Смс-здирник ekav.

симптоми

Відчутно загальмована система, блоковані Avast, диспетчер задач, редактор реєстру, брандмауер Windows і відновлення системи. При запуску Windows деякі програми, які зазвичай запускаються автоматично, вилітають з системним повідомленням про помилку. Іноді (недоробка вірусів?) З`являється вікно, що закриває собою весь екран. Спочатку нібито скануються файли, потім виводиться повідомлення від «антивіруса» eKAV. Мовляв, виявлена хмара вірусів і смертельно пораненого кота може врятувати тільки ковток гасу відправка платного СМС. Ага зараз!

лікування

Спроба запуску Autoruns або AVZ в зараженій системі призводить до перезавантаження. Запуск DrWeb CureIt! частково блокується. Kaspersky AVP Tool блокується повністю.

За допомогою  LiveCD поточні оновлені версії CureIt! і AVP Tool успішно видаляють заразу.

ручне лікування

Відразу після нового року CureIt! не виявляється вірусу, AVP Tool випробувати не встиг. Пошук в Google за запитом «антивірус eKAV» запропонував посилання на антивірусний сайт virusinfo.info і ЖЖ користувача з ніком ig0rexa (тут більш зрозумілий опис для новачків) Спасибі людям за конкретний рецепт і підказку місця, де потрібно було копати.

Отже:

Необхідно завантажитися з LiveCD (Рекомендую HIREN`s BOOT CD або флешка), Після завантаження Mini XP запустити корисний інструмент - Registry Editor PE. Це редактор реєстру, який вміє підключати для редагування реєстру зараженої системи. Після запуску програма просить вказати системну каталог зараженої системи, наприклад C: Windows. Потрібно відкрити такий підрозділ реєстру:

HKLM / SOFTWARE / Microsoft / Windows NT / CurrentVersion / Windows

І дивитися, що записано в параметрі Appinit_Dlls

Registry Editor PE підключає реєстр системи в папки з іменами _REMOTE_, тому відкривайте розділ:

HKLM / _REMOTE_SOFTWARE / Microsoft / Windows NT / CurrentVersion / Windows / Appinit_Dlls

Імена файлів, в яких прописався вірус, можуть бути різними, например:

c: windows cursors stopwtch.ani: exaSnr GYA9hVdzzQSh3K: $ DATA

c: windows system32 sorttbls.nls: bpSRd4Lc + EP

Необхідно видалити ці записи з реєстру, видалити або перекинути в карантин заражені файли.

Додатково варто перевірити системні папки на вірусний файл, якщо виявиться, теж видалити або в карантин:

c: windows system32 sdra64.exe

Можна виходити з режиму LiveCD і завантажити вашу систему. Якщо все пройшло успішно, тепер ви зможете запустити AVZ. Потрібно вибрати команду Відновлення системи, відзначити пункти 6, 8, 11 і 17, натиснути Виконати зазначені операції:

Рекомендую повністю перевірити систему вашим штатним антивірусом або останньою версією CureIt! або AVP Tool. Як то кажуть, якщо в системі виявлено вірус, хто знає - можливо знайдеться ще кілька «сюрпризів».