Смс-здирник ekav.
симптоми
Відчутно загальмована система, блоковані Avast, диспетчер задач, редактор реєстру, брандмауер Windows і відновлення системи. При запуску Windows деякі програми, які зазвичай запускаються автоматично, вилітають з системним повідомленням про помилку. Іноді (недоробка вірусів?) З`являється вікно, що закриває собою весь екран. Спочатку нібито скануються файли, потім виводиться повідомлення від «антивіруса» eKAV. Мовляв, виявлена хмара вірусів і смертельно пораненого кота може врятувати тільки ковток гасу відправка платного СМС. Ага зараз!
лікування
Спроба запуску Autoruns або AVZ в зараженій системі призводить до перезавантаження. Запуск DrWeb CureIt! частково блокується. Kaspersky AVP Tool блокується повністю.
За допомогою LiveCD поточні оновлені версії CureIt! і AVP Tool успішно видаляють заразу.
ручне лікування
Відразу після нового року CureIt! не виявляється вірусу, AVP Tool випробувати не встиг. Пошук в Google за запитом «антивірус eKAV» запропонував посилання на антивірусний сайт virusinfo.info і ЖЖ користувача з ніком ig0rexa (тут більш зрозумілий опис для новачків) Спасибі людям за конкретний рецепт і підказку місця, де потрібно було копати.
Отже:
Необхідно завантажитися з LiveCD (Рекомендую HIREN`s BOOT CD або флешка), Після завантаження Mini XP запустити корисний інструмент - Registry Editor PE. Це редактор реєстру, який вміє підключати для редагування реєстру зараженої системи. Після запуску програма просить вказати системну каталог зараженої системи, наприклад C: Windows. Потрібно відкрити такий підрозділ реєстру:
HKLM / SOFTWARE / Microsoft / Windows NT / CurrentVersion / Windows
І дивитися, що записано в параметрі Appinit_Dlls
Registry Editor PE підключає реєстр системи в папки з іменами _REMOTE_, тому відкривайте розділ:
HKLM / _REMOTE_SOFTWARE / Microsoft / Windows NT / CurrentVersion / Windows / Appinit_Dlls
Імена файлів, в яких прописався вірус, можуть бути різними, например:
c: windows cursors stopwtch.ani: exaSnr GYA9hVdzzQSh3K: $ DATA
c: windows system32 sorttbls.nls: bpSRd4Lc + EP
Необхідно видалити ці записи з реєстру, видалити або перекинути в карантин заражені файли.
Додатково варто перевірити системні папки на вірусний файл, якщо виявиться, теж видалити або в карантин:
c: windows system32 sdra64.exe
Можна виходити з режиму LiveCD і завантажити вашу систему. Якщо все пройшло успішно, тепер ви зможете запустити AVZ. Потрібно вибрати команду Відновлення системи, відзначити пункти 6, 8, 11 і 17, натиснути Виконати зазначені операції:
Рекомендую повністю перевірити систему вашим штатним антивірусом або останньою версією CureIt! або AVP Tool. Як то кажуть, якщо в системі виявлено вірус, хто знає - можливо знайдеться ще кілька «сюрпризів».