Lažni antivirus ''Antivirus System'': kako ga ukloniti sa računara

Opisi virusa, 19.07.2013, 08:58 AM

Lažni antivirus ''Antivirus System'': kako ga ukloniti sa računara

Ako ste dugogodišnji korisnik računara verovatno ste imali bar jedan susret sa nekim lažnim antivirusom. Recept koji koriste ovi programi, njihove taktike i izgled se godinama ne menjaju značajnije, ali se s vremena na vreme pojavi neki iz ove grupe programa koji izvuče iz rukava neki novi trik. Najnoviji primer za to je lažni antivirus nazvan „Antivirus System“ koga su analizirali stručnjaci firme Webroot.

Kao i svi srodni programi i Antivirus System se pretvara da skenira računar posle čega obaveštava korisnika da je otkrio nekolicinu pretnji. Prema mnogo puta viđenom scenariju, da bi očistio računar od malvera, program traži registraciju koja naravno košta.

Zanimljivo je da za razliku od sličnih programa, Antivirus System skenira fajlove koji se zaista nalaze na računaru. Iako ne uklanja malvere niti radi bilo šta drugo što bi moglo biti korisno, program na ovaj način može da prevari korisnika koji vidi svoje fajlove na listi zaraženih fajlova. Pored toga, lažni antivirus ima i neke elemente uobičajene za legitimne antivirusne programe, kao što su Internet Security, Personal Security i Proactive Defense.

Pretnje kao što je Antivirus System se obično lako uklanjaju pokretanjem računara u Safe mode-u i skeniranjem legitimnim antivirusom. Međutim, sa Antivirus System-om uklanjanje ne ide baš tako lako.

Većina lažnih antivirusa se ne učitava u modulima koji se pokreću u Safe mode-u. Međutim, ovaj malver se ubacuje u explorer shell, modul koji se učitava u Safe mode-u. To omogućava Antivirus System-u da spreči korisnika da pokrene bilo koji program, uključujući i alate za uklanjanje virusa, Task manager itd.

To je momenat kada će žrtva proceniti da li joj se više isplati da plati uslugu servisa za popravku računara ili da plati aktivaciju lažnog programa, što bi na kraju moglo biti jeftinije.

Najpre, zaboravite mogućnost plaćanja aktivacije programa od koga nećete imati bilo kakve koristi.

Sledeće što treba da uradite je da pokrenete računar u Safe mode-u sa Command Prompt da bi lažni antivirus ostao neaktivan. Zatim u prozoru cmd.exe ukucajte „control nusrmgr.cpl“ da biste pokrenuli prozor u kome možete kreirati još jedan korisnički nalog klikom na „Manage another account“ --> „Create new account“. Sami izaberite naziv naloga koji treba da ima administratorske privilegije. Restartujte računar i prijavite se na novi nalog u Safe ili Normal mode-u.

Novi nalog nije pogođen virusom, tako da ćete moći da pokrenete pravi antivirusni program i da uklonite Antivirus System ili jednostavno obrišite sledeće fajlove i registry unose:

  • DELETE:

C:\Users\All Users\pavsdata
C:\Users\All Users\pavsdata\21.4.exe
C:\Users\All Users\pavsdata\app.ico
C:\Users\All Users\pavsdata\cache.bin
C:\Users\All Users\pavsdata\support.ico
C:\Users\All Users\pavsdata\uninst.ico
C:\Users\All Users\pavsdata\vl.bin
C:\ProgramData\pavsdata
C:\ProgramData\pavsdata\21.4.exe
C:\ProgramData\pavsdata\app.ico
C:\ProgramData\pavsdata\cache.bin
C:\ProgramData\pavsdata\support.ico
C:\ProgramData\pavsdata\uninst.ico
C:\ProgramData\pavsdata\vl.bin
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “avsdsvc” = “%CommonAppData%\pavsdata\21.4.exe /min”

  • MODIFY:

[HKEY_CLASSES_ROOT\.exe\shell\open\command]
Default=”C:\\ProgramData\\pavsdata\\21.4.exe\” /ex \”%1\” %*
to
[HKEY_CLASSES_ROOT\.exe\shell\open\command]
Default=”%1\” %*


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi vid... Dalje

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Posle zatišja od skoro dva meseca, botnet Emotet se vratio izmenjen i sa kampanjom koja dnevno pogađa 100 000 ciljeva. Emotet se pojavio 2014. godin... Dalje