A Security Sphere eltávolítása

A legújabb problémám egy Security Sphere 2010 nevű kamu vírusirtóval volt, ami egy aktív Symantec Endpoint Protection mellett volt képes megfertőzni egy laptopot!

Ennek ablaka nem csak hogy állandóan felugrált vásárlásra biztatva, de egyúttal letiltotta a vírusírtót (SEP) és semmilyen programot nem engedett elindítani, ugyanis mindre azt jelezte, hogy fertőzött.

Az első ötletem a HDD kiszerelés és másik gépben való víruskergetés volt, de mivel egy még garanciális laptopról volt szó, mégsem estem neki egyből a csavarhúzóval.
Következőre a Hiren’s CD alóli indítás és valami spéci Removal Tools, azaz direkt erre a féregre kifejlesztett irtóprogram letöltése jutott eszembe, de egyelőre ezt is elvetettem.

Arra gondoltam ugyanis, hogy ha már annak idején képes voltam DOS alatt, hexaeditorral levakarni egy fájlfertőző vírust (a vírusirtóról), akkor ezzel is elboldogulok valahogy. Szerencsére más is belefutott már ebbe a nyavalyás kártevőbe, így nem tartott sokáig megtalálni a megoldást, amit most mindenki okulására közzé is teszek!

– Szóval elsőként csökkentett módban indítottam el a gépet. (Induláskor az F8 billentyű nyomogatása, majd a menüből a csökkentett mód kiválasztása.)

– Amikor a rendszer felállt, akkor jött a Start Menü Futtatás mezőjébe gépelt regedit parancs, majd az Enter leütése.

– Az elindított regisztrációs-adatbázis szerkesztőben a következő kulcsot kerestem meg: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

– Nálam itt két gyanús kulcs volt. Az egyik egy a TEMP mappában levő sok számból álló .exe kiterjesztésű fájlra mutatott, a másik pedig az AllUsers mappában levő, véletlenszerű betű és szám kombinációkból álló nevű almappában található ugyanilyen nevű .exe kiterjesztésű fájlra. Mindkettőt töröltem.

– Ezután az egész AllUsers mappában levő, véletlenszerű betű és szám kombinációkból álló nevű mappát töröltem. Ez tartalmazta ugyanis a kamu vírusirtó fájljait, amit az előbb kitörölt registry bejegyzés indított el rendszerindításkor.

– Következett a rendszer újraindítása, immáron a hagyományos módon.

– Miután a rendszer problémamentesen elindult, a biztonság kedvéért lefuttatam az immáron újra működő Symantec vírusírtót. (Minő meglepetés, semmi érdemlegeset nem talált.)

– Öröm és boldogság, a vírusírtás sikeres volt!

Megjegyzés: Az AllUsers mappa XP alatt a C:\Documents and Settings\All Users, míg Vista és Windows 7 alatt a C:\Users\All Users útvonalon található.


 


 


FRISSÍTÉS: A fenti leírás a Security Sphere 2010-zel való kalandomról szólt, ám időközben, a kommentekből kiderült, hogy az újabb változat a Security Sphere  2012 kicsit nehezebben távolítható el, ezért utánanéztem, hogy mivel is kell kiegészíteni a levakarási folyamatot.

– Először is érdemes a Csökkentett mód helyett a Csökkentett mód hálózattal lehetőséget választani, és ebben végezni az eltávolítást.

– Páran jelezték, hogy nem tudják elindítani a regedit-et, ami vagy jogosultsági problémából adódik, vagy fut a háttérben a vírus, ami nem engedi elindítani a regisztrációs adatbázis szerkesztőt. Ez vagy azért van, mert nem csökkentett módban próbálkoztak az eltávolítással, vagy pedig valahogy a csökkentett módban is elindult a kártevő. Emiatt el kell indítani a Feladatkezelőt (Jobb klikk a tálcán, majd Feladatkezelő indítása).
A  folyamatok fülön keresni kell egy véletlenszerű betű-szám kombinációkból álló fájlt (pl.: 6ia8xr62av4.exe), majd jobb klikk a nevén, és a Folyamatstruktúra leállítása lehetőséget kell választani.
Így lehet kilőni a vírust, és tovább próbálkozni az eltávolítással.

– A Security Sphere beállít egy proxy szervert is, amit ki kell kapcsolni. (Hogy mi ez, és miért kell kikapcsolni, abba most nem mennék bele, fogadjuk el, hogy így KELL csinálni.)
Ehhez menjünk a Vezérlőpult – Internetbeállítások – Kapcsolatok – Helyi hálózati beállítások ablakba, majd – ha be volt jelölve, akkor – itt alul, a Proxykiszolgáló résznél vegyük ki a pipát a Proxykiszolgáló használata elől. Utána OKézzunk le mindent.

– Ezután jöhet a fentebb már említett AllUsers mappa alatt található véletlenszerű betű-szám kombinációkból álló mappa és teljes tartalmának eltávolítása. Ez tartalmazza tulajdonképpen a kártevőt.

– Most lehet indítani a regedit-et, és eltávolítani a HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ágon található, véletlenszerű betű-szám kombinációkból álló nevű exe fájlra való hivatkozást.
Érdems még a HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run és a HKEY_CURRENT_USER\Software ágat is megnézni, mert ott is lehet ilyen véletlenszerű betű-szám kombinációkból álló nevű fájlra mutató hivatkozás.

– Ha a Start Menüben vagy az Asztalon van Security Sphere 2012 nevű mappa, vagy hivatkozás, akkor azt is töröljük.

– A kártevő módosít(hat)ja a Windows hosts fájlját. Megint csak nem részlezetném, hogy ez miért probléma, a lényeg, hogy ki kell javítani. Ehhez az alábbi, Microsoft oldalon található Fixit programot érdemes használni:
http://support.microsoft.com/kb/972034

– Ezután lehet a rendszert normál módban újraindítani, és a biztonság kedvéért egy víruskeresőt, vagy direkt spyware irtót lefuttatni.

– Ha mindez megvan, akkor érdemes megfogadni egy, a témához a Google+ oldalon hozzászóló felhasználó javaslatát, miszerint:
“Egy ilyen után azért nem árt (mondhatni kötelező) minden tempet törölni, a lapozófájl helyett újat generálni és a visszaállítási pontokat törölni és generálni egy frisset.”


 


 


FRISSÍTÉS 2: Hozzászólásban jött az infó egy, a fentieknél egyszerűbb eltávolítási módszerről. Ez szerint ha a program tetején, a regisztrációnál a beírjuk a 8945315-6548431 kódot, akkor a program “megkegyelmez” és az újraindítás után simán törölhető a program parancsikonja és az All Users-ben a program mappája. Így aztán minden visszatér a régi kerékvágásba, visszakapjuk a vírusmentes Windowsunkat.

Ezt a módszert én nem teszteltem, de egy próbát mindenképp megér!

Köszönet a tippért a Doressz és J. Laci nevű olvasóknak!

67 comments for “A Security Sphere eltávolítása

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

tíz − 4 =

Ez az oldal az Akismet szolgáltatást használja a spam csökkentésére. Ismerje meg a hozzászólás adatainak feldolgozását .