Rimuovere Security Tools (How to remove Security Tool AKA Total Security)

Security Tool (o Total Security) è uno dei programmi Malware (o ADWARE) più odiati degli ultimi tempi.

Non causa grandi problemi al PC ma sicuramente è da considerarsi a RISCHIO MEDIO in quanto da dei messaggi allarmanti all’utente, blocca le installazioni degli altri antivirus-antispyware e inibisce anche le dis-installazioni e le rimozioni di programmi (dal pannello di controllo), processi (chiude in automatico il Task Manager) e chiude il sistema cercando di ostacolare qualsiasi modifica manuale che l’utente desidera apportare al sistema.

Le soluzioni proposte sono varie:
http://it.pcthreat.com/parasitebyid-8345it.html
http://it.pcthreat.com/parasitebyid-8346it.html
http://www.2-spyware.com/remove-security-tool.html

Il migliore probabilmente è:
http://www.megalab.it/5802/come-rimuovere-security-tool-il-rogue-antivirus
con la loro soluzione (molto valida) alla pagina:
http://www.megalab.it/5802/2/come-rimuovere-security-tool-il-rogue-antivirus

Ma purtroppo non tiene conto delle ultime varianti del virus che tendono a NASCONDERE il file infetto dalle applicazioni che partono all’avvio. La mia variante della soluzione è la seguente.

Questo BLOG non si può assumere alcuna responsabilità e si declina ogni responsabilità per danni diretti o indiretti causati o successivi alle operazioni effettuate leggendo queste pagine.

Una volta che si è verificato che il sistema è infetto con TOTAL SECURITY o SECURITY TOOL per passare alla pulizia del sistema eseguire i seguenti passaggi (se siete poco esperti o avete 1 solo PC STAMPATE questa guida)

Ri-avviate e premete il TASTO F8 finché non vi appare il menù di Windows in cui ci chiede se vogliamo far partire Windows normalmente o se preferiamo la modalità provvisoria. Se avete una connessione ad internet tramite rete la scegliete AVVIA WINDOWS IN MODALITA’ PROVVISORIA CON SUPPORTO DI RETE (o qualcosa di simile, cambia in base alla versione installata).

Una volta che Windows è partito FACCIAMO UNA RAPIDA PULIZIA:

Andiamo su START -> ESEGUI e scriviamo MSCONFIG e premiamo invio.
Se non è presente e abbiamo Windows Vista o Windows 7 direttamente dalla casella di ricerca scriviamo MSCONFIG e premiamo CONTEMPORANEAMENTE i tasti CTRL + MAIUSC + INVIO (se avete il servizio UAC attivo vi chiederà una conferma di esecuzione).

Una volta dentro MSCONFIG andiamo nel TAB: AVVIO deselezioniamo TUTTO e andiamo nel TAB: SERVIZI qua dobbiamo selezionare NASCONDI TUTTI I SERVIZI MICROSOFT e ora deselezioniamo TUTTO ciò che rimane nell’elenco.

Questo passaggio probabilmente disattiva anche antivirus e altri software presenti nel PC, ma è molto utile per identificare il vero problema.

Nelle versioni recenti di SECURITY TOOL o TOTAL SECURITY non troviamo nulla di grave negli elenchi di MSCONFIG, in questo caso il file infetto che va a “bloccare il sistema” si trova direttamente nel registro di Windows e non è accessibile tramite altri strumenti. QUESTA MODIFICA PUO’ DANNEGGIARE SERIAMENTE IL SISTEMA, si consiglia di andare avanti solo ad un pubblico CON MOLTA ESPERIENZA, vi ricordo inoltre che questo BLOG non si può assumere alcuna responsabilità e si declina ogni responsabilità per danni diretti o indiretti causati o successivi alle operazioni effettuate leggendo queste pagine.

A questo punto apriamo il registro tramite il comando REGEDIT.EXE (da eseguire come sopra con MSCONFIG) e andiamo alla riga:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

oppure in altre voci, come spiega l’articolo (non proprio aggiornato, ma ancora valido) Microsoft per l’esecuzione automatica http://support.microsoft.com/kb/179365
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce (la prima esaminata)

Se all’interno è presente una qualche riga (oltre a predefinito) leggiamo il percorso del file eseguibile e RIMUOVIAMOLA (facciamo attenzione alla riga, dobbiamo essere sicuri che si tratta effettivamente di quella che causa il virus, in caso di dubbi rivolgersi ad un tecnico informatico). Se desideriamo fare una pulizia ottimale, la cosa migliore sarebbe quella di cancellare direttamente il file, che partiva in automatico, dal nostro HDD andando alla directory della stringa cancellata.

Teniamo presente che il virus, sicuramente, ha molti altri file nel nostro PC.

Riavviamo il PC.

Se ora non ci sono più finestre o annunci allarmanti, passiamo alla seconda operazione:
PULIZIA tramite un programma affidabile.

Installiamo, aggiorniamo e facciamo partire il programma:
Malwarebytes Anti-Malware (nella versione FREE)
http://www.malwarebytes.org/

Una volta effettuata la pulizia, riavviato il PC e verificato che sia tutto OK, possiamo ritornare in MSCONFIG e riattivare le voci precedentemente disattivate. Tutte le voci disattivate, probabilmente, sono molto utili nell’utilizzo quotidiano (antivirus, scheduler, programmi aziendali, …). Se abbiamo del tempo a disposizione possiamo anche riattivarne 1 per volta e riavviare il PC, in questo modo se dovessero ripresentarsi dei problemi saremmo avvantaggiati.

Come consiglio personale, invito tutti a dotarsi di un buon programma ANTIVIRUS-FIREWALL, magari che abbia anche altri servizi a “corredo”. Date uno sguarda a ZONE ALARM, è uno dei programmi firewall più “anziani”, facile da usare e ora contiene anche un ottimo antivirus. Magari la prossima volta non vi entra un malware! 😉

Hai dei dubbi? La guida ti è stata utile? Fammi sapere, lascia un commento!