Remove PC Defender
Remove PC Defender Plus Firewall
Remove Windows Guard Pro
Remove Ultimate System Guard
上述流氓程式都屬於同一個家族,介面多半差異性不大(見下圖)。
感染途徑:假造的影音檔。或透過木馬程式,進行安裝。一旦下載後就進行安裝。第一次運行時立即做全機掃描,並告知已感染的木馬程序。很不幸的,這些都是假消息,要求你付費購買它的版權才是真的。
完整的移除步驟:
Step1.首先重開機(關機前防毒軟體提供的任何意見,都請關閉)
Step2.在Power On聽到beep一聲後,請按"F8"直到出現開機選單
Step3.選擇”安全模式(含網路功能)”
Step4.登入作業系統,此時可能無法點擊IE捷徑來開啟瀏覽器。
所以透過左下角的開始>執行
(快速鍵 微軟國旗+"R")
Step5.>輸入”iexplore.exe" > OK.
Step6.還原可能被修改的IE設定
工具>選項>
Step7.連線>區域網路設定
Step8.取消"Proxy 伺服器" >按下”OK”
Step9.開始>執行
鍵入的“IEXPLORE.EXE http://www.fixpcyourself.com/rkill.com”,並點擊“確定”按鈕。
將Rkill.exe存在桌面上,並滑鼠雙擊執行它。
你會看到一個黑色的DOS視窗,它在關閉木馬相關程序。
Step10.開啟IE,並下載執行Malwarebytes Anti-Malware (按我下載)
Step11.完成掃描後,點擊”OK">”Show Results”
Step12.點擊”Remove Selected"
Step13.完成。請重新開機。
延伸閱讀
Malwarebytes Anti-Malware使用說明
手動移除Windows PC Defender removal
***因刪除機碼有其風險,若非不得已,仍建議使用防惡意程式處理。***1.停止以下處理程序
WP345d.exe
eb.exe
fix.exe
ppal.exe
2.刪除以下DLL檔
tempdoc.dll
ddv.dll
cid.dll
sqlite3.dll
mozcrt19.dll
3.刪除以下機碼
HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
HKEY_CLASSES_ROOT\WP345d.DocHostUIHandler
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes "URL" => "http://search-gala.com/?&uid=201&q={searchTerms}"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer "PRS" = "http://127.0.0.1:27777/?inj=%ORIGINAL%"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "UID" = "201"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform "89770891803"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows PC Defender"
4.刪除以下資料匣或檔案
c:\Documents and Settings\All Users\Application Data\345d567
c:\Documents and Settings\All Users\Application Data\345d567\8424.mof
c:\Documents and Settings\All Users\Application Data\345d567\mozcrt19.dll
c:\Documents and Settings\All Users\Application Data\345d567\sqlite3.dll
c:\Documents and Settings\All Users\Application Data\345d567\WP345d.exe
c:\Documents and Settings\All Users\Application Data\345d567\WPCD.ico
c:\Documents and Settings\All Users\Application Data\345d567\WPCDSys
c:\Documents and Settings\All Users\Application Data\345d567\WPCDSys\vd952342.bd
c:\Documents and Settings\All Users\Application Data\WPCDSys
c:\Documents and Settings\All Users\Application Data\WPCDSys\wpcd.cfg
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Windows PC Defender.lnk
%UserProfile%\Application Data\Windows PC Defender
%UserProfile%\Application Data\Windows PC Defender\cookies.sqlite
%UserProfile%\Application Data\Windows PC Defender\Instructions.ini
%UserProfile%\Desktop\Windows PC Defender.lnk
%UserProfile%\Recent\cid.dll
%UserProfile%\Recent\CLSV.tmp
%UserProfile%\Recent\ddv.dll
%UserProfile%\Recent\eb.exe
%UserProfile%\Recent\eb.sys
%UserProfile%\Recent\energy.sys
%UserProfile%\Recent\exec.tmp
%UserProfile%\Recent\fix.exe
%UserProfile%\Recent\FS.drv
%UserProfile%\Recent\kernel32.drv
%UserProfile%\Recent\PE.drv
%UserProfile%\Recent\PE.tmp
%UserProfile%\Recent\ppal.exe
%UserProfile%\Recent\runddlkey.drv
%UserProfile%\Recent\tempdoc.dll
%UserProfile%\Start Menu\Windows PC Defender.lnk
%UserProfile%\Start Menu\Programs\Windows PC Defender.lnk
c:\Program Files\Mozilla Firefox\searchplugins\search.xml
沒有留言:
張貼留言