Фальшивый антивирус Data Protection

В виртуальном мире, недавно появился новый фальшивый антивирус — Data Protection, который в отличие от большинство аналогичных программ, при первом же запуске пытается отключить защиту и удалить законные антивирусные программы (такие как NOD32, Norton Internet Security, Avira AntiVir, AVG и avast). Помимо этого, для того чтобы пользователи не имели возможности удалить вредоносную вручную программу — фальшивый антивирус Data Protection отключает Диспетчер задач и Редактор реестра.

Также, Data Protection будет 'содействовать' другие фальшивые антивирусы, перенаправляя зараженных пользователей на другие вредоносные веб-сайты, а на рабочем столе будет добавить ярлыки на разные порно-сайты... И как Вы наверное знаете (типичное действие для фальшивого антивируса), Data Protection постоянно будет отображать поддельные предупреждения безопасности о том что были найдены Вредоносные программы, а вот для того чтобы удалить их, нужно купить полную лицензию.

Фальшивый антивирус Data Protection создает следующие файлы:

%Documents and Settings%\All Users\Application Data\fiosejgfse.dll
%Temp%\4otjesjty.mof
%Temp%\MSWINSCK.exe
%Temp%\wscsvc32.exe
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Data Protection.lnk
%UserProfile%\Desktop\Data Protection Support.lnk
%UserProfile%\Desktop\Data Protection.lnk
%UserProfile%\Desktop\spam001.exe
%UserProfile%\Desktop\spam002.exe
%UserProfile%\Desktop\spam003.exe
%UserProfile%\Desktop\troj000.exe
%UserProfile%\Start Menu\Programs\Data Protection\About.lnk
%UserProfile%\Start Menu\Programs\Data Protection\Activate.lnk
%UserProfile%\Start Menu\Programs\Data Protection\Buy.lnk
%UserProfile%\Start Menu\Programs\Data Protection\Data Protection Support.lnk
%UserProfile%\Start Menu\Programs\Data Protection\Data Protection.lnk
%UserProfile%\Start Menu\Programs\Data Protection\Scan.lnk
%UserProfile%\Start Menu\Programs\Data Protection\Settings.lnk
%UserProfile%\Start Menu\Programs\Data Protection\Update.lnk
%Program Files\Data Protection\about.ico
%Program Files\Data Protection\activate.ico
%Program Files\Data Protection\buy.ico
%Program Files\Data Protection\dat.db
%Program Files\Data Protection\datext.dll
%Program Files\Data Protection\dathook.dll
%Program Files\Data Protection\datprot.exe

И добавляет следующие ключи реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "DisableTaskMgr" = "1"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{5E2121EE-0300-11D4-8D3B-444553540000}"
HKLM\SOFTWARE\Data Protection
HKLM\SOFTWARE\Malware Defense
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Data Protection
HKLM\SOFTWARE\Paladin Antivirus
HKLM\SOFTWARE\Program Groups
HKCU\Software\Malware Defense
HKCU\Software\Paladin Antivirus
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run "Data Protection"
HKCR\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}

Вредоносная программа использует следующие процессы:

datprot.exe
Uninstall.exe
MSWINSCK.exe
wscsvc32.exe
spam001.exe
spam002.exe
spam003.exe
troj000.exe

Чтобы удалить фальшивого антивируса, воспользуйтесь бесплатной программы: Data Protection Removal Tool 1.0