SecurityTool – Antivirus Fals ce pretinde ca este Actualizare Firefox (Ghid pentru Devirusare)

Security Tool sau SecurityTool este un program anti-spyware de tip rogue.

Foloseste o metoda noua de promovare, pretinzand ca este o actualizare de ultima ora pentru Firefox si\sau Adobe Flash Player. De fiecare data cand Mozilla Firefox este actualizat o pagina noua se incarca in browser la prima pornire indicand acest lucru.
Antivirusul fals, se foloseste de acest comportament mimand o pagina autentica, invitand utilizatorul sa descarce o actualizare de ultima ora.

antivirus fals pretinde ca este actualizare firefox

Programul afiseaza si urmatoarele alerte:

Security Tool Warning
Spyware.IEMonster activity detected. This is spyware that attempts to steal passwords from Internet Explorer, Mozilla Firefox, Outlook and other programs.
Click here to remove it immediately with SecurityTool..

mspaint.exe is infected with Virus.DOS.Glew.4245. This worm is trying to send your credit card details using mspaint.exe to connect to remote host

Remove SecurityTool

Pentru a scapa de acest nepoftit cititi detaliile de mai jos:

Programul creeaza urmatoarele fisiere\foldere (cifrele sunt aleatoare):

  • %UserProfile%\Application Data\4946550101
  • %UserProfile%\Application Data\4946550101\4946550101.bat
  • %UserProfile%\Application Data\4946550101\4946550101.cfg
  • %UserProfile%\Application Data\4946550101\4946550101.exe
  • %UserProfile%\Desktop\Security Tool.lnk
  • %UserProfile%\Start Menu\Programs\Security Tool.lnk



Ii sunt asociate cheile registry:

HKEY_CURRENT_USER\Software\Security Tool
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “4946550101”

In log-ul HijackThis apar urmatoarele intrari:

O4 – HKLM\..\Run: [4946550101] %UserProfile%\Application Data\4946550101\4946550101.exe
O4 – HKCU\..\Run: [Install] %UserProfile%\Application Data\4946550101\4946550101.bat

DEVIRUSARE:

1.Descarcati si rulati rkill.com. Acest lucru este ncesar pentru a opri procesul activ folosit de virus. Veti primi probabil o atentionare ca rkill.com este infectat. Ignorati-l, este doar o alarma falsa generata de SecurityTool.
Rulati rkill.com din nou, pana cand virusul nu mai este activ. Daca rkill.com nu poate fi rulat folositi iExplore.exe sau eXplorer.exe


2. Descarcati Malwarebytes Anti-Malware.
Redenumiti-l in Explorer.exe si rulati-l pentru a se instala.

3. La incercarea de a rula programul veti primi o eroare. Descarcati executabilul MBAM si copiati-l in folderul C:\Program Files\Malwarebytes’ Anti-Malware\

4. Rulati executabilul descarcat anterior. Scanati PC-ul complet si stergeti la final infectiile gasite apasand Remove selected.

5. Acest virus modifica si fisierul HOSTS al computerului cauzand imposibilitatea accesarii multor website-uri. Pentru a remedia acest lucru rulati initial fisierul urmator pentru a restabili drepturile de stergere\redenumire ale fisierului HOSTS: http://www.faravirusi.com/utile/permisiuni_hosts.bat

4. Stergeti acum fisierul: C:\Windows\System32\Drivers\etc\HOSTS, iar apoi in functie de versiunea Windows disponibila descarcati unul din fisierele de mai jos si copiati-l in folder-ul: C:\Windows\System32\Drivers\etc

Descarca fisierul HOSTS pentru Windows XP
Descarca fisierul HOSTS pentru Windows Vista
Descarca fisierul HOSTS pentru Windows 7 HOSTS

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

15 responses to “SecurityTool – Antivirus Fals ce pretinde ca este Actualizare Firefox (Ghid pentru Devirusare)”

  1. Devirusare

    Cat dati pentru o poza cu SecurityTool in limba romana ? :)))

    http://i32.tinypic.com/ohu1jr.jpg

    1. marsse

      macar de angajau traducatori profesionali. de cand “s-a” se scrie “sa”? sau “A pastra raportul” ??? Numai cineva intelege ce scrie acolo

  2. mike

    la scanarea mi a dat urm. rezultate, crezi ca sunt infectat ?

    Date din Registru Infectate:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

    Fisiere Infectate:
    C:\Users\Emn\downloads\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

    si te rog daca poti sa pui si poze la pasii care trebuiesc urmati pt. devirusare.

  3. Basescu

    mersi de stire !

  4. vasile

    radu cand va lansa nod32 o noua versiune ???

  5. ada

    ati incercat metoda de mai sus?

  6. ada

    am incercat sa urmez primul pas cu rkill.com iExplore.exe sau eXplorer.exe ,am dat run ..imi apare o fereastra mica neagra care dispare imediat si apoi o chestie de la acest virus(ca sa trimit credit card)…

  7. mike

    aici e link-ul

    http://www.virustotal.com/reanalisis.html?4a57a0ac1201d400aea4174b4ac3a6606204979c2e934c19458158cfe2aebad2-1280771168

    si inca o precizare cand am dat click pe virustotal.com mi-a aparut un pop up” de la firewall sa las java sa se conecteze la internet.- i-am dat deny

    mersi

  8. miha

    Am incercat metoda ta, dar nu reusesc sa rulez Explorer.exe. Am descarcat Malwarebytes Anti-Malware pe desktop, l-am redenumit Explorer.exe si mai departe nu ma descurc. Fisierul “C:\Program Files\Malwarebytes’ Anti-Malware” ar trebui sa-l creez eu?…pt ca nu-l gasesc…Pls help

    Mersi

  9. Yo

    De unde stiu ca nu este doar o minciuna???

Leave a Reply