Security Tool sau SecurityTool este un program anti-spyware de tip rogue.
Foloseste o metoda noua de promovare, pretinzand ca este o actualizare de ultima ora pentru Firefox si\sau Adobe Flash Player. De fiecare data cand Mozilla Firefox este actualizat o pagina noua se incarca in browser la prima pornire indicand acest lucru.
Antivirusul fals, se foloseste de acest comportament mimand o pagina autentica, invitand utilizatorul sa descarce o actualizare de ultima ora.
Programul afiseaza si urmatoarele alerte:
Security Tool Warning
Spyware.IEMonster activity detected. This is spyware that attempts to steal passwords from Internet Explorer, Mozilla Firefox, Outlook and other programs.
Click here to remove it immediately with SecurityTool..mspaint.exe is infected with Virus.DOS.Glew.4245. This worm is trying to send your credit card details using mspaint.exe to connect to remote host
Pentru a scapa de acest nepoftit cititi detaliile de mai jos:
Programul creeaza urmatoarele fisiere\foldere (cifrele sunt aleatoare):
- %UserProfile%\Application Data\4946550101
- %UserProfile%\Application Data\4946550101\4946550101.bat
- %UserProfile%\Application Data\4946550101\4946550101.cfg
- %UserProfile%\Application Data\4946550101\4946550101.exe
- %UserProfile%\Desktop\Security Tool.lnk
- %UserProfile%\Start Menu\Programs\Security Tool.lnk
Ii sunt asociate cheile registry:
HKEY_CURRENT_USER\Software\Security Tool
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “4946550101″
In log-ul HijackThis apar urmatoarele intrari:
O4 – HKLM\..\Run: [4946550101] %UserProfile%\Application Data\4946550101\4946550101.exe
O4 – HKCU\..\Run: [Install] %UserProfile%\Application Data\4946550101\4946550101.bat
DEVIRUSARE:
1.Descarcati si rulati rkill.com. Acest lucru este ncesar pentru a opri procesul activ folosit de virus. Veti primi probabil o atentionare ca rkill.com este infectat. Ignorati-l, este doar o alarma falsa generata de SecurityTool.
Rulati rkill.com din nou, pana cand virusul nu mai este activ. Daca rkill.com nu poate fi rulat folositi iExplore.exe sau eXplorer.exe
2. Descarcati Malwarebytes Anti-Malware.
Redenumiti-l in Explorer.exe si rulati-l pentru a se instala.
3. La incercarea de a rula programul veti primi o eroare. Descarcati executabilul MBAM si copiati-l in folderul C:\Program Files\Malwarebytes’ Anti-Malware\
4. Rulati executabilul descarcat anterior. Scanati PC-ul complet si stergeti la final infectiile gasite apasand Remove selected.
5. Acest virus modifica si fisierul HOSTS al computerului cauzand imposibilitatea accesarii multor website-uri. Pentru a remedia acest lucru rulati initial fisierul urmator pentru a restabili drepturile de stergere\redenumire ale fisierului HOSTS: http://www.faravirusi.com/utile/permisiuni_hosts.bat
4. Stergeti acum fisierul: C:\Windows\System32\Drivers\etc\HOSTS, iar apoi in functie de versiunea Windows disponibila descarcati unul din fisierele de mai jos si copiati-l in folder-ul: C:\Windows\System32\Drivers\etc
Descarca fisierul HOSTS pentru Windows XP
Descarca fisierul HOSTS pentru Windows Vista
Descarca fisierul HOSTS pentru Windows 7 HOSTS
Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.
Loading ...
Cat dati pentru o poza cu SecurityTool in limba romana ?
))
http://i32.tinypic.com/ohu1jr.jpg
@Devirusare: Frumos din partea lor. S-au gandit si la “clientii” romani.
)
macar de angajau traducatori profesionali. de cand “s-a” se scrie “sa”? sau “A pastra raportul” ??? Numai cineva intelege ce scrie acolo
la scanarea mi a dat urm. rezultate, crezi ca sunt infectat ?
Date din Registru Infectate:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Fisiere Infectate:
C:\Users\Emn\downloads\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
si te rog daca poti sa pui si poze la pasii care trebuiesc urmati pt. devirusare.
mersi de stire !
radu cand va lansa nod32 o noua versiune ???
@vasile: Din pacate nu stiu, dar voi posta aici cand va avea loc
ati incercat metoda de mai sus?
@ada: La tine nu a functionat ?
am incercat sa urmez primul pas cu rkill.com iExplore.exe sau eXplorer.exe ,am dat run ..imi apare o fereastra mica neagra care dispare imediat si apoi o chestie de la acest virus(ca sa trimit credit card)…
@ada: rkill.com deschide teoretic un fisier .txt dupa rulare, precedat de acea fereastra neagra pe care ai vazut-o.
Nu poti urma pasii in continuare? Ignora avertizarile antivirusului fals.
@mike: Urca fisierul C:\Users\Emn\downloads\eXplorer.exe pe http://www.virustotal.com si lasa aici un link spre rezultatele scanarii.
aici e link-ul
http://www.virustotal.com/reanalisis.html?4a57a0ac1201d400aea4174b4ac3a6606204979c2e934c19458158cfe2aebad2-1280771168
si inca o precizare cand am dat click pe virustotal.com mi-a aparut un pop up” de la firewall sa las java sa se conecteze la internet.- i-am dat deny
mersi
Am incercat metoda ta, dar nu reusesc sa rulez Explorer.exe. Am descarcat Malwarebytes Anti-Malware pe desktop, l-am redenumit Explorer.exe si mai departe nu ma descurc. Fisierul “C:\Program Files\Malwarebytes’ Anti-Malware” ar trebui sa-l creez eu?…pt ca nu-l gasesc…Pls help
Mersi
De unde stiu ca nu este doar o minciuna???