Jei kompiuteryje netikėtai atsirado „System Guard Center“, tikėtina, kad susidūrėte su netikra apsaugos programa. Ji imituoja saugumo rinkinį, pateikia bauginančius pranešimus ir tariamas grėsmes, taip siekdama įtikinti jus atsisiųsti ar įsigyti „sprendimą“. Toliau – aiškus, žingsnis po žingsnio vadovas, kaip atpažinti šią apgaulę ir ją saugiai pašalinti, taip pat – kokius pėdsakus ji dažniausiai palieka sistemoje.
Kas yra „System Guard Center“
„System Guard Center“ – tai netikra antivirusinė programa iš tos pačios šeimos kaip „Cleaner2009“ ir „SystemBooster 2009“. Ji prisistato kaip viską apimantis saugumo rinkinys, kuris tikrins privatumą, šnipinėjimo programas ir klaidas. Tačiau realybėje ši programa pateikia suklastotus arba pernelyg išpūstus įspėjimus, kurie neatspindi tikrų problemų jūsų kompiuteryje.
Dažniausiai įrankis reklamuojamas erzinančiais iššokančiais langais. Apsilankius tam tikruose puslapiuose pasirodo pranešimai, esą jūsų kompiuteris nesaugus ir būtina atlikti „internetinį skenavimą“. Paspaudus pranešimą, rodoma tariamo skenerio reklama, kuri galiausiai siūlo atsisiųsti ir įdiegti „System Guard Center“.
Kaip plinta ir ką daro įdiegus
Įdiegus „System Guard Center“, sistemos registruose sukuriamas automatinio paleidimo įrašas – programa startuoja kiekvieną kartą įkrovus „Windows“. Vykdydama „tikrinimą“, ji pateikia „privatumo“, „klaidų“ ir „šnipinėjimo“ rizikas, kurių neleidžia pašalinti tol, kol nebus atliktas pirkimas. Šios „grėsmės“ dažniausiai būna sugalvotos ar neturi jokios praktinės reikšmės – tai bauginimo taktika.
Be to, programos lange rodomos reklamos kitoms abejotinos reputacijos priemonėms, pavyzdžiui, „Cleaner2009“, „Personal AntiSpy“, „RegistryDoctor 2008“. Paspaudus tokius skelbimus, kartu sukomplektuota „QuickInstallPack“ programa automatiškai atsisiunčia ir paleidžia reklamuojamas programas.
Trumpa pašalinimo eiga
- Uždarykite nereikalingas programas ir pasiruoškite instrukcijas (galite jas atsispausdinti).
- Sustabdykite kenkėjiškus procesus su „RKill“ ir neperkraukite kompiuterio iškart po to.
- Atlikite pilną „Malwarebytes“ (nemokamos versijos) paiešką, įjungę rootkit aptikimą, ir izoliuokite viską, kas rasta.
- Papildomai patikrinkite su „HitmanPro“ ir pašalinkite rastas grėsmes.
- Patikrinkite bei atnaujinkite pasenusias, pažeidžiamas programas, kad ateityje sumažintumėte riziką.
Prieš pradedant
Ši instrukcija skirta savarankiškam valymui. Atidžiai perskaitykite visus žingsnius, atsisiųskite reikalingus įrankius į darbalaukį ir, jei reikia, atsispausdinkite nurodymus. Kai kurių etapų metu gali reikėti užverti naršyklės langus arba paleisti kompiuterį iš naujo.
1 žingsnis. Sustabdykite kenkėjiškus procesus su „RKill“
- Atsisiųskite „RKill“ į darbalaukį (ieškokite oficialaus šaltinio). Jei reikia, rinkitės pervadintą failo variantą, pvz., iExplore.exe.
- Dukart spustelėkite iExplore.exe (arba kitą „RKill“ variantą). Įrankis bandys užbaigti aktyvius kenkėjiškus procesus, kad jie netrukdytų tolimesniam valymui.
- Palaukite, kol juodas langas užsidarys ir atsidarys žurnalas. Peržiūrėkite jį ir užverkite.
- Labai svarbu: neperkraukite kompiuterio po „RKill“ paleidimo, nes kenkėjiškos programos gali vėl automatiškai pasileisti.
2 žingsnis. Nuskaitykite su „Malwarebytes“ ir įjunkite rootkit paiešką
- Atsisiųskite „Malwarebytes“ į darbalaukį ir paleiskite diegimo failą (pvz., MBSetup-1878.1878-4.0.exe).
- Diegimo metu palikite numatytus nustatymus. Pirmą kartą paleidus pasirinkite „Use Malwarebytes Free“, jei nenorite licencijos.
- Programoje eikite į nustatymus (Settings), skiltyje Security įjunkite parinktį „Scan for rootkits“.
- Grįžkite į pagrindinį langą ir paleiskite pilną sistemos tikrinimą (Scan). Procesas gali užtrukti – kantriai palaukite.
- Baigus tikrinimą, pažymėkite rastus elementus ir pasirinkite „Quarantine“. Jei paprašys, sutikite perkrauti kompiuterį, kad būtų užbaigtas valymas.
3 žingsnis. Papildomas patikrinimas su „HitmanPro“
- Atsisiųskite „HitmanPro“ versiją, atitinkančią jūsų „Windows“ architektūrą (32 bitų – HitmanPro.exe, 64 bitų – HitmanPro_x64.exe).
- Paleiskite programą ir vykdykite nurodymus ekrane. Galite atlikti vienkartinį patikrinimą neįdiegiant bandomosios versijos.
- Po skenavimo patvirtinkite rastų grėsmių pašalinimą. Jei paklaus, sutikite perkrauti kompiuterį.
4 žingsnis. Pažeidžiamų programų patikra ir atnaujinimai
Daugelis kenkėjų patenka pasinaudodami pasenusiomis, saugumo spragų turinčiomis programomis. Pasinaudokite patikimu programinės įrangos tikrintuvu arba patys peržiūrėkite svarbiausius įrankius (naršyklę, įskiepį, PDF skaitytuvą, „Java“, „.NET“, multimedijos grotuvus) ir atnaujinkite juos į naujausias versijas.
Jei įrankiai nepasileidžia
- Paleiskite kompiuterį Saugos režimu su tinklais ir bandykite dar kartą.
- Laikinai išjunkite nereikalingus starto įrašus ir pakartokite aukščiau nurodytus žingsnius.
- Jei vis dar nesiseka, kreipkitės į IT specialistą dėl rankinio valymo.
Tipiniai „System Guard Center“ failai ir vietos
- c:\My Downloads
- c:\Program Files\SystemGuardCenter
- c:\Program Files\SystemGuardCenter\PP.exe
- c:\Program Files\SystemGuardCenter\SGCreminder.exe
- c:\Program Files\SystemGuardCenter\sinst.exe
- c:\Program Files\SystemGuardCenter\SystemGuardCenter Options.ico
- c:\Program Files\SystemGuardCenter\SystemGuardCenter.exe
- c:\Program Files\SystemGuardCenter\SystemGuardCenter.ico
- c:\Program Files\SystemGuardCenter\SystemGuardCenter.xml
- c:\Program Files\SystemGuardCenter\unins.ico
- c:\Program Files\SystemGuardCenter\unins000.dat
- c:\Program Files\SystemGuardCenter\unins000.exe
- c:\Documents and Settings\All Users\Application Data\SystemGuardCenter
- c:\Documents and Settings\All Users\Application Data\SystemGuardCenter\Status.dat
- c:\Documents and Settings\All Users\Application Data\SystemGuardCenter\Bases
- c:\Documents and Settings\All Users\Application Data\SystemGuardCenter\Bases\bbv.dat
- c:\Documents and Settings\All Users\Application Data\SystemGuardCenter\Bases\Enemies.dat
- c:\Documents and Settings\All Users\Desktop\System GuardCenter.lnk
- c:\Documents and Settings\All Users\Start Menu\Programs\SystemGuardCenter
- c:\Documents and Settings\All Users\Start Menu\Programs\SystemGuardCenter\Launch SystemGuardCenter Options.lnk
- c:\Documents and Settings\All Users\Start Menu\Programs\SystemGuardCenter\Launch SystemGuardCenter.lnk
- c:\Documents and Settings\All Users\Start Menu\Programs\SystemGuardCenter\Uninstall SystemGuardCenter.lnk
- %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\SystemGuardCenter.lnk
- %UserProfile%\Application Data\SystemGuardCenter
- %UserProfile%\Application Data\SystemGuardCenter\Logs
- %UserProfile%\Application Data\SystemGuardCenter\Logs\scns.log
- %UserProfile%\Desktop\QuickInstallPack.lnk
- %UserProfile%\Local Settings\Application Data\qip
- %UserProfile%\Local Settings\Application Data\qip\data.ini
- %UserProfile%\Local Settings\Application Data\qip\iercpt.dll
- %UserProfile%\Local Settings\Application Data\qip\QuickInstallPack.exe
- %UserProfile%\Local Settings\Application Data\qip\SystemGuardCenter_Setup_Dual_en.exe.ini
- %UserProfile%\Local Settings\Application Data\UCLN_QIP
- %UserProfile%\Local Settings\Application Data\UCLN_QIP\data.ini
- %UserProfile%\Local Settings\Application Data\USGC_QIP\data.ini
- %UserProfile%\Local Settings\Application Data\USGC_QIP
- %UserProfile%\Start Menu\Programs\QuickInstallPack
- %UserProfile%\Start Menu\Programs\QuickInstallPack\Contact Us.url
- %UserProfile%\Start Menu\Programs\QuickInstallPack\QuickInstallPack on the Web.url
- %UserProfile%\Start Menu\Programs\QuickInstallPack\QuickInstallPack.lnk
- %UserProfile%\Start Menu\Programs\QuickInstallPack\Uninstall QuickInstallPack.lnk
Registro įrašai, su kuriais galima susidurti
- HKEY_CURRENT_USER\Software\SystemGuardCenter
- HKEY_CLASSES_ROOT\AppID\{3A9377A6-BE7F-485D-908C-D44114691389}
- HKEY_CLASSES_ROOT\AppID\iercpt.DLL
- HKEY_CLASSES_ROOT\CLSID\{D4CDC21D-43BE-4101-A1EF-E379F134771E}
- HKEY_CLASSES_ROOT\iercpt.iercptbho
- HKEY_CLASSES_ROOT\iercpt.iercptbho.1
- HKEY_CLASSES_ROOT\Interface\{59C345BA-3D5E-44E3-9D10-D3848AF15D73}
- HKEY_CLASSES_ROOT\TypeLib\{A6FBD2E4-1C7E-4EAB-80DD-01DE2645566A}
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4CDC21D-43BE-4101-A1EF-E379F134771E}
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QuickInstallPack
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SGC_is1
- HKEY_LOCAL_MACHINE\SOFTWARE\SystemGuardCenter
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run „QuickInstallPack”
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run „SystemGuardCenter”
Pastabos dėl vietos kintamųjų
- %UserProfile% – tai aktyvaus vartotojo profilio aplankas. Pagal nutylėjimą:
- Windows 2000/XP: C:\Documents and Settings\
- Windows Vista/7/8: C:\Users\
- Windows NT: c:\winnt\profiles\
- Windows 2000/XP: C:\Documents and Settings\
Prevencija ateičiai
- Nespauskite įtartinų iššokančių langų ir „skubių“ įspėjimų dėl saugumo.
- Naudokite patikimą apsaugos programinę įrangą ir reguliariai ją atnaujinkite.
- Nuolat atnaujinkite operacinę sistemą ir dažniausiai naudojamas programas.
- Atsisiųskite programinę įrangą tik iš oficialių šaltinių.
- Periodiškai atlikite pilnus sistemos patikrinimus.
Atsakomybės priminimas
Tai – savipagalbos gidas. Visus veiksmus atlikite atsakingai ir savo rizika. Jei nesate tikri, ką darote, geriau kreipkitės į kvalifikuotą specialistą.
