AntivirusBEST — это поддельная антивирусная программа. Как и другие подобные программы, она использует обманную тактику для проникновения на компьютер, которая довольно проста. Пользователь тем или иным образом перенаправляется на сайт, который выглядит как онлайн сканер или окно с папкой мой компьютер. После этого имитируется процесс сканирования, результат которого всегда один — компьютер заражён и требуется лечение. Тут же предлагается скачать и установить программу AntivirusBEST, которая является «лучшим антивирусом». Кроме описанного выше возможно и распространение этой вредоносной программы через трояны.
После попадание на компьютер поведение AntivirusBEST довольно стандартно, программа прописывается в автозагрузку, для чего создаёт запись в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, а так же устанавливает свой компонент QWProtect.dll как BHO модуль браузера Internet Explorer. После этого запускается имитатор сканирования компьютера. Результат такого сканирования всегда один — компьютер заражён множеством вредоносных программ (spyware, trojans, rogue, backdoor …). Всё это обман нужный для того, чтобы вынудить пользователя купить AntivirusBEST.
Во время своей работы AntivirusBEST так же показывает различные предупреждения о том что компьютер заражён, например:
AntivirusBEST
Privacy Violation alert!
AntivirusBEST detected a Privacy Violation. A program is
secretly sending your private data to an untrusted internet
host. click here to block this activity by removing the threat
(Recomended).
AntivirusBEST
Spyware activity alert!
Spyware.IMonster activity detected! Its is spyware that
attempts to steal passwords from Internet Explorer, Mozilla
Firefox, Outlook and other programs, including logins and
passwords from online banking sessions, eBay, PayPal.
Кроме этого, компонент QWProtect.dll, о котором я писал выше, показывает в окне браузера жёлтую строку с предупреждающей надписью «Internet Explorer has found an unregistered version of AntivirusBEST. To protect your computer, please register your AntivirusBEST». Все эти ложные сообщения, что генерирует этот поддельный антивирус, нужно игнорировать. Воспользуйтесь ниже приведённой инструкцией для излечения вашего компьютера.
HijackThis показывает заражение
O1 — Hosts: 70.38.19.201 www.review.2009softwarereviews.com
O1 — Hosts: 70.38.19.201 review.2009softwarereviews.com
O1 — Hosts: 70.38.19.201 a1.review.zdnet.com
O1 — Hosts: 70.38.19.201 www.d1.reviews.cnet.com
O1 — Hosts: 70.38.19.201 www.reviews.toptenreviews.com
O1 — Hosts: 70.38.19.201 reviews.toptenreviews.com
O1 — Hosts: 70.38.19.201 www.reviews.download.com
O1 — Hosts: 70.38.19.201 reviews.download.com
O1 — Hosts: 70.38.19.201 www.reviews.pcadvisor.c.uk
O1 — Hosts: 70.38.19.201 reviews.pcadvisor.co.uk
O1 — Hosts: 70.38.19.201 www.reviews.pcmag.com
O1 — Hosts: 70.38.19.201 reviews.pcmag.com
O1 — Hosts: 70.38.19.201 www.reviews.pcpro.co.uk
O1 — Hosts: 70.38.19.201 reviews.pcpro.co.uk
O1 — Hosts: 70.38.19.201 www.reviews.reevoo.com
O1 — Hosts: 70.38.19.201 reviews.reevoo.com
O1 — Hosts: 70.38.19.201 www.reviews.riverstreams.co.uk
O1 — Hosts: 70.38.19.201 reviews.riverstreams.co.uk
O1 — Hosts: 70.38.19.201 www.reviews.techradar.com
O1 — Hosts: 70.38.19.201 reviews.techradar.com
O1 — Hosts: 70.38.19.201 d1.reviews.cnet.com
O2 — BHO: QWProtectBHO — {44B2C9F5-608D-46de-82E1-26C5BCB85193} — C:\Documents and Settings\All Users\Application Data\AB\QWProtect.dll
O4 — HKLM\..\Run: [AntivirusBEST] C:\Documents and Settings\All Users\Application Data\AB\Installer.exe
Как удалить AntivirusBEST
Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
Откройте вкладку Сканер, и кликните по кнопке Проверить.
После сканирования кликните Показать результаты и вам будет показан результат сканирования. Кликните по кнопке Удалить выделенные.
Примечание: к сожалению, существуют варианты заражения, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.
Да помню однажды перезагрузил компьютер, и тут — бац! он появился, до сих пор в трее висит, спасибо за статью!