Lažni antivirus ''Antivirus System'': kako ga ukloniti sa računara

Opisi virusa, 19.07.2013, 08:58 AM

Lažni antivirus ''Antivirus System'': kako ga ukloniti sa računara

Ako ste dugogodišnji korisnik računara verovatno ste imali bar jedan susret sa nekim lažnim antivirusom. Recept koji koriste ovi programi, njihove taktike i izgled se godinama ne menjaju značajnije, ali se s vremena na vreme pojavi neki iz ove grupe programa koji izvuče iz rukava neki novi trik. Najnoviji primer za to je lažni antivirus nazvan „Antivirus System“ koga su analizirali stručnjaci firme Webroot.

Kao i svi srodni programi i Antivirus System se pretvara da skenira računar posle čega obaveštava korisnika da je otkrio nekolicinu pretnji. Prema mnogo puta viđenom scenariju, da bi očistio računar od malvera, program traži registraciju koja naravno košta.

Zanimljivo je da za razliku od sličnih programa, Antivirus System skenira fajlove koji se zaista nalaze na računaru. Iako ne uklanja malvere niti radi bilo šta drugo što bi moglo biti korisno, program na ovaj način može da prevari korisnika koji vidi svoje fajlove na listi zaraženih fajlova. Pored toga, lažni antivirus ima i neke elemente uobičajene za legitimne antivirusne programe, kao što su Internet Security, Personal Security i Proactive Defense.

Pretnje kao što je Antivirus System se obično lako uklanjaju pokretanjem računara u Safe mode-u i skeniranjem legitimnim antivirusom. Međutim, sa Antivirus System-om uklanjanje ne ide baš tako lako.

Većina lažnih antivirusa se ne učitava u modulima koji se pokreću u Safe mode-u. Međutim, ovaj malver se ubacuje u explorer shell, modul koji se učitava u Safe mode-u. To omogućava Antivirus System-u da spreči korisnika da pokrene bilo koji program, uključujući i alate za uklanjanje virusa, Task manager itd.

To je momenat kada će žrtva proceniti da li joj se više isplati da plati uslugu servisa za popravku računara ili da plati aktivaciju lažnog programa, što bi na kraju moglo biti jeftinije.

Najpre, zaboravite mogućnost plaćanja aktivacije programa od koga nećete imati bilo kakve koristi.

Sledeće što treba da uradite je da pokrenete računar u Safe mode-u sa Command Prompt da bi lažni antivirus ostao neaktivan. Zatim u prozoru cmd.exe ukucajte „control nusrmgr.cpl“ da biste pokrenuli prozor u kome možete kreirati još jedan korisnički nalog klikom na „Manage another account“ --> „Create new account“. Sami izaberite naziv naloga koji treba da ima administratorske privilegije. Restartujte računar i prijavite se na novi nalog u Safe ili Normal mode-u.

Novi nalog nije pogođen virusom, tako da ćete moći da pokrenete pravi antivirusni program i da uklonite Antivirus System ili jednostavno obrišite sledeće fajlove i registry unose:

  • DELETE:

C:\Users\All Users\pavsdata
C:\Users\All Users\pavsdata\21.4.exe
C:\Users\All Users\pavsdata\app.ico
C:\Users\All Users\pavsdata\cache.bin
C:\Users\All Users\pavsdata\support.ico
C:\Users\All Users\pavsdata\uninst.ico
C:\Users\All Users\pavsdata\vl.bin
C:\ProgramData\pavsdata
C:\ProgramData\pavsdata\21.4.exe
C:\ProgramData\pavsdata\app.ico
C:\ProgramData\pavsdata\cache.bin
C:\ProgramData\pavsdata\support.ico
C:\ProgramData\pavsdata\uninst.ico
C:\ProgramData\pavsdata\vl.bin
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “avsdsvc” = “%CommonAppData%\pavsdata\21.4.exe /min”

  • MODIFY:

[HKEY_CLASSES_ROOT\.exe\shell\open\command]
Default=”C:\\ProgramData\\pavsdata\\21.4.exe\” /ex \”%1\” %*
to
[HKEY_CLASSES_ROOT\.exe\shell\open\command]
Default=”%1\” %*


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje