Dezinstalare Security Antivirus – Ghid pentru Devirusare Completa

Security Antivirus este un program anti-spyware de tip rogue. Este promovat prin intermediul unor Troieni sau prin SEO poisoning. Ei vor apare ca rezultate ale unor cautari diverse pe Google. Accesarea site-ului duce in cele mai multe cazuri la instalarea automata a programului infectat.
Programul va afisa numeroase alerte false si va efectua scanari ale PC-ului detectand in mod eronat sute de infectii.

Toate acestea au scopul de a induce in eroare utilizatorul, cu scopul de a achizitiona acest program. Fisierele detectate sunt create chiar de virus, fiind curate, iar alertele nu trebuie luate in considerare.
Sunt toate localizate in %UserProfile%\Recent si printre ele se numara: ANTIGEN.exe, runddlkey.dll, PE.exe, PE.sys, PE.tmp, ddv.dll, ddv.sys, std.exe

remove Security Antivirus

Programul afiseaza si urmatoarele alerte:

An unauthorized program has been prevented from accessing your PC remotely. #Port:433 from 92.11.127.10
An unauthorized software C:\Program Files\Internet Explorer\Iexplore.exe which is potentially malicious and able to modify system files has been prevented from being installed on your PC.

Security Antivirus has detected potentially harmful software in your system. It is strongly recommended that you register Security Antivirus to remove all found threats immediately.

Potentially harmful programs have been detected in your system and need to be dealt with immediately. Click here to remove them using Security Antivirus.
Your PC may still be infected with dangerous viruses. Security Antivirus protection is needed to prevent data loss and avoid theft of your personal data and credit card details. Click here to activate protection.

Suspicious software which may be malicious has been detected on your PC. Click here to remove this threat immediately using Security Antivirus.
Click here to remove all potentially harmful programs found immediately using Security Antivirus.

Malicious applications, which may contain Trojans, were found on your computer and are to be removed immediately. Click here to remove these potentially harmful items using Security Antivirus.
No real-time malware, spyware and virus protection was found. Click here to activate.

Pentru a scapa de acest nepoftit cititi detaliile de mai jos:

Programul creeaza urmatoarele fisiere\foldere:

  • c:\Documents and Settings\All Users\Application Data\345d567\
  • c:\Documents and Settings\All Users\Application Data\345d567\72.mof
  • c:\Documents and Settings\All Users\Application Data\345d567\mozcrt19.dll
  • c:\Documents and Settings\All Users\Application Data\345d567\SA345d.exe
  • c:\Documents and Settings\All Users\Application Data\345d567\SAV.ico
  • c:\Documents and Settings\All Users\Application Data\345d567\sqlite3.dll
  • c:\Documents and Settings\All Users\Application Data\345d567\BackUp
  • c:\Documents and Settings\All Users\Application Data\345d567\BackUp\Adobe Reader Speed Launch.lnk
  • c:\Documents and Settings\All Users\Application Data\345d567\BackUp\Adobe Reader Synchronizer.lnk
  • c:\Documents and Settings\All Users\Application Data\345d567\Quarantine Items\
  • c:\Documents and Settings\All Users\Application Data\345d567\SAVSys\
  • c:\Documents and Settings\All Users\Application Data\345d567\SAVSys\vd952342.bd
  • c:\Documents and Settings\All Users\Application Data\SADFIOPODIV\SAAKDUPV.cfg
  • %UserProfile%\Application Data\Security Antivirus
  • %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security Antivirus.lnk
  • %UserProfile%\Application Data\Security Antivirus\cookies.sqlite
  • %UserProfile%\Desktop\Security Antivirus.lnk
  • %UserProfile%\Recent\ANTIGEN.drv
  • %UserProfile%\Recent\ANTIGEN.exe
  • %UserProfile%\Recent\cid.dll
  • %UserProfile%\Recent\CLSV.drv
  • %UserProfile%\Recent\DBOLE.sys
  • %UserProfile%\Recent\ddv.dll
  • %UserProfile%\Recent\ddv.sys
  • %UserProfile%\Recent\energy.tmp
  • %UserProfile%\Recent\FS.drv
  • %UserProfile%\Recent\gid.drv
  • %UserProfile%\Recent\PE.drv
  • %UserProfile%\Recent\PE.exe
  • %UserProfile%\Recent\PE.sys
  • %UserProfile%\Recent\PE.tmp
  • %UserProfile%\Recent\runddlkey.dll
  • %UserProfile%\Recent\std.exe
  • %UserProfile%\Recent\tjd.drv
  • %UserProfile%\Recent\tjd.sys
  • %UserProfile%\Start Menu\Security Antivirus.lnk
  • %UserProfile%\Start Menu\Programs\Security Antivirus.lnk
  • c:\Program Files\Mozilla Firefox\searchplugins\search.xml



Ii sunt asociate cheile registry:

HKEY_CURRENT_USER\Software\3
HKEY_CLASSES_ROOT\SA345d.DocHostUIHandler
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://findgala.com/?&uid=195&q={searchTerms}”
HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://findgala.com/?&uid=195&q={searchTerms}”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer “PRS” =”http://127.0.0.1:27777/?inj=%ORIGINAL%”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform “App/7.00195″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Security Antivirus”

In log-ul HijackThis apar urmatoarele intrari:

O1 – Hosts: 74.125.45.100 4-open-davinci.com
O1 – Hosts: 74.125.45.100 securitysoftwarepayments.com
O1 – Hosts: 74.125.45.100 privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 secure.privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 secure-plus-payments.com
O1 – Hosts: 74.125.45.100 www.getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 www.secure-plus-payments.com
O1 – Hosts: 74.125.45.100 www.getavplusnow.com
O1 – Hosts: 74.125.45.100 safebrowsing-cache.google.com
O1 – Hosts: 74.125.45.100 urs.microsoft.com
O1 – Hosts: 74.125.45.100 www.securesoftwarebill.com
O1 – Hosts: 74.125.45.100 secure.paysecuresystem.com
O1 – Hosts: 74.125.45.100 paysoftbillsolution.com
O1 – Hosts: 74.125.45.100 protected.maxisoftwaremart.com
O1 – Hosts: 95.211.99.110 www.google.com
O1 – Hosts: 95.211.99.110 google.com
O1 – Hosts: 95.211.99.110 www.google-analytics.com
O1 – Hosts: 95.211.99.110 www.bing.com
O1 – Hosts: 95.211.99.110 search.yahoo.com
O1 – Hosts: 95.211.99.110 www.search.yahoo.com
O4 – HKCU\..\Run: [Security Antivirus] “C:\Documents and Settings\All Users\Application Data\345d567\SA345d.exe” /s /d

DEVIRUSARE:

1. Descarcati si rulati rkill.com. Acest lucru este ncesar pentru a opri procesul activ folosit de virus. Veti primi probabil o atentionare ca rkill.com este infectat. Ignorati-l, este doar o alarma falsa generata de Security Antivirus.
Rulati rkill.com din nou, pana cand virusul nu mai este activ. Daca rkill.com nu poate fi rulat folositi iExplore.exe sau eXplorer.exe


2. Descarcati si instalati Malwarebytes Anti-Malware. Scanati PC-ul complet si stergeti la final infectiile gasite apasand Remove selected.

3. Acest virus modifica si fisierul HOSTS al computerului cauzand imposibilitatea accesarii multor website-uri. Pentru a remedia acest lucru rulati initial fisierul urmator pentru a restabili drepturile de stergere\redenumire ale fisierului HOSTS: http://www.faravirusi.com/hosts/permisiuni_hosts.bat

4. Stergeti acum fisierul: C:\Windows\System32\Drivers\etc\HOSTS, iar apoi in functie de versiunea Windows disponibila descarcati unul din fisierele de mai jos si copiati-l in folder-ul: C:\Windows\System32\Drivers\etc

Descarca fisierul HOSTS pentru Windows XP
Descarca fisierul HOSTS pentru Windows 2003 Server
Descarca fisierul HOSTS pentru Windows Vista
Descarca fisierul HOSTS pentru Windows 2008 HOSTS
Descarca fisierul HOSTS pentru Windows 7 HOSTS

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

32 responses to “Dezinstalare Security Antivirus – Ghid pentru Devirusare Completa”

  1. Andrei R.

    Radu, o intrebare: tu cum reusesti sa iti dai seama de exact pasii necesari pt devirusare? Ma refer ca pasul 2 stiam sa il fac si eu, dar restul nu…

    Am facut recent o devirusare… si nu mergea sa instalez Malwarebytes Anti-Malware asa ca in schimb am pus intai Hitman Pro 3.5, acela a gasit 4 fisiere, sterse… si dupa a mers instalarea la Malwarebytes Anti-Malware, dar intrebarea este cam asa: de unde imi dau eu seama ce mai trebuie facut… gen pasii 3-4 la acest virus? (din ce am urmarit de o buna bucata de timp pe blogul tau, observ ca virusii se comporta diferit… si de ex virusul acela nu aparea pe aici… era ceva italian…)

    cu stima,
    Andrei R.

  2. AdrianRosulescu

    Multumesc foarte mult pentru acest tutorial

  3. Andrei R.

    Am inteles, multumesc frumos Radu!

    cu stima,
    Andrei R.

  4. Andrea

    folosit… functioneaza… si virusul, si devirusarea :D

  5. ruxandra

    cum reusesc sa dezinstalez acest antivirus care imi sa numai de furca
    multumesc

  6. mariana

    buna Radu
    am o mare problema cu av security suite,am incercat sa fac pasi de aici dar nu pot trece nici de primul
    am descarcat rkill.com,iExplore.exe sau eXplorer.exe am inecrcat sa ii rulez pe fiecare nici unu nu merge pt ca av security suite nu ma lasa sa ii rulez pe nici unul din ei ,am descarcat de asemenea si Malwarebytes Anti-Malware dar la fel cand incerc sa il rulez nu se deschide .
    am citit pe un forum ca spyware doctor il dezinstaleaza dar ca sa instalez spyware doctor ar trb sa il cumpar ,intrebarea mea exista alta solutie sa scap de acest av security suite ?
    vreau sa precizez ca nu mai pot deschide decat mozila firefox in rest internet explorer,messenger etc nu mai merg .
    merci

  7. Gangsterr

    felicitari celui ce a postat…sunt pe la sf si merge perfect…tnx man!!!

  8. Bebeto

    SaluT! am si eo aceeasi problema cu My Security Shield….nu reusesc sa remediez problema..Radu imi poti lasa un id de mess sa ma ajuti prin team viewer??.. !Te RoG!

  9. Denis

    Multumesc pentru sfaturi si ghid . Am scapat de acest virus datorita dvs.

  10. Andrada

    nu merge!!!!!!!!!!!!1
    am facut tot ce scria aici
    ce ma fac? mai am putin si arunc calculatorul pe geam
    nu mai pot face nimic cu el
    oriunde intru imi zice ca e infectat
    faza e ca nici nu sunt sigura ca am facut bine primul pas…adica nu stiu sa rulez
    imi apare doar o casuta neagra si zice ca s’a efectuat la data cutare ora cutare
    te rog Radu zi’mi cum sa fac :|

    1. Gigi

      @Andrada: Porneste PC in Safe Mode with Networking si reia pasii din articol.

  11. Andrada

    @Gigi: Am incercat ce mi’ai zis tu
    Iar in momentul in care am pornit calculatorul normal,a inceput din nou security tool
    Dar eu nu cred ca fac bine primul pas.Adica cand dau dublu click pe rkill.com ii dau run si dupa imi apare o casuta neagra,apoi mi se deschide notepad-ul si imi zice ca s’a efectuat cu succes
    Dar nu cred ca fac bine.Nu cred ca rulez bine programul.
    Ajuta’ma te rog!!!!!!!!!
    Am nevoie foarte mare de calculator si nu pot sa fac nimic cu el.Pentru ca zice ca absolut tot e infectat

    1. Gigi

      Tot in Safe Mode with Networking trebuia sa scanezi cu Malwarebytes. Ai facut asta?

  12. Andrada

    da am facut si asta
    dupa,am aprins calculatorul normal si a inceput iarasi security tool
    nu stiu cum sa fac
    am incercat si pasii de pe contul tau…degeaba :-<

    1. Alin Vlad

      Incearca sa apesi Ctrl + Shift + Esc de mai multe ori imediat dupa ce iti apare fereastra de loading a Windows-ului, dupa restart. Atfel, o sa reusesti sa deschizi Task Manager inainte ca rogue-ul sa porneasca si sa opreasca rularea fisierelor executabile. In Task Manager, du-te in tab-ul Processes si inchide orice proces compus numere (ex. 6561565.exe). Pt asta, dai click dreapta pe proces si alegi End Process.

      Dupa aceea, vei putea rula orice tool de dezinfectare. Eu te sfatuiesc sa incerci Combofix: http://www.bleepingcomputer.com/download/anti-virus/combofix

  13. Andrada

    ms mult
    sper sa ma descurc;)

  14. Andrada

    da:)
    am rezolvat si problema asta,insa in alt mod
    ms oricum;)

  15. zaomblatyna

    radu nu ma descurc deloc. ma poti ajuta si pe mn cu team viewer te rog?

  16. colina

    mergee…iti multumesc de ajutor..dar la http://www.faravirusi.com/hosts/permisiuni_hosts.bat , nu imi apare nimic. poti sa te uiti , te rog?

    1. Gigi
  17. gaby

    a functionat mersi mult pt ajutor:D:*

  18. Andreea

    multumesc frumos.. am urmat pasii si a functionat!

  19. florin

    de ce imi arata virus protection ON cand eu nu mai am antivirus

  20. AleXandru

    Sincer, eu nu am inteles cum se sterge…

  21. brad

    Buna ziua
    Am incercat toate variantele ce le-ati descris. Nu pot sa descarc nimic. mi-l sterge de la bun inceput.
    Am avut infestat calculatorul cu acest virus, am gasit o pagina de veb unde spunea ce cd-key trebuie introdus, fara sa platesc, dupa care l-am dezinstalat.
    Acum functioneaza, in sensul ca pot sa deschid fisiere, sa operez in ele, dar nu imi permite sa descarc nimic de pe net. am licenta pt bitdefender dar nu ma lasa sa-l instalez.
    Am incercat multe variante dar degeaba.
    Ce as putea face?
    Multumesc

  22. nicu

    sal.am si eu o mare problema cu virusul pro security prima data a mers l~am scos cu malwarebytes mi~a intrat din nou si acum nu mai merge sa instalez Malwarebytes Anti-Malware.ce trebuie pot sa fac…..te rog sa imi dai si mie un sfat

Leave a Reply