Троян «xp antimalware».

Ви зловили трояна - або із зараженою флешки з autorun`ом, або за допомогою Internet Explorer, точно з`ясувати відразу не вийде. Але сам факт зараження визначиться без помилок: звідки не візьмись вискакує вікно програми під назвою «XP AntiMalware - Unregistered version», тут же починає щось нібито перевіряти в операційній системі. Зрозуміло, тут же «знайшло» цілий букет найрізноманітніших вірусів, хробаків і троянів.

Ось картинка цього чуда в дії:

Кілька слів про поведінку трояна. З`явиться вікно, яке можна закрити, але при спробі що-небудь запустити на зараженому комп`ютері воно знову вискакує як чортик з табакерки. Крім цього, троян прописав себе в службі Windows Security Center замість штатного антивіруса, в результаті Security Center теж пристає з застереженнями типу «Ваш системний антивірус XP AntiMalware вимкнений через те, що незареєстровані». Досить нахабно, однако! При з`ясуванні трохи пізніше, цей фальшивий антивірус асоціював себе з усіма .exe файлами. Ось чому він вискакував знову і знову при спробі що-небудь запустити.

Відео: Best Anti Rootkit, Malware & Virus Removal Programs - Windows 7 / XP / Vista

Приступаємо до лікування

Відразу скажу, що здорово помилився, почавши працювати з зараженим комп`ютером, використовуючи DrWeb CureIT п`ятиденної давності. Справа в тому, що знайомий терміново зателефонував і завантажити свіжу версію не було часу. В результаті майже година пішла на сканування системи і нічого не виявили. Мораль: поспіх потрібна при ловлі бліх. Завантажив би свіжу версію, може бути і не витратив би купу часу.

Мене дуже виручив нетбук з мобільним виходом в інтернет. Google у відповідь на запит «XP AntiMalware» тут же видав номери англомовні сайти, де були детально описані різновиди даного трояна і навіть пропонувалося завантажити утиліти для його видалення.

Хочу порекомендувати сайт Myantispyware, автор якого регулярно оновлює власну утиліту для боротьби з різними троянськими програмами. І додам, що поточні версії антивіруса Avast і утиліти DrWeb CureIt успішно розпізнають і блокують троян XP AntiMalware.

Відео: Remove XP AntiSpyware 2012 (Virus Manual Removal Guide)

видалення вручну

Якщо з якої-небудь причини не вдалося завантажити утиліту для видалення трояна, можна виконати необхідні дії вручну:
1. запустити regedit - редактор системного реєстру і explorer - вікно провідника Windows.
2. У диспетчері процесів знайти і вбити завдання ave.exe.
3. З допомогою провідника знайти і видалити з системного диска всі копії трояна ave.exe.
4. Відновити системні асоціації exe файлів. Для цього за допомогою regedit видалити такі ключі реєстру:

HKEY_CURRENT_USER Software Classes .exe shell open command "(Default)" = "% UserProfile% Local Settings Application Data ave.exe" / START "% 1"% *HKEY_CURRENT_USER Software Classes secfile shell open command "(Default)" = "% UserProfile% Local Settings Application Data ave.exe" / START "% 1"% *
HKEY_CLASSES_ROOT .exe shell open command "(Default)" = "% UserProfile% Local Settings Application Data ave.exe" / START "% 1"% *
HKEY_CLASSES_ROOT secfile shell open command "(Default)" = "% UserProfile% Local Settings Application Data ave.exe" / START "% 1"% *
HKEY_LOCAL_MACHINE SOFTWARE Clients StartMenuInternet FIREFOX.EXE shell open command "(Default)" = "% UserProfile% Local Settings Application Data ave.exe" / START "% Program Files% Mozilla Firefox firefox .exe "
HKEY_LOCAL_MACHINE SOFTWARE Clients StartMenuInternet FIREFOX.EXE shell safemode command "(Default)" = "% UserProfile% Local Settings Application Data ave.exe" / START "% Program Files% Mozilla Firefox firefox .exe "-safe-mode
HKEY_LOCAL_MACHINE SOFTWARE Clients StartMenuInternet IEXPLORE.EXE shell open command "(Default)" = "% UserProfile% Local Settings Application Data ave.exe" / START "% Program Files% Internet Explorer iexplore .exe "
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Security Center "AntiVirusOverride" = "1"
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Security Center "FirewallOverride" = "1"

додаткова інформація

відновити асоціації exe файлів можна й іншим способом, наприклад за допомогою антивірусної утиліти AVZ. Меню Файл - Відновлення системи, відзначити пункт 1: Відновлення параметрів запуску .exe, .com, .pif файлів, натиснути кнопку Виконати зазначені операції.

Є ще один варіант. Якщо включена служба System Restore і троян чи не заразив файли в системному сховище, можна відкотитися на день зо два тому за допомогою служби відновлення системи і вже потім знайти і видалити копії трояна ave.exe.

Вдалою роботи без вірусів!

Відео: Die besten Antimalware Programme: Malwarebytes Antimalware gegen Skype "Rootkit"-Virus (XP)