понедельник, 11 апреля 2011 г.

Как удалить XP Home Security 2011

Всем добрый день. Хочу рассказать о очень интересном вирусе с которым я встретился на днях, называется он XP Home Security 2011. На самом деле этот коварный вирус имеет много названий, вот самые распространённые из них: 
  • XP Home Security 2011 (2010)
  • Vista Home Security 2011
  • Win 7 Home Security 2011
  • Home AntiVirus 2010
  • Win7 AntiVirus 2010
  • Windows Restore  
XP Home Security 2011 устанавливается на вашу систему под видом обновления для операционной системы.
Дальше он выступает в роли антивируса это видно и из его названия. После полной установки Home Security 2011 начинает сканировать вашу систему(во время сканирования он блокирует браузеры) и сообщает вам о том что в системе есть много вредоносных программ. Следующий шагом Home Security 2011 предлагает вам их удалить но только после активации. Предлагает он себя активировать несколькими путями, фишка в том что сколько бы вы не делали переводов и не отправляли смс для получения кода активации у вас ничего не получится... т.к. никакой активации для этого антивируса нету, он намерено запугивает пользователей что бы получить деньги на счёт.

Вот как выглядит этот вирус:

Внимание!!! В случае если злобный вирус заблокировал ваш компьютер окончательно, попробуйте ввести код: 1145-17884799-7733 либо 1147-175591-6550.

И так теперь я опишу как его можно удалить. В интернете я нашол два способа удаления этого вируса один в ручную и второй при помощи программы Spyware Doctor. Но как показала практика Spyware Doctor не полностью вычищает компьютер от Home Security 2011 и есть большой шанс что он опять восстановиться. Поэтому я буду описывать только ручной способ удаления.

Удаление можно разделить на несколько этапов:

1. Необходимо в диспетчере задач найти процесс который создал этот вирус и остановить его
 На каждом компьютере процесс называется по своему но выглядит примерно так [random.exe]
 где random это любой набор из двух или чаще трёх символов.

2. Нужно удалить ключи в реестре которые он прописал. Для этого нажимаем:
пуск -> выполнить, в появившемся окне вводим regedit и жмём ОК

У нас должно появиться редактор реестра:

 И тут начинается самая кропотливая работа. Нужной найти все ключи приведённые ниже и удалить их. Сразу предупреждаю что всех ключей вы можете и не найти, это зависит от того как сильно вирус проник в вашу систему.

HKEY_CURRENT_USER\Software\Classes\.exe "(Default)" = 'exefile'
HKEY_CURRENT_USER\Software\Classes\.exe "Content Type" = 'application/x-msdownload'
HKEY_CURRENT_USER\Software\Classes\.exe\DefaultIcon "(Default)" = '%1' = '"%UserProfile%\Local Settings\Application Data\[random 3 letters].exe" /START "%1" %*'
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command "IsolatedCommand" = '"%1" %*'
HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command "(Default)" = '"%1" %*'
HKEY_CURRENT_USER\Software\Classes\.exe\shell\runas\command "IsolatedCommand" = '"%1" %*'
HKEY_CURRENT_USER\Software\Classes\exefile "(Default)" = 'Application'
HKEY_CURRENT_USER\Software\Classes\exefile "Content Type" = 'application/x-msdownload'
HKEY_CURRENT_USER\Software\Classes\exefile\DefaultIcon "(Default)" = '%1'
HKEY_CURRENT_USER\Software\Classes\exefile\shell\open\command "(Default)" = '"%UserProfile%\Local Settings\Application Data\[random 3 letters].exe" /START "%1" %*'
HKEY_CURRENT_USER\Software\Classes\exefile\shell\open\command "IsolatedCommand" = '"%1" %*'
HKEY_CURRENT_USER\Software\Classes\exefile\shell\runas\command "(Default)" = '"%1" %*'
HKEY_CURRENT_USER\Software\Classes\exefile\shell\runas\command "IsolatedCommand" - '"%1" %*'
HKEY_CLASSES_ROOT\.exe\DefaultIcon "(Default)" = '%1'
HKEY_CLASSES_ROOT\.exe\shell\open\command "(Default)" = '"%UserProfile%\Local Settings\Application Data\[random 3 letters].exe" /START "%1" %*'
HKEY_CLASSES_ROOT\.exe\shell\open\command "IsolatedCommand" = '"%1" %*'
HKEY_CLASSES_ROOT\.exe\shell\runas\command "(Default)" = '"%1" %*'
HKEY_CLASSES_ROOT\.exe\shell\runas\command "IsolatedCommand" = '"%1" %*'
HKEY_CLASSES_ROOT\exefile "Content Type" = 'application/x-msdownload'
HKEY_CLASSES_ROOT\exefile\shell\open\command "IsolatedCommand" = '"%1" %*'
HKEY_CLASSES_ROOT\exefile\shell\runas\command "IsolatedCommand" = '"%1" %*'
HKEY_CLASSES_ROOT\exefile\shell\open\command "(Default)" = '"%UserProfile%\Local Settings\Application Data\[random 3 letters].exe" /START "%1" %*'
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command "(Default)" = '"%UserProfile%\Local Settings\Application Data\[random 3 letters].exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe"'
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command "(Default)" = '"%UserProfile%\Local Settings\Application Data\[random 3 letters].exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode'
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command "(Default)" = '"%UserProfile%\Local Settings\Application Data\[random 3 letters].exe" /START "C:\Program Files\Internet Explorer\iexplore.exe"'


После удаления всех ключей я ещё набирал в поиске реестра свой процесс [random.exe] и удалял все ключи связанные с ним. Но на некоторых компьютерах это делать не обязательно.

3. Наконец то последний этап выкорчёвывания этого вируса из системы, необходимо просто удалить следующие файлы:

%AllUsersProfile%\t3e0ilfioi3684m2nt3ps2b6lru
%AppData%\Local\[random].exe
%AppData%\Local\t3e0ilfioi3684m2nt3ps2b6lru
%AppData%\Roaming\Microsoft\Windows\Templates\t3e0ilfioi3684m2nt3ps2b6lru
%Temp%\t3e0ilfioi3684m2nt3ps2b6lru


У меня на практике большей части этих файлов на многих компьютерах не было, поэтому я на всякий случай просто чистил весь Temp.


После всех проделаных работ просто перезагружаем компьютер=)) и радуемся чистой системе=)

PS. После удаление вируса могут не открываться EXE файлы =)

2 комментария:

  1. Иван22.5.11

    Я не нашёл файл в диспетчере задач. Я просто удалил найденные ключи (были почти все). Перечисленные файлы тоже не обнаружил. Перезагрузил компьютер, и пока XP Home Security 2011 вроде не напоминает о себе.

    Да, не открывались exe-файлы. Сделал всё по инструкции.

    Спасибо огромное!

    ОтветитьУдалить
  2. Санёк12.8.11

    Спасибо большое за инструкцию! Очень помогла.

    ОтветитьУдалить