СПАЙВАРЕ ру

AntivirusBEST – это поддельная антивирусная программа. Как и другие подобные программы, она использует обманную тактику для проникновения на компьютер, которая довольно проста. Пользователь тем или иным образом перенаправляется на сайт, который выглядит как онлайн сканер или окно с папкой мой компьютер. После этого имитируется процесс сканирования, результат которого всегда один – компьютер заражён и требуется лечение. Тут же предлагается скачать и установить программу AntivirusBEST, которая является «лучшим антивирусом». Кроме описанного выше возможно и распространение этой вредоносной программы через трояны.

После попадание на компьютер поведение AntivirusBEST довольно стандартно, программа прописывается в автозагрузку, для чего создаёт запись в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, а так же устанавливает свой компонент QWProtect.dll как BHO модуль браузера Internet Explorer. После этого запускается имитатор сканирования компьютера. Результат такого сканирования всегда один – компьютер заражён множеством вредоносных программ (spyware, trojans, rogue, backdoor …). Всё это обман нужный для того, чтобы вынудить пользователя купить AntivirusBEST.

Во время своей работы AntivirusBEST так же показывает различные предупреждения о том что компьютер заражён, например:

AntivirusBEST
Privacy Violation alert!
AntivirusBEST detected a Privacy Violation. A program is
secretly sending your private data to an untrusted internet
host. click here to block this activity by removing the threat
(Recomended).

AntivirusBEST
Spyware activity alert!
Spyware.IMonster activity detected! Its is spyware that
attempts to steal passwords from Internet Explorer, Mozilla
Firefox, Outlook and other programs, including logins and
passwords from online banking sessions, eBay, PayPal.

Кроме этого, компонент QWProtect.dll, о котором я писал выше, показывает в окне браузера жёлтую строку с предупреждающей надписью «Internet Explorer has found an unregistered version of AntivirusBEST. To protect your computer, please register your AntivirusBEST». Все эти ложные сообщения, что генерирует этот поддельный антивирус, нужно игнорировать. Воспользуйтесь ниже приведённой инструкцией для излечения вашего компьютера.

HijackThis показывает заражение

O1 – Hosts: 70.38.19.201 www.review.2009softwarereviews.com
O1 – Hosts: 70.38.19.201 review.2009softwarereviews.com
O1 – Hosts: 70.38.19.201 a1.review.zdnet.com
O1 – Hosts: 70.38.19.201 www.d1.reviews.cnet.com
O1 – Hosts: 70.38.19.201 www.reviews.toptenreviews.com
O1 – Hosts: 70.38.19.201 reviews.toptenreviews.com
O1 – Hosts: 70.38.19.201 www.reviews.download.com
O1 – Hosts: 70.38.19.201 reviews.download.com
O1 – Hosts: 70.38.19.201 www.reviews.pcadvisor.c.uk
O1 – Hosts: 70.38.19.201 reviews.pcadvisor.co.uk
O1 – Hosts: 70.38.19.201 www.reviews.pcmag.com
O1 – Hosts: 70.38.19.201 reviews.pcmag.com
O1 – Hosts: 70.38.19.201 www.reviews.pcpro.co.uk
O1 – Hosts: 70.38.19.201 reviews.pcpro.co.uk
O1 – Hosts: 70.38.19.201 www.reviews.reevoo.com
O1 – Hosts: 70.38.19.201 reviews.reevoo.com
O1 – Hosts: 70.38.19.201 www.reviews.riverstreams.co.uk
O1 – Hosts: 70.38.19.201 reviews.riverstreams.co.uk
O1 – Hosts: 70.38.19.201 www.reviews.techradar.com
O1 – Hosts: 70.38.19.201 reviews.techradar.com
O1 – Hosts: 70.38.19.201 d1.reviews.cnet.com
O2 – BHO: QWProtectBHO – {44B2C9F5-608D-46de-82E1-26C5BCB85193} – C:\Documents and Settings\All Users\Application Data\AB\QWProtect.dll
O4 – HKLM\..\Run: [AntivirusBEST] C:\Documents and Settings\All Users\Application Data\AB\Installer.exe

Как удалить AntivirusBEST

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.

Откройте закладку Обновления, и кликните по кнопке Проверить обновления.

Откройте вкладку Сканер, и кликните по кнопке Проверить.

После сканирования кликните Показать результаты и вам будет показан результат сканирования. Кликните по кнопке Удалить выделенные.

Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

AdSubscribe (CMedia, AdRouter, AdRiver) – это классическая adware программа. После заражения компьютера она прописывается в автозагрузку, причём использует довольно редко встречаемый способ. В результате чего постоянно показывается назойливая реклама, даже если никакой браузер не запущен.

Выполните следующие инструкции для удаления AdSubscribe

1. Удаление основных частей AdSubscribe.

• Скачайте программу Avenger кликнув по этой ссылке.
• Распакуйте её на Рабочий стол.
• Запустите Avenger.
• Скопируйте ниже приведённый текст в Input script Box:
  

  Registry keys to delete:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}
  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AdSubscribe
  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AdRiver
  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AdRouter
  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\CMedia

  Folders to delete:
  %appdata%\FieryAds
  %appdata%\AdSubscribe
  %appdata%\AdRiver
  %appdata%\CMedia
  %programfiles%\Adobe\adrouter.dll

• Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
• Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.

2. Удаление остальных паразитов, которые могли попасть на ваш компьютер вместе с AdSubscribe.

• Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Примечание: если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш антивирусный форум.

Antivirus System PRO – это поддельная антиспайварная программа, которая является новой версией программы Spyware protect 2009. Эта вредоносная программа была обнаружена уже довольно давно, но только в последние несколько дней активность её распространения значительно увеличилась, при этом как и раньше, для проникновения на компьютер используются разнообразные трояны.
Antivirus System PRO, как и Spyware protect 2009, не имеет своего домашнего каталога, а размешает свои компоненты в системных каталогах Windows. Основных компонентов два:
sysguard.exe – основной компонент программы, который обеспечивает интерфейс, генерацию различных поддельных сообщений, сообщающих о том, что компьютер заражён. Например:

Windows Security alert
Windows reports that computer is infected. Antivirus software
helps to protect your computer against viruses and other
security threats. Click here for the scan your computer. Your
system might be at risk now.

iehelper.dll – этот компонент устанавливается как расширение Internet Explorer (BHO модуль) и отвечает за блокирование доступа к антивирусным и антиспайварным сайтам, а кроме этого время от времени вместо страницы, которую должен открыть браузер, показывает специально сделанный сайт, который выдаёт себя за сайт от компании Microsoft. На этой поддельной страничке предлагается купить Antivirus System PRO для защиты компьютера. Вот содержимое этой подделки:

Internet Explorer Warning – visiting this web site may harm your computer!

Most likely causes:Antivirus System PRO
The website contains exploits that can launch a malicious code on your computer
Suspicious network activity detected
There might be an active spyware running on your computer

What you can try:
– Purchase Antivirus System PRO for secure Internet surfing (Recommended).
– Check your computer for viruses and malware.
– More information

В остальном поведение Antivirus System PRO стандартно. После запуска, паразит создаёт запись в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ключе реестра Windows, обеспечивая таким образом себе автозагрузку каждый раз, когда вы загружаете Windows. Затем запускается имитатор сканирования компьютера, результат один – компьютер заражён, срочно требуется лечение. Хотите вылечить, тогда деньги вперёд! Как было сказано уже неоднократно, платить не нужно. Игнорируйте все сообщения от программы Antivirus System PRO, а так же сообщения которые как бы показывает Windows, призывая вас купить эту вредоносную программу. Читайте ниже, как можно бесплатно удалить этого паразита.

HijackThis показывает заражение

O1 – Hosts: 209.44.111.57 security.microsoft.com
O1 – Hosts: 209.44.111.57 inetavirus.com
O1 – Hosts: 209.44.111.57 www.inetavirus.com
O2 – BHO: BHO – {BAD4551D-9B24-42cb-9BCD-818CA2DA7B63} – C:\WINDOWS\system32\iehelper.dll
O4 – HKCU\..\Run: [system tool] C:\WINDOWS\sysguard.exe

Как удалить Antivirus System PRO

Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите, поставьте галочки в пунктах «Scan for rootkits” и “Automatically disable any rootkits found”. Скопируйте ниже приведённый текст в Input script Box:

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BAD4551D-9B24-42cb-9BCD-818CA2DA7B63}

Files to delete:
%windir%\sysguard.exe
%windir%\system32\iehelper.dll

Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.

Откройте закладку Обновления, и кликните по кнопке Проверить обновления.

Откройте вкладку Сканер, и кликните по кнопке Проверить.

После сканирования кликните Показать результаты и вам будет показан результат сканирования. Кликните по кнопке Удалить выделенные.

Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

XP Deluxe Protector – поддельная антиспайварная программа, которая появилась буквально несколько дней назад. Она является продолжением серии XP Police Antivirus, в которую входят Win PC Antivirus, Win PC Defender, XP Police Antivirus. Что нового в XP Deluxe Protector? Изменено название, плюс для распространения используются новые сайты и новые трояны. После заражением таким трояном, компьютер начнёт показывать предупреждения, которые будто бы показывает Windows, но на самом деле это неплохо выполненная подделка. Эти предупреждения сигнализируют о том, что компьютер заражён, после чего предлагается скачать и установить программу XP Deluxe Protector.

После запуска, поведение XP Deluxe Protector стандартно. Программа прописывается в автозагрузку, обеспечивая себе таким образом автоматический запуск при каждом включении компьютера, и начинает процедуру сканирования. Но нужно понимать, что это сканирование всего лишь хорошо выполненная имитация, необходимая для того чтобы обмануть пользователя. Результат сканирования XP Deluxe Protector всегда один – компьютер заражён и требуется лечение. В реальности компьютер нужно лечить только от одного, самой программы XP Deluxe Protector.

Во время своей работы XP Deluxe Protector показывает различные предупреждения о том, что компьютер заражён, что на компьютер производится хакерская атака. Кроме этого, этот поддельный антивирус подменяет центр безопасности Windows на хорошо выполненную подделку, которая будет постоянно рекомендовать зарегистрировать XP Deluxe Protector, иными словами купить полную версию.

HijackThis показывает заражение

O4 – HKCU\..\Run: [xpprotect] C:\Documents and Settings\lab\XP Deluxe Protector\xpdeluxe.exe

Как удалить XP Deluxe Protector

• Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

WinBlueSoft – это поддельный антивирус от создателей WiniBlueSoft. Эти программы очень похожи, создаётся впечатление, что создатели убрали только одну букву в названии. В большей степени это так и есть, но при этом создатели WinBlueSoft добавили ещё один компонент (blocker.dll) в свою паразитную программу.

При заражении компьютера WinBlueSoft прописывается в автозагрузку и кроме этого настраивает Windows таким образом, чтобы blocker.dll загружался при вызове любой программы. Это позволяет контролировать запуск программ и не позволять запускаться тем, которые авторы WinBlueSoft посчитали вредными для себя. В реальности разрешается запускать только стандартные приложения Windows плюс winbluesoft.exe (главный файл WinBlueSoft).

После запуска, поведение WinBlueSoft стандартно для подобного класса программ. То есть, запускается имитатор сканирования компьютера. Такое сканирование заканчивается всегда одним и тем же – компьютер заражён и срочно требуется удалить множество вирусов, троянов и других вредоносных программ. Можете спокойно игнорировать это, в реальности на вашем компьютере только один паразит – WinBlueSoft, но удалить его нужно как можно быстрее.

HijackThis показывает заражение

O4 – HKLM\..\Run: [WinBlueSoft] C:\Program Files\WinBlueSoft Software\WinBlueSoft\WinBlueSoft.exe -min

Как удалить WinBlueSoft

WinBlueSoft и трояны, которые могли попасть на ваш компьютер, можно удалить используя бесплатную программу Malwarebytes Anti-malware. Процедура стандартная:

• Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш компьютерный форум.