Dezinstalare Ghost Antivirus – Ghid pentru Devirusare Completa

Ghost Antivirus este un program anti-spyware de tip rogue. Este promovat prin intermediul unor Troieni care pretind sa fie codec-uri video sau actualizari flash absolut necesare pentru a urmari continutul online.

Programul va afisa numeroase alerte false si va efectua scanari ale PC-ului detectand in mod eronat sute de infectii.

Toate acestea au scopul de a induce in eroare utilizatorul, cu scopul de a achizitiona acest program. Fisierele detectate sunt fie inexistente, fie curate, iar alertele nu trebuie luate in considerare.

SysProtector


Programul foloseste diverse tehnici pentru a fi foarte dificil de indepartat. Mai intai, dezactiveaza Task Manager, pentru a nu putea termina procesul asociat acestui program. Apoi instaleaza un alt virus, al carui nume este de forma onin.exe, cum ar fi spre exemplu atforonin.exe, fiind creat in diferite parti ale folderului Windows. Alaturi de procesul GhostAV.exe, va opri orice soft de securitate ce ruleaza si de asemenea va restarta permanent Explorer.exe ducand la imposibilitatea accesari programelor de pe Desktop sau a altora foldere din My Computer.

Programul creeaza urmatoarele fisiere\foldere:

  • c:\Program Files\Ghost Antivirus\
  • c:\Program Files\Ghost Antivirus\GhostAV.exe
  • c:\Program Files\Ghost Antivirus\register.ico
  • c:\Program Files\Ghost Antivirus\unins000.dat
  • c:\Program Files\Ghost Antivirus\uninst.ico
  • c:\Program Files\Ghost Antivirus\web.ico
  • c:\Program Files\Ghost Antivirus\working.log
  • c:\Program Files\Ghost Antivirus\Languages\
  • c:\Program Files\Ghost Antivirus\lib\
  • c:\Program Files\Ghost Antivirus\lib\ghost.sql
  • c:\Program Files\Ghost Antivirus\lib\Infected.wav
  • c:\Program Files\Ghost Antivirus\lib\listing.cfg
  • c:\Program Files\Ghost Antivirus\lib\version.db
  • c:\Program Files\Ghost Antivirus\lib\WMILib.dll
  • c:\WINDOWS\system32\<random>.dll
  • c:\WINDOWS\system32\<random>.dll
  • c:\Documents and Settings\All Users\Desktop\Ghost Antivirus.lnk
  • c:\Documents and Settings\All Users\Start Menu\Programs\Ghost Antivirus\
  • c:\Documents and Settings\All Users\Start Menu\Programs\Ghost Antivirus\Ghost Antivirus Home Page.lnk
  • c:\Documents and Settings\All Users\Start Menu\Programs\Ghost Antivirus\Ghost Antivirus.lnk
  • c:\Documents and Settings\All Users\Start Menu\Programs\Ghost Antivirus\Purchase License.lnk
  • %UserProfile%\Application Data\Ghost Antivirus\
  • %UserProfile%\Application Data\Ghost Antivirus\settings.ini
  • %UserProfile%\Application Data\Ghost Antivirus\uill.ini
  • %UserProfile%\Application Data\Ghost Antivirus\unins000.exe
  • %UserProfile%\Application Data\Ghost Antivirus\Uninstall Ghost Antivirus.lnk
  • %UserProfile%\Application Data\Ghost Antivirus\lib\
  • %UserProfile%\Application Data\Ghost Antivirus\lib\links.txt
  • %UserProfile%\Application Data\Ghost Antivirus\lib\properties
  • %UserProfile%\Application Data\Ghost Antivirus\lib\times.conf
  • %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Ghost Antivirus.lnk
  • %UserProfile%\Local Settings\Application Data\Microsoft\Internet Explorer\iGSh.png
  • %UserProfile%\Local Settings\Application Data\Microsoft\Internet Explorer\iMSh.png
  • %UserProfile%\Local Settings\Application Data\Microsoft\Internet Explorer\iPSh.png
  • %UserProfile%\Local Settings\Application Data\Microsoft\Windows\pguard.ini
  • %UserProfile%\Local Settings\Application Data\Microsoft\Windows\services.exe
  • <random path>\<random>onin.exe



Ii sunt asociate cheile registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ghost Antivirus_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKEY_CURRENT_USER\Software\Microsoft\FTP “SearchDir” = “c:\program files\Ghost Antivirus\”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run “<random>onin”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Ghost Antivirus”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce “3P_UDEC”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent “URIAPRO[1.1.3.9]”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe “Debugger” = “?”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe “RealDebugger” = “?”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon “RealLogonType” = “1”

Log-ul HijackThis va afisa intrarea:

O4 – HKCU\..\Run: [Ghost Antivirus] “C:\program files\Ghost Antivirus\GhostAV.exe” /s
O4 – HKCU\..\Policies\Explorer\Run: [onin] “onin] “\onin.exe”

DEVIRUSARE:

1. Porniti PC-ul in Safe Mode with Networking. Pentru aceasta restartati PC-ul si apasati tasta F8 de mai multe ori inainte de incarcarea Windows-ului pana obtineti ecranul de mai jos.
Dupa alegerea modului mentionat apasati tasta Enter si asteptati incarcarea completa a Windowsului.

safe mode

2. Descarcati si instalati Malwarebytes Anti-Malware. Scanati PC-ul complet (Full scan) si stergeti la final infectiile gasite apasand Remove selected.

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

9 responses to “Dezinstalare Ghost Antivirus – Ghid pentru Devirusare Completa”

  1. Nick
  2. yo9fah

    Ce frumos arat─â, “bazaconia” ! ─ésta, … ├«mi aduce aminte de pe vremea, “c├ónd eram mic ╚Öi ne╚Ötiutor” ! ­čÖé

  3. kernel32.dll

    @Radu am si eu nevoie de o parere ! Am vrut sa accesez un site pentru Miniprix
    Constanta ( nu vreau sa fac reclama ci doar sa cer o parere) iar Google Chrome lasa initial sa se incarce putin pagina dupa care ma scoate , spunand ca pagina contine malware ! Dar in Internet Explorer 7 nu ma scoate de loc , ci doar mi se ofera sa instalez un ActivX de la Microsoft !!
    La a doua incercare tot pe Google Chrome , la fel reactioneaza ! Dar pe IE7 se incarca tot si nu m-i se mai ofera spre instalare acel ActivX !!
    Pe de alta parte antivirusul meu Bitdefender Internet Security 2009 nu a reactionat deloc ! Nu a schitat nimic ! Nu ar fi trebuit sa simta ceva macar ? Are update-urile la zi !!

    Pagina “suspecta ” de care-ti spuneam este :http://corporate.miniprix.ro/ro/stores

    Cica acest site ar contine elemente malware de pe un site rusesc !!

    Multumesc pentru rabdare si o zi buna !

  4. catalin c

    @kernell32dll- 1/16/2010 1:44:17 AM Filtru HTTP arhivă http://corporate.miniprix.ro/ro/stores JS/TrojanDownloader.Agent.NRL troian conexiune terminată WORKGROU-418F02\catguy Ameninţarea a fost detectată la accesarea Web-ului de către aplicaţia: C:\Program Files\Opera\opera.exe.
    1/16/2010 1:44:16 AM Filtru HTTP arhivă http://corporate.miniprix.ro/ro/stores JS/TrojanDownloader.Agent.NRL troian conexiune terminată WORKGROU-418F02\catguy Ameninţarea a fost detectată la accesarea Web-ului de către aplicaţia: C:\Program Files\Opera\opera.exe.

  5. catalin c

    eu am ESET NOD 32 version4 SI L-A BLOCAT FARA PROBLEME…… e timpul sa schimbi antivirusul….BAFTA !!!!

  6. catalin c
  7. kernel32.dll

    @catalin c Frate daca nu-mi vine sa-mi arunc Bitdefender-ul pe fereastra ! Am actualizarile la zi si nu a simtit NIMIC cand am accesat hxtp://corporate.miniprix.ro/ro/stores !! Nimic ! Noroc ca Google Chrome m-a avertizat si ma scos ! Cum am mai spus pe IE7 nu s-a intamplat nimic , ci doar mi se oferea spre downloadare si instalare un Activ X de la Microsoft ! Oricum , in general,ActivX-urile par suspecte !

    Dar foarte timpita chestia ca Bitdefender Internet Security 2009 nu a detectat nimic!
    Si am setarile la firewall foarte stricte ! O colega de la servici mi-a spus de acest site ca este virusat si foloseste Eset Nod32 ! Spunandu-mi ca Nod32 la detectat !

    Voi trimete un e-mail la Bitdefender ca doar am platit licenta !

    @catalin c multumesc foarte mult pentru detaliile virusilor !!

  8. DragosII

    Sincer, eu nu am incredere in BITDEFENDER deloc. Mai ales ca are un consum foarte mare.

  9. catalin c

    @kernell32.dll…pentru putin , sa sti ca nu e prima data cand intru pe astfel de pagini capcana…..dar eset e la datorie si blocheaza pagina si iti spune in dreapta jos ….ce fel de virus este si adresa de IP care este infectata…..te sfatuiesc sa folosesti 2 programe diferite pentru computer de exemplu COMODO FIREWALL…..si ESET4 sau AVIRA 9….moka ….si un leaktest ca sa fii sigur ca nu ai “scurgeri”….adika malware sau backdoor…..e destul de simplu….bitdefender este doar promovat de aia il cumpara lumea ….iti recomand un MALWAREBYTES ANTI-MALWARE 1.44…..crede-ma este un program fantastic de bun…si blockeaza ip-urile infectate…..si curata absolut tot din prima scanare….bafta!!!!

Leave a Reply