domenica 28 dicembre 2008

System Security : guida alla rimozione

System Security (SystemSecurity , System Security 2009 ) è un programma estremamente pericoloso che prima ti infetta il PC o ti fa credere che esista l'infezione e poi ti spinge ad acquistare una versione completa per risolvere le infezioni da virus che risulteranno presenti sul tuo PC.

La sua esecuzione genera un report con un elenco di file dichiarati infetti.
System Security viene scaricato sul computer del malcapitato mediante falsi siti di scansione antivirus online. Una volta scaricato esso viene configurato in modo da partire in esecuzione automatica con windows.
Nel caso di infezione ecco quali sono i messaggi mostrati continuamente come popus :
  • "Critical System Error",
  • "Your computer is infected",
E' stato verificato che quando questo software è in esecuzione la CPU è impegnata per un 20-30% in più rispetto al normale.
Ecco come operare una rimozione manuale :
Guida alla rimozione di System Security.
(Sconsiglio vivamente questa strada agli inesperti , meglio l'installazione di un antispyware )


1) Fermare i processi (sulla barra di stato , tasto destro , Task manager ...) : SystemSecurity.exe , winscenter.exe
2) Disinstallare System Security :Start > Impostazioni > Pannello di controllo > Aggiungi/rimuovi programmi : Cerca e , nel caso , disinstalla System Security.
3) Cercare e rimuovere le chiavi di registro : (Start/esegui/regedit)
%UserProfile%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "1632575944"
NOTA : il numero 1632575944 è un numero random e potrebbe essere diverso!
4) Cercare e rimuovere le directory ed i files :
%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387 (tutta la cartella)
%UserProfile%%UserProfile%\Desktop\System Security.lnk
%UserProfile%%UserProfile%\Start Menu\Programs\System Security
(tutta la cartella)
NOTA : il numero 538654387 è un numero random e potrebbe essere diverso!
Eventualmente impostare Strumenti/opzioni cartella/visualizzazione - Visualizza cartelle e file nascosti.

In alternativa , trattandosi di uno spyware , consiglio l'installazione di un antispyware free : http://www.superantispyware.com/ oppure Spybot Search and Destroy
E , per un pronto intervento risolutivo : Malwarebytes’ Anti-Malware

27 commenti:

Unknown ha detto...

La risoluzione non è corretta. Questo virus non consente di effettuare le operazioni indicate nella guida. Non appena ne avrò il tempo posterò la risoluzione corretta.

Unknown ha detto...

1 - Riavviare ed entrare in modalità provvisoria dove il virus non riuscirà ad avviarsi

2 - Aprire il task manager e terminare il processo che solitamente ha un nome tipo AA0948293.exe

3 - Start --> Esegui --> digitare msconfig --> scegliere la scheda avvio --> e togliere la spunta

4 - Cercare il file infetto che dovrebbe risiedere nella cartella D:\Documents and Settings\NOME UTENTE\Dati applicazioni\SystemSecurity2009 ed eliminarlo

5 - Andare in Installazione Applicazioni e disinstallare System Security 2009

5 - Riavviare il pc e ed eseguire una scansione approfondita con un antivirus aggiornato

tania ha detto...

Antonio non c'è un altro modo per eliminarlo?????????????

Unknown ha detto...

Questo virus termina qualsiasi processo si tenti di aprire, quindi l'unica soluzione semplice è eliminarlo da modalità provvisoria, dove non si carica all'avvio.

Luca ha detto...

confermo, unica possibilità è da modalità provvisoria!!! grazie Antonio...

vuvu ha detto...

Il mio problema è che non riesco ad andare in modalità provvisoria....sia premendo f8 che con lo shift sx all'avvio......

brassi ha detto...

grazie anto, procedura corretta!

Anonimo ha detto...

Ciao, in tutta probabilità il mio è un caso più disperato, non mi fa andare in modalità provvisoria, dopo aver avviato (F8>Avvia in modalità provvisoia) arriva ad aprire windows che però si riavvia e si apre solo in modalità normale, altrimenti restiin loop a vita...Capitato a nessuno?

Anonimo ha detto...

scusa antonio, dopo aver fatto tutto al ravvio del computer mi esce sempre la finestra della configurazione (dove bisogna mettere avvio e spuntare la cartella del virus), lì se metto avvio windows normale la spunta in avvio si rimette se metto avvio windows selettivo mi esce la solita finestra: come devo fare?
Grazie

Unknown ha detto...

Per prima cosa provate a premere F8 ripetutamente e non solo una volta. Se non dovesse funzionare provate a premere Canc e come ultima ipotesi CTRL+F4. Se non vi funziona nemmeno così procedete in questo modo:
1. Chiudete tutti i programmi aperti
2. Fate clic su Start e poi su Esegui --> digitate msconfig e fate clic su OK.
Vi verrà visualizzata l'Utilità configurazione di sistema, Selezionate l'opzione "/SAFEBOOT".
Fate clic su OK.
Verrà visualizzata la richiesta di riavviare il computer. Fate clic su Riavvia.
4. Il computer verrà riavviato in Modalità provvisoria.
Quando avete finito, avviate Windows in modalità normale sempre tramite l'Utilità di configurazione di sistema.

Anonimo ha detto...

antonio io ho un problema....riesco ad entrare in modalità provvisoria ma quando apro il task manager il processo che hai indicato non c'è e non ce ne sono di simili...ecco i processi che mi appaiono:
csrss.exe (ce ne sono 2)
explorer.exe (1)
iexplore.exe (3)
Isass.exe (1)
Ism.exe (1)
Processo di inattività del sistema (1)
rundll32.exe (1)
services.exe (1)
smss.exe (1)
svchost.exe (9)
System (1)
taskmgr.exe (1)
wininit.exe (1)
winlogon.exe (1)
WmiPrvSE.exe (1)

ti prego rispondi al più presto....

Anonimo ha detto...

Lascia stare i processi elimina le chiavi di registro da regedit ed elimina la cartella in document and settings/all user/dati applicazioni vedi ti esce una cartella ke cm nome ha un numero random....cancella qll e stai appost' ;)
mentre scrivo adesso ho preso qst virus e l'ho eliminato in due minuti così...poi scarica malwarebytes' spyware è ottimo e fagli una scansione per sicurezza....

Unknown ha detto...

Ciao Antonio,
Stesso Problema,sono infetto da Sysytem Security 4,52,il quale mi paralizza il Pc in Modalità standard,Sist op Windows Xp sp2.
Avvio in modalità provvisoria,scansione con Spyware doctor con linceza elimino 135 infezioni,avvio standard e riparte System Security.
Modalità Provvisoria,scansione con SpyHunter(con licenza)rileva 65 infezioni le elimino,avvio standard System Security ancora blocca tutto.
Modalità provvisoria File e cartelle nascosti visibili cerco dove tu indichi (Task manager,file di registro etc) nn trovo nulla eppure se quando avvio in mod standard parte System security da qualche parte li avrà messi.
HO esaurito le idee.
Grazie per la collaborazione.
Kiko

Gaetano ha detto...

Per entrare in modalità provvisoria in alcuni sistemi esiste anche F12

Gaetano ha detto...

Per entrare in modalità provvisoria in alcuni sistemi esiste anche F12

Anonimo ha detto...

scusate ma dove si trova documents and settings/all user/dati applicazione in windows vista?nell'unità D non mi fa entrare...

Anonimo ha detto...

a me entra in modalità provvisoria premedo F5

Anonimo ha detto...

Grazie a tutti ci sono riuscito!!! anche se il file exe si chiama 18711874

Anonimo ha detto...

un grazie... riuscito a pulire il pc

Anonimo ha detto...

ciao..a me non funziona nessuno di questi modi..non apre task manager.cerca di entrare in mod provissoria mi chiede se bloccare questi processi "sptd.sys a347bus.sys" e poi si riavvia.non riesco più a lavorare con il pc..cosa mi resta da fare?formattare?uffa!!!!

Anonimo ha detto...

Io l'ho tolto stamattina, da ieri pomeriggio mi aveva infettato...e' vero il virus non ti da modo di agire...ma le cose piu' semplici si possono fare: nella cartella...datiapplicazioni/ecc...ho cambiato l'estensione dell .exe in .virus :-)
...e poi...

Anonimo ha detto...

e poi...riavviando il PC... il virus non scompare...ma non puo' agire...e si possono eseguire in tranquillita' tutte le operazioni di pulizia e ripristino necessarie a toglierlo di mezzo.

Ciao

Anonimo ha detto...

Per chiunque avesse problemi con questo Spyware, io ho risolto così:
1 - avvio in modalità provvisoria tramite l'account utente, NON Administrator
2 - installazione di SpyBot S&D con gli aggiornamenti (file "includes" reperibile sul sito di SpyBot)
3 - scansione con SpyBot S&D ed eliminazione di TUTTE le voci trovate, se richiesto fare click su OK alla richiesta di scansione dopo il riavvio, o in ogni caso rieseguirla
4 - SENZA riavviare, avvio SmitfraudFix e seleziono Clean e attendo la fine del processo
5 - sempre SENZA riavviare, installo Avast! Antivirus (una versione leggermente più vecchia è consigliata, in quanto l'attuale installer è on-line). NON ho impostato la scansione al riavvio del PC
6 - a PC riavviato, potete decidere se far partire la scansione di SpyBot S&D per eliminare gli elementi rimasti, ma è obbligatoria quella con l'antivirus, che dovete provvedere ad aggiornare IMMEDIATAMENTE. Eliminate TUTTO ciò che trova. In questo modo sarete liberi da System Security 2009.

UNICO PROBLEMA:
Andando a mettere mani a msconfig, un messaggio vi dirà che non avete diritti di amministratore per disattivare (o attivare) elementi in avvio. L'operazione viene comunque eseguita, ma il messaggio è scocciate. Inoltre, il firewall di Windows sembra fare i capricci, in quanto non si avvia più a causa del componente ICD che non viene avviato. A questo punto, potete però salvare abbastanza tranquillamente i vostri dati e proseguire al formattone riparatore! Saluti!

*Pierpo84*

Anonimo ha detto...

Il mio computer era infetto.
Per prima csao ho installato SpyBot S&D il quale ha individuato e tentato di eliminare il problema, ma senza successo.
Quindi ho seguito le istruzioni pubblicate il "28 dicembre 2008" e il "3 giungo 2009" ed il problema sembra risolto. Grazie a tutti per le info!
-Davide-

Anonimo ha detto...

Incredibile, ma con un Ripristino Configurazione di Sistema a un punto di ripristino di una settimana prima del giorno dell'infezione (eseguito in modalità provvisoria), System Security se ne è andato! Poi ho eliminato solo alcuni riferimenti residui a quel programma.

Anonimo ha detto...

a me non va niente !!!!!!!sono disperatooo!!non mi va in modalità provvisoria da start posso andarein modalita provvisoria??e se si come??rispondete vi prego

Anonimo ha detto...

Anch'io sono stato vittima di questo perfido virus, il cui autore dovrebbe essere perseguito dalla polizia postale, perchè si tratta veramenhte di una persona disonesta!...Il mio p.c. era completamente bloccato, non ero in grado di effettuare nessuna operazione, nè di installare alcunchè...Ho scollegato subito il computer da internet, ho spento e ho riavviato in modalità provvisoria, premendo il tasto F8. Ho cercato invano la cartella dove si annidava il virus, ma non sono riuscito a trovarla. Allora ho fatto il ripristino della configurazione di sistema al giorno precedente, e come d'incanto, il virus è sparito!. A questo punto ho riavviato in modalità normale e ho installato un antispyware free (http://www.spywareterminator.com/it/Defa…). Ho effettuato subito una scansione ed ho eliminato tutto quello che di residuo poteva essere rimasto nel computer, che ha ripreso a funzionare perfettamente, anzi mostrando un netto miglioramento della velocità.

il Coronavirus contagia i mercati energetici

Rapporto del primo trimestre del 2020 sul mercato dell'energia: come il Coronavirus, il clima mite e i prezzi bassi hanno cambiato le co...