Antivirus2009: un falso antivirus attacca i sistemi Windows
di - Mercoledì 1 Ottobre 2008 alle 14:54
Ricordate il malware Antivirus 2008? Bene, anche quest’anno va di moda mandare software maliziosi mascherandoli da antivirus o strumenti di rimozione spyware ed ecco a voi la “nuova” trovata: Antivirus 2009.
Come anche System Antivirus 2008, Ultimate Antivirus 2008, Vista Antivirus 2008, XP Antivirus 2008, XP Protection, Toolsicuro.com, SPYKILLER PRO, INFESTOP, EasySpywareCleaner e SpyRidin e altri, anche questo strumento si camuffa da cura mentre è la malattia.
Attenzione dunque se durante la navigazione in Internet riceviamo avvisi dai sedicenti antivirus citati, perché si tratta di virus e non dobbiamo assolutamente cliccare su nessuna delle opzioni che ci propongono.
Se ci capita senza accorgerci di scaricare il virus Antivirus 2009, non solo durante la navigazione riceveremo di questi messaggi, ma in particolare usando i principali motori di ricerca (Google, Yahoo) il browser ci mostrerà una pagina con un messaggio di alert, ad esempio “Google blocked”, che bloccherà la navigazione e non ci permetterà di continuare la nostra ricerca. Per risolvere il problema, il virus ci proporrà diverse alternative, come scaricare aggiornamenti, scaricare il nuovo Antivirus 2009 e così via, ma tutti i link a queste opzioni portano a scaricare il file “av2009install_0011.exe“, che andrà ad installare un nuovo trojan sul nostro sistema. Cliccando su “ulteriori informazioni” verremo indirizzati a una pagina Web dove ci sarà presentata la “Antivirus 2009 Protection”, la pagina ufficiale della truffa.
Questo strumento può trarre facilmente in inganno, perché non solo simula i messaggi di Windows, ma va ad installare veramente un pacchetto dichiarato come antivirus. Installandolo ed eseguendolo, verrà trovato sul nostro sistema un gran numero di malware, che l’antivirus prontamente rimuoverà.
L’inganno, poi, continua, perché il virus ci avvertirà periodicamente, con un messaggio del Windows Security center (che usa quella specie di fumetti che compaiono in basso a destra), invitandoci a scaricare man mano gli aggiornamenti del finto antivirus. Il risultato è quello di permettere allo strumento malevolo di scaricare su nostro sistema ogni volta nuovo malware, che via via potrà fare diversi danni e monitorare le nostre informazioni personali e file privati.
La voce di disinstallazione presente nel programma e quella di Windows non funzioneranno, ma per fortuna la rimozione non è complicata. Basta aprire il task manager con “ctrl-alt-canc” e terminare i processi “Antivirus2009.exe” o “av2009.exe”, poi eliminare tutti i file e le cartelle sull’hard disk che contengano gli stessi nomi ed eventualmente i file “winsrc.dll”, “scui.cpl” e “ieupdates.exe” che si trovano in \WINDOWS\system32\.
Con queste semplici operazioni lo strumento dovrebbe essere velocemente rimosso, ma in caso di recidiva è possibile usare uno strumento di fix che possiamo trovare sul Web, effettuandone il download da siti che possiamo ragionevolmente ritenere sicuri (io ho provato questo senza riscontrare problemi, ma non posso garantire: ognuno sia responsabile di se stesso).
Antivirus 2009 gira in rete già da Giugno e probabilmente tra poco anche il vostro vero antivirus (se lo aggiornate spesso, come dovreste) sarà in grado di identificarlo e rimuoverlo.
Le informazioni sono utilissime ma non riesco ad eliminare i files individuati. Come posso fare?
Grazie
Elisabetta
di Elisabetta - 27 Ottobre 2008 - 18:47
Elisabetta, non riesci con la procedura indicata, cioè terminando i processi e rimuovendo i file a mano? Se non riesci, fammi sapere esattamente dove è il problema (facendo cosa ottieni cosa) così ti posso dare indicazioni migliori.
di Valentina Franzoni - 28 Ottobre 2008 - 15:27
grazie x il suggerimento…ma ahimè l’ho preso,e nn riesco a toglierlo….sia con task manager,e nella cartella di windows sistem32 riesco a trovare i file del vius….come posso fare,se mi dai una mano…ti ringrazio tanto…laura
di laura - 08 Novembre 2008 - 23:52
TI PREGO AIUTAMI! SONO INPANICO…SONO STATA ATTACCATA DA QUESTO MALEDETTISSIMO VIRUS…MI TROVO NEGLI STATI UNITI…è DOMANICA E NON SO COSA FARE…LUNEDì HO UNA PRESENTAZIONE…TI PREOGO AIUTAMI…QUI NESSUNO MI VUOLE AIUTARE XKè DICONO CHE IL PC è IN ITALIANO E NN CAPISCONO NULLA..
di raffaella - 09 Novembre 2008 - 04:32
@laura: dato che riesci a trovare i file del virus, non devi fare altro che eliminarli. dovrebbe funzionare: leggi bene l’articolo, c’è scritto tutto lì.
@raffaella: mi spiace ma la domenica anche i moderatori di questo blog fanno vacanza :( per cui il tuo messaggio è stato pubblicato solo oggi. spero che hai potuto risolvere ugualmente per la presentazione. se non hai ancora risolto il problema col PC, comunque, fammi sapere esattamente cosa della procedura indicata non va a buon fine. Infatti se mi dici solo “aiuto” non so quale possa essere il tuo problema rispetto alla normale situazione (e quindi la soluzione) indicata in questo articolo.
di Valentina Franzoni - 10 Novembre 2008 - 14:25
grazie valentina.
purtroppo non sono riuscita a eliminare tutti i file e le cartelle sull’hard disk che contengano gli stessi nomi ed eventualmente i file “winsrc.dll”, “scui.cpl” e “ieupdates.exe” che si trovano in \WINDOWS\system32\.
allora mia sorella mi ha passato prima uno spyware che mi ha eliminato 32 virus…e poi ho scaricato lo strumento fix combofix che hai suggerito.
avast mi ha comunque trovato un virus che però non riesco ad eliminare…sai come posso fare?
un’altra domanda: ma cos’è combofix? ed una volta installato non si elimina? per poter funzionare, tale programma mi ha richiesto l’istallazione di windows console…cos’è?
grazie mille
di raffaella - 10 Novembre 2008 - 16:42
@raffaella: allora raffaella, vediamo una cosa per volta.
1) prima di tutto, che vuol dire che non sei riuscita ad eliminare eventualmente i file che hai indicato? dimmi se l’”eventualmente” c’è solo per un copia e incolla o se non hai capito bene che fare: tutti quei file indicati che vedi li devi eliminare, come un file qualsiasi, cioè con canc o tasto destro/elimina ecc.
fammi sapere se ci hai provato e quale è l’errore che ti dà, o se si eliminano poi ricompaiono (sono cose ben diverse).
2) quale virus avast non riesce ad eliminare (mi serve il nome che trova Avast: ogni virus è diverso e ha un trattamento diverso da fare, se non mi dici qual è posso fare poco per te)? dici che non ci è riuscito perché ti ha dato quel messaggio (e magari ti diceva anche che se riavviavi lo poteva fare al riavvio) oppure l’ha tolto ma è ricomparso a una successiva scansione?
3) ComboFix è uno degli strumenti di fix che vanno a fare automaticamente le operazioni di cancellazione dei file nocivi e la pulizia relativa. E’ un’applicazione che si esegue direttamente: non ha bisogno di installazione, per cui una volta che hai finito di usarla, non rimane installato il software “ComboFix” e non c’è bisogno di rimuoverlo. Naturalmente il file che hai usato (quello che si chiama “ComboFix”), una volta risolto il problema lo puoi buttare senza problemi.
4) La Windows Console non è altro che la console che ti permette di inserire comandi da prompt, cioè quella stessa che puoi usare per inserire manualmente dei comandi testuali. Strano che abbia chiesto di installartela perché è strano che tu non l’avessi già installata: c’è di default in Vista, come credo in tutte le altre versioni di Windows. In ogni caso non ti preoccupare: per il caso specifico ha la stessa importanza, per farti capire, che se ti avesse chiesto di installare il blocco note di Windows. Non cercare come disinstallarla.
di Valentina Franzoni - 11 Novembre 2008 - 11:55
ciao….ankio sono stata atcata dal antivirus2009 e nn stò riuscendo a cancellarlo malgrado abbia fatto tutto comeè scritto……come posso far???? aiutooooooo
di crizia - 03 Dicembre 2008 - 22:31
@crizia:
Mannaggia ma come ve lo devo dire ^^’
Se non mi dite cosa avete fatto esattamente e quale è il problema (quali passi esattamente avete fatto, cosa vi resta, quali file continuate a vedere, quali messaggi di errore o dall’antivirus avete ecc) non vi posso aiutare!! :-(
di Valentina Franzoni - 04 Dicembre 2008 - 17:40
ciao valentina….allora ti spiego cosa ho fatto esattamente:
quindi ho aperto task manager….ho cancellato le winsrc.dll”, “scui.cpl” e “ieupdates.exe e cose simili….cmq nn c’era scritto nè antivirus 2009 nè altro…..ho riavviato il pc e ho aperto il mio msn….aprendo la posta subitissimo mi si riapre sempre la pagina cn subito una scansione di antivirus 2009 e mi dice di continuare…..io kiudo tutto e mi fà una pagina tuta bianca ke kiudo nuovamente…tutto quì me lo rifà ogni qlkvolta apro sia internet e posta ….nn sò + ke fare…..dammi un’altro consiglio kiaro almeno vediamo se ci riesco…..grz a dopo ciaooo
di crizia - 05 Dicembre 2008 - 21:38
@crizia:
ti ripeto il tutto per essere sicura di aver capito:
mentre usi msn per controllare la posta ti compare una finestra in cui ti viene detto di avviare una scansione con Antivirus 2009, ma non hai nel tuo HD il file “av2009.exe” o “antivirus2009.exe”, giusto?
Se è così, significa che non hai scaricato e contratto il virus, ma stai solo ricevendo dei messaggi in cui cercano di fartelo scaricare, ovvero sei nella prima parte descritta nell’articolo (”Attenzione dunque se durante la navigazione in Internet riceviamo avvisi dai sedicenti antivirus citati, perché si tratta di virus e non dobbiamo assolutamente cliccare su nessuna delle opzioni che ci propongono.”… leggi anche le righe subito dopo). Se effettivamente non hai cliccato, tutto a posto: continua a non cliccare quando ti ricapita.
Ora però bisognerebbe capire se e cosa non riesci ad usare: Internet e posta solo quando apri msn (il sito, immagino) oppure non ti naviga in nessuna pagina, oppure la posta la scarichi?
Rissumo ancora: se il problema è solo la comparsa dell’avviso non cliccare, neanche su “continua”, ignoralo e seguita a fare quello che devi come se non l’avessi avuto. Se invece non riesci a usare qualche strumento, dimmelo e cerchiamo insieme di capire come fare. Se il virus come sembra non l’hai scaricato, non dovresti avere problemi.
Per sicurezza, ti consiglio in ogni caso di aggiornare il tuo (vero) antivirus e (se ce l’hai) antispyware e fai una scansione completa del tuo sistema. ^^
di Valentina Franzoni - 06 Dicembre 2008 - 12:59
grz dei consigli ora vedo se continua a dare fastio
di francessco - 12 Dicembre 2008 - 17:17
eccomi dinuovo quì!!!…..il mio problema si è ankora peggiorato…adesso nn mi fà + entrare in internet!!! uffi!!!
da qnd ho avuto la comparsa del virus nn sono + riuscita a cancellarlo….e adesso nn sò + ke fare è da un pò ke entro e rientro senza poter risolvere nulla.aiutatemi …nn voglio formattare il pc!!
di crizia - 17 Dicembre 2008 - 17:49
@crizia: come al solito, cosa accade esattamente (quando fai cosa accade cosa e cosa hai fatto dall’ultima volta ad ora, quando hai visto comparire l’ulteriore problema, se dopo un cancellamento/modifica)?
dimmi anche cosa intendi per “non mi fa entrare in internet”, cioè se non navighi (non funziona il browser) oppure non funziona nulla (es. altri browser o un programma per scaricare la posta, tipo Windows Mail, Outlook e simili…).
Se non ti funziona nulla non è normale (e non è causato da questo virus in particolare). Se non funziona nulla sul browser ma altrove sì, potrebbe essere anche se è più probabile che se mai ti sia entrato a ruota anche altro malware. Mentre mi rispondi fai una bella scansione dell’intero sistema, con un antivirus che spero avrai nel frattempo aggiornato ;)
io attendo….
di Valentina Franzoni - 17 Dicembre 2008 - 18:26
Purtroppo sono alle prese da ieri con questo Antivirus 2009. Premetto che ho AVG free edition aggiornato, ma non l’ha intercettato. Quando si sono aperte le finestre di popup, non ho scaricato niente, quindi sul taskmanager non ci sono file av2009.exe nè ci sono cartelle con av2009 o simili (non ho ancora controllato gli altri file che segnali). I problemi sono che la connessione si è rallentata moltissio e non mi pernmette nè di aggiornare l’antivirus AVG nè di scaricare / installare altri antivirus o fix o malaware. quando provo ad andare su un qualunque sito di antivirus o anche sulle pagine di microsoft dove si parla del problema o su Windons update appare sempre la stessa pagina bianca di explorer (non si riesce a connettere alla pagina). Ho provato anche con un vecchio Netscape, che accede alla pagine ma non consente il download. Se provo ad installare un nuovo antivirus/fix/malware (scaricato su un altro pc e copiati), non riesce a installarlo. Non so come fare, se puoi aiutarmi. grazie
di enrico - 29 Dicembre 2008 - 10:53
@enrico: mi cogli impreparata sul perché accada questo, perché quando è stato scritto l’articolo effettivamente non scaricando nulla il virus non entrava nel sistema, mentre tu rioferisci problematiche che potrebbero essere casuali come tempistica, ma sarebbe strano.
In ogni caso la soluzione, se il problema è realmente quello, è di usare il fix contro questo antivirus-virus. Dovresti scaricare il fix da un altro omputer e tentare di eseguirlo: non ha bisoghno di installazione, ma solo di essere eseguito, quindi non dovrebbe darti problemi, ma se invece ci fossero problemi, allora riavvia windows in modalità provvisoria ed eseguilo da lì. Lo stesso puoi fare con le altre cose che non ti sis insatllano, se vuoi fare altri tentataivi. Vedrai che in modalità provvisoria queste installazioni non potranno essere bloccate.
di Valentina Franzoni - 07 Gennaio 2009 - 11:03
ho fatto tutto ciò che è stato detto sopra tranne la modalità provvisoria. a me nelle finestre di connessione mi esce sempre “Bloked aggiornare antivirus 2009″ ma sul mio pc non c’e più nulla con a9 av9 o antivirus 2009. quando accendo il pc mi esce “errore durante il caricamento di windows/system32/pusupuro.dll impossibile trovare il modulo specificato” ora provo di nuovo hijack se nel frattempo mi dai qualche dritta te ne sarò grata
di patrizia - 09 Gennaio 2009 - 19:37
Vi racconto come dopo alcuni giorni di lotta ho fatto. Ho scaricato un antivirus che partisse al boot del PC (io ho usato file immagine di Kaspersky) da CD/DVD. Spento il pc, ho fatto ripartire e ho dato una prima scansione con l’anitivirus. Ho fatto ripulire tutto , anche il registro. A questo punto il PC poteva ripartire da solo, e ho potuto usare antimalaware / antispyware/ pulizia registro/ etc facendo fare un po’ di scansioni, ed alla fine tutto funziona ma ho dovuto ristallare sia Explorer sia l’update di Windows (c’è un altro blog su come si fa con un eseguibile) che altre cose (anche la scheda audio ….)
di enrico - 12 Gennaio 2009 - 11:16
Vi consiglio sempre di tentare la modalità provvisoria quando ci sono problemi del genere: è la normale procedura che andrebbe usata per togliere qualsiasi virus, poiché si è sicuri che nella modalità provvisoria i virus non vengono attivati e dunque non possono né bloccare né nascondere nulla.
Questo prima di provare procedure più lunghe e complicate e il relativo stress ;)
di Valentina Franzoni - 12 Gennaio 2009 - 13:10
Vi rimando anche alla lettura di un articolo dal sito ufficiale Microsoft se volete:
http://www.microsoft.com/italy.....virus.mspx
di Valentina Franzoni - 12 Gennaio 2009 - 13:28
grazie a VALENTINA sono riuscito a togliere l’antivirus 2009ù
di gennaro da napoli - 16 Gennaio 2009 - 20:27
dunque,nel task messenger non c’è il nome del virus,e nella cartella \WINDOWS\system32\ non trova nulla…dove altro posso guardare?grazie
di jessica - 20 Gennaio 2009 - 18:02
@gennaro da napoli: splendido! ^^
@jessica: chi non trova nulla in sistem32? se hai controllato in quella cartella che non ci sia alcuno dei file indicati, non c’è bisogno di cercare altro se non hai problemi particolari. In teoria, se dovesse servirti in futuro per cercare altro, basta una semplice ricerca sull’hard disk con il tool in fondo al menù di avvio…. ;)
di Valentina Franzoni - 21 Gennaio 2009 - 13:26