Nu, nu s-a lansat un nou produs de securitate. Este vorba de un program antivirus rogue – Antispy Safeguard.
Ce este un antivirus rogue ?
Este un fals antivirus care imita fie cu numele fie cu interfata un program de securitate legitim si care alerteaza userul ca sistemul este infectat si ca trebuie sa cumpere “licenta” (minune) pentru a se devirusa. Utilizatorul plateste de cele mai multe ori suma pentru a afla ca de fapt a fost in zadar.
M-am decis sa scriu despre acest program deoarece cateva cunostinte dintr-ale mele au luat acest malware/fake-antivirus si m-am gandit sa ofer o avertizare precum si solutia inainte ca programelul sa ajunga prea raspandit. In plus, imi va fi si mie mai usor sa le ofer prietenilor ceva de lecturat daca istorioara se va repeta :).
Asadar, pentru o devirusare COMPLETA si CORECTA urmati intocmai instructiunile:
1. Opreste procesele (click dreapta pe taskbar -> Start Task Manager -> Processes -> End Process):
antispy.exe defender.exe tmp.exe
2. STERGE urmatorii registri (Start ->Scrieti “regedit” in Search Bar -> HKEY_CURRENT_USER):
HKEY_CURRENT_USERSoftwarePAV HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings "WarnonBadCertRecving" = "0" HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings "WarnOnPostRedirect" = "0" HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "tmp" HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce "SelfdelNT" HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon "Shell" = "%UserProfile%Application Dataantispy.exe"
3. STERGE urmatoarele fisiere (navigati C:UsersJohnDoe – unde JohnDoe este numele utilizatorului infectat):
%UserProfile%Application DataPAV %UserProfile%Application Dataantispy.exe %UserProfile%Application Datadefender.exe %UserProfile%Application Datatmp.exe %UserProfile%Local SettingsTempkjkkklklj.bat
ATENTIE: Anumite parti din virus pot ramane in PC sau acesta poate descarca alti virusi. Dupa ce ai terminat procesul de mai sus urmeaza si pasii de siguranta/verificare de mai jos.
Prima data il scanezi cu Kaspersky Virus Removal Tool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ (desi va recomand sa instalati Kaspersky Anti-Virus versiunea trial sau chiar sa o cumparati )
Dupa ce l-ai scanat cu acest utilitar, scaneaza computerul si cu MalwareBytes AntiMalware: http://www.malwarebytes.org/
Dupa indeplinirea tutror proceselor de mai sus, virusul nu ar mai trebui sa existe in computer. Daca printr-o minune exista va rog lasati detalii pe rubrica de comentarii.
SUCCES !
UPDATE: In cazul in care nu puteti deschide task managerul (virusul poate bloca acest lucru) folositi un rescue disk.
Va dau ca exemplu Kaspersky Rescue disk: http://support.kaspersky.com/viruses/rescuedisk?level=2.
Dupa folosirea lui, repetati procesele de la inceputul articolului.
*Ii multumesc lui iosys ca mi-a amintit acest lucru”
… as mai pune o nota.. ca toate fisierele descrise pot avea si alte denumiri. Pana la urma tot cu un tandem [autorun/proces explorer] de la sysinternals faci fata. Si cateodata rogue-urile astea iti mai si blocheaza accesul la taskmanager. Asa ca e bine sa aveti un cd/stick-usb bootabil (de prin articolele precedente) si sa curatati manual anumite chestii. Recomand inca cu incredere Hiren’s BootCD.
PS: (aici ma adresesz celor, care vin sa repare, ce au facut persoanele prea “naive” in ale internetului) 😀
Da, asa este, mi-a scapat chestia asta.