Rimuovere Security Tool, il falso AntiVirus

security tool 500x371 300x222 Rimuovere Security Tool, il falso AntiVirus

Security Tool è un falso Antivirus che se installato può rendere impossibile l’utilizzo del computer. Dopo diversi tentativi finalmente sono riuscito a rimuoverlo.

Security Tool solitamente viene installato cliccando su dei Pop-Up che mostrano una finta scansione del nostro disco locale facendolo apparire infetto. E’ quello che è successo al malcapitato possessore del computer che per l’intero pomeriggio di oggi ho tentato di recuperare senza formattare.

Inizialmente pensavo che fosse un reale Antivirus, infatti Security Tool aveva fatto la scansione del disco e mostrava diverse infezioni che credevo fossero la causa dei problemi. In realtà la causa era il programma stesso che come ho potuto appurare non è molto facile da eliminare.

Per prima cosa ho provato ad aprire il Task Menager per verificare se ci fosse qualche processo strano da poter terminare ma niente, Security Tool blocca il Task Menager e non ci permette di aprirlo. Inoltre non permette l’installazione di alcun programma quali antivirus, antimalwere ecc..

In giro ci sono diversi Tool per disinstallare questo fastidioso Falso Antivirus che aimè non hanno funzionato poichè i file che vengono creati hanno sempre nomi diversi.

Dopo diversi tentativi sono arrivato ad una soluzione semplice e veloce per eliminarlo senza troppi problemi.

Nel mio caso ho riavviato il PC e sono entrato in modalità provvisoria, cercando all’interno del registro in alcune directory indicate da alcuni siti che proponevano delle soluzioni , ho eliminato la seguente chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\96015930

Per aprire il registro premere Win+R e digitare regedit

Non è una vera e propria soluzione ma a me ha consentito di non far avviare Security Tool al riavvio in modalità normale e quindi di installare l’Anti Malwere di cui ho inserito il link al termine dell’articolo.

Una soluzione altrettanto efficace può essere quella di premere Ctrl+Shift+Esc (Aprirà direttamente il Task menager per killare i processi) prima che si esegua il procasso di Security Tool. Bisogna essere piuttosto veloci, però una volta aperto è possibile selezionare il processo costituito da tutti numeri per esempio 0032839.exe che è il responsabile di tutto.

Una volta chiuso tale processo riprenderemo possesso del nostro PC e potremmo quindi installare ciò che vogliamo, io ho utilizzato Malwarebytes che potete scaricare gratis da qui e dopo una veloce scansione ha subito eliminato i seguenti file:

C:\Users\Nome utente\AppData\Local\rvalx.exe
C:\Users\Nome utente\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.LNK
C:\Users\Nome utente\Desktop\Security Tool.LNK

La Directory
C:\ProgramData\34236322

E le seguenti chiavi di registro
HKEY_CURRENT_USER\SOFTWARE\fcn
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rvalx

Se avete beccato la stessa mia versione di Security Tool potete anche procedere manualmente alla  rimozaione dei file sopra elencati tramite la Modalità Provvisoria.

Spero di esservi stato di aiuto, potete scrivere nei commenti se avete avuto a che fare con questo fastisioso programma o lasciare dei suggerimenti con le vostre esperienze per aggiungere all’articolo nuove soluzioni.

Articoli Simili

  • Barbi_jo94
    ma come si fa a riavviare il pc in modalità provvisoria???
  • grifone87
    il fatto che google ti premi cosi' quando uno vuole rimuovere questo virus non è solo frutto del titolo dell'articolo,ma del suo contenuto perfetto !!! Grazie mille ;)
  • Sandro Suman6
    ciao . io ho un Acer 5551 di 10 giorni e adesso mi sono beccato questo virus . ma no n riesco a farlo partire in modalita' sicura . chi mi puo aiutare ??
  • Ciao,
    un piccolo consiglio che per me è risultato utile: siccome questo malefico finto antivirus non mi appariva come programma all'avvio, ho fatto, sempre in modalità provvisoria, una scansione con hijackthis. Questo mi ha permesso di trovare il file infetto, quindi ho premuto FIX, riavviato in modalità normale e lanciato malwarebytes....
    Alla prossima
  • Nardons75
    grazie 1000 davvero con il tuo aiuto sono riuscito a levarlo di mezzo grazie ancora sei fantastico
  • Anonimous
    Ciao, ho un notebook con Windows 7 dal quale ho scaricato il maledetto Security Tool, ho seguito la procedura Ctrl+Shift+Esc e ho aperto la Task Manager, eliminando il processo con tutti i numeri. Poi ho aperto il link segnalato qui sopra e ho cliccato per scaricare la versione gratuita di Malwarebytes, ma la pagina diventa bianca e continua a caricarsi senza riuscirci. Avete dei suggerimenti? Io come Antivirus ho AVG, che però non segnala nessuna minaccia...
  • Scarica Malwarebytes da un altro computer e mettilo su una chiavetta USB, collega la chiavetta al PC e fai le stesse procedure indicate nel commento, solo che invece di scaricarlo dal sito lo lanci semplicemente dalla chiavetta.
  • barbara
    io è tutto il giorno che combatto con questo maledetto virus
    sembra che sia riucita a debellarlo
    infatti sia l'antivirus che Malwarebytes non ne trovano più traccia...
    però ogni volta che riattacco la connessione ad internet comincia a tentare di spedire decine e decine di email di spam ad indirizzi a me sconosciuti (motivo per cui avevo disabilitato la connessione)
    qualcuno ha avuto la stessa esperienza?
    suggerimenti???
    le mail non partono realmente in quanto (dice) bloccate dai server di posta
    però di fatto quest'attività bizzarra finisce con il prendere il sopravvento...
    grazie in anticipo per qualunque sugerimento utile!
  • @ Vane:
    una volta avviato regedit cerca questa chiave:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\96015930

    ed elimina.
    Dopo questo scaricati Malwarebytes (c'è il link sopra) ed avvia la scansione.
    Farà tutto da solo.
    Ciao!
    ! :) !
  • Vane
    @ cicileum:
    ei scusami ma nn riesco davvero a eliminarlo.. su regedit che devo fare?? ho vista Q.Q
  • samu
    grandissssiiiiiiiimoooooooooooo grazie per le tue istruzioni
  • @ cicileum:
    capito.
    Se riuscite a risolvere fate un bell'articolo: potrebbe servire anche ad altri.

    Il plugin mi ha fatto una scansione di tutto il CMS ed ha trovato questo codice in varie parti, ad esempio in alcune pagine css del tema in uso.
    Ora, rilanciando la "scansione", non mi segnala niente ma penso abbia problemi con la memoria: è su un account gratuito AlterVista.
    Solo che mi chiedo come è possibilevisto che il blog non ha neanche un anno, all'inizio cambiavo molto frequentemente le password e tutti i plugin li ho presi da Wordpress.
    Va beh, grazie: non voglio continuare a "sporcare" i commenti con una cosa non in argomento.
    Ciao!
    ! :) !
  • Scusa se ti ho asteriscato il commento ma prima di fare affermazioni del genere preferiamo esserne sicuri. I sospetti sono caduti su ***** perchè erano stati attaccati anche altri siti sullo stesso server e che utilizzano altri CMS. Ad altri che hanno cambiato hosting questo problema non si è più verificato.


    A tal proposito (anche se centra poco con l’argomento) volevo chiedere una cosa: io ho trovato del codice sospetto tramite il plugin WP Security Scan.
    Come “pulisco” il tutto?

    Dove hai trovato questo codice? Io non l'ho mai utilizzato quindi non ne ho idea :)
  • @ cicileum:
    cioè sospettate che il bug non sia presente in uno dei plugin di Wordpress che utilizzate (perchè non penso sia in Wordpress stesso, se no sarebbe già stato corretto) ma in ****** o che ****** stesso che vi "inietta" codice malevolo?

    Perchè se è la seconda opzione immagino si possa anche denunciare.
    Se è la prima avete provato a chiedere ad ***** stesso?

    A tal proposito (anche se centra poco con l'argomento) volevo chiedere una cosa: io ho trovato del codice sospetto tramite il plugin WP Security Scan.
    Come "pulisco" il tutto?
    Grazie.
    Ciao!
    ! :) !
  • @ lupoalberto12:
    Da un mese a questa parte subiamo degli attacchi da fonti inprecisate che sfruttano un bug che ancora non troviamo per injettare del codice malevolo all'interno delle nostre pagine. Google appena succede ciò prontamente blocca il sito e ci invia una email, risolviamo il problema e ci tolgono il blocco. Purtroppo i nostri sospetti ricadono sul gestore del nostro Hosting che abbiamo appena rinnovato e quindi vorremmo trovare una soluzione migliore prima di trasferirci da un'altra parte.
  • @cicileum: ti volevo avvertire che questa mattina, tentando di rispondere al commento di veronica, Firefox e Google mi hanno segnalato questo sito come altamente pericoloso.
    Ora scrivo da un altro computer: dopo riprovo ad accedere da quello di stamattina.

    @veronica: elimina Vista e passa a 7 (non ti dico Ubuntu perchè sarebbe troppo drastica la cosa) :P :D .
    Dove ti blocchi?
    Ciao!
    ! :) !
  • veronica
    aiutooo!!!!non so come togliere questo virus!!mi blocca tutti i download mi ha bloccato tutto!!!aiutatemi per favore...ho vista
  • è scritto tutto nella guida, se non capisci qualcosa puoi chiedere ma sii più specifica
  • @ cicileum:
    Si.
    Oltre ad Avira c'è anche la versione di Kaspersky, Norton, Panda, ecc.ecc..

    Quello di Avira è basato su Linux ed è quello che funziona meglio.
    Se il computer è connesso tramite una Lan c'è anche la possibilità di aggiornalo al volo.
    Quello, invece di Kaspersky un paio di volte mi si è bloccato.

    Questa volta, però, Avira non è riuscita ad eliminare l'antivirus fasullo, ma solo a rinominare tutti i file con il risultato che l'antivirus fasullo non si avvia più.

    Ti consiglio Hiren's BootCD, se non lo conosci ;) : utilissimo.
    Ciao!
    ! :) !
  • Ottima soluzione quella dell'antivirus Live, se devo essere sincero fino a questo momento non lo conoscevo. E' il cd linux di Avira che permette di scansionare il disco senza accedere a Windows? Tra l'altro scrivendo "antivirus live" su Google viene fuori un altro fake simile a quello dell'articolo e a quello citato da te. Sto vedendo che ce ne sono davvero molti in giro...
blog comments powered by Disqus