Вы поймали трояна — или с зараженной флешки с autorun’ом, или с помощью Internet Explorer , точно выяснить сразу не получится. Но сам факт заражения определится быстро: откуда ни возьмись выскакивает окно программы под названием «XP AntiMalware — Unregistered version», тут же  начинает что-то якобы проверять в операционной системе. Разумеется, тут же «нашло» целый букет самых разнообразных вирусов, червей и троянов.

Вот картинка этого чуда в действии:

Несколько слов о поведении трояна. Выскочившее окно можно закрыть, но при попытке что-либо запустить на зараженном компьютере оно вновь выскакивает как чертик из табакерки. Кроме этого, троян прописал себя в службе Windows Security Center вместо штатного антивируса, в результате Security Center тоже пристает с предупреждениями типа «Ваш системный антивирус XP AntiMalware выключен из-за того, что незарегистрирован». Довольно нагло, однако!.При выяснении чуть позже, этот фальшивый антивирус ассоциировал себя со всеми .exe файлами. Вот почему он выскакивал снова и снова при попытке что-либо запустить.

Приступаем к лечению

Сразу скажу, что здорово ошибся, начав работать с зараженным компьютером, используя DrWeb CureIT пятидневной давности. Дело в том, что знакомый срочно позвонил и скачать свежую версию не было времени. В результате почти час ушел на сканирование системы и ничего не было обнаружено. Мораль: спешка нужна при ловле блох. Загрузил бы свежую версию, может быть и не потратил бы кучу времени.

Меня очень выручил нетбук с мобильным выходом в интернет. Google в ответ на запрос «XP AntiMalware» тут же выдал ссылки на англоязычные сайты, где были подробно описаны разновидности данного трояна и даже предлагалось скачать утилиты для его удаления.

Хочу порекомендовать сайт Myantispyware, автор которого регулярно обновляет собственную утилиту для борьбы с различными троянскими программами. И добавлю, что текущие версии антивируса Avast и утилиты DrWeb CureIt успешно распознают и блокируют троян XP AntiMalware.

Удаление вручную

Если по какой-либо причине не удалось скачать утилиту для удаления трояна, можно выполнить необходимые действия вручную:
1. Запустить regedit — редактор системного реестра и explorer — окно проводника Windows.
2. В диспетчере процессов найти и убить задачу ave.exe.
3. С помощью проводника найти и удалить с системного диска все копии трояна ave.exe.
4. Восстановить системные ассоциации exe файлов. Для этого с помощью regedit удалить следующие ключи реестра:

HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\ave.exe” /START “%1″ %*
HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\ave.exe” /START “%1″ %*
HKEY_CLASSES_ROOT\.exe\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\ave.exe” /START “%1″ %*
HKEY_CLASSES_ROOT\secfile\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\ave.exe” /START “%1″ %*
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\ave.exe” /START “%Program Files%\Mozilla Firefox\firefox.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command “(Default)” = “%UserProfile%\Local Settings\Application Data\ave.exe” /START “%Program Files%\Mozilla Firefox\firefox.exe” -safe-mode
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\ave.exe” /START “%Program Files%\Internet Explorer\iexplore.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “AntiVirusOverride” = “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “FirewallOverride” = “1″

Дополнительная информация

Восстановить ассоциации exe файлов можно и другим способом, например с помощью антивирусной утилиты AVZ. Меню Файл — Восстановление системы, отметить пункт 1: Восстановление параметров запуска .exe, .com, .pif файлов, нажать кнопку Выполнить отмеченные операции.

Есть еще один вариант. Если включена служба System Restore и троян не заразил файлы в системном хранилище, можно откатиться на день-два назад с помощью службы восстановления системы и уже потом найти и удалить копии трояна ave.exe.

Удачной работы без вирусов!

Читайте ранее:
ImgBurn: неплохая альтернатива для записи компакт-дисков.

За последний год я всего пару раз пользовался пакетом Nero Burning ROM, чтобы записать CD или DVD болванку. Во всех...

Закрыть