WaTeR°先生的相片日記

大概去年有幫同仁處理一件中毒事件。

就是假冒的防毒軟體 Antivirus System Pro

據同仁說，他也是不知道怎麼被裝上去的。

(我猜測應該是逛網頁被ActiveX元件偽裝不小心安裝上去的。)

大致上症狀就是，開啟網頁首頁會被這個Antivirus System Pro首頁綁架，要求你趕快去購買此軟體。

有點像是廣告，可是此軟體可是有潛在的很大危險問題。

圖片：Antivirus System Pro偽防毒軟體的介面。

相信一般人看到這軟體介面，搞得就像真的防毒一樣，而且還宣稱其他家掃不到的病毒

這一套都可以掃的到。(真的講得好神奇！而且還真的掃出很多病毒，讓你覺得很緊張。)

真是厲害得手法！

可是，偏偏原本此pc裡面就有安裝防毒軟體(Sophos 英國知名防毒-企業版)，馬上被揪出來！

而且開啟網頁的首頁都會被導到 http://inetavirus.com/purchase?r=21.2 (請不要隨便開啟，基本上firefox會阻擋。)

圖片：被Sophos防毒軟體查到Antivirus System Pro偽防毒軟體的檔案有行為異常。

經過Sophos防毒軟體查證，果真這個Antivirus System Pro偽防毒軟體的主程式sysguard.exe檔案有問題。

圖片：偵測結果sysguard.exe檔案為Troj/FakeAle-NW，也就是特洛伊木馬的假冒防毒軟體。

於是，開始著手移除計畫。

1.首先查出sysguard.exe檔案藏匿的位置，基本上就是檔案目錄及登錄檔的註冊機碼。

圖片：由此可知該sysguard.exe檔案，大致分佈在哪些地方。

2.移除C:\WINDOWS\sysguard.exe這個檔案。

3.開啟「登錄編輯程式」(由螢幕左下角，開始->執行->輸入 regedit ->確定)

4.找到 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 這個路徑。

5.刪除「system tool」這個機碼。

這樣子，基本上救可以解決了。

另外，附上由國外一名作家製作的假冒防毒軟體移除工具 Remove Fake Antivirus 1.69

http://freeofvirus.blogspot.com/2009/05/remove-fake-antivirus-10.html

此工具可以應付市面上65種假的防毒軟體唷!

下載位置：http://www.softpedia.com/get/Antivirus/Remove-Fake-Antivirus.shtml