Browse: Home / , , , , , / Dezinstalare Security Suite – Ghid pentru Devirusare Completa

Dezinstalare Security Suite – Ghid pentru Devirusare Completa

By Radu FaraVirusi(com) on August 23, 2010

Security Suite este un program anti-spyware de tip rogue din familia Antivir Solution Pro. Este promovat prin intermediul unor Troieni care pretind sa fie codec-uri video sau actualizari flash absolut necesare pentru a urmari continutul online.
Programul va afisa numeroase alerte false si va efectua scanari ale PC-ului detectand in mod eronat sute de infectii.

Toate acestea au scopul de a induce in eroare utilizatorul, cu scopul de a achizitiona acest program. Fisierele detectate sunt fie inexistente, fie curate, iar alertele nu trebuie luate in considerare.

Pentru a scapa de acest nepoftit cititi detaliile de mai jos:

Security Suite

Programul instaleaza un proxy server care va intercepta orice incercare de a accesa un website si va afisa in locul acestuia mesajul urmator:


Internet Explorer warning – visiting this site may harm your computer!
Most likely causes:
* The website contains exploits that can launch a malicious code on your computer
* Suspicious network activity
* There might be an active spyware running on your computer

De asemenea, orice incercare de a rula un program legitim va duce la afisarea unei erori false, dupa cum urmeaza:

Application cannot be executed. The file notepad.exe is infected. Do you want to active your antivirus software now?

Programul creeaza urmatoarele fisiere\foldere:

  • %UserProfile%\Local Settings\Application Data\<random>\
  • %UserProfile%\Local Settings\Application Data\<random>\<random>shdw.exe



Ii sunt asociate cheile registry:

HKEY_CURRENT_USER\Software\wnxmal
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “RunInvalidSignatures” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter “Enabled” = “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyOverride” = “”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyServer” = “http=127.0.0.1:6522″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes” = “.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments “SaveZoneInformation” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “<random>”
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache “%UserProfile%\Desktop\flash_player_installer\flash_player_installer.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “<random>”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “CheckExeSignatures” = “no”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “ProxyEnable” =”1″

In log-ul HijackThis apar urmatoarele intrari:

O4 – HKLM\..\Run: [<random>] C:\Documents and Settings\User\Local Settings\Application Data\<random>\<random>shdw.exe
O4 – HKCU\..\Run: [<random>] C:\Documents and Settings\User\Local Settings\Application Data\<random>\<random>shdw.exe

DEVIRUSARE:

1. 1. Porniti PC-ul in Safe Mode with Networking. Pentru aceasta restartati PC-ul si apasati tasta F8 de mai multe ori inainte de incarcarea Windows-ului pana obtineti ecranul de mai jos.
Dupa alegerea modului mentionat apasati tasta Enter si asteptati incarcarea completa a Windowsului.

safe mode

2. Virusul va incerca sa modifice setarile Internet Explorer folosind un proxy, care va bloca site-urile producatorilor antivirus. Pentru aceasta trebuie resetate aceste noi setari.
Deschideti Internet Explorer, navigati la Tools > Internet Options.

setari IE



3. Navigati in tab-ul Connections si apasati butonul LAN settings.

Ie setari

4. Debifati optiunea Use a proxy server for your LAN din cadrul sectiunii Proxy server. Apasati OK.

setari IE

5. Descarcati si rulati rkill.com. Acest lucru este ncesar pentru a opri procesul activ folosit de virus. Veti primi probabil o atentionare ca rkill.com este infectat. Ignorati-l, este doar o alarma falsa generata de Security Suite.
Rulati rkill.com din nou, pana cand virusul nu mai este activ.

6. Descarcati si instalati Malwarebytes Anti-Malware. Nu modificati nici o setare in timpul procesului de instalare, iar la final nu restartati PC-ul daca vi se va solicita acest lucru.

7. Virusul va incerca sa modifice executabilul principal MBAM, de aceea veti primi la final o eroare (CreateProcess failes; code: 2 – Unable to execute C:\Program Files\Malwarebytes’ Anti-Malware\mbam.exe)
Apasati butonul OK.

8. Descarcati executabilul Malwarebytes Anti-Malware de la urmatoarea locatie.
Se va genera un fisier de tip .exe, cu denumiri diferite.
Salvati-l in folder-ul C:\program files\Malwarebytes’ Anti-Malware\
Retineti denumirea fisierului.

9. Rulati fisierul descarcat in folder-ul: C:\program files\Malwarebytes’ Anti-Malware\. Malwarebytes’ Anti-Malware va porni. Scanati PC-ul complet si stergeti la final infectiile gasite apasand Remove selected.

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Posted in , , , , , | Leave a response

Administrator FaraVirusi.com, voluntar al Comodo Malware Research Team

Leave a Reply