Lažni antivirus ''Antivirus System'': kako ga ukloniti sa računara

Opisi virusa, 19.07.2013, 08:58 AM

Lažni antivirus ''Antivirus System'': kako ga ukloniti sa računara

Ako ste dugogodišnji korisnik računara verovatno ste imali bar jedan susret sa nekim lažnim antivirusom. Recept koji koriste ovi programi, njihove taktike i izgled se godinama ne menjaju značajnije, ali se s vremena na vreme pojavi neki iz ove grupe programa koji izvuče iz rukava neki novi trik. Najnoviji primer za to je lažni antivirus nazvan „Antivirus System“ koga su analizirali stručnjaci firme Webroot.

Kao i svi srodni programi i Antivirus System se pretvara da skenira računar posle čega obaveštava korisnika da je otkrio nekolicinu pretnji. Prema mnogo puta viđenom scenariju, da bi očistio računar od malvera, program traži registraciju koja naravno košta.

Zanimljivo je da za razliku od sličnih programa, Antivirus System skenira fajlove koji se zaista nalaze na računaru. Iako ne uklanja malvere niti radi bilo šta drugo što bi moglo biti korisno, program na ovaj način može da prevari korisnika koji vidi svoje fajlove na listi zaraženih fajlova. Pored toga, lažni antivirus ima i neke elemente uobičajene za legitimne antivirusne programe, kao što su Internet Security, Personal Security i Proactive Defense.

Pretnje kao što je Antivirus System se obično lako uklanjaju pokretanjem računara u Safe mode-u i skeniranjem legitimnim antivirusom. Međutim, sa Antivirus System-om uklanjanje ne ide baš tako lako.

Većina lažnih antivirusa se ne učitava u modulima koji se pokreću u Safe mode-u. Međutim, ovaj malver se ubacuje u explorer shell, modul koji se učitava u Safe mode-u. To omogućava Antivirus System-u da spreči korisnika da pokrene bilo koji program, uključujući i alate za uklanjanje virusa, Task manager itd.

To je momenat kada će žrtva proceniti da li joj se više isplati da plati uslugu servisa za popravku računara ili da plati aktivaciju lažnog programa, što bi na kraju moglo biti jeftinije.

Najpre, zaboravite mogućnost plaćanja aktivacije programa od koga nećete imati bilo kakve koristi.

Sledeće što treba da uradite je da pokrenete računar u Safe mode-u sa Command Prompt da bi lažni antivirus ostao neaktivan. Zatim u prozoru cmd.exe ukucajte „control nusrmgr.cpl“ da biste pokrenuli prozor u kome možete kreirati još jedan korisnički nalog klikom na „Manage another account“ --> „Create new account“. Sami izaberite naziv naloga koji treba da ima administratorske privilegije. Restartujte računar i prijavite se na novi nalog u Safe ili Normal mode-u.

Novi nalog nije pogođen virusom, tako da ćete moći da pokrenete pravi antivirusni program i da uklonite Antivirus System ili jednostavno obrišite sledeće fajlove i registry unose:

  • DELETE:

C:\Users\All Users\pavsdata
C:\Users\All Users\pavsdata\21.4.exe
C:\Users\All Users\pavsdata\app.ico
C:\Users\All Users\pavsdata\cache.bin
C:\Users\All Users\pavsdata\support.ico
C:\Users\All Users\pavsdata\uninst.ico
C:\Users\All Users\pavsdata\vl.bin
C:\ProgramData\pavsdata
C:\ProgramData\pavsdata\21.4.exe
C:\ProgramData\pavsdata\app.ico
C:\ProgramData\pavsdata\cache.bin
C:\ProgramData\pavsdata\support.ico
C:\ProgramData\pavsdata\uninst.ico
C:\ProgramData\pavsdata\vl.bin
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “avsdsvc” = “%CommonAppData%\pavsdata\21.4.exe /min”

  • MODIFY:

[HKEY_CLASSES_ROOT\.exe\shell\open\command]
Default=”C:\\ProgramData\\pavsdata\\21.4.exe\” /ex \”%1\” %*
to
[HKEY_CLASSES_ROOT\.exe\shell\open\command]
Default=”%1\” %*


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje