System fix
Információk a kártevőről és eltávolítási segédlet
A System Fix egy magát rendszerdiagnosztikai eszköznek mondó, valójában hamis riasztásokat megjelenítő kártevő. A károkozó internetes böngészők sebezhetőségét kihasználva települ a számítógépre, majd hardverproblémákkal kapcsolatos, hamis riasztásokat jelenít meg. A rendszer legtöbb állományát rejtetté teszi és letiltja a rejtett fájlok megjelenítését. Az Asztalról és a Start menüből elmásolja a programok parancsikonját a %Temp%\smtmp mappába.
A System Fix károkozót a VirusBuster vírusvédelmi termékek generikusan Trojan.FakeAV.Gen.16 néven ismerik fel.
Ha korábban már megfertőződött a gépe ezzel a károkozóval, akkor azt az alábbi módon tudja helyreállítani:
1. Indítsuk el a számítógépet Csökkentett módban:
A számítógép elindítása csökkentett módban
2. A C:\Documents and Settings\All Users\Application Data mappában keressünk gyanús nevű exe fájlokat, amelyeknek értelmetlen, véletlenszerűen létrehozott neve van (számok és betűk vegyesen) és a dátumuk nagyjából a fertőzés idejére tehető. Ezeket át kell nevezni úgy, hogy azok ne tudjanak futni (például virus1.xxx). Ezeket a fájlokat a rendszer helyreállítása után ajánlott elküldeni a virus@virusbuster.hu címre, majd utána törölni őket.
3. Parancssorban (Start > Futtatás > cmd) az összes meghajtóra ki kell adni az attrib -h /s /d parancsot (a meghajtó gyökérkönyvtárában kell állnunk a parancs kiadásakor). Ekkor a rejtett állományokról lekerül a rejtett attribútum.
4. A törölt parancsikonokat a %Temp%\smtmp mappából vissza kell állítani az eredeti helyükre az alábbiak szerint:
%Temp%\smtmp\1:
Windows XP: C:\Documents and Settings\All Users\Start Menu
Windows Vista és Windows 7: C:\ProgramData\Microsoft\Windows\Start Menu
%Temp%\smtmp\2:
Windows XP: C:\Documents and Settings\<az Ön bejelentkezési neve>\Application Data\Microsoft\Internet Explorer\Quick Launch\
Windows Vista és Windows 7: C:\Users\< az Ön bejelentkezési neve >\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\
%Temp%\smtmp\3:
Windows XP: Ez a mappa nem létezik XP alatt.
Windows Vista és Windows 7: C:\Users\< az Ön bejelentkezési neve >\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
%Temp%\smtmp\4:
Windows XP: C:\Documents and Settings\All Users\Desktop
Windows Vista és Windows 7: C:\Users\Public\Desktop
5. Töröljük a következő registry bejegyzéseket (registry indítása: Start > Futtatás > regedit):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\HidNoChangingWallPaperden
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Use FormSuggest
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CertificateRevocation
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WarnonBadCertRecving
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\LowRiskFileTypes
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\SaveZoneInformation
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\DisableTaskMgr
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\CheckExeSignatures
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
A HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run kulcs alatt törölni kell azokat a bejegyzéseket, amik a C:\Documents and Settings\All Users\Application Data mappában található gyanús nevű fájlokra mutatnak.
6. Töröljük az alábbi fájlokat:
%AppData%\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk
%Desktop%\System Fix.lnk
%StartMenu%\Programs\System Fix mappa
Jelmagyarázat:
%Desktop% - ez azt jelenti, hogy a fájl közvetlenül az Asztalon található. Windows 2000/XP alatt ez C:\DOCUMENTS AND SETTINGS\<bejelentkezett felhasználó>\Desktop, Windows Vista és 7 alatt C:\Users\<bejelentkezett felhasználó>\Desktop.
%Temp% - ez a Windows Temp mappáját jelenti. Alapból ez a C:\Windows\Temp mappa Windows 95/98/ME rendszeren, C:\DOCUMENTS AND SETTINGS\<bejelentkezett felhasználó>\LOCAL SETTINGS\Temp Windows 2000/XP rendszeren és C:\Users\<bejelentkezett felhasználó>\AppData\Local\Temp Windows Vista és Windows 7 alatt.
%AppData% - a bejelentkezett felhasználó Application Data mappáját jelenti. Alapbeállításként Windows 2000/XP alatt ez a C:\Documents and Settings\<bejelentkezett felhasználó>\Application Data. Windows Vista és Windows 7 alatt pedig C:\Users\<bejelentkezett felhasználó>\AppData\Roaming.
%StartMenu% - ez a Windows Start menüjét jelenti. Windows 95/98/ME rendszeren ez a C:\windows\start menu mappa, Windows XP, Vista, NT, 2000 és 2003 rendszeren a C:\Documents and Settings\<bejelentkezett felhasználó>\Start Menu, és Windows Vista/7 alatt pedig C:\Users\<bejelentkezett felhasználó>\AppData\Roaming\Microsoft\Windows\Start Menu.
A fenti műveletek elvégzése után indítsa újra a számítógépet.
Amennyiben további problémákat tapasztal, írjon levelet a támogatási osztálynak a support@virusbuster.hu címre.
További vírusmentes környezet kíván
a VirusBuster csapat!
