Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Вредоносные программы » Фальшивый антивирус Antivirus 7
Вредоносные программы

Фальшивый антивирус Antivirus 7

автор: Administrator | 19 марта 2010, 23:10 | Просмотров: 6602
теги: Вредоносные программы, Antivirus 7, фальшивые антивирусы, защита компьютера



Antivirus 7 (также известен как Antivirus7) — это новая вредоносная программа, которая скрывается под маской антивируса и постоянно уведомляет пользователей о якобы обнаруженных на компьютере вредоносных программах. Этот зловред является продолжением серии поддельных антивирусов, в состав которой входят Antivir 2010, Antivir Antivirus, Antivir, Alpha Antivirus и другие. Antivirus 7, как и другие подобные программы, не предлагают пользователям никакой реальной защиты, но все-таки, требует купить её полную версию, чтобы удалить не существующие вирусы и трояны.

Стоит отметить, что вместо того, чтобы защитить компьютер, вредоносная программа пытается отключить брандмауэр, таким образом оставив компьютер уязвим для внешних атак.

Фальшивый антивирус Antivirus 7


Antivirus 7 использует трояны для проникновения на компьютер. Когда такой троян запущен, он скачивает и устанавливает на компьютер эту поддельную антивирусную программу. При своём первом запуске, Antivirus 7 создаёт запись с именем AV7 в ключе:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run, таким образом, создавая себе возможность запускаться автоматически при каждом запуске Windows.

Создает следующие файлы:
%SystemDrive%:\Documents and Settings\All Users\Start Menu\AV7
%SystemDrive%:\Documents and Settings\All Users\Start Menu\AV7\Antivirus7.lnk
%SystemDrive%:\Documents and Settings\All Users\Start Menu\AV7\Uninstall.lnk
%SystemDrive%:\Program Files\AV7
%SystemDrive%:\Program Files\AV7\antivirus7.exe
%SystemDrive%:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb
%SystemDrive%:\WINDOWS\system32\UpdateExplorer.dll
%UserProfile%\Desktop\Antivirus7.lnk


Добавляет в реестр следующие ключи:
- HKEY_CURRENT_USER\Software\EVA246
- HKEY_CLASSES_ROOT\CLSID\{E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "AV7"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform "WinNT-EVI %дата_установке_вируса%"


Затем эта вредоносная программа выполняет полное сканирование компьютера и помечает существующие системные файлы как трояны, вирусы и т.д. Чтобы вылечить компьютер предлагается купить полную версию программы. Делать этого не нужно, так как результаты сканирования и само сканирование это подделка, поэтому можете их совершенно свободно игнорировать.

Чтобы ещё больше напугать пользователя, Antivirus 7 будет показывать разнообразные сообщения и предупреждения. Например, при запуске программ, время от времени, будет сообщаться, что запускаемая программа заражена опасным вирусом. Пример такого предупреждения ниже:
Фальшивый антивирус Antivirus 7


:: Resident Shield: New virus detected
Warning! New virus detected
Please click "Remove All" button to heal all infected files and protect your PC


:: Internet Shield: Identity theft attampt detected
56.12.121.12
Warning! Identity theft attempt detected
Please click "Prevent attack" button to heal all infected files and protect your PC


:: Security advisor: Important updates available
Attention! New important updates available
Always install latest updates to enhance your computer secutity and performance


Кроме этих сообщении появляется и множество других, смысл которых сводиться к одному – компьютер заражён, срочно требует активировать антивирус. Конечно, все эти сообщения, ровно как и поддельные результаты сканирования являются мошенничеством, которое направлено на то, чтобы облегчить Ваш кошелёк.

Из сказанного выше очевидно, Antivirus 7 является опасной программой, присутствие которой на Вашем компьютере абсолютно нежелательно. При первых симптомах заражения прекратите пользоваться компьютером для совершения каких-либо действий, начиная от редактирования документов и заканчивая покупками в интернете. Вам нужно как можно быстрее удалить этот поддельный антивирус.

Для этого воспользуйтесь ниже приведённой инструкцией, которая поможет Вам удалить Antivirus 7 и трояны которые могли проникнуть на Ваш компьютер вместе с этой вредоносной программой.

1.Во-первых, нужно остановить вредоносный процесс:
для этого, нужно скачать и запускать файл rkill.com. Сохранив файл, постарайтесь изменить имя файла. Также, стоит отметить, что при запуске, не исключено что Вы получите уведомление о том, что файл инфицирован — такие сообщения нужно игнорировать, так как файл чист.

Если, не удаётся скачать или запускать файл rkill.com, попробуете скачать и запускать копии данного файла: iExplore.exe или eXplorer.exe

Примечание: Если Вы вообще не можете скачать файлы, то, скорее всего Antivirus 7 не разрешает этого делать. Для решения этой проблемы, воспользуйтесь другим (чистым) компьютером и сохраните нужные файлы на USB-флэш накопитель, или лучше, на CD/DVD.

Важно: Ни в коем случае не перезагрузить компьютер после того как запустили файл rkill.com (eXplorer.exe, iExplore.exe) , так как вирус будет снова активироваться.


2. Во-вторых, нужно удалить все вредоносные файлы
для этого скачайте инсталлятор (mbam-setup.exe) бесплатной антиспайварной программы Malwarebytes Anti-Malware. Закройте браузер и все открытые окна Windows. Запустите инсталлятор, выберите язык установки и следуйте указаниям, которые будут появляться на экране.

По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед Вами откроется главное окно программы, как показано ниже.
Фальшивый антивирус Antivirus 7


Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Процесс сканирования может занять продолжительное время, поэтому наберитесь терпения. По-окончании сканирования, будет показано сообщение аналогичное приведённому ниже.
Фальшивый антивирус Antivirus 7


Кликните OK, затем Показать результаты. Вам будет показан результат сканирования (список заражённых файлов может отличаться от приведённого ниже).
Фальшивый антивирус Antivirus 7


Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления Antivirus 7 и ассоциированных с этой программой файлов, каталогов и ключей реестра. Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите это.

Выполнив эту инструкцию, Ваш компьютер должен быть очищен от паразитной программы Antivirus 7.




источник:
spyware-ru.com
@ Zorro
21 марта 2010, 18:39 | |  
Аватар пользователя Zorro
карма:
комментариев: 0
новостей: 0
группа: Гости
Здраствуйте, мне нужна помощь. Вы мне сказали что у вас Windows XP adn Windows 7. Вы хорошо изучили Windows 7? если да то помогите мне.
СПАСИБО
@ Administrator
23 марта 2010, 12:02 | |  
Аватар пользователя Administrator
карма: +4676.176
комментариев: 239
новостей: 1005
группа: SysOp
Zorro,
Да конечно. Только, пожалуйста, опишите проблему. Рекомендую добавить Ваш вопрос здесь, конечно, если это не конфиденциально.

p.s. добавление новых публикации на сайте

@ Zorro
25 марта 2010, 06:10 | |  
Аватар пользователя Zorro
карма:
комментариев: 0
новостей: 0
группа: Гости
Спасибо уже исправил проблему (/-_)/D——
@ Zorro
29 марта 2010, 15:41 | |  
Аватар пользователя Zorro
карма:
комментариев: 0
новостей: 0
группа: Гости
Здраствуйте Администратор clapping Malwarebytes Anti-Malwar у меня лицензия есть хочу чтобы вы выставили сюда... нет нет не кряк - а именно лицензия...
@ Administrator
29 марта 2010, 16:55 | |  
Аватар пользователя Administrator
карма: +4676.176
комментариев: 239
новостей: 1005
группа: SysOp
Zorro,
Если это действительно легальная лицензия, то не вижу никаких проблем. Только, оставить её в комментариях — нельзя... Если бы Вы были зарегистрированным пользователям, мы могли обсудить и решить иначе этот вопрос. А так, можете отправить сообщение или, конечно, лучше зарегистрироваться. Кстати, а Вы откуда взяли лицензию?
@ Zorro
30 марта 2010, 09:15 | |  
Аватар пользователя Zorro
карма:
комментариев: 0
новостей: 0
группа: Гости
Я зарегистрируюсь и свяжусь с вами.
@ юлианна
18 апреля 2010, 15:49 | |  
Аватар пользователя юлианна
карма:
комментариев: 0
новостей: 0
группа: Гости
спасибо!
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.