infetto, nel nostro caso Norton_Free_Antivirus_2010.exe.
Se cercheremo di chiudere la pagina o cliccheremo su una qualsiasi parte della pagina si aprirà la finestra di download, per evitare tutto ciò premiamo più volte contemporaneamente e in rapida sequenza i tasti Alt+F4, in questo modo forzeremo la chiusura del nostro browser.

ma quali danni può creare il faso antivirus se il file viene scaricato ed eseguito?
Viene rimossa la libreria wscsvc.dll che è parte del Centro di Sicurezza Windows, viene eseguita una richiesta in uscita in TCP porta 80 verso google.com, verremo reindirizzati verso un sito di tipo nome.dominio.com dove il dominio sembrerebbe, al momento, in vendita.

Verrà creato il valore C:\Documents and Settings\[nome utente]\Desktop\Norton_Free_Antivirus_2010.exe nella sottochiave di registro

HKLM\SYSTEM\..\PendingFileRenameOperations (in XP)
HKLM\SYSTEM\..\FileRenameOperations (in Vista e 7)

questo per permettere al malware di eliminare il file scaricato e tutto grazie a un comando impartito al file di sistema cmd.exe (linea di comando)che andrà ad eseguire un file .bat precedentemente scaricato.
Questo il comando del file uninst0a994bc.bat

@echo off
:begin
del %1
if exist %1 goto begin
del %0

appena eseguito, anche il file .bat verrà rimosso dal computer.

Vengono creati due file .exe in C:\ con nome random, infine usando il programma Messenger vengono memorizzate su un file le nostre conversazioni ed inviate ad un server remoto.

Per rimuovere il malware basta riavviare in modalità provvisoria con rete, scaricare Malwarebytes e dopo averlo aggiornato eseguire una scansione completa del disco.

Conferenza AsusCERT: imbarazzo IBM.

Queensland - Australia -

Doveva essere la conferenza sulla sicurezza, ma alla infine si è rilevata quella che tutti ormai definiscono come la peggiore figura fatta dalla IBM.

I fatti risalgono a settimana scorsa quando vengono regalate ai partecipanti della convention penne USB... peccato fossero infette!
Questo è ciò che racconta Graham Cluley (Sophos) dalle pagine del suo blog.

Due malware, autorun.inf e Setup.exe, residenti all'interno del supporto removibile, malware fra l'altro datati rispettivamente Febbraio 2009 e Giugno 2007.

La IBM ha inviato, a tutti i partecipanti del meeting, una mail di scuse chiedendo la restituzione dei supporti removibili infetti. Nella mail viene consigliato, qualora le penne USB fossero state già utilizzate, di contattare il proprio IT Administrator.

Dotta soluzione, che altro dire...
Che dire... potrebbe capitare a chiunque un inconveniente del genere, infatti due anni fa era successa l'indentica cosa e sempre durante la stessa conferenza, responsabile fu la Telstra, ma che capiti proprio durante una conferenza sulla sicurezza mi sembra un paradosso.