AntivirusBEST (Описание и удаление)
AntivirusBEST - это поддельная антивирусная программа. Как и другие подобные программы, она использует обманную тактику для проникновения на компьютер, которая довольно проста. Пользователь тем или иным образом перенаправляется на сайт, который выглядит как онлайн сканер или окно с папкой мой компьютер. После этого имитируется процесс сканирования, результат которого всегда один - компьютер заражён и требуется лечение. Тут же предлагается скачать и установить программу AntivirusBEST, которая является “лучшим антивирусом”. Кроме описанного выше возможно и распространение этой вредоносной программы через трояны.
После попадание на компьютер поведение AntivirusBEST довольно стандартно, программа прописывается в автозагрузку, для чего создаёт запись в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, а так же устанавливает свой компонент QWProtect.dll как BHO модуль браузера Internet Explorer. После этого запускается имитатор сканирования компьютера. Результат такого сканирования всегда один - компьютер заражён множеством вредоносных программ (spyware, trojans, rogue, backdoor …). Всё это обман нужный для того, чтобы вынудить пользователя купить AntivirusBEST.
Во время своей работы AntivirusBEST так же показывает различные предупреждения о том что компьютер заражён, например:
AntivirusBEST
Privacy Violation alert!
AntivirusBEST detected a Privacy Violation. A program is
secretly sending your private data to an untrusted internet
host. click here to block this activity by removing the threat
(Recomended).
AntivirusBEST
Spyware activity alert!
Spyware.IMonster activity detected! Its is spyware that
attempts to steal passwords from Internet Explorer, Mozilla
Firefox, Outlook and other programs, including logins and
passwords from online banking sessions, eBay, PayPal.
Кроме этого, компонент QWProtect.dll, о котором я писал выше, показывает в окне браузера жёлтую строку с предупреждающей надписью “Internet Explorer has found an unregistered version of AntivirusBEST. To protect your computer, please register your AntivirusBEST”. Все эти ложные сообщения, что генерирует этот поддельный антивирус, нужно игнорировать. Воспользуйтесь ниже приведённой инструкцией для излечения вашего компьютера.
HijackThis показывает заражение
O1 - Hosts: 70.38.19.201 www.review.2009softwarereviews.com
O1 - Hosts: 70.38.19.201 review.2009softwarereviews.com
O1 - Hosts: 70.38.19.201 a1.review.zdnet.com
O1 - Hosts: 70.38.19.201 www.d1.reviews.cnet.com
O1 - Hosts: 70.38.19.201 www.reviews.toptenreviews.com
O1 - Hosts: 70.38.19.201 reviews.toptenreviews.com
O1 - Hosts: 70.38.19.201 www.reviews.download.com
O1 - Hosts: 70.38.19.201 reviews.download.com
O1 - Hosts: 70.38.19.201 www.reviews.pcadvisor.c.uk
O1 - Hosts: 70.38.19.201 reviews.pcadvisor.co.uk
O1 - Hosts: 70.38.19.201 www.reviews.pcmag.com
O1 - Hosts: 70.38.19.201 reviews.pcmag.com
O1 - Hosts: 70.38.19.201 www.reviews.pcpro.co.uk
O1 - Hosts: 70.38.19.201 reviews.pcpro.co.uk
O1 - Hosts: 70.38.19.201 www.reviews.reevoo.com
O1 - Hosts: 70.38.19.201 reviews.reevoo.com
O1 - Hosts: 70.38.19.201 www.reviews.riverstreams.co.uk
O1 - Hosts: 70.38.19.201 reviews.riverstreams.co.uk
O1 - Hosts: 70.38.19.201 www.reviews.techradar.com
O1 - Hosts: 70.38.19.201 reviews.techradar.com
O1 - Hosts: 70.38.19.201 d1.reviews.cnet.com
O2 - BHO: QWProtectBHO - {44B2C9F5-608D-46de-82E1-26C5BCB85193} - C:\Documents and Settings\All Users\Application Data\AB\QWProtect.dll
O4 - HKLM\..\Run: [AntivirusBEST] C:\Documents and Settings\All Users\Application Data\AB\Installer.exe
Как удалить AntivirusBEST
Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
Откройте вкладку Сканер, и кликните по кнопке Проверить.
После сканирования кликните Показать результаты и вам будет показан результат сканирования. Кликните по кнопке Удалить выделенные.
Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.
Как удалить AdSubscribe
AdSubscribe - это классическая adware программа. После заражения компьютера она прописывается в автозагрузку, причём использует довольно редко встречаемый способ. В результате чего постоянно показывается назойливая реклама, даже если никакой браузер не запущен.
Выполните следующие инструкции для удаления AdSubscribe
1. Удаление основных частей AdSubscribe.
- Скачайте программу Avenger кликнув по этой ссылке.
- Распакуйте её на Рабочий стол.
- Запустите Avenger.
- Скопируйте ниже приведённый текст в Input script Box:
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AdSubscribeFolders to delete:
%appdata%\FieryAds
%appdata%\AdSubscribe - Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
- Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
2. Удаление остальных паразитов, которые могли попасть на ваш компьютер вместе с AdSubscribe.
- Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
- Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
- Откройте вкладку Сканер, и кликните по кнопке Проверить.
- После сканирования кликните OK, вам будет показан результат сканирования.
- Удалите всё что было найдено.
Примечание: если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш антивирусный форум.
Antivirus System PRO (Описание и удаление)
Antivirus System PRO - это поддельная антиспайварная программа, которая является новой версией программы Spyware protect 2009. Эта вредоносная программа была обнаружена уже довольно давно, но только в последние несколько дней активность её распространения значительно увеличилась, при этом как и раньше, для проникновения на компьютер используются разнообразные трояны.
Antivirus System PRO, как и Spyware protect 2009, не имеет своего домашнего каталога, а размешает свои компоненты в системных каталогах Windows. Основных компонентов два:
sysguard.exe - основной компонент программы, который обеспечивает интерфейс, генерацию различных поддельных сообщений, сообщающих о том, что компьютер заражён. Например:
Windows Security alert
Windows reports that computer is infected. Antivirus software
helps to protect your computer against viruses and other
security threats. Click here for the scan your computer. Your
system might be at risk now.
iehelper.dll - этот компонент устанавливается как расширение Internet Explorer (BHO модуль) и отвечает за блокирование доступа к антивирусным и антиспайварным сайтам, а кроме этого время от времени вместо страницы, которую должен открыть браузер, показывает специально сделанный сайт, который выдаёт себя за сайт от компании Microsoft. На этой поддельной страничке предлагается купить Antivirus System PRO для защиты компьютера. Вот содержимое этой подделки:
Internet Explorer Warning - visiting this web site may harm your computer!
Most likely causes:Antivirus System PRO
The website contains exploits that can launch a malicious code on your computer
Suspicious network activity detected
There might be an active spyware running on your computerWhat you can try:
- Purchase Antivirus System PRO for secure Internet surfing (Recommended).
- Check your computer for viruses and malware.
- More information
В остальном поведение Antivirus System PRO стандартно. После запуска, паразит создаёт запись в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ключе реестра Windows, обеспечивая таким образом себе автозагрузку каждый раз, когда вы загружаете Windows. Затем запускается имитатор сканирования компьютера, результат один - компьютер заражён, срочно требуется лечение. Хотите вылечить, тогда деньги вперёд! Как было сказано уже неоднократно, платить не нужно. Игнорируйте все сообщения от программы Antivirus System PRO, а так же сообщения которые как бы показывает Windows, призывая вас купить эту вредоносную программу. Читайте ниже, как можно бесплатно удалить этого паразита.
HijackThis показывает заражение
O1 - Hosts: 209.44.111.57 security.microsoft.com
O1 - Hosts: 209.44.111.57 inetavirus.com
O1 - Hosts: 209.44.111.57 www.inetavirus.com
O2 - BHO: BHO - {BAD4551D-9B24-42cb-9BCD-818CA2DA7B63} - C:\WINDOWS\system32\iehelper.dll
O4 - HKCU\..\Run: [system tool] C:\WINDOWS\sysguard.exe
Как удалить Antivirus System PRO
Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите, поставьте галочки в пунктах “Scan for rootkits” и “Automatically disable any rootkits found”. Скопируйте ниже приведённый текст в Input script Box:
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BAD4551D-9B24-42cb-9BCD-818CA2DA7B63}
Files to delete:
%windir%\sysguard.exe
%windir%\system32\iehelper.dll
Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
Откройте вкладку Сканер, и кликните по кнопке Проверить.
После сканирования кликните Показать результаты и вам будет показан результат сканирования. Кликните по кнопке Удалить выделенные.
Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.
XP Deluxe Protector (Описание и удаление)
XP Deluxe Protector - поддельная антиспайварная программа, которая появилась буквально несколько дней назад. Она является продолжением серии XP Police Antivirus, в которую входят Win PC Antivirus, Win PC Defender, XP Police Antivirus. Что нового в XP Deluxe Protector? Изменено название, плюс для распространения используются новые сайты и новые трояны. После заражением таким трояном, компьютер начнёт показывать предупреждения, которые будто бы показывает Windows, но на самом деле это неплохо выполненная подделка. Эти предупреждения сигнализируют о том, что компьютер заражён, после чего предлагается скачать и установить программу XP Deluxe Protector.
После запуска, поведение XP Deluxe Protector стандартно. Программа прописывается в автозагрузку, обеспечивая себе таким образом автоматический запуск при каждом включении компьютера, и начинает процедуру сканирования. Но нужно понимать, что это сканирование всего лишь хорошо выполненная имитация, необходимая для того чтобы обмануть пользователя. Результат сканирования XP Deluxe Protector всегда один - компьютер заражён и требуется лечение. В реальности компьютер нужно лечить только от одного, самой программы XP Deluxe Protector.
Во время своей работы XP Deluxe Protector показывает различные предупреждения о том, что компьютер заражён, что на компьютер производится хакерская атака. Кроме этого, этот поддельный антивирус подменяет центр безопасности Windows на хорошо выполненную подделку, которая будет постоянно рекомендовать зарегистрировать XP Deluxe Protector, иными словами купить полную версию.
HijackThis показывает заражение
O4 - HKCU\..\Run: [xpprotect] C:\Documents and Settings\lab\XP Deluxe Protector\xpdeluxe.exe
Как удалить XP Deluxe Protector
- Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
- Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
- Откройте вкладку Сканер, и кликните по кнопке Проверить.
- После сканирования кликните OK, вам будет показан результат сканирования.
- Удалите всё что было найдено.
Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.
WinBlueSoft (Описание и удаление)
WinBlueSoft - это поддельный антивирус от создателей WiniBlueSoft. Эти программы очень похожи, создаётся впечатление, что создатели убрали только одну букву в названии. В большей степени это так и есть, но при этом создатели WinBlueSoft добавили ещё один компонент (blocker.dll) в свою паразитную программу.
При заражении компьютера WinBlueSoft прописывается в автозагрузку и кроме этого настраивает Windows таким образом, чтобы blocker.dll загружался при вызове любой программы. Это позволяет контролировать запуск программ и не позволять запускаться тем, которые авторы WinBlueSoft посчитали вредными для себя. В реальности разрешается запускать только стандартные приложения Windows плюс winbluesoft.exe (главный файл WinBlueSoft).
После запуска, поведение WinBlueSoft стандартно для подобного класса программ. То есть, запускается имитатор сканирования компьютера. Такое сканирование заканчивается всегда одним и тем же - компьютер заражён и срочно требуется удалить множество вирусов, троянов и других вредоносных программ. Можете спокойно игнорировать это, в реальности на вашем компьютере только один паразит - WinBlueSoft, но удалить его нужно как можно быстрее.
HijackThis показывает заражение
O4 - HKLM\..\Run: [WinBlueSoft] C:\Program Files\WinBlueSoft Software\WinBlueSoft\WinBlueSoft.exe -min
Как удалить WinBlueSoft
WinBlueSoft и трояны, которые могли попасть на ваш компьютер, можно удалить используя бесплатную программу Malwarebytes Anti-malware. Процедура стандартная:
- Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
- Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
- Откройте вкладку Сканер, и кликните по кнопке Проверить.
- После сканирования кликните OK, вам будет показан результат сканирования.
- Удалите всё что было найдено.
Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш компьютерный форум.
WinPC Antivirus (Описание и удаление)
WinPC Antivirus - это поддельная антиспайварная программа, новая версия ранее появившейся программы WinPC Defender. В основном использует трояны для своего распространения. Одим из таких троянов является троян TDSSserv, которые довольно трудно удалить (стандартные средства Windows даже не смогут определить его наличие). Как и другие программы своего класса, WinPC Antivirus прописывается в автозагрузку, для того чтобы запускаться каждый раз при запуске компьютера.
После своего запуска, имитируется процесс сканирования компьютера, результат которого довольно предсказуем - компьютер заражён несколькими троянами, вирусами и тд. После окончания сканирования WinPC Antivirus предлагает вылечить компьютер, всего лишь за 60 долларов. Если вы откажетесь платить, то эта вредоносная программа будет постоянно напоминать о себе:
- через поддельные предупреждения системы безопасности Windows
- через поддельные предупреждения брандмауэра Windows
FIREWALL WARNING
WinPC Antivirus has detected that somebody is trying to
transfer your private data via internet. We strongly recommend
you to block the attack immediately.
- через поддельный центр безопасности Windows, что позволяет WinPC Antivirus выдавать себя за программу которую рекомендует Windows для удаления троянов, вирусов и тд., хотя конечно же, компания Microsoft никогда не будет рекомендовать такую программу для использования.
Симптомы заражения в HijackThis логе
O4 - HKCU\..\Run: [sysav] %UserProfile%\Application Data\winav.exe
Как удалить WinPC Antivirus
Шаг 1. Удаление трояна TDSSserv (Tid.serv)
Если вы не можете скачать антиспайварные программы, ваш антивирус заблокирован и не обновляется, заблокировано обновление Windows, то этот шаг направлен на решение этих проблем.
Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите и скопируйте ниже приведённый текст в Input script Box:
Drivers to delete:
TDSSserv.sys
msqpdxserv.sys
gaopdxserv.sys
gxvxcserv.sys
seneka
seneka.sys
ndisprot.sys
UACd.sys
Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
Шаг 2. Удаление WinPC Antivirus и сопутствующих паразитов.
Для этого воспользуемся бесплатной программой Malwarebytes Anti-malware.
- Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
- Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
- Откройте вкладку Сканер, и кликните по кнопке Проверить.
- После сканирования кликните OK, вам будет показан результат сканирования.
- Удалите всё что было найдено.
Примечание: к сожалению, существуют варианты заражения, когда эта инструкция не сработает, в этом случае обратитесь на наш антивирусный форум.
Malware Catcher 2009 и Fast Antivirus 2009 (Описание и удаление)
Malware Catcher 2009 и Fast Antivirus 2009 это два новыx поддельных антивируса от создателей Ultra Antivir2009, Virus Alert, Virus Melt и Virus Doctor. Как и предыдущие программы они попадают на компьютер в основном через поддельные онлайн сканеры и трояны. Причём как и ранее вышедшие паразиты из их серии, Malware Catcher 2009 и Fast Antivirus 2009 хранят свои файлы на серверах проекта Google Code. Это затрудняет блокирование распространения этих вредоносных программ.
Сразу после первого запуска обе программы создают запись в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, чем обеспечивают себе автозагрузку. Кроме этого на жестком диске, в различных каталогах создаются несколько файлов, которые абсолютно безвредны, но позже будут определены Malware Catcher 2009 и Fast Antivirus 2009 как вирусы, трояны и спайваре.
Процесс сканирования ничем особым не примечателен, как и ранее он создан только для обмана, в реальности программа не пытается найти что-либо действительно вредное, но зато находит ранее созданные файлы и помечает их как заражённые. Поэтому совет всё тот же, игнорируйте “результаты” сканирования и другие сообщения, что будут показывать вам Malware Catcher 2009 и Fast Antivirus 2009. Доверять им нельзя, а нужно как можно быстрее их удалить с компьютера.
HijackThis показывает заражение
O4 - HKCU\..\Run: [Malware Catcher 2009] “C:\Documents and Settings\All Users\Application Data\f5bc4e8\MCatcher.exe” /s /d
O4 - HKCU\..\Run: [Fast Antivirus 2009] “C:\Documents and Settings\All Users\Application Data\a3dcd31\FastAV.exe” /s /d
Процедура удаления Malware Catcher 2009 и Fast Antivirus 2009
Наиболее простой способ удаления этих вредоносных программ - это использование бесплатной программы Malwarebytes Anti-malware.
- Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
- Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
- Откройте вкладку Сканер, и кликните по кнопке Проверить.
- После сканирования кликните OK, вам будет показан результат сканирования.
- Удалите всё что было найдено.
Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.
Spyware Protect 2009 (Описание, удаление)
Spyware Protect 2009 - это поддельная антиспайварная программа. В основном распространяется через трояны (троян TDSSserv и троян Vundo), а так же через поддельные онлайн сканеры - наиболее любимую обманную тактику, которую часто используют авторы таких вредоносных программ. Кроме этого Spyware Protect 2009 устанавливается при заражении компьютера последней версией червя Conficker. При этом в механизме распространения есть блокировочный механизм:
- с домашней странички Spyware Protect 2009 вы не сможете её скачать, только купить;
- вы не сможете скачать программу, если ваш компьютер имеет айпи адрес из блока адресов, который входит в безопасную зону, например с русским айпи вы не сможете скачать Spyware Protect 2009, когда вам будет это предложено на сайте поддельного онлайн сканера.
Описанными выше методами, авторы этой паразитической программы пытаются защититься от скачивания программы для анализа, а так же отсечь страны, которые не принесут по их мнению никаких денег.
После заражения, поведение Spyware Protect 2009 на компьютере довольно стандартно. Программа обязательно прописывается в автозагрузку, а затем начинает “сканировать” компьютер. Параллельно этому показывая различные предупреждения:
компьютер заражён
Windows Security alert
Windows reports that computer is infected. Antivirus software
helps to protect your computer against viruses and other
security threats. Click here for the scan your computer. Your
system might be at risk now.
на компьютер совершается интернет атака
INFILTRATION ALERT
Your computer is being attacked by an Internet
Virus. It could be a password-stealing attack, a
trojan - dropper or simular.DETAILS
Attack from: 100.53.148.153, port 42733
Attacked port: 14750
Threat: Win32/Nuqel.EDo you want block this attack?
Результат сканирования всегда один - компьютер заражён множеством вирусов, троянов и спайваре. Необходимо срочное лечение. Но в реальности компьютер заражён только одним паразитом - этой поддельной антиспайварной программой. Поэтому совет только один, не поддавайтесь на обманную тактику, которую использует Spyware Protect 2009, а воспользуйтесь ниже приведёнными инструкциями для её безопасного удаления с вашего компьютера.
Симптомы заражения в HijackThis логе
O2 - BHO: BHO - {ABD42510-9B22-41cd-9DCD-8182A2D07C63} - C:\WINDOWS\system32\iehelper.dll
O4 - HKCU\..\Run: [system tool] C:\WINDOWS\sysguard.exe
Как удалить Spyware Protect 2009
Шаг 1. Удаление трояна TDSSserv (Tid.serv)
Если вы не можете скачать антиспайварные программы, ваш антивирус заблокирован и не обновляется, заблокировано обновление Windows, то этот шаг направлен на решение этих проблем.
Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите и скопируйте ниже приведённый текст в Input script Box:
Drivers to delete:
TDSSserv.sys
msqpdxserv.sys
gaopdxserv.sys
gxvxcserv.sys
seneka
seneka.sys
ndisprot.sys
UACd.sys
Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
Шаг 2. Удаление Spyware Protect 2009 и сопутствующих паразитов.
Для этого воспользуемся бесплатной программой Malwarebytes Anti-malware.
- Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
- Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
- Откройте вкладку Сканер, и кликните по кнопке Проверить.
- После сканирования кликните OK, вам будет показан результат сканирования.
- Удалите всё что было найдено.
Примечание: к сожалению, существуют варианты заражения, когда эта инструкция не сработает, в этом случае обратитесь на наш антивирусный форум.
System Security (Описание и удаление)
System Security это поддельная антиспайварная программа. которая является новой версией ранее появившейся программы Winweb Security. System Security в основном распространяется через поддельные онлайн сканеры. При посещении такого сканера, создаётся видимость сканирования компьютера, хотя на самом деле это хорошо выполненная имитация. По-окончании сканирования, вердикт всегда один - компьютер заражён, необходимо лечение. При этом предлагается скачать и установить System Security, как наиболее удобную и самую лучшую программу для удаления троянов, вирусов и тд.
После запуска программы, её поведение довольно типично, она сначала прописывается в автозагрузку, чтобы пользователь о ней никогда не забывал, а затем запускает процедуру “сканирования” компьютера, во время которой находит множество заражённых файлов - троянов, вирусов, спайваре. При этом, System Security не гнушается маркировать системные файлы Windows как трояны. Поэтому ни в коей мере не верьте результатам сканирования, и не спешите вручную удалять то, что нашла эта вредоносная программа.
По-завершении сканирования, вердикт всегда один - компьютер заражён и предлагается вылечить. Вот тут пользователь и узнаёт, что за такое “лечение” нужно заплатить около 50 долларов. Что согласитесь не мало. Делать этого не нужно, просто не обращайте внимание на эту программу, нижу будут приведены инструкции для бесплатного удаления System Security.
Симптомы заражения в HijackThis логе
O4 - HKLM\..\Run: [9228330172] “c:\documents and settings\all users\application data\2306889813\9228330172.exe”
Примечание: цифровые последовательности в имени файла и параметра реестра, могут изменяться.
Как удалить System Security
Наиболее простой способ удаления этой вредоносной программы - это использование бесплатной программы Malwarebytes Anti-malware.
- Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
- Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
- Откройте вкладку Сканер, и кликните по кнопке Проверить.
- После сканирования кликните OK, вам будет показан результат сканирования.
- Удалите всё что было найдено.
Примечание 1: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.
Примечание 2: Этот паразит может блокировать работу Malwarebytes Anti-malware, поэтому когда будете сохранять инсталлятор (mbam-setup.exe), то измените его имя на explorer.exe. Далее после инсталляции программа так же может не запускаться, для решения этой проблемы откройте домашний каталог программы (обычно C:\Program Files\Malwarebytes` Anti-malware), найдите файл mbam.exe, переименуйте его в explorer.exe и запустите этот файл.
Personal Antivirus (Описание, Как удалить)
Personal Antivirus - это поддельная антивирусная программа, которая появилась около месяца назад, но широко распространилась в последние пару недель. Эта программа - новая версия General Antivirus. Эта вредоносная программа, как и другие подобные, использует трояны, поддельные онлайн сканеры и рекламу в Интернете для собственного распространения. Если вы попадёте на страницу с такой рекламой, то вы увидите сообщение, что компьютер заражён и вам будет предлагаться скачать и установить Personal Antivirus для того чтобы “вылечить” свой компьютер.
Сразу после заражения компьютера, Personal Antivirus прописывается в автозагрузку, обеспечивая себе таким образом автозапуск каждый раз, когда вы включаете компьютер. После запуска эта вредоносная программа запускает имитатор сканирования компьютера и всегда находит несколько вирусов, троянов и тд. После чего предлагает вылечить компьютер, для чего направляет пользователя на страницу, где предлагается ввести данные кредитной карты и оплатить около 50 долларов.
Пока Personal Antivirus запущен, он будет постоянно напоминать о себе, показывая поддельные сообщения, сигнализирующие что компьютер заражён и его необходимо срочно вылечить. Не забывайте, что все эти сообщения нужны только для обмана и не несут никакой реальной информации.
Симптомы заражения в HijackThis логе
O2 - BHO: (no name) - {2e59498d-7e44-4452-9044-0973b080b9e8} - C:\WINDOWS\system32\winexplorer.dll
O2 - BHO: BHO - {abd45510-9b22-41cd-9acd-8182a2da7c63} - C:\WINDOWS\system32\iehelper.dll
O4 - HKLM\..\Run: [PAV] c:\program files\pav\pav.exe
O4 - HKCU\..\Run: [Personal Antivirus] “C:\Program Files\Personal Antivirus\PerAvir.exe” /s
O4 - HKCU\..\Run: [Microsoft Windows logon process] C:\Documents and Settings\lab\Application Data\Microsoft\Windows\winlogon.exe
O4 - HKCU\..\Policies\Explorer\Run: [iv] “C:\Documents and Settings\lab\Local Settings\Application Data\Microsoft\Internet Explorer\iv.exe”
O23 - Service: Guard Service (ITGrdEngine) - Unknown owner - %UserProfile%\Local Settings\Application Data\Microsoft\Windows\services.exe
Как удалить Personal Antivirus
Как и ранее, я предлагаю воспользоваться хорошей и бесплатной программой Malwarebytes Anti-malware для удаления этой вредоносной программы.
- Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
- Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
- Откройте вкладку Сканер, и кликните по кнопке Проверить.
- После сканирования кликните OK, вам будет показан результат сканирования.
- Удалите всё что было найдено.
Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш компьютерный форум.
