Осторожно ! Опасная подделка!

Появились новые загрузчики паразитов:

Video ActiveX Codec - подделка под кодек.Существует несколько типов этих кодеков: VideoCach, MediaTubeCodec, Media Codec Software, VideoAccessCodec. Причем в отличии от троянов и вирусов, пользователь обманутый сообщением(Video ActiveX Object Error) на экране сам скачивает и заражает свой компьютер.
Кроме этого в последнее время получила распространение подделка под запрос на обновление Flash плеера (Flash ActiveX Object Error).
Заражение компьютера в этих случаях происходит когда пользователь посещает сайт, где он хочет посмотреть какой-то видео файл. Сразу после открытия этой страницы выскакивает одно из сообщений и предлагается скачать специальный файл. В результате запуска этого файла происходит заражение.
Основные симптомы заражения.

* Появление незнакомых иконок на рабочем столе.
* Изменение фона рабочего стола, возможно появление надписей на нём, сообщающих о заражении компьютера.
* При просмотре различных сайтов выскакивают всплывающие окна.
* Появление сообщений, похожих на сообщения от центра безопасности Windows. В них сообщается о том, что компьютер заражён и предлагается скачать антиспайварную программу. Точнее поддельную антиспайварную программу.
Появление новой панели инструментов в InternetExplorer.

Есть ещё softwareprofit. Там аналогично. И ещё несколько софтовых дел партнёрок.

Бедные, бедные люди... Когда же закончится этот терроризм? :aggressive:

Paul

Кстати, я зарегистрирован на softwareprofit. И могу честно продавать людям свой антивирус :)

Эти кодеки активно распростроняются с помощью спама на форумах и почты. На форумах под видом порно. Я таких уже кучу накачал

Новый паразит:
Trojan-Keylogger.WIN32.Fung - это имя под которым маскируется другой опасный троян, который используется для распространения поддельных антиспайварных программ. В случае заражения компьютера появляется предупреждение системы безопасности Windows, говорящие о том, что встроенный брандмауэр (firewall) обнаружил на компьютере активность трояна Trojan-Keylogger.WIN32.Fung и предлагается заблокировать его.
Это предупреждение - подделка и нужно просто его игнорировать. В любом случае у трояна одна задача, вынудить скачать и установить поддельную антиспаварную программу. Эта программа выполнит сканирование компьютера и наёдет множество вирусов и троянов. После чего будет требовать купить её, чтобы активировать функцию “удаления” вредоносных программ. Делать этого не нужно, так как и предупреждение системы безопасности Windows описанное выше, так и результаты сканирования - это части одного обмана.

Flash ActiveX и Flash codec вообще-то сам по себе очень назойливый. Ведь значимость и информационная необходимость в этих кодеках достаточно сомнительная. Тем же грешит и Акробат с автомтическим открытием PDF файлов. Это и используют для массового распространения зловредов.

Antivirus Pro 2009:
Распространяется через сайты имитирующие онлайн сканеры, а так же может быть установлена скрытно от пользователя, посредством троянов TDSServ, braviax, bratsk.exe/karna.dat. Во всех случаях пользователю показывается сообщение, что компьютер заражён и предлагается вылечить его. Для чего необходимо установить Antivirus Pro 2009.
Во время установки Antivirus Pro 2009 настраивает себя таким образом, чтобы запускаться автоматически при каждом запуске Windows. Сразу же после запуска начинается сканирование, при котором на компьютере находится множество вредоносных программ, вирусов, троянов и тд. Причём, часть из этих опасных файлов Antivirus Pro 2009 создал сам, при своей инсталляции на компьютер. Вот часть из таких файлов:

C:\Documents and Settings\All Users\Application Data\inurev.lib
C:\WINDOWS\qesuriqu.bat
C:\WINDOWS\supicane.bin
C:\WINDOWS\system32\afuny.reg
C:\Program Files\Common Files\yfila.dat
C:\Documents and Settings\user\Local Settings\Application Data\towyvo.pif
C:\Program Files\Common Files\nixef._sy
C:\Documents and Settings\user\Cookies\omevi.lib
C:\WINDOWS\xynexi.sys
C:\Documents and Settings\user\Local Settings\Application Data\rihibevad.com
C:\Documents and Settings\user\Cookies\ifem.db
C:\Documents and Settings\All Users\Application Data\oqacywudyd._dl
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\ufylyz.bat
C:\Documents and Settings\user\Application Data\ikijosycy.dat
C:\WINDOWS\system32\lumihedym.dll
C:\WINDOWS\ytygi._dl
C:\Documents and Settings\user\Local Settings\Application Data\vake.ban
C:\WINDOWS\system32\rube.reg
C:\Documents and Settings\All Users\Application Data\lorasa.inf
C:\Documents and Settings\user\Cookies\bejuzef.exe
C:\Program Files\Common Files\ajilimagy._dl
C:\Documents and Settings\All Users\Application Data\gapevep.dat

После завершения сканирования, Antivirus Pro 2009 предлагает заплатить определённую сумму денег для того чтобы включить возможность удаления найденных вредоносных программ. Делать этого не нужно, можно смело игнорировать всё то, что сообщает Antivirus Pro 2009.

Время от времени Antivirus Pro 2009 показывает предупреждения следующего содержания:

Trojan detected!
A piece of malicious code was found on your system which can
replicate itself if no action is taken. Click here to have your
system cleaned by Antivirus Pro 2009.

Antivirus Pro 2009 может сильно повлиять на производительность компьютера, а кроме этого, существует опасность воровства личных данных. Поэтому рекомендeтся, удалить эту вредоносную программу как можно быстрее.
В удалении зловреда помогут хелперы нашего форума в разделе [url]http://virusinfo.info/forumdisplay.php?f=46&order=desc[/url]

[quote=Зинка;261232]А есть у вас где-нибудь список "сайтов-подделок" антивирусов ?
Куда не ходить ни в коем случае ?[/quote]

Установите себе - McAfee SiteAdvisor, WOT, WebMoney Advisor, думаю этого будет достаточно, в каком нибудь, если сайт давно существует, будет отзыв о нём, правда и там бывает жулики пишут на самих себя положительные отзывы но это очень редко и наоборот, так же в малом количестве.

[b]Winweb Security 2008[/b]
это поддельная антиспайварная программа, которая получила довольно широкое распространение. Эта паразитная программа использует трояны для проникновения на компьютер. Кроме этого часто пользователи сами ошибочно устанавливают Winweb Security 2008 обманутые навязчивой рекламой. В этой рекламе сообщается что компьютер заражён и предлагается скачать и установить Winweb Security 2008 для того чтобы вылечить копьютер.
Во время установки Winweb Security 2008, программа настраивает себя таким образом, чтобы запускаться автоматически каждый раз, когда запускается Windows. Сразу после запуска этот паразит сканирует компьютер и находит множество инфицированных файлов, троянов, вирусов. Если пользователь пытается вылечить компьютер, то Winweb Security 2008 сообщает о том, что нужно заплатить около 50 долларов, чтобы включить эту возможность.
После заражения, раз в несколько минут, Winweb Security 2008 показывает следующие предупреждения:

Winweb Security Warning
Your PC is still infected with dangerous viruses. Activate
antivirus protection to prevent data loss and to avoid the
theft of your credit card details.
Click here to activate protection.

Winweb Security Warning
Some critical system files of your computer were modified by
malicious program. It may cause system instability and data
loss.
Click here to block unathorised modification by removing
threats (Recommended)

HijackThis показывает заражения:

O2 - BHO: BHOws Object - {D5DF7C9D-6069-4552-8B0C-D02A912FC889} - ws.dll (file missing)
O4 - HKLM\..\Run: [adpws] “C:\Documents and Settings\All Users\Application Data\5689887B.exe”
O4 - HKLM\..\Run: [{90BF8224-CD63-4081-A4C7-EF9A2CF6596F}] “C:\Documents and Settings\All Users\Application Data\A974FA49.exe”
O4 - HKLM\..\Run: [WinwebSecurity] “C:\Documents and Settings\All Users\Application Data\WinwebSecurity\WinwebSecurity.exe”

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[b]Троян Vundo[/b]
это опасный и широкораспространённый троян, так же известен как VirtuMonde, WindowsUpd, Adware.VirtuMonde, TrojanDownloader.Win32.Agent.e, ADW_TARGETSOFT.A. Этот троян довольно трудно удалить с компьютера, при этом часто с ним не справляются многие именитые антивирусные и снтиспайварные программы. Причина этому - полиморфизм трояна, каждый компьютер заражён индивидуальным образом, при этом при каждой перезагрузке часть компонентов меняет свои имена и CLSID. Но при этом троян Vundo обладает рядом признаков, по которым опытный специалист его сразу узнает.
Основные симптомы заражения трояном Vundo.

* Множество вплывающих окон.
* Резкое замедление работы компьютера.
* Поддельные сообщения службы безопасности о том, что компьютер заражён и необходимо скачать специальную программу, чтобы вылечить компьютер. [b]ОБЯЗАТЕЛЬНО игнорируйте это сообщение, ни в коем случае не скачивайте и не устанавливайте никаких дополнительных программ[/b]
* Ваш антивирус сообщает об заражении компьютера трояном Vundo и не может его удалить.

HijackThis показывает заражёние.

O2 - BHO: WTLHelper Object - {75DC57F8-D831-4AB8-86B7-4F826F4A0873} - C:\WINDOWS\system32\unnqw.dll
O2 - BHO: (no name) - {10654df0-1449-4b62-82e9-9a6f61cc2ed7} - C:\WINDOWS\system32\yehifuni.dll (file missing)
O4 - HKLM\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s
O4 - HKLM\..\Run: [CPM3b906d0c] Rundll32.exe “c:\windows\system32\henemate.dll”,a
O4 - HKLM\..\Run: [38a35e90] rundll32.exe “C:\WINDOWS\system32\wavemile.dll”,b
O4 - HKLM\..\Run: [prunnet] “C:\WINDOWS\system32\prunnet.exe”
O4 - HKLM\..\Run: [jsf8j34rgfght] C:\DOCUME~1\user\LOCALS~1\Temp\winloggn.exe
O4 - HKCU\..\Run: [gadcom] “C:\Documents and Settings\user\Application Data\gadcom\gadcom.exe” 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKUS\S-1-5-19\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘LOCAL SERVICE’)
O4 - HKUS\S-1-5-20\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘NETWORK SERVICE’)
O20 - AppInit_DLLs: c:\windows\system32\kabunabo.dll c:\windows\system32\pasaruwe.dll c:\windows\system32\vinomisu.dll c:\windows\system32\zahuzihi.dll C:\WINDOWS\system32\tazeyubo.dll C:\WINDOWS\system32\wifufulu.dll c:\windows\system32\gesekise.dll c:\windows\system32\kelinepe.dll c:\windows\system32\henemate.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\kelinepe.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\kelinepe.dll

Примечание: как видно из примеров выше в качестве имён файлов используется случайный набор символов. Трояно Vundo поражает практически все возможные способы автозапуска, причём HijackThis не показывает все эти способы.

Еще одна фальшивка:[url]http://advanced-spyware-detect.com/ru/downloadtrial.html[/url]
по поводу последствий установки фальшивки не проверял, но интересно следующее(цитаты для рекламы):

....Антивирус aSD показал минимальное замедление системы при копировании файлов (прирост 31% по сравнению с «чистой» системой), при кодировании медиа-файлов (3%), при загрузке (12%). В среднем время выполнения задач в системе с установленным антивирусом aSD возрастает на 22%, что позволило AV-Comparatives выставить продукту оценку «very fast» (очень быстрый).

Николай Терещенко, технический директор компании AV-Comparatives (в AV-Comparatives не работает)

В качестве одного из возможных путей развития антивирусного ПО нами был выбран путь классического антивируса. Вследствие этого, основной упор делался на качество детектирования и количество поддерживаемых форматов данных. Антируткит-технологии в антивирусе aSD начали развиваться сравнительно недавно. Также хочется отметить, что т.н. антируткит-технологии развиваются и как часть антивирусного ядра, работу которых пользователи смогут увидеть в следующих версиях антивируса.

Сергей Уласень, начальник отдела разработки антивирусного ядра компании «AVB» (настоящее название VBA)

Продукт вобрал в себя все лучшее и востребованное сейчас на рынке: систему защиты почтового шлюза от всех видов угроз, включая вирусы, шпионское ПО, спам и DoS атаки.

Керценбаум Кирилл Symantec Certified Sales Specialist

"Интересные" комментарии :)
Даже если этот так называемый антивирус стоимостью 39.95$
с пожизненым обновлением баз вирусов поделка а-ля Калинин и не несет явного вреда, то наглость мошенников придумавшие "фальшивые комментарии" поражает.

Про вредность: [url]http://www.virustotal.com/analisis/a4f56bd247c1e303f2c49979a987a415[/url]

[quote=SDA;340711]Еще одна фальшивка:[URL="http://advanced-spyware-detect.com/ru/downloadtrial.html"][/URL][/quote]
что то быстро спалился он у импортных, за три дня и уже красный [url]http://hosts-file.net/?s=advanced-spyware-detect.com[/url]

[QUOTE]Безопасность вашего компьютера под угрозой!
Обнаружены 5 вирусов, 3 из них опасны для работы компьютера.[/QUOTE]
:dash1:

Новый зловред:
[b]Anti-virus-1[/b] это поддельная антивирусная программа, которая является обновлением широко распространившихся Antivirus 2010 и Antivirus 360. Как и свои собратья Anti-virus-1 использует трояны для незаметного проникновения на компьютер. После этого этот паразит прописывается в автозагрузку и таким образом запускается каждый раз, когда запускается Windows.

Немедленно после запуска, Anti-virus-1 начинает сканировать компьютер и находит множество троянов, вирусов и других проблем. Например: Infostealer.Banker.E, Spyware.IEMonster.d, Zlob.PornAdvertiser.ba, Spyware.IMMonitor. Если попытатся вылечить свой компьютер, то будет предложено купить полную версию программы. Делать этого не нужно, так как всё что было найдено на компьютере на самом деле не существует.

Когда Anti-virus-1 запущен, компьютер будет показывать различные предупреждения, такие как:

svchost.exe
Internal conflict alert.
Anti-virus-1 detected internal software conflict. Some applicztion tries to get access to system kernel (such behavior is typical to Spyware/Malware). It may cause crash of your computer.

Spyware activity alert!
Spyware.IEMonster activity detected. It is spyware that attempts to steal passwords from Internet Explorer, Mozilla Firefox, Outlook and other programs, including logins and passwords from online banking sessions, eBay, PayPal.

Кроме всего сказанного выше, Anti-virus-1 может заметно замедлить работу компьютера.
HijackThis показывает заражение.

O1 - Hosts: 217.20.175.74 [url]www.review.2009softwarereviews.com
O1 - Hosts: 217.20.175.74 review.2009softwarereviews.com
O1 - Hosts: 217.20.175.74 a1.review.zdnet.com
O1 - Hosts: 217.20.175.74 [url]www.d1.reviews.cnet.com
O1 - Hosts: 217.20.175.74 [[url]www.reviews.toptenreviews.com
O1 - Hosts: 217.20.175.74 reviews.toptenreviews.com
O1 - Hosts: 217.20.175.74 [[url]www.reviews.download.com
O1 - Hosts: 217.20.175.74 reviews.download.com
O1 - Hosts: 217.20.175.74 [url]www.reviews.pcadvisor.c.uk
O1 - Hosts: 217.20.175.74 reviews.pcadvisor.co.uk
O1 - Hosts: 217.20.175.74 [url]www.reviews.pcmag.com
O1 - Hosts: 217.20.175.74 reviews.pcmag.com
O1 - Hosts: 217.20.175.74 [[url]www.reviews.pcpro.co.uk
O1 - Hosts: 217.20.175.74 reviews.pcpro.co.uk
O1 - Hosts: 217.20.175.74 [url]www.reviews.reevoo.com
O1 - Hosts: 217.20.175.74 reviews.reevoo.com
O1 - Hosts: 217.20.175.74 [url]www.reviews.riverstreams.co.uk
O1 - Hosts: 217.20.175.74 reviews.riverstreams.co.uk
O1 - Hosts: 217.20.175.74 [url]www.reviews.techradar.com
O1 - Hosts: 217.20.175.74 reviews.techradar.com
O2 - BHO: QWProtectBHO - {70FEAD04-A7FD-4B89-B814-8A8251C90EF7} - C:\Documents and Settings\All Users\Application Data\AV1\QWProtect.dll
O4 - HKLM\..\Run: [Monitor calibration] C:\Documents and Settings\All Users\Application Data\AV1\AV1i.ex

[b]Spyware Protect 2009[/b]

Spyware Protect 2009 - это поддельная антиспайварная программа. В основном распространяется через трояны (троян TDSSserv и троян Vundo), а так же через поддельные онлайн сканеры - наиболее любимую обманную тактику, которую часто используют авторы таких вредоносных программ. Кроме этого Spyware Protect 2009 устанавливается при заражении компьютера последней версией червя Conficker. При этом в механизме распространения есть блокировочный механизм:
- с домашней странички Spyware Protect 2009 вы не сможете её скачать, только купить;
- вы не сможете скачать программу, если ваш компьютер имеет айпи адрес из блока адресов, который входит в безопасную зону, например с русским айпи вы не сможете скачать Spyware Protect 2009, когда вам будет это предложено на сайте поддельного онлайн сканера.
Описанными выше методами, авторы этой паразитической программы пытаются защититься от скачивания программы для анализа, а так же отсечь страны, которые не принесут по их мнению никаких денег.
После заражения, поведение Spyware Protect 2009 на компьютере довольно стандартно. Программа обязательно прописывается в автозагрузку, а затем начинает “сканировать” компьютер. Параллельно этому показывая различные предупреждения:
компьютер заражён:
Windows Security alert
Windows reports that computer is infected. Antivirus software
helps to protect your computer against viruses and other
security threats. Click here for the scan your computer. Your
system might be at risk now.

на компьютер совершается интернет атака:
INFILTRATION ALERT

Your computer is being attacked by an Internet
Virus. It could be a password-stealing attack, a
trojan - dropper or simular.

DETAILS

Attack from: 100.53.148.153, port 42733
Attacked port: 14750
Threat: Win32/Nuqel.E

Do you want block this attack?

Результат сканирования всегда один - компьютер заражён множеством вирусов, троянов и спайваре. Необходимо срочное лечение. Но в реальности компьютер заражён только одним паразитом - этой поддельной антиспайварной программой.
Симптомы заражения в HijackThis логе

O2 - BHO: BHO - {ABD42510-9B22-41cd-9DCD-8182A2D07C63} - C:\WINDOWS\system32\iehelper.dll
O4 - HKCU\..\Run: [system tool] C:\WINDOWS\sysguard.exe

[QUOTE=SDA;406335][B]Spyware Protect 2009[/B]

- вы не сможете скачать программу, если ваш компьютер имеет айпи адрес из блока адресов, который входит в безопасную зону, например с русским айпи вы не сможете скачать Spyware Protect 2009, когда вам будет это предложено на сайте поддельного онлайн сканера.
[/QUOTE]
Из всех где это видел, несколько десятков сайтов и вправду не дают скачивать

Из этой же серии?

[QUOTE]
BlockPost 2009 - cредство для обнаружения и защиты от вредоносных программ для операционной системы Windows 2000/XP/Vista с файловой системой NTFS.
BlockPost 2009 блокирует создание, модификацию и удаление файлов любого типа на персональном компьютере, полностью пресекая возможность его инфицирования вредоносным ПО. При несанкционированной активности, программа информирует какой именно процесс пытается выполнить запрещенную операцию, что позволяет своевременно выявить факт заражения.
Это инновационная разработка в сфере борьбы с вредоносным программным обеспечением. Основываясь на общей для всех вирусов особенности размножения, программа способна своевременно выявить и предотвратить распространение вирусных программы на компьютере.
Данный продукт представляет собой идеальное решение для серверов и рабочих станций, обеспечивая наивысший уровень защиты от компьютерных вирусов и иных вредоносных программ.

blockpost.info
[/QUOTE]

[URL="http://www.imageup.ru/img14/protect146541.jpg.html"][IMG]http://www.imageup.ru/img14/thumb/protect146541.jpg[/IMG][/URL]

[quote]Из этой же серии?

Цитата:BlockPost 2009 [/quote]

чтоб его скачать с оф. сайта нужно свои данные присылать и в тестеры записаться. Слишком сложно его подцепить :)

[QUOTE=Damien;411001]чтоб его скачать с оф. сайта нужно свои данные присылать и в тестеры записаться. Слишком сложно его подцепить :)[/QUOTE]
[QUOTE]Скачать
Последняя версия программы BlockPost 2009 3.0.5 (2,9Мб)[/QUOTE]
А в тестеры я не записывался.. И данные свои не отсылал

[b]Antivirus System PRO[/b]

Antivirus System PRO - это поддельная антиспайварная программа, которая является новой версией программы Spyware protect 2009. Эта вредоносная программа была обнаружена уже довольно давно, но только в последние несколько дней активность её распространения значительно увеличилась, при этом как и раньше, для проникновения на компьютер используются разнообразные трояны.
Antivirus System PRO, как и Spyware protect 2009, не имеет своего домашнего каталога, а размешает свои компоненты в системных каталогах Windows. Основных компонентов два:
sysguard.exe - основной компонент программы, который обеспечивает интерфейс, генерацию различных поддельных сообщений, сообщающих о том, что компьютер заражён. Например:

Windows Security alert
Windows reports that computer is infected. Antivirus software
helps to protect your computer against viruses and other
security threats. Click here for the scan your computer. Your
system might be at risk now.

iehelper.dll - этот компонент устанавливается как расширение Internet Explorer (BHO модуль) и отвечает за блокирование доступа к антивирусным и антиспайварным сайтам, а кроме этого время от времени вместо страницы, которую должен открыть браузер, показывает специально сделанный сайт, который выдаёт себя за сайт от компании Microsoft. На этой поддельной страничке предлагается купить Antivirus System PRO для защиты компьютера. Вот содержимое этой подделки:

Internet Explorer Warning - visiting this web site may harm your computer!

Most likely causes:Antivirus System PRO
The website contains exploits that can launch a malicious code on your computer
Suspicious network activity detected
There might be an active spyware running on your computer

What you can try:
- Purchase Antivirus System PRO for secure Internet surfing (Recommended).
- Check your computer for viruses and malware.
- More information

В остальном поведение Antivirus System PRO стандартно. После запуска, паразит создаёт запись в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ключе реестра Windows, обеспечивая таким образом себе автозагрузку каждый раз, когда загружается Windows. Затем запускается имитатор сканирования компьютера, результат один - компьютер заражён, срочно требуется лечение. Хотите вылечить, тогда деньги вперёд! Как было сказано уже неоднократно, платить не нужно. Игнорируйте все сообщения от программы Antivirus System PRO, а так же сообщения которые как бы показывает Windows, призывая вас купить эту вредоносную программу.

HijackThis показывает заражение

O1 - Hosts: 209.44.111.57 security.microsoft.com
O1 - Hosts: 209.44.111.57 inetavirus.com
O2 - BHO: BHO - {BAD4551D-9B24-42cb-9BCD-818CA2DA7B63} - C:\WINDOWS\system32\iehelper.dll
O4 - HKCU\..\Run: [system tool] C:\WINDOWS\sysguard.exe

[QUOTE=DontP;315173]Flash ActiveX и Flash codec вообще-то сам по себе очень назойливый.[/QUOTE]
Обычный флеш очень назойливый. Никак не могу найти способ выключить автоматическое скачивание новой версии. Каким-то образом скачивается и обходит проверку AVP на добавление в автозагрузку. Может кто знает, как заблокировать скачку новой версии и прописывание в автозагрузку?

[QUOTE=nisome;422747]Обычный флеш очень назойливый. Никак не могу найти способ выключить автоматическое скачивание новой версии. Каким-то образом скачивается и обходит проверку AVP на добавление в автозагрузку. Может кто знает, как заблокировать скачку новой версии и прописывание в автозагрузку?[/QUOTE]

Убрать апдейтор из автозагрузки.

[b]AntivirusBEST[/b] - это поддельная антивирусная программа. Как и другие подобные программы, она использует обманную тактику для проникновения на компьютер, которая довольно проста. Пользователь тем или иным образом перенаправляется на сайт, который выглядит как онлайн сканер или окно с папкой мой компьютер. После этого имитируется процесс сканирования, результат которого всегда один - компьютер заражён и требуется лечение. Тут же предлагается скачать и установить программу AntivirusBEST, которая является “лучшим антивирусом”. Кроме описанного выше возможно и распространение этой вредоносной программы через трояны.
После попадание на компьютер поведение AntivirusBEST довольно стандартно, программа прописывается в автозагрузку, для чего создаёт запись в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, а так же устанавливает свой компонент QWProtect.dll как BHO модуль браузера Internet Explorer. После этого запускается имитатор сканирования компьютера. Результат такого сканирования всегда один - компьютер заражён множеством вредоносных программ (spyware, trojans, rogue, backdoor …). Всё это обман нужный для того, чтобы вынудить пользователя купить AntivirusBEST.

Во время своей работы AntivirusBEST так же показывает различные предупреждения о том что компьютер заражён, например:

AntivirusBEST
Privacy Violation alert!
AntivirusBEST detected a Privacy Violation. A program is
secretly sending your private data to an untrusted internet
host. click here to block this activity by removing the threat
(Recomended).

AntivirusBEST
Spyware activity alert!
Spyware.IMonster activity detected! Its is spyware that
attempts to steal passwords from Internet Explorer, Mozilla
Firefox, Outlook and other programs, including logins and
passwords from online banking sessions, eBay, PayPal.

Кроме этого, компонент QWProtect.dll, показывает в окне браузера жёлтую строку с предупреждающей надписью “Internet Explorer has found an unregistered version of AntivirusBEST. To protect your computer, please register your AntivirusBEST”. Все эти ложные сообщения, что генерирует этот поддельный антивирус, нужно игнорировать.

[b]HijackThis[/b] показывает заражение

O1 - Hosts: 70.38.19.201 [url]www.review.2009softwarereviews.
O1 - Hosts: 70.38.19.201 review.2009softwarereviews.
O1 - Hosts: 70.38.19.201 a1.review.zdnet.com
O1 - Hosts: 70.38.19.201 [url]www.d1.reviews.cnet.
O1 - Hosts: 70.38.19.201 [url]www.reviews.toptenreviews.
O1 - Hosts: 70.38.19.201 reviews.toptenreviews.com
O1 - Hosts: 70.38.19.201 [url]www.reviews.download.
O1 - Hosts: 70.38.19.201 reviews.download.com
O1 - Hosts: 70.38.19.201 [url]www.reviews.pcadvisor.c
O1 - Hosts: 70.38.19.201 reviews.pcadvisor.co.uk
O1 - Hosts: 70.38.19.201 [url]www.reviews.pcmag.
O1 - Hosts: 70.38.19.201 [url]www.reviews.pcpro.co.uk
O1 - Hosts: 70.38.19.201 reviews.pcpro.co.uk
O1 - Hosts: 70.38.19.201 [url]www.reviews.reevoo.
O1 - Hosts: 70.38.19.201 reviews.reevoo.com
O1 - Hosts: 70.38.19.201 [url]www.reviews.riverstreams.co.
O1 - Hosts: 70.38.19.201 reviews.riverstreams.co.uk
O1 - Hosts: 70.38.19.201 [url]www.reviews.techradar.com
O1 - Hosts: 70.38.19.201 reviews.techradar.
O1 - Hosts: 70.38.19.201 d1.reviews.cnet.
O2 - BHO: QWProtectBHO - {44B2C9F5-608D-46de-82E1-26C5BCB85193} - C:\Documents and Settings\All Users\Application Data\AB\QWProtect.dll
O4 - HKLM\..\Run: [AntivirusBEST] C:\Documents and Settings\All Users\Application Data\AB\Installer.exe

[b]WindowsSecuritySuite - очередной подделльный антивирус[/b]

Обнаружен новый поддельный антивирус, который обманом пытается вынудить пользователя купить его, сообщает Lavasoft.com. Его название - WindowsSecuritySuite.
Как и большинство других подделок под антивирусное и антишпионское ПО (Ultra Antivir2009, Virus Alert, Virus Melt, Virus Doctor, VirusAlarmPro, FastAntiVirus и т.п.), WindowsSecuritySuite после инсталляции прописывается в автозагрузку и поэтому запускается автоматически при каждом включении компьютера, после чего пользователю демонстрируется окно с имитацией процесса сканирования компьютера.

Результат этого "сканирования" всегда один: компьютер якобы заражен множеством вирусов, троянов и других вредоносных программ. После выдачи такого удручающего сообщения обычно предлагается возможность "вылечить" компьютер, а если воспользоваться функцией "лечение", то в браузере Internet Explorer откроется страница, на которой будет предложено купить этот "антивирус" путем указания в имеющейся там формочке данных вашей кредитной карты. Естественно, вводить в форму ничего не нужно, так как это чистой воды развод на деньги.

Несмотря на то, что у нас не так уж часто покупают ПО (и уж тем более с использованием кредитки), все равно имеет смысл не засорять свой компьютер подобными подделками, поэтому не стоит скачивать программы с малознакомых или/и сомнительных сайтов.
[url]http://lavasoft.com/mylavasoft/securitycenter/blog[/url]

[B]Wayfarer[/B], при таком количестве сообщений - и такой рейтинг! Не подумайте, что завидую...
Не думаю, что в этом дело, но стиль изложения - класс! ИМХО, разумеется :D

[b]Home Antivirus 2010[/b]

Home Antivirus 2010 это программа, которая относится к классу поддельных антиспайварных программ. Она создана только с одной целью, используя обманную тактику вынудить пользователя купить её полную версию. Для достижения поставленной цели используются поддельные сообщения о заражении компьютера, поддельные заражённые файлы и тд.

При своём первом запуске Home Antivirus 2010 прописывается в реестре, обеспечивая таким образом себе автозагрузку при каждом включении компьютера, а так же создаёт несколько файлов, которые позже при сканировании будет определять как заражённые вирусами. После такой “настройки” запускается имитатор процесса сканирования компьютера на предмет наличия вирусов, троянов, спайваре и других вредоносных программ. Результат всегда один, компьютер заражён и требуется лечение.
Результаты сканирования подделка, так что можно смело их игнорировать. Описанное выше еще не всё то, что делает Home Antivirus 2010 на заражённом компьютере. Эта паразитная программа так же [b]подменяет центр безопасности Windows[/b] , создавая видимость того, что эту вредоносную программу предлагает использовать компания Microsoft. Кроме этого Home Antivirus 2010, показывает различные поддельные сообщения о заражении компьютера. Например:

Privacy alert!
Your system was found to be infected with intercepting
programs. These can log your activity and damage your
privacy. Click here for Home Antivirus 2010 spyware removal.


HijackThis показывает заражение

O4 – HKLM\..\Run: [Home Antivirus 2010] “C:\Program Files\HomeAntivirus2010\HomeAntivirus2010.exe” /hide

[b]Поддельный антивирус мимикрирует под голубой экран смерти Windows[/b]

Злоумышленники разработали поддельный антивирусный пакет, который мимикрирует под печально известный "голубой экран смерти" Windows.

На фоне якобы вылетевшей системы появляется текстовое предупреждение о необходимости приобретения "ПО для обеспечения безопасности" для очистки компьютера. Однако поддельная утилита [b]SystemSecurity[/b]
не предлагает никаких средств избавления от инфекции, а лишь вымогает деньги. Различные варианты SystemSecurity появляются уже с февраля 2009 года, однако трюк с голубым экраном смерти – это новинка в деле обмана пользователей методами социальной инженерии, обнаруженная антивирусной фирмой Sunbelt Software лишь на прошлой неделе. На компьютер жертвы SystemSecurity обычно попадает после установки фальшивых видеокодеков, которые пользователей просят загрузить для просмотра рекламируемых в спам-сообщениях видеоклипов.

[url]http://www.sunbeltsoftware.com/[/url]

[b]PC Antispyware 2010[/b]

PC Antispyware 2010 – это поддельная антиспайварная программа, обновление раннее вышедшей паразитной программы Home Antivirus 2010. PC Antispyware 2010 проникает на компьютер посредством использования троянов, в основном это braviax троян. После заражения компьютера, эта вредоносная программа прописывается в автозагрузку и создаёт несколько файлов, которые позднее будут определяться как инфицированные.
Сразу после запуска PC Antispyware 2010, стартует имитатор сканирования компьютера, результат которого всегда один – компьютер заражён. После чего, паразит предлагает вылечить компьютер, но при этом требуется сначала заплатить немалую сумму денег. Если вы откажетесь платить, то PC Antispyware 2010 постоянно будет напоминать о себе показывая различные сообщения о том что компьютер заражён. Например:

Privacy Alert!
Your system was found to be infected with intercepting
programs. These can log your activity and damage your
privacy. Click here for PC Antispyware 2010 spyware removal.

Кроме этого программа подменяет центр безопасности Windows, создавая впечатление того, что этого паразита рекомендует Windows. Конечно это всего лишь часть обманной тактики, цель которой одна – получить ваши деньги.
[b]HijackThis показывает заражение[/b]

O4 – HKLM\..\Run: [PC Antispyware 2010] “C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe” /hide

[b]Smart Virus Eliminator[/b]

Smart Virus Eliminator это новая поддельная антиспайварная программа , продолжение серии, основателем которой был паразит Virus Doctor. Как и ранее, Smart Virus Eliminator использует фальшивые результаты сканирования, поддельные сообщения о заражении компьютера, в качестве способа принудить пользователя к покупке полной версии программы.

Во время заражения компьютера, Smart Virus Eliminator прописывается в автозагрузку, создаёт группу файлов, которые позже будет определять как заражённые, а кроме этого [b]изменяет реестр Windows, таким образом, чтобы заблокировать запуск наиболее распространнёных антивирусных программ[/b].

После своего запуска Smart Virus Eliminator запускает имитатор сканирования компьютера и, как другие поддельные антиспайварные программы, находит множество «заражённых» файлов. Причём часть из них, это файлы которые создал Smart Virus Eliminator раннее в процессе заражения.
Smart Virus Eliminator во время своей работы, даже если закрыть окно программы, будет постоянно напоминать о себе, показывать сообщения о том, что якобы компьютер заражён, компьютер подвергается атаке из интернета и тд.
System Alert
malicious applications, which can contains trojans, were found
on your PC and need to be immediately removed. Click here to
remove these potentially harmful items using Smart Virus
Eliminator.

System Alert
Smart Virus Eliminator has detected potentially harmul
software in your system. It is strongly recommended that you
register Smart Virus Eliminator to remove these threats
immediately.

Warning! Potential Threat Found!
Threat detected: Potential Threat
File name: CLSV.exe
Threat name: Virus.BAT.IBBM.CLsV
Если кликнуть по такому сообщению, то откроется окно, в котором вам будет предложено купить полную версию программы.

HijackThis показывает заражение:

O1 – Hosts: 74.125.45.100 4-open-davinci.com
O1 – Hosts: 74.125.45.100 securitysoftwarepayments.com
O1 – Hosts: 74.125.45.100 privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 secure.privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 secure-plus-payments.com
O1 – Hosts: 74.125.45.100 ww.getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 ww.secure-plus-payments.com
O1 – Hosts: 74.125.45.100 ww.getavplusnow.com
O1 – Hosts: 74.125.45.100 ww.securesoftwarebill.co
O1 – Hosts: 74.125.45.100 secure.paysecuresystem.com
O1 – Hosts: 74.125.45.100 4-open-davinci.com
O1 – Hosts: 74.125.45.100 securitysoftwarepayments.com
O1 – Hosts: 74.125.45.100 privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 secure.privatesecuredpayments.com
O1 – Hosts: 74.125.45.100 getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 secure-plus-payments.com
O1 – Hosts: 74.125.45.100 ww.getantivirusplusnow.com
O1 – Hosts: 74.125.45.100 ww.secure-plus-payments.com
O1 – Hosts: 74.125.45.100 ww.getavplusnow.com
O1 – Hosts: 74.125.45.100 ww.securesoftwarebill.com
O1 – Hosts: 74.125.45.100 secure.paysecuresystem.com
O4 – HKCU\..\Run: [Smart Virus Eliminator] “C:\Documents and Settings\All Users\Application Data\7a189\SM105.exe” /s /d

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

[b]Total Security 2009[/b]

Total Security 2009 (Total Security, Total Security 4.52) это поддельная антиспайварная программа, новая версия System Security – паразита, который заразил множество компьютеров по всему миру. Total Security использует различные обманные методики для своего распространения, начиная поддельными онлайн сканерами и заканчивая троянами. После проникновения на компьютер эта вредоносная программа прописывается в автозапуск.

После того как Total Security запуститься, стартует процедура сканирования компьютера. Как и все подобные программы (поддельные антивирусы и антиспайваре), она находит на компьютере множество инфицированных файлов, троянов, которых на самом деле нет. Результат сканирования является подделкой и нужен только для одной цели – обманом вынудить купить эту программу.
Описанное выше далеко не всё что делает Total Security на вашем компьютере. Если не купить её полную версию, что несомненно правильно, эта программа постоянно будет бомбардировать различными предупреждениями от своего имени, так и от имени Windows.
WARNING!
Application cannot be executed. The file mbam.exe is
infected.
Please activate your antivirus software.
Total Security Warning
Intercepting program that may compromise your privacy and
harm your system have been detected on your PC.
Click here to remove them immediately with Total Security

Total Security
WARNING 38 infections found!!!
Их смысл один – компьютер заражён, купите Total Security и будет счастье. [b]А для того чтобы не воспользовались другим антивирусом или антиспайварной программой Total Security блокирует их запуск, а точнее запуск практически всех программ, кроме тех которые нужны для функционирования Windows.[/b]

HijackThis показывает заражение

O4 – HKLM\..\Run: [17195314] C:\Documents and Settings\All Users\Application Data\17195314\17195314.exe

Цифры в имени файлов и названии каталогов индивидуальны для каждого случая заражения.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[b]SaveDefense[/b]

SaveDefense это новая поддельная антиспайварная программа, которая является продолжением серии программ WiniBlueSoft, WinBlueSoft … Как и другие подобные паразиты SaveDefense при первом запуске настраивает Windows так, чтобы запускаться автоматически каждый раз как вы включаете компьютер. После этого стартует имитатор сканирования, его результат всегда один – компьютер заражён множеством троянов, вирусов и тд.
После чего сразу предлагается вылечить компьютер, но для этого придётся заплатить немалую сумму.

HijackThis показывает заражение

O4 – HKCU\..\Run: [SaveDefense] C:\Program Files\SaveDefense Software\SaveDefense\SaveDefense.exe -min
O23 – Service: SaveDefense Security Service (SaveDefenseSvc) – Unknown owner – C:\Program Files\SaveDefense Software\SaveDefense\SaveDefenseSvc.exe

[B]BlockDefense[/B]

При установке накачал из инета более 700 файлов-пустышек в systemroot и сообщил что это вирусы и нужно срочно исправлять

[URL=http://img18.imageshack.us/img18/412/69951517.png][IMG]http://img18.imageshack.us/img18/412/69951517.th.png[/IMG][/URL] [URL=http://img18.imageshack.us/img18/8581/98659810.png][IMG]http://img18.imageshack.us/img18/8581/98659810.th.png[/IMG][/URL] [URL=http://img526.imageshack.us/img526/7762/13609788.png][IMG]http://img526.imageshack.us/img526/7762/13609788.th.png[/IMG][/URL] [URL=http://img36.imageshack.us/img36/97/45485600.png][IMG]http://img36.imageshack.us/img36/97/45485600.th.png[/IMG][/URL]

[URL="http://www.virustotal.com/analisis/12324e82e76d51af8185468332f89f76ae216b3da72a1ad42f3a9c8437388012-1251736178"]virustotal.com[/URL]