Security Tool это поддельная антиспайварная программа из серии подделок основателем которой является System Security. Как и другие программы подобного класса, Security Tool использует разнообразные способы проникновения на компьютер. Среди них основные это трояны и поддельные онлайн антивирусные сканеры.
После того как эта паразитная программы была скачана и запущена, она первым делом создаёт запись с именем состоящем из случайно выбранных цифр в ключе «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run» реестра Windows, обеспечивая таким образом себе автоматический запуск при каждой загрузке Windows. Затем Security Tool приступает к сканированию компьютера, результатом которого является обнаружение большого количества заражённых файлов.
Вылечить эти файлы или удалить их нельзя, программа будет требовать сначала купить её полную версию. Но делать этого не нужно, так как всё что показывает Security Tool в своём отчёте — это подделка, ничего подобного на компьютере нет.
Для того чтобы создать более полную картину того, что компьютер заражён, Security Tool постоянно показывает различные предупреждения, которые сообщают о том, что компьютер заражён, что часть системных файлов были повреждены неизвестной вредоносной программой и тд. Кроме этого, Security Tool блокирует запуск практически всех программ, включая антивирусы, показывая при этом сообщение что файл был заражён. Смысл показа всех этих сообщений один, обманом вынудить пользователя купить Security Tool и «вылечить компьютер». Как и результаты сканирования, все эти предупреждения — подделка и их нужно игнорировать. Ниже будет приведена инструкция по-удалению Security Tool и других троянов и вирусов, что могли попасть на компьютер вместе с этой вредоносной программой.
HijackThis показывает заражение
O4 – HKLM\..\Run: [36015930] C:\Documents and Settings\All Users\Application Data\36015930\36015930.exe
Цифры в имени файлов и названии каталогов индивидуальны для каждого случая заражения.
Как удалить Security Tool
Скачайте программу HijackThis кликнув по этой ссылке, но в диалоге сохранения файла измените имя HijackThis.exe на explorer.exe, после чего сохраните файл на ваш рабочий стол.
Кликните дважды по иконке explorer.exe на вашем рабочем столе для запуска программы. Откроется главное меню. Кликните по кнопке Do a system scan only.
Выделите галочками слева все строки похожие на следующую:
O4 — HKLM\..\Run: [36015930] C:\Documents and Settings\All Users\Application Data\36015930\36015930.exe
Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES. Закройте HijackThis.
Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер.
Откройте вкладку Сканер, и кликните по кнопке Проверить.
После сканирования кликните Показать результаты и вам будет показан результат сканирования.
Кликните по кнопке Удалить выделенные.
Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.
#6 спс, помогло.
Большая благодарность.Ни одна программа не загружалась.Сделал так:при включении компа вызвал диспетчера задач.Хоть и Security появлялся, но уже мог работать с задачами. Появилась что-то вроде 7456…. Удалил ее. А затем все как вы написали.После Malwarebytes Anti-malware прошелся еще Ативирусом Avira, он нашел те же вирусы и трояны.Странно. Но у меня появилась другая проблема. Позже оказалось, что я не могу скачать ни один файл с инета.При загрузке появляется окно с надписью: не удается загрузить указанный файл.Не удается открыть этот узел интернета.Узел недоступен или не найден. Кроме этого пропал плагин для Adobe playera,и теперь нет возможности смотреть видео ролики с Youtube и других сайтов. Может подскажете в чем причина и где искать?
СПАСИБО!!!
Неделю мучалась))))
=*
Большое СПАСИБО. Помогло.
Из безопасного режима (с сетевыми драйверами) скачал HijackThis.exe (в обычном режиме браузеры не запускались), переименовал ее в explorer.exe.
Запустился в обычном режиме и заблокировал «цифровой» процесс.
Далее обновив NOD SmartSecurity (у меня последнее обновление было 2 мес. назад), все просканировал. Антивирус нашел аж 17 вирусов(!) и удалил этот Security Tool без проблем.
Еще раз спасибо!
У нас в оффисе тоже «подцепили» эту болезнь.
Как лечил.
1. Скопировал файл regedit.exe с папки С:/Windows/ в С:
2. Переименовал копию файла regedit.exe (которую скопировал на диск С:)на explorer.exe
3. Запустил regedit под именем explorer («болезнь» позволяет запускать файл explorer.exe)
4. В поле ПРАВКА — НАЙТИ ДАЛЕЕ (или кнопка F3) ввел цифры которые появляются при наведении
мышкой на пиктограмку в виде «синего щита» которая размещена около часов,индикатора клавиатуры.
В моем случае были цифры 402903 — у Вас могут быть другие.
И нажал — Найти делее.
5. Нашло ссылку на файл вируса в 2 ключах реестра в RunOnce и еще гдето — ето неважно.
6. Удалил ключи с этой ссылкой — перед тем посмотрев где же находится этот «вредный» файл.
Вобщем там где и у всех С:Document&Setting/_имя юзера_/Local Seting/Application Data/
7. Перезагрузил комп.
8. Удалил файл вирусяки (402903.еxe — как пример, у Вас будет другое название)
Преимущество метода
1. Файл вируса всегда меняет название и место прописки в реестре, а так можно его сразу «выципить»
2. Не надо иметь ни флешки, ни доступа в интернет, чтобы скачать антивирус — все делается одной
«штатной» програмой — regedit, не надо даже перезагружатся в «безопасный» режим.
3. Только одна перезагрузка системы ( и то для удаления уже обезвреженого файла) и не более 3-5 минут Вашего времени.
Удачи!
спасибо.вам огромное все сделала как в инструкции (даже распечатала на всякий случай),и получилось!!! Хотя я вообще не знаток компьютера.Все написано очень доступно,дай бог вам здоровья и всего самого хорошего.Еще раз спасибо!
Огромное спасибо, воспользовался вашими инструкциями и всё получилось. А собирался уже Винду сносить
spasiboooooo ogromnoooooeeeeee , ea dumala soidu ssuma ot etogo mikroba, spasibo i znaniy vam pobolshe nam pomogat
Огромнейшее спасибо за помощь! Все получилось, все работает….
форум прочитал после того как справился самостоятельно с этой проблемой.
случайно нашел файлик тут с иконкой секурититула тут C:\Documents and Settings\All Users\Application Data\123456789.exe
потом загрузился с liteCD (зверь сиди) удалил этот файлик, позже заметил что в автозагрузке прописано открытие не его, а копии его из папки TEMP удалил содержимое всех папок TEMP, т.е.
c:\temp\
c:\windows\temp
C:\Documents and Settings\All Users\Application Data\TEMP (all users — под всеми юзерами компа)
C:\Documents and Settings\All Users\Local Settings\Temp
C:\Documents and Settings\All Users\Local Settings\Temporary Internet Files
C:\Documents and Settings\ener\Local Settings\Application Data\Opera\Opera\cache (opera — всех браузеров, незабудьте про интернет эксплорер)
в автозагрузке удилал загрузку энтого вируса.
поиском нашли гадский файл в C:\Documents and Settings\All Users\Application Data\7920166.exe (в нашем случае был 7920166.exe)
переименовали на жопа.exe
зашли в безопасном режыме (на всяк случай…)
прибили его нахх
перезагрузились и снова щастье!
но можно всё и быстрее:
1)адрес файла через кнопку Пуск — все программы — Security tool , на нем нажмите правой кнопкой мыши – свойства: там — адрес местонохождения файла
далее — см. выше…
удачи!
и пусть отсохнут руки у таких программеров кто лабает этот вредоносный софт!
Огромнейшее спасибо!Ну наконец-то!!!)))Всё получилось.
Дай вам Бог здоровья!
Спасибо!!! Вы Боги!!!
Огромнейшее спасибо, два раза спасли!!!!
Огромное спасибо Всем! Сайту, коментариям, сделал сначало по совету — переименоваия файлов этой заразы (нашел в C:\Documents and Settings\All Users\Application Data\36015930\36015930.exe(типа того),переименовал на 1.ехе, и какой-то его файл в rar) перезагрузил потом систему, удалил 1.ехе. и rar
Всё работает
спасибо отдельное Вам — ALF !
за короткий путь лечения
СПАСИБО!!!
Живу заграницей, и сегодня подхватила где-то этот вирус. Муж обзвонил всех знакомых компьюторщиков, попросил о помощи. Все сказали, что вирус ну оооооочень сложный и на дому убрать практически невозможно. Нужно везти к магазин. Вечером решила поискать сама на русских страницах……нашла….5 минут и вируса нет! Всем здешним «компьюторщикам» надо ехать в Россию на повышение квалификации….СРОЧНО!
все делаю по инструкции в первой программе все сделал а во вторую не дает зайти секьюрити тул что делать????
Спасибо всем огромное за советы! А вашему сайту отдельное огромное человеческое спасибо! Я сделала так как написано вверху, но он блокировал и не давал открыть HijackThis.exe даже после того как я переименовала его. Я перезапустила комп и сделала ставку на опережение этой программы и вывела диспетчер задач alt-ctrl- delete и завершила процесс этой программы она у меня была под числами 268839. А потом действовала как сказано выше. Может и мой опыт пригодиться кому то! Всем огромное спасибо муж уже хотел виндус переустанавливать!
Лев, если не уверены, лучше ничего не выделяйте. Обратитесь на форум на этом сайте за помощью.
avtor, скачайте программу на другой компьютер и перенесите на заражённый используя флешку или сд диск.
Александр, похожая — это значит как и в примере имя файла и имя ключа реестра состоят только из цифр.
Слыбый, вы переименовали HijackThis перед запуском ?
константин, проверьте настройки прокси сервера в браузере. Возможно вирус их изменил.
Проблема решается гораздо более простым и быстрым способом. Заходим в sistem tools которые встроены в винду и делаем востановление системы на пару дней до вируса. Естественно, делаем все это в safe mode, который запускается клавишей F8 при загрузке компа.
огромное спасибо !!!
все получилось с первого раза !!!
ой помогите пожалуйтса я уже мучаюсь с этой фигней ококло месяца..я все папки удалила что связано с антивирусом и осталась только одна:epfwndis
она не удаляется.пишет типо диск преполнен или защищен от записи, либо занят др.приложенимем..короче хрень…вы пишите в безопасном режиме всё делать..ну запустила я в безопасном а че дальше..у меня в инет даже не заходит((…..еще пишите тут удалить папку: C:\Documents and Settings\All Users\Application Data\, и удалил вот такую папку 36015930у меня такого вообще нет..точнее папки с этими цыфрами и ваще ни с какими цыфрами((…че делать???
скачала этот :HijackThis.exe ну и переименовала там на explorer.exe, а на рабочем столе тока написано explorer….ну и ладно зашла я туда значит в инструкции написано: Выделите галочками слева все строки похожие на следующую:
O4 – HKLM\..\Run: [36015930] C:\Documents and Settings\All Users\Application Data\36015930\36015930.exe
..я вот подумала что тлолька как начало начинается и штук 10 штук удалила..((
а вот точно такой у меня записи не было…че за хрень..че я сделала??..помогите ка поже(((жду ответа..пишите тока быстрей)
Огромнейшее спасибо
Спасибо.Вроде все получилось!
Спасибо огромное!!! все получилось!!!
О, спасибо автору огромное за дельный совет!!! Я эту гадость подцепила на каком-то сайте и уже думала всё, муж прийдёт с работы, сделает мне вырванные годы!!! Спасибо вам огромное, всё работает, всё получилось!!!
Malwarebyte killed that f..ing spite!!!!!!
Спасибо вам! Здоровья крепкого и удачи во всем!!!!
олечка, не получается самостоятельно, обратитесь на наш форум http://www.spyware-ru.com/forum/
Дата:2009-12-28 8:51 37. Автор:Юрий
Столкнулся и я с этой бедой. И вот как мне удалось от этой заразы избавиться. Сразу хочу заметить, что тут важна скорость первой операции, а именно при загрузке винды нужно сработать на опережение – Ctrl+Alt+Delete (да-да вы правы именно «диспетчер задач»)и быстро останавливаем процесс Security Tools, далее, как писалось выше C:\Documents and Settings\All Users\Application Data\ и удаляем папку с цифровым именем (что-то типа 3389756), перезагружаем
Спасибо!!! Реально сработало!
Спасибо! Удалил это полностью в автономном режиме.
А у меня там нет документов с цифрами.
Я боюсь удалить что-нибудь нужное.
Не могу найти папку, в которой находится вирус этот.
Уже и через диск С, и через поиск…помогите, пожалуйста.
Благослови вас Господь Бог
спасиба ребята, большое спасибо
Всем ОГРОМНОЕ СПС за помощь. У мну прога называлась немного подругому «System Tool» принцип тот же, но к названию файла которого нужно убить еще и буквы добавились (пример Hpth064513.exe) помогла HijackThis найти эту гниду путь такой же C:\Documents and Settings\All Users\Application Data\. Еще раз СПАСИБО!!!
Спасибо огромнейшее ребята!!!!!Очень помогли.Успехов вам в вашем не легком деле!!!
спасибо всё получилось
mi nemojem udalit etot virus esli mojno pomogite pojalusto
Удалил эту гадость достаточно просто.Сделал так:при включении компьютора вызвал диспетчер задач ctrl+shift+esc.Security будет стараться блокировать диспечер.Здесь будет соревнование на скорость-что быстрее загрузится.С первого раза может и не получится.В «процессах» остановил что-то вроде 356…(циферки узнаете кликнув на иконку Security).Затем проверил компьютер при помощи Malwarebytes Anti-malware.Программа все удалила, почистив реестр.
поймал Security tool (фу, гадость) Зверь не брал. Последовал совету Cranz’а(№31). Все получилось, правда номер папки был другой,удалил и комп работает. Ребята, вы молодцы, огромное спасибо! (В безопасном режиме эта хрень представляет собой что-то среднее между сеткой молекул и фашистской свастикой)
Заодно поделюсь опытом. NOKIA 5300 express music лежал в ремонте 5 месяцев. Работал, но сеть не видел. Прочитал в нете и поджал зажим Sim-карты. экономия — 80-гривень. Читайте форумы. СПАСИБО!
Спосибо! Очень помогло! Никак не мог его выключить!
Помог вариант с переименованием файла вручную,перезагрузкой и удалением,автору СПАСИБО!!!!
Боже….да, вам цены нет!!!!!!Счастью нет предела!!!! Яудалила эту гадость!!!!!!
Security Tool убить можно за 5 минут (или даже быстрее): меню пуск, все программы (он нижний), правой кнопкой мыши на него, строка «файл назначения), по стрелке — «найти». Кликаем. Открывается папка с его коренным файлом (обычно обозначает он себя цифровым кодом). Кликаем правой клавишей мышки на гада, выбираем строку «переименовать» удалять бесполезно, даже Unlocker асистентом, переименовываем как угодно (так, чтобы переименование сохранилось), выходим от-туда, закрываем все окна (если до этого сумели что-то открыть) и, главное — ПЕРЕЗАГРУЖАЕМ комп. После сволочь уже не стартует с виндоус. Компом уже можно спокойно пользоваться, всё будет открываться. Но всё же повторяем все действия, только теперь спокойно его удаляем. Затем удаляете все его ярлыки, что остались (на всякий пожарный). Усё!!! Я именно так от него и избавился. Переименование коренного файла с последующей перезагрузкой позволяют избавиться от всех программ, не дающих себя удалить.
Настя, в этом случае лучше обратитесь на наш форум http://www.spyware-ru.com/forum/
блин я переименовал HijackThis на explorer.exe , но у меня нету там строки с цифрами 36015930 , есть похожие на O4 – HKLM\..\Run: [36015930] C:\Documents and Settings\All Users\Application Data\36015930\36015930.exe , только выглядят по другому O4 – HKLM\..\Run: [*другое имя*] C:\Documents and Settings\All Users\Application Data\*другое имя*\*другое имя*.exe . что делать?! удалаять?
я не зная удалил все строки с началом O4 – HKLM\..\Run: , запустил программу Malwarebytes Anti-Malware , все проверил,удалил выделеные и в итоге Security tool остался!
пробовал в безопасном режиме,но все равно не нашел папку с названием 36015930 ! что делать помогитееее *SOS*
блин, забыл, у меня этот файл при наводе курсором называется 18251 , но такой папки не видно,а вот в свойствах security tool показано что файл находится в папке 18251. плз ХЕЛП