Dezinstaleaza My Security Engine – Ghid pentru Devirusare Completa

Atentie! Site-ul www.totulgratis.com distribuie acest program de tip rogue! A se evita accesarea acestuia.

My Security Engine este un program de tip rogue instalat si promovat cu ajutorul Troienilor downloadati in urma unui scanner online fals care va genera alarme false asupra securitatii si confidentialitatii sistemului infectat.

Odata accesata pagina de web respectiva, se va deschide o fereastra cu urmatorul mesaj:

Daca se va selecta “Ok”,  un asa-zis scanner online va incepe sa scaneze sistemul  avertizand utilizatorul asupra infectiilor gasite. In timpul scanarii, site-ul incearca sa downloadeze un fisier cu kit-ul pentru instalarea rogue-ului. Cand se executa fisierul, procesul de instalare va incepe, My Security Engine descarcandu-si fisiere pe care le va instala iar pe celalelalte le va detecta ca fiind infectate.

In timpul scanarii, numeroase alerte false vor fi afisate cu scopul de a pacali  utilizatorul in a cumpara rogue-ul. Aceste alerte trebuie ignorate deoarece programul este in sine un virus. Continutul lor se va baza pe :

An unauthorized program has been prevented from accessing your PC remotely. #Port:433 from 92.11.127.10
An unauthorized software C:\Program Files\Internet Explorer\Iexplore.exe which is potentially malicious and able to modify system files has been prevented from being installed on your PC.

My Security Engine has detected potentially harmful software in your system. It is strongly recommended that you register My Security Engine to remove all found threats immediately.

Process Mbam.exe attempted to modify the address space.

Potentially harmful programs have been detected in your system and need to be dealt with immediately. Click here to remove them using My Security Engine.

Notepad.exe cannot be executed. The file is infected. Please activate your antivirus software.

Your PC may still be infected with dangerous viruses. My Security Engine protection is needed to prevent data loss and avoid theft of your personal data and credit card details. Click here to activate protection.

Suspicious software which may be malicious has been detected on your PC. Click here to remove this threat immediately using My Security Engine.

Malicious applications, which may contain Trojans, were found on your computer and are to be removed immediately. Click here to remove these potentially harmful items using My Security Engine.

Programul creeaza urmatoarele fisiere:

  • c:\Documents and Settings\All Users\Application Data\345d567
  • c:\Documents and Settings\All Users\Application Data\345d567\2322.mof
  • c:\Documents and Settings\All Users\Application Data\345d567\mozcrt19.dll
  • c:\Documents and Settings\All Users\Application Data\345d567\MS345d.exe
  • c:\Documents and Settings\All Users\Application Data\345d567\MSE.ico
  • c:\Documents and Settings\All Users\Application Data\345d567\sqlite3.dll
  • c:\Documents and Settings\All Users\Application Data\345d567\BackUp\
  • c:\Documents and Settings\All Users\Application Data\345d567\MSESys\
  • c:\Documents and Settings\All Users\Application Data\345d567\MSESys\vd952342.bd
  • c:\Documents and Settings\All Users\Application Data\345d567\Quarantine Items
  • c:\Documents and Settings\All Users\Application Data\MSHOLE\
  • c:\Documents and Settings\All Users\Application Data\MSHOLE\MSJKEJCCE.cfg
  • %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\My Security Engine.lnk
  • %UserProfile%\Application Data\My Security Engine\
  • %UserProfile%\Application Data\My Security Engine\cookies.sqlite
  • %UserProfile%\Application Data\My Security Engine\Instructions.ini
  • %UserProfile%\Desktop\My Security Engine.lnk
  • %UserProfile%\Recent\ANTIGEN.dll
  • %UserProfile%\Recent\CLSV.dll
  • %UserProfile%\Recent\eb.sys
  • %UserProfile%\Recent\energy.dll
  • %UserProfile%\Recent\exec.dll
  • %UserProfile%\Recent\exec.drv
  • %UserProfile%\Recent\exec.tmp
  • %UserProfile%\Recent\gid.dll
  • %UserProfile%\Recent\kernel32.sys
  • %UserProfile%\Recent\kernel32.tmp
  • %UserProfile%\Recent\pal.dll
  • %UserProfile%\Recent\PE.dll
  • %UserProfile%\Recent\PE.exe
  • %UserProfile%\Recent\ppal.drv
  • %UserProfile%\Recent\runddlkey.drv
  • %UserProfile%\Recent\SICKBOY.sys
  • %UserProfile%\Recent\tjd.sys
  • %UserProfile%\Start Menu\My Security Engine.lnk
  • %UserProfile%\Start Menu\Programs\My Security Engine.lnk
  • c:\Program Files\Mozilla Firefox\searchplugins\search.xml


Urmatoarii registrii se vor adauga:

HKEY_CURRENT_USER\Software\3
HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
HKEY_CLASSES_ROOT\MS345d.DocHostUIHandler
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes “URL” =”http://findgala.com/?&uid=195&q={searchTerms}”
HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://findgala.com/?&uid=195&q={searchTerms}”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer “PRS” = “http://127.0.0.1:27777/?inj=%ORIGINAL%”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “My Security Engine”
HKEY_CLASSES_ROOT\Software\Microsoft\Internet Explorer\SearchScopes “URL” = “http://findgala.com/?&uid=195&q={searchTerms}”

Semne in logul HijackThis:

O1 – Hosts: 74.125.45.100 4-open-davinci.com
O1 – Hosts: 74.125.45.100 securitysoftwarepayments.com
O1 – Hosts: 74.125.45.100 privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 secure.privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 secure-plus-payments.com
O1 – Hosts: 74.125.45.100 www.getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 www.secure-plus-payments.com
O1 – Hosts: 74.125.45.100 www.getavplusnow.com
O1 – Hosts: 74.125.45.100 safebrowsing-cache.google.com
O1 – Hosts: 74.125.45.100 urs.microsoft.com
O1 – Hosts: 74.125.45.100 www.securesoftwarebill.com
O1 – Hosts: 74.125.45.100 secure.paysecuresystem.com
O1 – Hosts: 74.125.45.100 paysoftbillsolution.com74.125.45.100 protected.maxisoftwaremart.com
O1 – Hosts: 67.212.177.251 www.google.com
O1 – Hosts: 67.212.177.251 www.google-analytics.com
O1 – Hosts: 67.212.177.251 www.bing.com
O1 – Hosts: 67.212.177.251 search.yahoo.com
O1 – Hosts: 67.212.177.251 www.search.yahoo.com
O4 – HKCU\..\Run: [My Security Engine] “C:\Documents and Settings\All Users\Application Data\345d567\MS345d.exe” /s /d



DEVIRUSARE :

  1. Descarcati si rulati rkill.com. Acest lucru este ncesar pentru a opri procesul activ folosit de virus. Veti primi probabil o atentionare ca rkill.com este infectat. Ignorati-l, este doar o alarma falsa generata de My Security Engine.
    Rulati rkill.com din nou, pana cand virusul nu mai este activ. Alternativ puteti incerca eXplorer.exe sau iExplore.exe
  2. Descarcati si instalati Malwarebytes Anti-Malware. Scanati PC-ul complet (Full scan) si stergeti la final infectiile gasite apasand Remove selected.

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Experta in devirusare si securitate IT, urmeaza cursurile BleepingComputer.com, unde este Malware Study Hall Senior.

27 responses to “Dezinstaleaza My Security Engine – Ghid pentru Devirusare Completa”

  1. Tweets that mention Dezinstaleaza My Security Engine – Ghid pentru Devirusare Completa -- Topsy.com

    […] This post was mentioned on Twitter by Dragos, C R. C R said: Dezinstaleaza My Security Engine – Ghid pentru Devirusare Completa: Atentie! Site-ul http://www.totulgratis.com distribui… http://bit.ly/9CqPtr […]

  2. Devirusare

    Site-ul memtionat injecteaza si in javascript…

    hxxp://indesignstudioinfo.com/ls.php//ls

    Trojan.JS.Redirector.cq

  3. red

    eu acuma lam instalat. am si platit pentru el. protectia este buna. suportul online este rapid si ireprosabil.cum am conectat suportul ca imi spune ca datele nu sunt valabile. dar ele sunt. au spus ca verifica si daca este asa imi dau o licenta in 2 min. a venit licenta

    1. Radu FaraVirusi(com)

      @red: Ai cumparat un rogue ?!?

  4. Devirusare

    @ red: O sa realizezi ca ai platit un software fals in curand…

  5. red

    Stati linistiti ca nu sunt atat de prost. am dat datele de la un card care nu este valabil. cu 0 € in el. si am luat legatura cu suportul tehnic (raspun imediat) . am incercat sa vad ce le poate capul si ce zic,si este instalat in virtual.acuma ii las inca cateva ore si contactez iar suportul online, si le zic ca imi gaseste niste virusi si nu ii poate sterge. si ca nu sunt multumit de el si le cer bani inapoi :)) HAAAAAA

    1. Radu FaraVirusi(com)

      @red: Ar fi super interesant sa faci screenshot-uri cu discutiile purtate si alaturi de alte detalii, s-ar constitui intr-un articol pe cinste 🙂
      Succes in “research”.

  6. bcman

    =)) Ce tare. Cum ai putut scrie ca protectia e buna. Faci si tu glume :)) Spune-le ca ai rulat MBAM si brusc virusul, pardon antivirusul 🙂 a disparut. Intreaba-i ce sa faci.

  7. red

    radu am facut cateva screenshot-uri cu ei. unde le pot trimete? eu prima data am scris in spaniola. dar ei au spus ca doar in engleza. nu am scris eu pre corect in engleza dar cred ca se intelege,

    1. Radu FaraVirusi(com)

      @red: Le poti trimite pe faravirusicom@gmail.com
      Include si alte detalii despre ce ai facut 🙂

  8. red

    Acuma vreau sa scanez cu MBAM si sa le spun ca solutia lor este gasita ca rogue. pana acuma discutia a fost sa vad ce spun. au spus ca vb, doar in engleza. eu nu o stapanesc prea bine. daca vrei sai intreb ceva spunemi si ii intreb.

  9. exactly.

    sper sa nu se infecteze nimeni cu el

    in ceea ce priveste intamplarea lui red: Nice:-)

  10. bcman

    @radu,red imi puteti trimite si mie screenshot-urile? Please.

    1. Radu FaraVirusi(com)

      @bcman: Vor fi publicate aici pe blog 🙂

      1. Nick

        Hurry , please… 😆

  11. red

    Radu da trebuie sa ai programul instalat pentru a intra in legatura cu ei. eu il am instalat in wmv player. eu prima data lam instalat pe vista si dupa primele discuti nu au vrut sa mai raspunda. si lam instalat pe win7. acolo au raspuns imediat. incearca si tu intr-o masina virtuala.si vezi ce iti raspund( scuze daca engleza mea este mai de balta) dar cred ca cel putin ultimele screenshot-uri sunt mai interesante.Pentru a lua legatura cu ei iti trebuie o adresa de mail. eu am bagat adresa unui spamer.de pe yahoo.

  12. red

    @bcman daca imi dai o adresa de mail ti-le trimit

  13. red

    imi pare rau dar am vazut si eu tarziu. vezi ca am trimes email-ul. cu 2 arhive.
    Radu daca mai ai nevoie de ceva detali anuntama.

  14. bcman

    Am vazut. Mersi. Ti-am trimis raspuns.

  15. The Docktor

    @Radu: Producatorii acestor produse nu sunt amendati? Sau nu sunt prinsi? Ce se intampla cu ei?

  16. red

    Radu cand vor fi publicate screenshot-urile??
    SI inca ceva eu cred ca este bine ca sa fie publicate adresele de unde se distribuie acestii rogue( @Elena bravo pana acum esti singura care a publicat acest lucru) pentru a se stii ce pagini web. sa evite. si daca se poate sa se publice aceste site-uri care distribuie acesti rogue.pentru a sti un user ce sa evite..

    1. Radu FaraVirusi(com)

      @red: Sper sa-mi fac timp pana maine 🙂

  17. janky

    sal.. ieri am scapat dupa citeva zile de acest ANTIVIRUS!!!..urmaind instructiunile de mai sus..totul a aparut de la inocenta .sa testez utilitatea antivirusilor raportat la efectele de incetinire a calculatorului .. si m-am dat pe net fara antivirus…!!!!
    …. o seara placuta si ..felicitari pentru accest site..!!!

  18. red

    Am si eu o curozitate daca tot se stie ca acel site distribuie acest rogue. DE CE. nu este blocat site-ul? sau depistat cel care a pus acel virus acolo? eu tind sa cred ca in mare parte producatori de soluti de securitate.( si nu numai ei ci si institutile care ar trebui sa se ocupe de acest fenomen) nu ii intreseaza de a stopa fenomenul si oprii producatori acestor virusii.. ci doar sa vanda ei produsele lor in rest vrajala.
    Si cred ca ei sunt si producatori de virusii. si de antivirusii.

  19. My Security Engine vorbeste – Discutii cu creatorii de virusi

    […] sa te abonezi la feed-ul RSS pentru a primi noutatile de pe aceasta pagina.Elena, v-a spus cum scapati de antivirusul rogue “My Security Engine”. Un cititor a reusit sa intre in contact cu ei folosind optiunea de chat oferita si ce a rezultat […]

  20. Campionatul Mondial de Fotbal 2010 din Africa de Sud folosit pentru a raspandi antivirusul fals MySecurityEngine

    […] Security au raportat aparitia recenta a unui numar de pagini web ce distribuie antivirusul fals  MySecurityEngine. Toate aceste pagini apar in rezultatele de cautare web legate de Campionatul Mondial de Fotbal […]

  21. Peste 200 site-uri folosesc numele cantaretului Justin Bieber ca momeala pentru raspandirea de malware

    […] acestui cantaret popular in linkuri malitioase, criminalii cibernetici raspandesc antivirus-ul fals MySecurityEngine. Aceasta tehnica a fost folosita de mai multe ori in trecut, profitand de teme populare cum ar fi […]

Leave a Reply