Lažni antivirus ''Antivirus System'': kako ga ukloniti sa računara

Opisi virusa, 19.07.2013, 08:58 AM

Lažni antivirus ''Antivirus System'': kako ga ukloniti sa računara

Ako ste dugogodišnji korisnik računara verovatno ste imali bar jedan susret sa nekim lažnim antivirusom. Recept koji koriste ovi programi, njihove taktike i izgled se godinama ne menjaju značajnije, ali se s vremena na vreme pojavi neki iz ove grupe programa koji izvuče iz rukava neki novi trik. Najnoviji primer za to je lažni antivirus nazvan „Antivirus System“ koga su analizirali stručnjaci firme Webroot.

Kao i svi srodni programi i Antivirus System se pretvara da skenira računar posle čega obaveštava korisnika da je otkrio nekolicinu pretnji. Prema mnogo puta viđenom scenariju, da bi očistio računar od malvera, program traži registraciju koja naravno košta.

Zanimljivo je da za razliku od sličnih programa, Antivirus System skenira fajlove koji se zaista nalaze na računaru. Iako ne uklanja malvere niti radi bilo šta drugo što bi moglo biti korisno, program na ovaj način može da prevari korisnika koji vidi svoje fajlove na listi zaraženih fajlova. Pored toga, lažni antivirus ima i neke elemente uobičajene za legitimne antivirusne programe, kao što su Internet Security, Personal Security i Proactive Defense.

Pretnje kao što je Antivirus System se obično lako uklanjaju pokretanjem računara u Safe mode-u i skeniranjem legitimnim antivirusom. Međutim, sa Antivirus System-om uklanjanje ne ide baš tako lako.

Većina lažnih antivirusa se ne učitava u modulima koji se pokreću u Safe mode-u. Međutim, ovaj malver se ubacuje u explorer shell, modul koji se učitava u Safe mode-u. To omogućava Antivirus System-u da spreči korisnika da pokrene bilo koji program, uključujući i alate za uklanjanje virusa, Task manager itd.

To je momenat kada će žrtva proceniti da li joj se više isplati da plati uslugu servisa za popravku računara ili da plati aktivaciju lažnog programa, što bi na kraju moglo biti jeftinije.

Najpre, zaboravite mogućnost plaćanja aktivacije programa od koga nećete imati bilo kakve koristi.

Sledeće što treba da uradite je da pokrenete računar u Safe mode-u sa Command Prompt da bi lažni antivirus ostao neaktivan. Zatim u prozoru cmd.exe ukucajte „control nusrmgr.cpl“ da biste pokrenuli prozor u kome možete kreirati još jedan korisnički nalog klikom na „Manage another account“ --> „Create new account“. Sami izaberite naziv naloga koji treba da ima administratorske privilegije. Restartujte računar i prijavite se na novi nalog u Safe ili Normal mode-u.

Novi nalog nije pogođen virusom, tako da ćete moći da pokrenete pravi antivirusni program i da uklonite Antivirus System ili jednostavno obrišite sledeće fajlove i registry unose:

  • DELETE:

C:\Users\All Users\pavsdata
C:\Users\All Users\pavsdata\21.4.exe
C:\Users\All Users\pavsdata\app.ico
C:\Users\All Users\pavsdata\cache.bin
C:\Users\All Users\pavsdata\support.ico
C:\Users\All Users\pavsdata\uninst.ico
C:\Users\All Users\pavsdata\vl.bin
C:\ProgramData\pavsdata
C:\ProgramData\pavsdata\21.4.exe
C:\ProgramData\pavsdata\app.ico
C:\ProgramData\pavsdata\cache.bin
C:\ProgramData\pavsdata\support.ico
C:\ProgramData\pavsdata\uninst.ico
C:\ProgramData\pavsdata\vl.bin
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “avsdsvc” = “%CommonAppData%\pavsdata\21.4.exe /min”

  • MODIFY:

[HKEY_CLASSES_ROOT\.exe\shell\open\command]
Default=”C:\\ProgramData\\pavsdata\\21.4.exe\” /ex \”%1\” %*
to
[HKEY_CLASSES_ROOT\.exe\shell\open\command]
Default=”%1\” %*


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje