Dezinstalare XJR Antivirus – Ghid pentru Devirusare Completa

XJRAntivirus este un program anti-spyware de tip rogue. Este promovat prin intermediul unor Troieni care pretind sa fie codec-uri video sau actualizari flash absolut necesare pentru a urmari continutul online. Programul va afisa numeroase alerte false si va efectua scanari ale PC-ului detectand in mod eronat sute de infectii.

Toate acestea au scopul de a induce in eroare utilizatorul, cu scopul de a achizitiona acest program. Fisierele detectate sunt fie inexistente, fie curate, iar alertele nu trebuie luate in considerare.

XJRAntivirus

Programul afiseaza si urmatoarele alerte:


Security Warning
Malicious programs that may steal your private information and prevent your system from working properly are detected on your computer.
Clear here to clean your PC immediately.

Internet attack attempt detected:
Somebody is truing to attack your PC: This can result in loss of your personal information and infection other computers connected to your network. Click here to prevent attack.

De asemenea va bloca automat rularea anumitor programe de securitate, printre care: Malwarebytes Anti-Malware, Avira AntiVir, F-Secure, etc.

Pentru a scapa de acest nepoftit cititi detaliile de mai jos:

Programul creeaza urmatoarele fisiere\foldere:

  • %UserProfile%\Desktop\XJR Antivirus.lnk
  • %UserProfile%\Local Settings\Temp\win1.tmp
  • %UserProfile%\Local Settings\Temp\win2.tmp
  • %UserProfile%\Start Menu\Programs\XJR Antivirus
  • %UserProfile%\Start Menu\Programs\XJR Antivirus\XJR Antivirus.lnk
  • c:\Program Files\adc_w32.dll
  • c:\Program Files\alggui.exe
  • c:\Program Files\nuar.old
  • c:\Program Files\skynet.dat
  • c:\Program Files\svchost.exe
  • c:\Program Files\wp3.dat
  • c:\Program Files\wp4.dat
  • c:\Program Files\wpp.exe
  • c:\Program Files\XJR Antivirus
  • c:\Program Files\XJR Antivirus\XJR Antivirus.exe



Ii sunt asociate cheile registry:

HKEY_CURRENT_USER\Software\XJR Antivirus
HKEY_CLASSES_ROOT\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{149256D5-E103-4523-BB43-2CFB066839D6}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd

In log-ul HijackThis apar urmatoarele intrari:

O2 – BHO: ADC PlugIn – {149256D5-E103-4523-BB43-2CFB066839D6} – C:\Program Files\adc_w32.dll
O23 – Service: Adobe Update Service (AdbUpd) – Unknown owner – C:\Program Files\svchost.exe



DEVIRUSARE:

1.Descarcati si rulati rkill.com. Acest lucru este ncesar pentru a opri procesul activ folosit de virus. Veti primi probabil o atentionare ca rkill.com este infectat. Ignorati-l, este doar o alarma falsa generata de Paladin Antivirus.
Rulati rkill.com din nou, pana cand virusul nu mai este activ. Alternativ puteti incerca eXplorer.exe sau iExplore.exe

2. Descarcati Malwarebytes Anti-Malware. Redenumiti-l in Explorer.exe. Apoi rulati-l, dar nu modificati nici o setare in timpul procesului de instalare, iar la final nu restartati PC-ul daca vi se va solicita acest lucru.

3. Virusul va incerca sa modifice executabilul principal MBAM, de aceea veti primi la final o eroare (CreateProcess failes; code: 2 – Unable to execute C:\Program Files\Malwarebytes’ Anti-Malware\mbam.exe)
Apasati butonul OK.

4. Descarcati executabilul Malwarebytes Anti-Malware de la urmatoarea locatie.
Se va genera un fisier de tip .exe, cu denumiri diferite.
Salvati-l in folder-ul C:\program files\Malwarebytes’ Anti-Malware\
Retineti denumirea fisierului.

5. Rulati fisierul descarcat in folder-ul: C:\program files\Malwarebytes’ Anti-Malware\ Malwarebytes’ Anti-Malware va porni. Scanati PC-ul complet si stergeti la final infectiile gasite apasand Remove selected.

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply