AntiMalware GO
это поддельная антивирусная программа (rogue antispyware), которая
является продолжением серии вредоносных программ AntiVira Av, Antivirus
.NET, Antivirus Scan, Antivirus Action… Между всеми этими программами
практически нет никакой разницы, кроме их названия и частично
изменённого интерфейса. Для своего распространения эта вредоносная
программа использует уязвимости в уже установленных приложениях, через
которые на компьютер проникают трояны, а те в свою очередь скачивают и
устанавливают AntiMalware GO на заражённый компьютер.
Поведение этого паразита на компьютере стандартно для такого класса
программ. При первом запуске AntiMalware GO совершает несколько
действий, среди них основные:
1. прописывается в автозагрузку, для этого он создаёт несколько записей
со случайными именами в
«HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run» и
«HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run»
ключах реестра Windows.
2. устанавливает на компьютере скрытый прокси сервер и настраивает все
установленные браузеры таким образом, чтобы они направляли все запросы в
Интернет через него.
Когда этап установки закончен программа приступает к сканированию компьютера и в его процессе находит множество заражённых файлов, троянов, вирусов и тд, причём удалить их нельзя, предварительно нужно купить «полную» версию программы. В реальности результаты сканирования, как и сам процесс сканирования – это подделка. Программа находит то, что в реальности на компьютере не существует. Таким образом, не доверяйте результатам сканирования, просто игнорируйте их. Важно понять, что компьютер заражён только одним паразитом – это сама программа AntiMalware GO.
Чтобы ещё больше запугать пользователя и заставить его поверить в то, что компьютер заражён, AntiMalwareGO будет показывать множество разнообразных сообщений, предупреждений и всплывающих окон, смысл которых можно свести к одному – компьютер заражён. Пример таких сообщений:
Windows Security alert.
Windows reports that computer is infected. Antivirus software helps to protect your computer against viruses and other security threats. Click here for the scan your computer. Your system might be at risk now.
Кроме этого, AntiMalware GO может блокировать открытие любого сайта, при этом сообщая:
Internet Explorer Warning – visiting this web site may harm your computer!
Most likely causes:
The website contains exploits that can launch a malicious code on your computer
Suspicious network activity detected
There might be an active spyware running on your computer
Или блокировать запуск любой программы при этом показывая поддельное сообщение следующего вида:
Windows Security alert.
Application cannot be executed. The file {имя программы} is infected. Do you want to activate your antvirus software now?
Так что не верьте всему что вам будет показывать эта программа, все эти сообщения подделка и призваны создать у вас впечатление того, что ваш компьютер в опасности.
Присутствие AntiMalwareGO не только не желательно, но и опасно, так как может привести к полной неработоспособности компьютера. Нужно помнить что эта программа – вредный компьютерный паразит, который полностью не функционален, как антивирусная и антиспайварная программа, и создан лишь с одной целью – заставить вас купить её полную (платную) версию. Так что ни коем случае не покупайте её, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления AntiMalware GO и других паразитов, которые могли проникнуть на ваш компьютер вместе с ней.
HijackThis показывает заражение
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] %Temp%\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] %Temp%\{набор случайных букв}\{набор случайных букв}.exe
Инструкция по-удалению AntiMalware GO
Шаг 1. Перезагрузка компьютера в безопасном режиме с загрузкой сетевых драйверов
Перезагрузите свой компьютер. После того как ваш компьютер подаст короткий звуковой сигнал, нажмите клавишу F8. Перед вами покажется меню загрузки Windows как показано ниже.
Выберите безопасный режим с загрузкой сетевых драйверов (Safe Mode with networking) – вторую строчку и нажмите Enter. Больше о работе в безопасном режиме вы можете прочитать в статье – Как запустить компьютер в безопасном режиме (Safe Mode).
Шаг 2. Восстановление работы браузера Internet Explorer
Запустите Internet Explorer. Кликните Сервис и выберите пункт «Свойства обозревателя» как показано ниже:
Вы увидите окно как показано на нижестоящей картинке:
Здесь откройте вкладку Подключения и в ней кликните по кнопке «настройка LAN». Вам будут показаны текущие настройки локальной сети.
Снимите галочку напротив пункта «Использовать прокси-сервер для подключений LAN». Кликните OK чтобы сохранить настройки и ещё раз OK, чтобы закрыть окно настроек Internet Explorer.
Шаг 3. Удаление AntiMalware GO из автозапуска
Скачайте программу HijackThis кликнув по этой ссылке и сохраните её на ваш рабочий стол.
Кликните дважды по скачанному вами файлу для запуска программы. В открывшемся окне программы кликните по кнопке Scan.
По-окончании сканирования выделите галочками слева все строки имеющие следующий формат:
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] %Temp%\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] %Temp%\{набор случайных букв}\{набор случайных букв}.exe
Например такие строки:
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:32111
O4 – HKLM\..\Run: [asbpdogk] c:\docume~1\user\locals~1\temp\factrowvc\wegcihiagnz.exe
O4 – HKCU\..\Run: [asbpdogk] c:\docume~1\user\locals~1\temp\bfaotrwvc\dwecihiagnz.exe
Закройте все запущенные программы (включая Internet Explorer) и окна Windows. Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES. Закройте HijackThis.
Шаг 4. Удаление всех компонентов AntiMalware GO
Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.
Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.
Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).
Кликните по кнопке «Удалить объекты» для того чтобы запустить процесс удаления AntiMalware GO и ассоциированных с AntiMalwareGO файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите ей это действие, кликнув по кнопке YES/Да.
Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы AntiMalware GO. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.
Раз вы обнаружили на своём компьютере AntiMalware GO, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.
Ассоциированные с AntiMalware GO ключи реестра
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter | "Enabled” = "0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | "ProxyOverride” = "”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | "ProxyServer” = "http=127.0.0.1:21415″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | "ProxyEnable” = "1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | {набор случайных букв}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | {набор случайных букв}
Ассоциированные с AntiMalware GO файлы и каталоги
%Temp%\{набор случайных букв}\
%Temp%\{набор случайных букв}\{набор случайных букв}.exe