eKAV антивирус один из популярнейших вирусов в прошедшие праздники Признаки: После некоторого времени работы появляется заставка якобы антивируса eKAV, который находит кучу зараженных объектов на компьютере с просьбой отправить смс, чтобы их вылечить, появляется время обратного отсчета до перезагрузки компьютера. Доступ в интернет блокируется, а также большая часть процессов как восстановление системы и запуск и установка антивирусов. Дополнительно выскакивают разные сообщения об ошибках запуска файлов. Наиболее действенные способы лечения на момент опубликования: (грамматика авторов в основном сохранена)Заранее предупреждаем, что первые 2 совета только для опытных пользователей! Если Вы не относитесь к таковым, то результаты могут быть плачевными! Вам лучше воспользоваться официальными советами солидных производителей или дождаться выхода обновленных версий антивирусных продуктов с успешными механизмами лечения! Качаете какой нибудь LiveCD. Нужен тот на котором есть редактор реестра такой как RegEditPE. Так же скачиваем cureit. Ставим загрузку на CD. Загружаемся. Запускаем Total Commander или аналогичную оболочку. Делаем там видимыми системные и скрытые файлы. Заходим на системный диск (например C:). Идем в папку Document and settings. Внутри нее в каждой папке в корне (например C:\Documents and Settings\Faust) удаляем все exe (например sadsad.exe) файлы. Опять же в каждой папке заходим в Local Settings\Temp (например C:\Documents and Settings\Faust\Local Settings\Temp) и удаляем там все. Запускаем cureit. Проверяем жесткий диск cureit-ом. Открываем RegEditPE. Подгружаем ветку своего пользователя. Проверяем HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options - каждый раздел там соответствует запрету на запуск. Т.е. если есть avz.exe - то на этой машине не запустить avz.exe. Удаляем оттуда все или только нужные разделы. Проверяем HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run проверяем названия файлов через google если google таких не знает удаляем параметр. Проверяем HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs и опять проверяем через google или тупо удаляем параметры.
Перезагружаемся с жесткого диска - скорее всего вируса нет. Но контрольная проверка cureIt обязательна.
Взято с http://faustovo.livejournal.com/8046.html Еще один совет: Грузимся с LiveCD (я использовал Infra CD, не новый диск но проверенный и не раз выручавший). На Инфре есть редактор удаленного реестра, позволяет подключить ветки реестра "пациента". Чудо-программа называется RegEdit PE. Нас интересует HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows тут смотрим параметр - AppInit_DLLs. если есть строка с бредом в конце - типа ":FRfS5xF+XC" нам повезло. Удаляем. Кроме того, не лишним будет почистить все темпы в профиле аользователя, предварительно оценив бредовость имен ДЛЛек. У меня была такая одна. Поиск по реестру привел к тому, что эта ДЛЛка была найдена в ветке реестра, отвечающей за исключения антивируса ТрендМайкро (этот антивирус в жизни не стоял на "пациенте") Итак, почистив реестр, любым удобным способом копируем на пациента Антивирус Зайцева (AVZ). Перезвгружаемся, грузимся с жесткого диска. Запускаем AVZ, выбераем в менюшках - Файл -- Восстановление системы. Я выбрал все галки (пациенту уже хуже чем было не стало бы), жмем Выполнить отмеченные операции. Ждем. Перезагружаемся. Наблюдаем операционку, которой стало значитель легче дышать, при этом можно запустить дисп. задач, редактор реестра и то, что раньше не запускалось. Взято с http://ig0rexa.livejournal.com/4394.html
А этот совет поможет на время снять блокировку, чтоб можно было провести процедуры лечения: К = 1--2--3--4--5--6--7--8--9 ----------------------------- 0 = 8--9--1--2--3--4--5--6--7 ----------------------------- 1 = 9--1--2--3--4--5--6--7--8 ----------------------------- 2 = 1--2--3--4--5--6--7--8--9 ----------------------------- 3 = 2--3--4--5--6--7--8--9--1 ----------------------------- 4 = 3--4--5--6--7--8--9--1--2 ----------------------------- 5 = 4--5--6--7--8--9--1--2--3 ----------------------------- 6 = 5--6--7--8--9--1--2--3--4 ----------------------------- 7 = 6--7--8--9--1--2--3--4--5 ----------------------------- 8 = 7--8--9--1--2--3--4--5--6 ----------------------------- 9 = 8--9--1--2--3--4--5--6--7
простая таблица для кодов на номер 4460 меняете буквы и цифры сообщения (ищем их слева) на соответствующие цифры в одном из столбцов справа (столбец должен быть один для всего кода) - получаем 9 кодов... пробуем ... один подойдёт.. в моём случае К204414900 подошёл пятый из полученных , а именно 5537747333
Взято с http://otvety.google.ru
После деактивации Вы получите возможность запускать программы и достучаться до сети
Совет с форма поддержки Доктор Веб: 1- Запуск LiveCD с альтернативным редактором реестра (ERD Commander) 2 - с загруженной WinPE правим рег на больной ОС (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows удалить значение параметра AppInit_DLLs. 3 - Качаем CureIt папку test в корене С:\ (вирь уже в базе есть!) 4 - Качаем HijackThis 5 - Грузим больную ОС с откл. сетью (просто шнурок вытащите). 6 - Пускаем CureIt - находит C:\WINDOWS\system32\sdra64.exe, в кеше браузера load*.exe и еще кучу гадости в C:\WINDOWS\system32\ 7 - Перезагрузка. 8 - Пускаем HijackThis сканим смотрим на наличие строки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, если есть то фиксим строку (но после CureIt ее не должно остаться). 9 - Качаем plstfix.exe 10 - Пускаем plstfix.exe 11 - Перезагрузка. 12 - Запуск редактора реестра и диспечера задач должны разблокироваться. 13 - Правим (т.е. удаляем) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths ключи типа {dda3f824-d8cb-441b-834d-be2efd2c1a33} в которых значение параметра ItemData есть путь на ваш антивирус и не только ваш. 14 - После перезагрузки у вас должен заработать антивирь.
Так я делал, может есть путь проще, я не претендую на панацею. Совет с форума техподдержки Лаборатории Касперского: Для того чтобы удалить eKAV (Trojan-Downloader.Win32.Piker.baw), а также iMax Download Manager и iLite Net Accelerator (Packed.Win32.Krap.w) нужно выполнить это:
Скачать: http://narod.ru/disk/16603369000/rescuecd.iso.html и записать образ на CD.
Затем загрузится с данного CD на зараженном ПК, обновить базы антивирусного модуля(если будет доступен интернет) и пролечить систему. Затем нужно выполнить это: http://forum.kaspersky.com/index.php?showtopic=115253
Для разблокировки можно воспользоваться этим советом
P.S. Последнее время иногда этот вирус проявляется с другим названием - "Internet Security", но поведение и внешний вид абсолютно идентичны с описанным "eKav antivirus"
Если у вас есть собственный опыт борьбы с этим лжеантивирусом, то можете поделиться ими с народом в комментариях
|