Dezinstaleaza AV Security Suite – Ghid pentru Devirusare Completa

AV Security Suite este un program anti-spyware de tip rogue. Este promovat prin intermediul unor Troieni care pretind sa fie codec-uri video sau actualizari flash absolut necesare pentru a urmari continutul online.
Programul va afisa numeroase alerte false si va efectua scanari ale PC-ului detectand in mod eronat sute de infectii.

Toate acestea au scopul de a induce in eroare utilizatorul, cu scopul de a achizitiona acest program. Fisierele detectate sunt fie inexistente, fie curate, iar alertele nu trebuie luate in considerare.

Pentru a scapa de acest nepoftit cititi detaliile de mai jos:

AV Security Suite

Programul instaleaza un proxy server care va intercepta orice incercare de a accesa un website si va afisa in locul acestuia mesajul urmator:

This website has been reported as unsafe
We recommend that you do not continue to this website. This website has been reported to Microsoft for containing threats to your computer that might reveal personal or financial information.

De asemenea, orice incercare de a rula un program legitim va duce la afisarea unei erori false, dupa cum urmeaza:

Windows Security alert
Application cannot be executed. The file mbam.exe is infected.
Do you want to active your antivirus software now?

Spyware Alert
Application infected! The file rundll32.exe is infected. Do you want to ALLOW this application now?

Programul creeaza urmatoarele fisiere\foldere:

  • %UserProfile%\Local Settings\Application Data\<random>\
  • %UserProfile%\Local Settings\Application Data\<random>\<random>.exe



Ii sunt asociate cheile registry:

HKEY_CURRENT_USER\Software\avsoft
HKEY_CURRENT_USER\Software\avsuite
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter “Enabled” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyOverride” = “”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyServer” = “http=127.0.0.1:1041”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes” = “.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments “SaveZoneInformation” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “<random>”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “<random>”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyEnable” = “1”

In log-ul HijackThis apar urmatoarele intrari:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:1041
O4 – HKLM\..\Run: [<random>] %UserProfile%\local settings\application data\<random>\<random>.exe
O4 – HKCU\..\Run: [<random>] %UserProfile%\local settings\application data\<random>\<random>.exe

DEVIRUSARE:

1. 1. Porniti PC-ul in Safe Mode with Networking. Pentru aceasta restartati PC-ul si apasati tasta F8 de mai multe ori inainte de incarcarea Windows-ului pana obtineti ecranul de mai jos.
Dupa alegerea modului mentionat apasati tasta Enter si asteptati incarcarea completa a Windowsului.

safe mode

2. Virusul va incerca sa modifice setarile Internet Explorer folosind un proxy, care va bloca site-urile producatorilor antivirus. Pentru aceasta trebuie resetate aceste noi setari.
Deschideti Internet Explorer, navigati la Tools > Internet Options.

setari IE



3. Navigati in tab-ul Connections si apasati butonul LAN settings.

Ie setari

4. Debifati optiunea Use a proxy server for your LAN din cadrul sectiunii Proxy server. Apasati OK.

setari IE

5. Descarcati si rulati rkill.com. Acest lucru este ncesar pentru a opri procesul activ folosit de virus. Veti primi probabil o atentionare ca rkill.com este infectat. Ignorati-l, este doar o alarma falsa generata de System Adware Scanner.
Rulati rkill.com din nou, pana cand virusul nu mai este activ.

6. Descarcati si instalati Malwarebytes Anti-Malware. Nu modificati nici o setare in timpul procesului de instalare, iar la final nu restartati PC-ul daca vi se va solicita acest lucru.

7. Virusul va incerca sa modifice executabilul principal MBAM, de aceea veti primi la final o eroare (CreateProcess failes; code: 2 – Unable to execute C:\Program Files\Malwarebytes’ Anti-Malware\mbam.exe)
Apasati butonul OK.

8. Descarcati executabilul Malwarebytes Anti-Malware de la urmatoarea locatie.
Se va genera un fisier de tip .exe, cu denumiri diferite.
Salvati-l in folder-ul C:\program files\Malwarebytes’ Anti-Malware\
Retineti denumirea fisierului.

9. Rulati fisierul descarcat in folder-ul: C:\program files\Malwarebytes’ Anti-Malware\. Malwarebytes’ Anti-Malware va porni. Scanati PC-ul complet si stergeti la final infectiile gasite apasand Remove selected.

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

12 responses to “Dezinstaleaza AV Security Suite – Ghid pentru Devirusare Completa”

  1. unu

    Nu cumparati Malwarebytes’ Anti-Malware. D-ati banii degaba. Instalati antivirusul de la Microsoft care e free si instalati si Immunet free anti-virus… Ulterior d-ati o scanare online cu un antivirus cunoscut.

  2. Tweets that mention Dezinstaleaza AV Security Suite – Ghid pentru Devirusare Completa -- Topsy.com

    […] This post was mentioned on Twitter by Iulian . Iulian said: RT @faravirusi: Dezinstalare AV Security Suite – Ghid pentru Devirusare Completa: AV Security Suite este un program anti-spyware d… http://bit.ly/cFh64h […]

  3. DoktorBrrr

    Ce interfata grafica faina are. Imi place foarte mult… Pacat ca nu-i “real” antivirusul :))

  4. Juliano

    @radu : am avut si eu o problema cu un virus pe care l-am luat din intamplare crezand ca este altceva l-am instalat. Dupa instalarea lui n-am mai putut rula niciun antivirus.Nu ma lasa si a trebuit sa reinstalez Windows.As putea sa ti-l trimit ?

  5. eu

    @unu: ori esti carcotasi ,ori esti pe langa! malwarebytes este cam singurul care merita cumparat!

  6. Juliano

    @Radu: Ai primit fisierul?era virus?

  7. Dezinstaleaza Antivir Solution Pro – Ghid pentru Devirusare completa

    […] de pe aceasta pagina.Aantivir Solution Pro este un program anti-spyware de tip rogue din familia AV Security Suite. Este promovat prin intermediul unor Troieni care pretind sa fie codec-uri video sau actualizari […]

  8. dory

    bun, deci totul a mers bine pana la faza cand trebuie sa downloadez fisierul executabil, pentru ca de fiecare data cand dau pe link imi apare “404 Not Found” 🙁 de unde as putea sa il iau? chiar am nevoie de el..multumesc<3

  9. dory

    ah, am gasit pana la urma pe forumul siteului malwarebytes.org

    e: http://malwarebytes.org/mbam-download-exe-random.php

Leave a Reply