Симптомы

Ощутимо заторможенная система, блокированы Avast, диспетчер задач, редактор реестра, брандмауэр Windows и восстановление системы. При запуске Windows некоторые программы, которые обычно запускаются автоматически, вылетают с системным сообщением об ошибке. Иногда (недоработка вирусописателей?) появляется окно, закрывающее собой весь экран. Вначале якобы сканируются файлы, затем выводится сообщение от «антивируса» eKAV. Мол, обнаружена туча вирусов и смертельно раненого кота может спасти только глоток керосина отправка платного СМС. Ага, щас!

Лечение

Попытка запуска Autoruns или AVZ в зараженной системе приводит к перезагрузке. Запуск DrWeb CureIt! частично блокируется. Kaspersky AVP Tool блокируется полностью.

С помощью  LiveCD текущие обновленные версии CureIt! и AVP Tool успешно удаляют заразу.

Ручное лечение

Сразу после нового года CureIt! не обнаруживал вируса, AVP Tool испробовать не успел. Поиск в Google по запросу «антивирус eKAV» предложил ссылки на антивирусный сайт virusinfo.info и ЖЖ пользователя с ником ig0rexa (тут более понятное описание для новичков).Спасибо людям за конкретный рецепт и подсказку места, где нужно было копать.

Итак:

Необходимо загрузиться с LiveCD (рекомендую HIREN’s BOOT CD или флешка), после загрузки Mini XP запустить полезный инструмент — Registry Editor PE. Это редактор реестра, который умеет подключать для редактирования реестр зараженной системы. После запуска программа просит указать системный каталог зараженной системы, например C:\Windows. Нужно открыть следующий раздел реестра:

HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows

И смотреть, что записано в параметре Appinit_Dlls

Registry Editor PE подключает реестр системы в папки с именами _REMOTE_, поэтому открывайте раздел:

HKLM/_REMOTE_SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/Appinit_Dlls

Имена файлов, в которых прописался вирус, могут быть разными, например:

c:\windows\cursors\stopwtch.ani:exaSnr GYA9hVdzzQSh3K:$DATA

c:\windows\system32\sorttbls.nls:bpSRd4Lc+EP

Необходимо удалить эти записи из реестра, удалить или перекинуть в карантин зараженные файлы.

Дополнительно стоит проверить системные папки на вирусный файл, если обнаружится, тоже удалить или в карантин:

c:\windows\system32\sdra64.exe

Можно выходить из режима LiveCD и загрузить вашу систему. Если все прошло успешно, теперь вы сможете запустить AVZ. Нужно выбрать команду Восстановление системы, отметить пункты 6, 8, 11 и 17, нажать Выполнить отмеченные операции:

Рекомендую полностью проверить систему вашим штатным антивирусом либо последней версией CureIt! или AVP Tool. Как говорится, если в системе обнаружен вирус, кто знает — возможно найдется еще несколько «сюрпризов».

Читайте ранее:
Торренты, вирусы и Event 4226.

В последнее время широкое распространение получили торренты, ослы и сетевые вирусы. Что между всем этим зоопарком может быть общего? Если...

Закрыть