WinPC Defender – instructiuni de dezinfectie

WinPC Defender este un program rogue destul de raspandit, astfel ca m-am gandit sa postez niste instructiuni de dezinfectie. Ca sa stiti sigur daca il aveti in PC sau nu, comparati pop-up-urile pe care le primiti cu cele din poza de mai jos.

Odata instalat WinPC Defender va scana si detecta o serie de infectii care nu pot fi indepartate decat prin achizitionarea soft-ului.

Principalele mesaje afisate sunt:

Trojan detected!
A piece of malicious code was found in your system which can replicate itself if no action is taken. Click here to have your system cleaned by WinPC Defender

Firewall Warning
Hidden file transfer to remote host was detected.

Programul modifica de asemenea si unele setari Internet Explorer ce va afisa diverse mesaje in timpul navigarii pe internet.
Log-ul HijackThis va afisa urmatoarele intrari suspecte:

O2 – BHO: IEocx Class – {96ad72e4-2e2b-4ffc-a5bb-279c2714af12} – C:\WINDOWS\ieocx.dll
O4 – HKCU\..\Run: [sysav] %UserProfile%\Application Data\pcdefender.exe
O4 – HKLM\..\Run: [Content] C:\Documents and Settings\All Users\Ta1HnnaIasEcfgF.exe

Pentru dezinfectie este suficienta descarcarea si rularea Malwarebytes Anti-Malware.
La finalul instalarii asigurati-va ca aveti optiunile: Update Malwarebytes’ Anti-Malware si Launch Malwarebytes’ Anti-Malware bifate, apoi apasati Finish.
Realizati apoi o scanare rapida si la final stergeti infectiile gasite, apasand butonul Remove selected.

Alternativ, puteti sterge manual fisierele, cheile infectate, desi poate dura mai mult.

Fisierele infectate:

%UserProfile%\Application Data\pcdefender.exe
%UserProfile%\Desktop\WinPC Defender.LNK
%UserProfile%\Start Menu\WinPC Defender.LNK
C:\Documents and Settings\All Users\Ta1HnnaIasEcfgF.exe
c:\WINDOWS\ieocx.dll

Chei registry infectate:

HKEY_CURRENT_USER\Software\WinPC Defender
HKEY_CLASSES_ROOT\CLSID\{96ad72e4-2e2b-4ffc-a5bb-279c2714af12}
HKEY_CLASSES_ROOT\IEocxApp.IEocx
HKEY_CLASSES_ROOT\IEocxApp.IEocx.1
HKEY_CLASSES_ROOT\Interface\{4B66E1DF-4DE3-4CDA-83B5-11673EADAB0B}
HKEY_CLASSES_ROOT\Interface\{9692BE2F-EB8F-49D9-A11C-C24C1EF734D5}
HKEY_CLASSES_ROOT\TypeLib\{A54DC52D-7AAD-4D40-A126-337211631EDC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{96ad72e4-2e2b-4ffc-a5bb-279c2714af12}
HKEY_CURRENT_USER\Control Panel\don’t load “scui.cpl”
HKEY_CURRENT_USER\Control Panel\don’t load “wscui.cpl”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “sysav”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run “Content”

Spor la dezinfectie!

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

7 responses to “WinPC Defender – instructiuni de dezinfectie”

  1. Devirusare.com

    Ce-mi plac rogue 😀

    Ai programul ? Sa mi-l trimiti si mie.

  2. cezar

    mda….vorba unui prieten de-al meu avira antivir, Malwarebytes Anti-Malware,si un firewalll (oricare daca stii sa-l setezi la “pana gainii”)firefox cu scipturi blocate ….in general nu trebuie s ai pprobleme.AAH SI SA NU PUI BOTICU LA toate programele neauzite(necunoscute)dubioase ….se gasesc destule pe torrenti!!!

  3. cezar

    apropo radule cum i- au llegatura cu tine …sa postezi o licenta pt malwarebytes pro?

  4. CEZAR

    nu vreau bani!!!!!!

  5. Mikay

    Daca nu ma insel executabilul de gaseste in My Documents 😐
    Eu am scapat de el prin blocarea lui la pornirea windowsului si stergerea executabilului din My Documents.

  6. alex

    Cu programul malwarebyte’s am reusit sa scot porcaria aia din computer

Leave a Reply