Информационная безопасность компьютерных систем и защита конфиденциальных данных
Вредоносные программы

AndromedaAV

автор: Administrator | 9 февраля 2009, 13:22 | Просмотров: 6259
теги: Вредоносные, программы, Adware, Windows, реестр, Vista



Описание:
Приложение для платформы Windows, представленное как антивирус. Сообщает о наличии в системе угроз, которых на самом деле там нет, и предлагает приобрести лицензионную версию продукта для удаления этих угроз.

Тип вредоносной программы:
Adware

ОС подверженные заражению:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Уровень опасности:
низкий

Технические детали:
При запуске приложение создает следующие файлы:
* C:Documents and SettingsAll UsersDesktopAndromeda AntiVirus.lnk
* %ProgramFiles%AndromedaAvav.exe
* %ProgramFiles%AndromedaAvDataBasesavd.avp
* %ProgramFiles%AndromedaAvDataBasesavhd.avp
* %ProgramFiles%AndromedaAvDataBasesavhd1.avp
* %ProgramFiles%AndromedaAvDataBasesavm.avp
* %ProgramFiles%AndromedaAvDataBasesav_nav_hd.avp
* %ProgramFiles%AndromedaAvDataBasesav_nav_m.avp
* %ProgramFiles%\AndromedaAv\Logs\08-2008_AndromedaAvLog.log
* %System%dllcachecrasctrs.dll
* %System%dllcachetnetlogon.dll
* %System%driverswinav.sys
* %System%andrav_inet.dll
* %System%AndromedaAv.exe
* %System%bpsnppagn.dll
* %System%hir50_qcx.dll
* %System%rqcap.dll
* %System%settings
* %System%thunk.dll
* %System%vCleanUp.exe

%ProgramFiles% - директория, в которую приложения устанавливаются по умолчанию;
%System% - системная директория Windows;


Устанавливает (через реестр) URL разработчика в качестве домашней страницы:
* HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain"Start Page" = "http://andromeda-av.com"


Создает в реестре следующие подключи:
* HKEY_CLASSES_ROOT*shellAV
* HKEY_CLASSES_ROOTFoldershellAV
* HKEY_LOCAL_MACHINESOFTWAREAndromedaAv
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAndromedaAVService
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAndromedaAvDrv

Разработчик:Andromeda-AV.com;
название: "Andromeda Antivirus"
версия: 2.0.4.8.


Удаление:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.
Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.