Pe Devirusare.com am mai vorbit acum ceva timp ce este un program rogue si cat de daunator este.
Ca sa explic in 2 cuvinte pentru cei ce nu au rabdare sa citeasca, un program rogue este un antivirus/antispyware fals.
Imprumuta interfata si functii asemanatoare cu produsele originale ca sa pacaleasca utilizatorul sa plateasca o licenta.
Softul este un malware, care se instaleaza pe PC de pe diferite pagini(are sute de mirrors – site-uri identice cu originalul, doar pe alte domenii) si incepe sa trimita mesaje conform carora computerul este infectat si trebuie cumparata “licenta” pentru curatarea acestuia.
Bun, dupa acest malware au aparut sute de programe asemanatoare, companiile antivirus/antispyware facand cu greu fata zecilor de versiuni pe zi.
Este si greu de adaugat o detectie generica(o singura definitie pentru o familie de malware de acelasi tip).
Americanii au botezat acest fenomen scareware.
In continuare o sa prezint 2 metode de indepartare a programului Internet Security 2010 din PC:
1. Metoda manuala:
Descarcati si rulati urmatorul fisier:
Este posibil ca infectia sa nu permita descarcarea fisierelor prezentate in acest tutorial. Mergeti la un PC neinfectat si descarcati fisierele necesare, dupa care mergeti la PC-ul infectat cu ele pe un stick, CD.
Dupa rularea fisierului de mai sus, NU restartati PC-ul.
Stergeti urmatoarele fisiere din PC:
c:\s
c:\Program Files\InternetSecurity2010
c:\Program Files\InternetSecurity2010\IS2010.exe
c:\WINDOWS\system32\41.exe
c:\WINDOWS\system32\winhelper86.dll
c:\WINDOWS\system32\winlogon86.exe
c:\WINDOWS\system32\winupdate86.exe
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Security 2010.lnk
%UserProfile%\Desktop\Internet Security 2010.lnk
%UserProfile%\Start Menu\Internet Security 2010.lnk
Folositi LockHunter daca unele fisiere nu pot fi sterse:
LockHunter – alternativa Unlocker pentru Windows 7 64bit
Stergeti urmatoarele chei de registry:
HKEY_CURRENT_USER\Software\IS2010
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Internet Security 2010″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “winupdate86.exe”
Bifati si apasati Fix checked in Hijackthis 2.0.3 Beta pentru:
F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon86.exe
O4 – HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe
O4 – HKCU\..\Run: [Internet Security 2010] C:\Program Files\InternetSecurity2010\IS2010.exe
O10 – Unknown file in Winsock LSP: c:\windows\system32\winhelper86.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\winhelper86.dll
Dupa cum vedeti, cheile si fisierele au nume random, uneori aceasta metoda este dificila.
2. Metoda automata:
Descarcati si rulati urmatorul fisier:
Este posibil ca infectia sa nu permita descarcarea fisierelor prezentate in acest tutorial. Mergeti la un PC neinfectat si descarcati fisierele necesare, dupa care mergeti la PC-ul infectat cu ele pe un stick, CD.
Dupa rularea fisierului de mai sus, NU restartati PC-ul.
Descarcati Malwarebytes’ Anti-Malware:
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
si salvati-l pe Desktop.
In unele cazuri, nu puteti accesa site-ul Malwarebytes pentru a descarca programul.
Folositi mirror-ul pus la dispozitie de Softpedia:
http://www.softpedia.com/get/Antivirus/Malwarebytes-Anti-Malware.shtml
Redenumiti kit-ul in test.exe sau ceva.exe si instalati-l.
La sfarsitul instalarii asigurati-va ca ati bifat urmatoarele: Update Malwarebytes’ Anti-Malware si Launch Malwarebytes’ Anti-Malware. Apoi apasati Finish.
Daca nu se poate conecta la internet pentru a descarca cele mai noi definitii, faceti un update offline:
Malwarebytes’ Anti-Malware Update Offline
Dupa lansarea programului, selectati Perform full scan si apoi apasati pe Scan.
La terminarea scanarii apasati OK si apoi Show Results. Asigurati-va ca e totul bifat si apoi apasati Remove Selected.
Restart PC.
2 Responses to “Devirusare / Dezinstalare Internet Security 2010 – rogue removal”
Salut,
Din pacate am ajuns prea tarziu la explicatia ta… Am rulat un antispyware de la lavasoft, care a cerut restartare dupa indepartarea acestui rogue. Numai ca apoi calculatorul nu mai booteaza nici macar in Save Mode. Am reinstalat windows-ul, mai e nevoie sa urmez calea descrisa de tine?
Multumesc.
Daca nu mai prezinti urme de infectie, nu mai trebuie. Totusi pentru siguranta, ruleaza o scanare cu MalwareBytes’ Anti-Malware.