Dezinstalare Virus Protector – Ghid pentru Devirusare Completa

Virus Protector este un program anti-spyware de tip rogue. Este promovat prin intermediul unor Troieni care pretind sa fie codec-uri video sau actualizari flash absolut necesare pentru a urmari continutul online.

Programul va afisa numeroase alerte false si va efectua scanari ale PC-ului detectand in mod eronat sute de infectii.

Toate acestea au scopul de a induce in eroare utilizatorul, cu scopul de a achizitiona acest program. Fisierele detectate sunt fie inexistente, fie curate, iar alertele nu trebuie luate in considerare.

Virus Protector


Programul afiseaza urmatoarele alerte false:

Process Blocked!
Harmful memory infection was detected.
Process any.exe was terminate

Internet Attack Detected
Type: Land Attack
Risk: Medium

Spyware Alert!
Your computer is infected with spyware. It could damage your critical files or expose your private data on the Internet. Click here to register your copy of Virus Protector and remove spyware threats from your PC.

Programul creeaza urmatoarele fisiere\foldere:

  • c:\Documents and Settings\Bleeping\Application Data\<random>.exe
  • c:\Documents and Settings\Bleeping\Application Data\<random>.dll
  • c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.exe
  • c:\Documents and Settings\Bleeping\Local Settings\Temp\<random>.dll
  • c:\Program Files\Internet Explorer\<random>.exe
  • c:\Program Files\Internet Explorer\<random>.dll
  • c:\WINDOWS\<random>.exe
  • c:\WINDOWS\<random>.dll
  • c:\WINDOWS\system32\<random>.exe
  • c:\WINDOWS\system32\<random>.dll
  • c:\WINDOWS\system32\drivers\<random>.exe
  • c:\WINDOWS\system32\drivers\<random>.dll



Ii sunt asociate cheile registry:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Virus Protector”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows “LoadAppInit_DLLs” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows “AppInit_DLLs” = “<random>.dll”

Log-ul HijackThis va afisa intrarea:

O4 – HKCU\..\Run: [Virus Protector] <Path to rogue>\<random>.exe
O20 – AppInit_DLLs: <random>.dll

DEVIRUSARE:

1. Porniti PC-ul in Safe Mode with Networking. Pentru aceasta restartati PC-ul si apasati tasta F8 de mai multe ori inainte de incarcarea Windows-ului pana obtineti ecranul de mai jos.
Dupa alegerea modului mentionat apasati tasta Enter si asteptati incarcarea completa a Windowsului.

safe mode



2. Descarcati si instalati Malwarebytes Anti-Malware. Scanati PC-ul complet (Full scan) si stergeti la final infectiile gasite apasand Remove selected.

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

8 responses to “Dezinstalare Virus Protector – Ghid pentru Devirusare Completa”

  1. Nick

    Vaz ca pe Softpedia este pus un utilitar pentru combaterea de rogue din astea!
    http://www.softpedia.com/get/Antivirus/ScareAware.shtml 😀

  2. Nick
  3. Nick

    Bine ,bine…da’ sa nu uiţi sa ma scoţi de la spam… 😆

  4. Stery

    Nu mi se porneste indowsu in Safe Mode with Networking. Imi apare welcome dar nu imi mai apare casuta cu ‘bla bla bla if you want to restore to a previous state(sau ceva de genu) click NO’ si imi ramane ecranul negru. Asa si in windows normal apare doar imaginea de fundal si nimic altceva.

  5. Stery

    *Scuza-ma daca nu iti plac double posturile*

    Am instalat azi un Windows de rezerva si acum rulez MalwareBytes’ Anti-Malware pe el i-am dat full scan pe C: (unde am Windowsul cel infectat) sper sa mearga…. defapt nu are de ce sa nu mearga 🙂

  6. Stery

    Am rezolvat. Eu am LastXP 22(folderele din C: sunt pe genul la Vista adica in loc de documents and settings am Users). Am facut in felul urmator: Am rulat Malwarebytes’ Anti-Malware pe windowsul de rezerva, mi-a detectat vreo 6 virusi, i-am sters apoi am downloadat un VBS de pe Softpedia care sterge registrii care nu imi permit sa deschid Task Manager, Run, CMD si regedit(LINK: http://forum.softpedia.com/index.php?act=attach&type=post&id=613083 ), am intrat pe windowsul virusat pe Safe Mode with Command Prompt, am scris in CMD C:\WINDOWS\Explorer.exe (mi-a deschis browserul de folder) si m-am dus la scriptul VBS care l-am downloadat si l-am rulat. Registrii care nu permiteau deschiderea acelor programe au fost stersi, insa explorerul de win-start-up nu era resetat.
    Am intrat din nou pe windowsul de rezerva, am deschis regedit si m-am dus in HKEY_LOCAL_MACHINE – SOFTWARE – Microsoft – Windows NT – CurrentVersion – Winlogon si am dat export, am salvat fisierul .reg, am intrat pe windowsul care a fost virusat cu Safe Mode with Command prompt si am scris in CMD C:\WINDOWS\Explorer.exe apoi m-am dus unde am salvat fisierul .reg si l-am rulat apoi am deschis regedit prin Task Manager (File -> run) si m-am dus in HKEY_LOCAL_MACHINE – SOFTWARE – Microsoft – Windows NT – CurrentVersion – Winlogon si am editat la Userinit in loc de D:\WINDOWS\system32\userinit.exe (in D am windowsul de rezerva) am scris C:\WINDOWS\system32\userinit.exe (C fiind litera hartului pe care am windowsul care a fost virusat), am iesit, am bootat normal pe windowsul default (cel care a fost virusat) si… tam tam! Devirusat complet.

  7. geo

    tocmai am gasit in C:\WINDOWS un fisier ascuns winstart.bat(virus) de pe o adresa http://www.010034.com lam sters automat pt a nu imi provoca daune pe calc.

Leave a Reply