AndromedaAV

Признаки:
При запуске приложение создает следующие файлы:
* C:Documents and SettingsAll UsersDesktopAndromeda AntiVirus.lnk
* %ProgramFiles%AndromedaAvav.exe
* %ProgramFiles%AndromedaAvDataBasesavd.avp
* %ProgramFiles%AndromedaAvDataBasesavhd.avp
* %ProgramFiles%AndromedaAvDataBasesavhd1.avp
* %ProgramFiles%AndromedaAvDataBasesavm.avp
* %ProgramFiles%AndromedaAvDataBasesav_nav_hd.avp
* %ProgramFiles%AndromedaAvDataBasesav_nav_m.avp
* %ProgramFiles%\AndromedaAv\Logs\08-2008_AndromedaAvLog.log
* %System%dllcachecrasctrs.dll
* %System%dllcachetnetlogon.dll
* %System%driverswinav.sys
* %System%andrav_inet.dll
* %System%AndromedaAv.exe
* %System%bpsnppagn.dll
* %System%hir50_qcx.dll
* %System%rqcap.dll
* %System%settings
* %System%thunk.dll
* %System%vCleanUp.exe

(%ProgramFiles% - директория, в которую приложения устанавливаются по умолчанию; %System% - системная директория Windows)

Устанавливает (через реестр) URL разработчика в качестве домашней страницы:
* HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain"Start Page" = "http://andromeda-av.com"


Создает в реестре следующие подключи:
* HKEY_CLASSES_ROOT*shellAV
* HKEY_CLASSES_ROOTFoldershellAV
* HKEY_LOCAL_MACHINESOFTWAREAndromedaAv
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAndromedaAVService
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAndromedaAvDrv


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Приложение для платформы Windows, представленное как антивирус. Сообщает о наличии в системе угроз, которых на самом деле там нет, и предлагает приобрести лицензионную версию продукта для удаления этих угроз.

Разработчик: Andromeda-AV.com; название: "Andromeda Antivirus", версия: 2.0.4.8.