Devirusare ThinkPoint – Un Rogue foarte sofisticat

Microsoft Security Alert a evoluat si acum distribuie un antivirus rogue de ultima ora, ce utilizeaza o tehnica noua.

Este afisata alerta specifica, dar nu se mai ofera alternative de a scana si curata infectia. In schimb solicita restartarea Pc-ului pentru a finaliza instalarea ThinkPoint, un antivirus fals, ce va sterge virusul detectat in mod eronat.
Singura optiune in respectiva fereastra este “ok”, acceptand instalarea programului rogue.

remove thinkpoint

Dupa restartarea PC-ului apare un wallpaper cu acelasi ThinkPoint, fara Desktop-ul tau obisnuit, fara taskbar si fara icon-uri.
Singurele doua optiuni sunt scanarea sau achizitionarea programului. Daca doresti sa restartezi PC-ul in Safe Mode, se intampla acelasi lucru.

remove thinkpoint

Practic utilizatorul nu poate sa mai foloseasca in niciun fel PC-ul si in asta consta noutatea acestui antivirus rogue. Iata cum arata interfata sa grafica principala si mai jos aveti detaliile pentru devirusare.

devirusare thinkpoint

Virusul creeaza urmatorul fisier:

  • %LocAppData%\hotfix.exe

De asemenea creeaza cheile registry de mai jos:
HKCU\Software\PAV
HKCU\Software\Microsoft\Windows\CurrentVersion\Run “tmp”
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce “SelfdelNT”
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “Shell” = “%LocAppData%\hotfix.exe”

DEVIRUSARE:

1. Cand porniti PC-ul si aveti ecranul ThinkPoint, fara Desktop, taskbar sau icon-uri, apasati Ctrl+Alt+Del. Se va deschide Task Manager.

Cautati hotfix.exe si apasati “End Process“.



Apoi mergeti la File > New Task (Run…) si scrieti explorer.exe. Apasati apoi Ok.

2. Descarcati si instalati Malwarebytes Anti-Malware. Nu modificati nici o setare in timpul procesului de instalare, iar la final nu restartati PC-ul daca vi se va solicita acest lucru.

Malwarebytes’ Anti-Malware va porni. Scanati PC-ul complet si stergeti la final infectiile gasite apasand Remove selected.

Daca ai reusit sa cureti aceasta infectie, iti recomand sa cumperi versiunea PRO a Malwarebytes Anti-Malware pentru a te proteja si pe viitor de astfel de amenintari, avand in vedere ca nu au fost detectate\eliminate de antivirusul tau actual.

Alternativ puteti boota de pe un Live CD (Antivirus sau Linux obisnuit) si stergeti fisierul %LocAppData%\hotfix.exe. Apoi PC-ul va porni normal.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

10 responses to “Devirusare ThinkPoint – Un Rogue foarte sofisticat”

  1. tipo

    asta da antivirus! as da toti banii din lume sa il am…ai un link de download? :p
    glumeam, radu!
    ms pt info!

  2. calin

    am observat ca la tine e un fel de promovare a Malwarebytes Anti-Malware ca mereu pomenesti de el si mai ales spui ca recomanzi sa cumpere . Si poate vei zice ca este eficient si deasta recomanzi , da este eficient dar mai sunt si alte programe spayeware pt detectia acestor virusi rogue . ar trebuii sa pui mai multi la dispozitie mai multi antispyeware pt asemnea amentari. ca sa nu mai se creada ca faci promovare la vreun antispayer 🙂 . a da si antivirusii detecteza asta majoritatea . oricum e bine ca prezinti metodele de devirusare ca oricand se poate intampla mai ales celor care iau si instaleza orce si nu au pus nici un antivirus in pc. dar ce am zis mai sus era o sugestie atat 🙂

  3. nork

    De Spyware Doctor de ce nu se vorbeste nimic?Nu se ridica la un nivel mediu de asteptari?

  4. Andrei

    salut,
    am fost si eu infectat cu acest program si am o problema… NU pot sa adaug noul task explorer.exe.
    Intru in task manager opresc hotfix.exe, dau new task explorer.exe dar nu il ia…imi da o eroare.
    Aveti vreo idee ce sa-i fac?
    Multumesc

  5. Andrei

    dupa ce scriu in new task: explorer.exe imi apare:
    Windows cannot access the specified device path,or file. You may not have the appropiate permissions to acces the item.

    Mentionez ca am instalat un windows pe a doua partitie, am instalat aici programul Malwarebytes, am scanat partitia cu problema, mi-a gasit infectia dar nu reuseste sa o extermine.
    Inca un lucru important: fisierul meu de user este inaccesibil…imi apare

    “D:\Documents and Settings\Andrei is not accessible.
    Access is denied”

    Multumesc.

  6. adrian

    aha …. acum cateva minute m-am procopsit cu el !! :))) …. Bine ca am M.A.M

    1. happyday

      m.a.m. asta fiind acronimul lui “mami! am malware”, presupun 😆 .

  7. software

    🙂 am ajuns aici cautand informatii despre acest minunat “antivirus ThinkPoint” Speram sa fie real
    dar uite ca nu e ….

    Ms de ajutor !

Leave a Reply