Trojan - Security Essential. Akutní problém.

Pises Bc. praci, jsi vzdelany clovek, AJ umis
http://www.bleepingcomputer.com/virus-removal/remo ve-fake-microsoft-security-essentials-alert

vzdělaný člověk by na netu zásadně používal omezený účet (když už by nechtěl blbnout se sandboxem).

v nouzovém režimu to dělá taky? v nouzovém režimu jako jiný uživatel - administrator?

podle alfonzovo odkazu je to kinder malware- vše v current user-hloupej vir.

pro uživatele: pokud se s tím nechceš mrmlat, navštiv libovolné antivirové fórum, třeba na virech cézet je. pak bych se začal zajímat o obecné zabezpečení v rámci systému.

já byl minule příjemně potěšen, když jsem potkal kinder-ware který konečně napadlo zavirovat current usera (bo omezený účet) - toto trvalo.
na spuštěné .exe reagoval údajným výpisem stylu antivir2010, a prohlížečem s výpalným odkazem za "antivir".
admošovi pak stačilo nachystat mu správce_úloh.com a autoruns.com - a malý génius, zblblý nejspíš ze stejných reklam "musíš se hodně učit", byl v pi...

musím si někdy vlézt do admošského účtu a podívat se, jak si přimountuju cizí větev registrů - a bude to ještě rychlejší.

uživatel ie v chráněném režimu musí výslovně odkliknout akci- tudy cesta mimoděk nejde
instalace- ano
instalace v omezeným- ne, oba dva to víme, že oprávnění, na nějakou hustější akci není- ať si škodí v omezeným.

w7 jak ho pozoruju, je kuriozním kouzelníkem- poklona ms.

"výslovně odkliknout akci" - stejně tak normální prohlížeče, zavedeno už v době když se o tom ie6 bez sp1 ještě nezdálo. přesto si to lidi s ff odklikají taky, a ještě to považují za skutečný av: "vždyť tam píšou že je to antivir!"

by mě zajímalo co dělá nezbedný bakalář, ke kterému ještě nedorazilo info o spyware a furt spoléhá na antivir, specializující se přece jen na něco jiného. nějak nereaguje, asi surfuje po nových security essentials.
a hele, "Win 7 Professional, 64 bit" - že on si vypnul uac, mají to tak všichni a už je velký kluk.
což je zároveň skvělé pro kinderviristy, beztak používá jediný existující účet administrator, takže léčba pod ním nehrozí - leda že autor byl měkkoň a omezil se jen na "po spuštění".

Tak nevím jestli je toto forum dobré pro získání rady a nebo k veřejnému lynči. K čemu mi ty s prominutím kecy budou? Samozřejmě od boku víte, co jsem provedl a jak jsem to provedl. Omezený účet mám, jen jsem blbej, že jsem notebook půjčil blbovi. Pak mi nepomohl ani omezený účet když stačí v danou chvíli napsat heslo admina a je to. Stejně tak nesurfuju kdesi po netu, jen mám chřipku a jsem totálně na dně. V nynější chvíli, když jsem na hraně časem, tohle fakt člověka povzbudí...

Takze vzdelany je pouze ten, kdo se hrabe jako magor 30 hodin denne v pc... Zkuseny nazor... Znam spousty vzdelanych lidi, co je jim oblast IT zcela ukradena a jen chteji veci pouzivat. Obecne jsou mnohem vzdelanejsi, nez skupinka omezencu, pardon nerdu, co umi akorat plivat po ostatnich lidech a sami umi jen zapnout/vypnout pc a hrabat se v nem. Uz me tady tyto nazory serou.

Díky za radu. Bohužel tenhle návod nefungoval. Pokud jsem to dobře pochopil, tak rKill mě vypnout proces, ale když dokončil práci a vyplivl log, neukončil podle něj nic. Stejně tak návod popisuje "Symptoms that may be in a HijackThis Log:" ale v logu z RSIT jsem ty symptomy nenašel. Jinak je ale celý problém stejný jak ten, kteří řeší na stránkách z odkazu.

odstraň ručně, přesně podle návodu. v průzkumníku si dej zobrazit skryté soubory a složky. pusť si správce úloh.

ve správci úloh ukonči exe, které jsou zde napsány, v průzkumníku je vyhledej (u tebe bude cesta c:\users\tvoje_jméno\appdata...)smazat soubory a složky níže napsané, temp se dá zobrazit: start, napsat %tmp%

Associated Fake Microsoft Security Essentials Alert Trojan and AntiSpySafeguard Files:

%UserProfile%\Application Data\PAV\
%UserProfile%\Application Data\antispy.exe
%UserProfile%\Application Data\defender.exe
%UserProfile%\Application Data\tmp.exe
%UserProfile%\Local Settings\Temp\kjkkklklj.bat
File Location Notes:

%UserProfile% refers to the current user's profile folder. By default, this is C:\Documents and Settings\ for Windows 2000/XP, C:\Users\ for Windows Vista/7, and c:\winnt\profiles\ for Windows NT

.

dále si dáš, start, hledací políčko, regedit a naklikáš si hodnoty níže, smazat

Associated Fake Microsoft Security Essentials Alert Trojan and AntiSpySafeguard Windows Registry Information:

 HKEY_CURRENT_USER\Software\PAV
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnonBadCertRecving" = "0"
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnOnPostRedirect" = "0"
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "tmp"
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce "SelfdelNT"
 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "%UserProfile%\Application Data\antispy.exe"

vše.

Díky za návod. Objevil jsem ale problém - nelze spustit správce úloh. Koukal jsem i na jiné návody a obvyle počítají s tím, že správce jede... Lze to nějak obejít?

viewtopic.php

admošovi pak stačilo nachystat mu správce_úloh.com a autoruns.com

nevím jestli je to ve tvém případě možné, nepíšeš které účty jsou zavirované, co nouzový režim ...

tyto příkazy jdou provést i z konzoly zotavení, pak tě netrápí ani zavirovaný admoš.

Nevím jestli to pomůže, ale zkus -

http://freeofvirus.blogspot.com/2009/05/remove-fak e-antivirus-10.html

Díky za návod. Bohužel Security Essential není v seznamu, které dokáže ta utilitka zlikvidovat. Zkoušel jsem, ale S.E. si jede dál jako by se nechumelilo

Zkusil bych portable ( neinstalující se) verzi Superantispyware: http://www.superantispyware.com/portablescanner.ht ml?tag=SAS_HOMEPAGE

Děkuji všem za rady. Nakonec se mi podařilo podle rady na fóru viry.cz nečekaně celý problém vyřešit "obyčejným" antispywere Malwarebytes Anti - Malware. Našel 3 objekty, reboot, smazání a vše jede jako kdyby se nechumelilo. Pouze jsem znova nastavil pozadí plochy. AD - Aware se k takové akci moc nemělo. Jdu ho smazat a nechám MBAM