Осторожно! Поддельный антивирус System Security.

Антивирусы и другие программы, обеспечивающие защиту компьютеров от проникновения вредоносного содержимого (вирусы, трояны и т.п.).
Иные способы борьбы с "непрошеными гостями".
Меры борьбы со спамом и атаками на компьютеры и сайты.
Помощь в обнаружении вредоносов и очистке системы.

Модератор: McFlooder

siagma
Специалист
Сообщения: 694
Зарегистрирован: Пн июл 23, 2007 12:13 am

Re: Осторожно! Поддельный антивирус System Security.

Сообщение siagma » Ср сен 02, 2009 10:46 pm

Да, забыл добавить. Подозрительные файлы я не уничтожаю сразу, а создаю в том же каталоге папку с именем типа 1111111 или 22222, чтобы потом не потерять, и переношу туда эти самые файлы. Если что не так, всегда можно все вернуть. Хорошее правило - оставлять возможность к отступлению. :)
MBell писал(а):вообще восстанавливался прямо у меня на глазах
Да, многие вирусы (да и не только) делают так. Попробуй, к примеру, при установленном нод32 прибить процесс nod32krn.exe в диспетчере задач. Простейший пример - два процесса следят друг за другом и взаимно восстанавливаются. Поэтому лучший путь чистки вирусов - через LiveCD или подключением диска к другому компу, когда эта бяка не активирована. А если сидит руткит, то это иногда единственный способ.
Неплохо иметь представление о службах винды и следить за появлением подозрительных в списке служб. На работе у меня установлены две винХР, и я просто проверяю наличие одинаковых файлов в системных папках. Полезно в познавательных целях. В принципе, можно смотреть эти файлы и на другом компе, но при разном железе иногда трудно бывает разобраться что от чего.
Да, опять забыл сказать, что вирусы иногда бросают свою тушку в каталог System Volume Information, откуда их не так просто выковырять, и иногда стартуют из корзины (папка Recycler). В любом случае, если в автозагрузке появился файл, стартующий из этих мест или любой папки Temp, то это точно вирус.

Кстати, вот дал поиск по словам Home Antivirus 2010 и сразу нашел информацию на http://www.spyware-ru.com/home-antivirus-2010/ и еще масса ссылок.
Там же и по PCAntispyware: http://www.spyware-ru.com/pc-antispyware-2010/
Цитирую: "PC Antispyware 2010 – это поддельная антиспайварная программа, обновление раннее вышедшей паразитной программы Home Antivirus 2010. PC Antispyware 2010 проникает на компьютер посредством использования троянов, в основном это braviax троян. После заражения компьютера, эта вредоносная программа прописывается в автозагрузку и создаёт несколько файлов, которые позднее будут определяться как инфицированные."

siagma
Специалист
Сообщения: 694
Зарегистрирован: Пн июл 23, 2007 12:13 am

Re: Осторожно! Поддельный антивирус System Security.

Сообщение siagma » Чт сен 03, 2009 11:52 am

Да, почему я так рекомендую DrWeb LiveCD. Он хорош именно для ручной чистки дисков! Если, допустим, KAV resque disk или Avira Live CD скоро превращаются в антивири с устаревшими базами и с ними ничего путного уже не сделаешь - "кроме мордобития, никаких чудес" ((С)В.Высоцкий), то DrWeb диск можно использовать для других полезных целей. Мы как-то обсуждали со Стариком проблему удаления "неудаляемых" файлов, так вот с этим диском можно удалить все, что угодно без всяких проблем.
MBell писал(а):восстанавливался прямо у меня на глазах
Да, я не совсем правильно понял, речь шла о файле, а не о процессе. Хотя в принципе все связано. Я как-то решил выкинуть из системы файл tftp.exe, это простенький ftp-сервер, которым не пользуется никто, кроме вирусов. Так пришлось его еще выкидывать из dll-кэша, иначе система опять его восстанавливала. Вирус использует те же механизмы восстановления.
Вообще, Live CD - это отдельная песня, тут много можно о них говорить.

Ответить