СПАЙВАРЕ ру

WinPC Antivirus – это поддельная антиспайварная программа, новая версия ранее появившейся программы WinPC Defender. В основном использует трояны для своего распространения. Одим из таких троянов является троян TDSSserv, которые довольно трудно удалить (стандартные средства Windows даже не смогут определить его наличие). Как и другие программы своего класса, WinPC Antivirus прописывается в автозагрузку, для того чтобы запускаться каждый раз при запуске компьютера.

После своего запуска, имитируется процесс сканирования компьютера, результат которого довольно предсказуем – компьютер заражён несколькими троянами, вирусами и тд. После окончания сканирования WinPC Antivirus предлагает вылечить компьютер, всего лишь за 60 долларов. Если вы откажетесь платить, то эта вредоносная программа будет постоянно напоминать о себе:
- через поддельные предупреждения системы безопасности Windows
- через поддельные предупреждения брандмауэра Windows

FIREWALL WARNING
WinPC Antivirus has detected that somebody is trying to
transfer your private data via internet. We strongly recommend
you to block the attack immediately.

- через поддельный центр безопасности Windows, что позволяет WinPC Antivirus выдавать себя за программу которую рекомендует Windows для удаления троянов, вирусов и тд., хотя конечно же, компания Microsoft никогда не будет рекомендовать такую программу для использования.

Симптомы заражения в HijackThis логе

O4 – HKCU\..\Run: [sysav] %UserProfile%\Application Data\winav.exe

Как удалить WinPC Antivirus

Шаг 1. Удаление трояна TDSSserv (Tid.serv)
Если вы не можете скачать антиспайварные программы, ваш антивирус заблокирован и не обновляется, заблокировано обновление Windows, то этот шаг направлен на решение этих проблем.

Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите и скопируйте ниже приведённый текст в Input script Box:

Drivers to delete:
TDSSserv.sys
msqpdxserv.sys
gaopdxserv.sys
gxvxcserv.sys
seneka
seneka.sys
ndisprot.sys
UACd.sys

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.

Шаг 2. Удаление WinPC Antivirus и сопутствующих паразитов.
Для этого воспользуемся бесплатной программой Malwarebytes Anti-malware.

• Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Примечание: к сожалению, существуют варианты заражения, когда эта инструкция не сработает, в этом случае обратитесь на наш антивирусный форум.

Malware Catcher 2009 и Fast Antivirus 2009 это два новыx поддельных антивируса от создателей Ultra Antivir2009, Virus Alert, Virus Melt и Virus Doctor. Как и предыдущие программы они попадают на компьютер в основном через поддельные онлайн сканеры и трояны. Причём как и ранее вышедшие паразиты из их серии, Malware Catcher 2009 и Fast Antivirus 2009 хранят свои файлы на серверах проекта Google Code. Это затрудняет блокирование распространения этих вредоносных программ.

Сразу после первого запуска обе программы создают запись в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, чем обеспечивают себе автозагрузку. Кроме этого на жестком диске, в различных каталогах создаются несколько файлов, которые абсолютно безвредны, но позже будут определены Malware Catcher 2009 и Fast Antivirus 2009 как вирусы, трояны и спайваре.

Процесс сканирования ничем особым не примечателен, как и ранее он создан только для обмана, в реальности программа не пытается найти что-либо действительно вредное, но зато находит ранее созданные файлы и помечает их как заражённые. Поэтому совет всё тот же, игнорируйте «результаты» сканирования и другие сообщения, что будут показывать вам Malware Catcher 2009 и Fast Antivirus 2009. Доверять им нельзя, а нужно как можно быстрее их удалить с компьютера.

HijackThis показывает заражение

O4 – HKCU\..\Run: [Malware Catcher 2009] “C:\Documents and Settings\All Users\Application Data\f5bc4e8\MCatcher.exe” /s /d
O4 – HKCU\..\Run: [Fast Antivirus 2009] “C:\Documents and Settings\All Users\Application Data\a3dcd31\FastAV.exe” /s /d

Процедура удаления Malware Catcher 2009 и Fast Antivirus 2009

Наиболее простой способ удаления этих вредоносных программ – это использование бесплатной программы Malwarebytes Anti-malware.

• Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Spyware Protect 2009 – это поддельная антиспайварная программа. В основном распространяется через трояны (троян TDSSserv и троян Vundo), а так же через поддельные онлайн сканеры – наиболее любимую обманную тактику, которую часто используют авторы таких вредоносных программ. Кроме этого Spyware Protect 2009 устанавливается при заражении компьютера последней версией червя Conficker. При этом в механизме распространения есть блокировочный механизм:
- с домашней странички Spyware Protect 2009 вы не сможете её скачать, только купить;
- вы не сможете скачать программу, если ваш компьютер имеет айпи адрес из блока адресов, который входит в безопасную зону, например с русским айпи вы не сможете скачать Spyware Protect 2009, когда вам будет это предложено на сайте поддельного онлайн сканера.
Описанными выше методами, авторы этой паразитической программы пытаются защититься от скачивания программы для анализа, а так же отсечь страны, которые не принесут по их мнению никаких денег.

После заражения, поведение Spyware Protect 2009 на компьютере довольно стандартно. Программа обязательно прописывается в автозагрузку, а затем начинает «сканировать» компьютер. Параллельно этому показывая различные предупреждения:
компьютер заражён

Windows Security alert
Windows reports that computer is infected. Antivirus software
helps to protect your computer against viruses and other
security threats. Click here for the scan your computer. Your
system might be at risk now.

на компьютер совершается интернет атака

INFILTRATION ALERT

Your computer is being attacked by an Internet
Virus. It could be a password-stealing attack, a
trojan – dropper or simular.

DETAILS

Attack from: 100.53.148.153, port 42733
Attacked port: 14750
Threat: Win32/Nuqel.E

Do you want block this attack?

Результат сканирования всегда один – компьютер заражён множеством вирусов, троянов и спайваре. Необходимо срочное лечение. Но в реальности компьютер заражён только одним паразитом – этой поддельной антиспайварной программой. Поэтому совет только один, не поддавайтесь на обманную тактику, которую использует Spyware Protect 2009, а воспользуйтесь ниже приведёнными инструкциями для её безопасного удаления с вашего компьютера.

Симптомы заражения в HijackThis логе

O2 – BHO: BHO – {ABD42510-9B22-41cd-9DCD-8182A2D07C63} – C:\WINDOWS\system32\iehelper.dll
O4 – HKCU\..\Run: [system tool] C:\WINDOWS\sysguard.exe

Как удалить Spyware Protect 2009

Шаг 1. Удаление трояна TDSSserv (Tid.serv)
Если вы не можете скачать антиспайварные программы, ваш антивирус заблокирован и не обновляется, заблокировано обновление Windows, то этот шаг направлен на решение этих проблем.

Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите и скопируйте ниже приведённый текст в Input script Box:

Drivers to delete:
TDSSserv.sys
msqpdxserv.sys
gaopdxserv.sys
gxvxcserv.sys
seneka
seneka.sys
ndisprot.sys
UACd.sys

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.

Шаг 2. Удаление Spyware Protect 2009 и сопутствующих паразитов.
Для этого воспользуемся бесплатной программой Malwarebytes Anti-malware.

• Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Примечание: к сожалению, существуют варианты заражения, когда эта инструкция не сработает, в этом случае обратитесь на наш антивирусный форум.

System Security это поддельная антиспайварная программа. которая является новой версией ранее появившейся программы Winweb Security. System Security в основном распространяется через поддельные онлайн сканеры. При посещении такого сканера, создаётся видимость сканирования компьютера, хотя на самом деле это хорошо выполненная имитация. По-окончании сканирования, вердикт всегда один – компьютер заражён, необходимо лечение. При этом предлагается скачать и установить System Security, как наиболее удобную и самую лучшую программу для удаления троянов, вирусов и тд.

После запуска программы, её поведение довольно типично, она сначала прописывается в автозагрузку, чтобы пользователь о ней никогда не забывал, а затем запускает процедуру «сканирования» компьютера, во время которой находит множество заражённых файлов – троянов, вирусов, спайваре. При этом, System Security не гнушается маркировать системные файлы Windows как трояны. Поэтому ни в коей мере не верьте результатам сканирования, и не спешите вручную удалять то, что нашла эта вредоносная программа.

По-завершении сканирования, вердикт всегда один – компьютер заражён и предлагается вылечить. Вот тут пользователь и узнаёт, что за такое «лечение» нужно заплатить около 50 долларов. Что согласитесь не мало. Делать этого не нужно, просто не обращайте внимание на эту программу, нижу будут приведены инструкции для бесплатного удаления System Security.

Симптомы заражения в HijackThis логе

O4 – HKLM\..\Run: [9228330172] “c:\documents and settings\all users\application data\2306889813\9228330172.exe”

Примечание: цифровые последовательности в имени файла и параметра реестра, могут изменяться.

Как удалить System Security

Наиболее простой способ удаления этой вредоносной программы – это использование бесплатной программы Malwarebytes Anti-malware.

• Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Примечание 1: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Примечание 2: Этот паразит может блокировать работу Malwarebytes Anti-malware, поэтому когда будете сохранять инсталлятор (mbam-setup.exe), то измените его имя на explorer.exe. Далее после инсталляции программа так же может не запускаться, для решения этой проблемы откройте домашний каталог программы (обычно C:\Program Files\Malwarebytes` Anti-malware), найдите файл mbam.exe, переименуйте его в explorer.exe и запустите этот файл.

Personal Antivirus – это поддельная антивирусная программа, которая появилась около месяца назад, но широко распространилась в последние пару недель. Эта программа – новая версия General Antivirus. Эта вредоносная программа, как и другие подобные, использует трояны, поддельные онлайн сканеры и рекламу в Интернете для собственного распространения. Если вы попадёте на страницу с такой рекламой, то вы увидите сообщение, что компьютер заражён и вам будет предлагаться скачать и установить Personal Antivirus для того чтобы «вылечить» свой компьютер.

Сразу после заражения компьютера, Personal Antivirus прописывается в автозагрузку, обеспечивая себе таким образом автозапуск каждый раз, когда вы включаете компьютер. После запуска эта вредоносная программа запускает имитатор сканирования компьютера и всегда находит несколько вирусов, троянов и тд. После чего предлагает вылечить компьютер, для чего направляет пользователя на страницу, где предлагается ввести данные кредитной карты и оплатить около 50 долларов.

Пока Personal Antivirus запущен, он будет постоянно напоминать о себе, показывая поддельные сообщения, сигнализирующие что компьютер заражён и его необходимо срочно вылечить. Не забывайте, что все эти сообщения нужны только для обмана и не несут никакой реальной информации.

Симптомы заражения в HijackThis логе

O2 – BHO: (no name) – {2e59498d-7e44-4452-9044-0973b080b9e8} – C:\WINDOWS\system32\winexplorer.dll
O2 – BHO: BHO – {abd45510-9b22-41cd-9acd-8182a2da7c63} – C:\WINDOWS\system32\iehelper.dll
O4 – HKLM\..\Run: [PAV] c:\program files\pav\pav.exe
O4 – HKCU\..\Run: [Personal Antivirus] “C:\Program Files\Personal Antivirus\PerAvir.exe” /s
O4 – HKCU\..\Run: [Microsoft Windows logon process] C:\Documents and Settings\lab\Application Data\Microsoft\Windows\winlogon.exe
O4 – HKCU\..\Policies\Explorer\Run: [iv] “C:\Documents and Settings\lab\Local Settings\Application Data\Microsoft\Internet Explorer\iv.exe”
O23 – Service: Guard Service (ITGrdEngine) – Unknown owner – %UserProfile%\Local Settings\Application Data\Microsoft\Windows\services.exe

Как удалить Personal Antivirus

Как и ранее, я предлагаю воспользоваться хорошей и бесплатной программой Malwarebytes Anti-malware для удаления этой вредоносной программы.

• Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш компьютерный форум.