Fałszywy antyvirus System Care praktycznie zablokował komputer

[pietia]

Podczas przeglądania internetu dopadła mnie infekcja o nazwie "System Care Antyvirus" Przy starcie systemu ( za pierwszym razem po prostu przerwało mi pracę ) uruchamiany jest program, który udaje antyvirusa. Zamyka wszystkie działające programy, w dymku po prawej stronie na dole wypisuje, że [to co jest właśnie zamykane] jest zainfekowane. Co więcej przeprowadza skan systemu z fałszywymi wynikami - znajduje masę trojanów keyloggerów itp. i nakazuje ich usunięcie. Żeby to jednak zrobić, trzeba oczywiście zapłacić haracz za aktywację tego 'antywirusa' ( włącza się jakaś strona internetowa, lecz nie dałem jej się ani razu załadować do końca ). Przy próbie uruchomienia jakiegokolwiek programu 'System Care Antyvirus' blokuje go i w dymku wyświetla że ten program jest zainfekowany i nie można go uruchomić. Jedyne czego nie był w stanie wyłączyć i nie jest w stanie powstrzymać to avira, czyli mój prawdziwy antywirus. Nie wiem natomiast dlaczego avira nie wychwyciła tej infekcji. Efekt tego taki że oprócz oglądania do minutę skanowania i jego wyników nie można nic na komputerze zrobić.

 

Program stworzył w lokalizacji C:\ProgramData\ swój folder o nazwie '40A3DC9D76A31861000040A39BFF1DA4',

który próbowałem ręcznie usunąć, jednak przy każdej takiej próbie program po chwilii się odnawia i od nowa folder z z trzema plikami o tej samej nazwie jest tam znowu. Stworzony został także skrót na pulpicie i w menu start ( już z nazwą "System care antyvirus").

 

Jest to dokładnie coś takiego samego jak opisane na tej stronie: hxxp://www.bleepingcomputer.com/virus-removal/remove-system-care-antivirus

(wyixowałem adres, ale tam jest tylko opis,nie ma zagrożenia)

Tam jest też porada jak to usunąć, jednak z doświadczenia wiem że lepiej się u was upewnić co będzie najodpowiedniejsze dla tej infekcji.

 

Wykonałem 2 pary logów i tłumaczę dlaczego:

Na początku nie mogąc uruchomić żadnego programu w trybie normalnym wykonałem logi OTL w trybie awaryjnym z dostępem do sieci. Te logi mają w nazwie *(tryb_awaryjny)*

Potem udało mi się przy włączaniu komputera w trybie normalnym szybko uruchomić managera zadań, zanim program odpowiadający za infekcję się załadował wyłączyłem jego proces (dosłownie ułamek sekundy zanim mi zablokował komputer) i wykonałem logi OTL z poziomu normalnego. Te logi mają standardowe nazwy.

 

Bardzo proszę  o pomoc

OTL(tryb_awaryjny).Txt

Extras(tryb_awaryjny).Txt

[picasso]

Tylko jeden zestaw logów potrzebny, te z awaryjnego i nieawaryjnego nie wykazują wybitnych różnic. Usuwam nadwyżkę.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1952241764-1876838177-3301130628-1000..\RunOnce: [40A3DC9D76A31861000040A39BFF1DA4] C:\ProgramData\40A3DC9D76A31861000040A39BFF1DA4\40A3DC9D76A31861000040A39BFF1DA4.exe ()
IE - HKU\S-1-5-21-1952241764-1876838177-3301130628-1000\..\SearchScopes\{9571E4E4-0378-4013-81EF-5F456A88C367}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=48167BCD-30A5-4069-90C4-F205D90EFC2C&apn_sauid=EAAE7785-833A-43A2-B681-BE8CD7C7D71D
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_15-windows-i586.cab (Reg Error: Value error.)
 
:Files
C:\ProgramData\40A3DC9D76A31861000040A39BFF1DA4
C:\Users\Pietia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Care Antivirus
C:\Users\Pietia\Desktop\System Care Antivirus.lnk
 
:Reg
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. W Firefox są odpadki Ask Toolbar, toteż: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox..

 

3. Przez Panel sterowania odinstaluj zbędny downloader Akamai NetSession Interface.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[pietia]

Zrobione, program już zniknął-wszystko znów działa

 

Oto nowy log

OTL.Txt

[picasso]

Wszystko zrobione jak należy. Kończymy:

 

1. Drobna poprawka na pusty wpis po Akamai. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1952241764-1876838177-3301130628-1000..\Run: [Akamai NetSession Interface] "C:\Users\Pietia\AppData\Local\Akamai\netsession_win.exe" File not found

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w OTL uruchom Sprzątanie.

 

3. Na wszelki wypadek zrób jeszcze skan w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Jeśli nic:

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zaktualizuj Javę: KLIK. Aktualnie posiadasz i te wystąpienia odinstaluj:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216041FF}" = Java™ 6 Update 41

"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17

 

 

.

[pietia]

Wszystko wykonane, Malwarebytes Anti-Malware nic nie wykrył.

Komputer znów działa jak należy.

Problem rozwiązany- temat do zamknięcia.

 

Dziękuję picasso za poświęcenie mi czasu i po raz kolejny uratowanie mojej pracy.

Na pewno się odwdzięczę!!