Lažni antivirus ''Antivirus System'': kako ga ukloniti sa računara

Opisi virusa, 19.07.2013, 08:58 AM

Ako ste dugogodišnji korisnik računara verovatno ste imali bar jedan susret sa nekim lažnim antivirusom. Recept koji koriste ovi programi, njihove taktike i izgled se godinama ne menjaju značajnije, ali se s vremena na vreme pojavi neki iz ove grupe programa koji izvuče iz rukava neki novi trik. Najnoviji primer za to je lažni antivirus nazvan „Antivirus System“ koga su analizirali stručnjaci firme Webroot.

Kao i svi srodni programi i Antivirus System se pretvara da skenira računar posle čega obaveštava korisnika da je otkrio nekolicinu pretnji. Prema mnogo puta viđenom scenariju, da bi očistio računar od malvera, program traži registraciju koja naravno košta.

Zanimljivo je da za razliku od sličnih programa, Antivirus System skenira fajlove koji se zaista nalaze na računaru. Iako ne uklanja malvere niti radi bilo šta drugo što bi moglo biti korisno, program na ovaj način može da prevari korisnika koji vidi svoje fajlove na listi zaraženih fajlova. Pored toga, lažni antivirus ima i neke elemente uobičajene za legitimne antivirusne programe, kao što su Internet Security, Personal Security i Proactive Defense.

Pretnje kao što je Antivirus System se obično lako uklanjaju pokretanjem računara u Safe mode-u i skeniranjem legitimnim antivirusom. Međutim, sa Antivirus System-om uklanjanje ne ide baš tako lako.

Većina lažnih antivirusa se ne učitava u modulima koji se pokreću u Safe mode-u. Međutim, ovaj malver se ubacuje u explorer shell, modul koji se učitava u Safe mode-u. To omogućava Antivirus System-u da spreči korisnika da pokrene bilo koji program, uključujući i alate za uklanjanje virusa, Task manager itd.

To je momenat kada će žrtva proceniti da li joj se više isplati da plati uslugu servisa za popravku računara ili da plati aktivaciju lažnog programa, što bi na kraju moglo biti jeftinije.

Najpre, zaboravite mogućnost plaćanja aktivacije programa od koga nećete imati bilo kakve koristi.

Sledeće što treba da uradite je da pokrenete računar u Safe mode-u sa Command Prompt da bi lažni antivirus ostao neaktivan. Zatim u prozoru cmd.exe ukucajte „control nusrmgr.cpl“ da biste pokrenuli prozor u kome možete kreirati još jedan korisnički nalog klikom na „Manage another account“ --> „Create new account“. Sami izaberite naziv naloga koji treba da ima administratorske privilegije. Restartujte računar i prijavite se na novi nalog u Safe ili Normal mode-u.

Novi nalog nije pogođen virusom, tako da ćete moći da pokrenete pravi antivirusni program i da uklonite Antivirus System ili jednostavno obrišite sledeće fajlove i registry unose:

• DELETE:

C:\Users\All Users\pavsdata
C:\Users\All Users\pavsdata\21.4.exe
C:\Users\All Users\pavsdata\app.ico
C:\Users\All Users\pavsdata\cache.bin
C:\Users\All Users\pavsdata\support.ico
C:\Users\All Users\pavsdata\uninst.ico
C:\Users\All Users\pavsdata\vl.bin
C:\ProgramData\pavsdata
C:\ProgramData\pavsdata\21.4.exe
C:\ProgramData\pavsdata\app.ico
C:\ProgramData\pavsdata\cache.bin
C:\ProgramData\pavsdata\support.ico
C:\ProgramData\pavsdata\uninst.ico
C:\ProgramData\pavsdata\vl.bin
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “avsdsvc” = “%CommonAppData%\pavsdata\21.4.exe /min”

• MODIFY:

[HKEY_CLASSES_ROOT\.exe\shell\open\command]
Default=”C:\\ProgramData\\pavsdata\\21.4.exe\” /ex \”%1\” %*
to
[HKEY_CLASSES_ROOT\.exe\shell\open\command]
Default=”%1\” %*