eKAV Antivirus - Советы по безопасности - Публикации - Про вирусы и антивирусы
Пятница
09.12.2016, 01:00
Про вирусы и антивирусы
Приветствую Вас Гость | RSS
Главная Публикации Регистрация Вход
Меню сайта

Категории раздела
Советы по безопасности [22]
Аналитика [18]
Выбор средства безопасности [3]
Обзоры [20]

Наш опрос
Доверяете ли Вы своему антивирусу?
Всего ответов: 272

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Форма входа

Партнер Dr.Web
Главная » Статьи » Советы по безопасности

eKAV Antivirus
eKAV антивирус один из популярнейших вирусов в прошедшие праздники

Признаки:

После некоторого времени работы появляется заставка якобы антивируса eKAV, который находит кучу зараженных объектов на компьютере с просьбой отправить смс, чтобы их вылечить, появляется время обратного отсчета до перезагрузки компьютера. Доступ в интернет блокируется, а также большая часть процессов как восстановление системы и запуск и установка антивирусов. Дополнительно выскакивают разные сообщения об ошибках запуска файлов.

Наиболее действенные способы лечения на момент опубликования: (грамматика авторов в основном сохранена)

Заранее предупреждаем, что первые 2 совета только для опытных пользователей! Если Вы не относитесь к таковым, то результаты могут быть плачевными! Вам лучше воспользоваться официальными советами солидных производителей или дождаться выхода обновленных версий антивирусных продуктов с успешными механизмами лечения!

Качаете какой нибудь LiveCD. Нужен тот на котором есть редактор реестра такой как RegEditPE. Так же скачиваем cureit.
Ставим загрузку на CD. Загружаемся. Запускаем Total Commander или аналогичную оболочку. Делаем там видимыми системные и скрытые файлы. Заходим на системный диск (например C:). Идем в папку Document and settings. Внутри нее в каждой папке в корне (например C:\Documents and Settings\Faust) удаляем все exe (например sadsad.exe) файлы. Опять же в каждой папке заходим в Local Settings\Temp (например C:\Documents and Settings\Faust\Local Settings\Temp) и удаляем там все.
Запускаем cureit. Проверяем жесткий диск cureit-ом.
Открываем RegEditPE. Подгружаем ветку своего пользователя.
Проверяем HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options - каждый раздел там соответствует запрету на запуск. Т.е. если есть avz.exe - то на этой машине не запустить avz.exe. Удаляем оттуда все или только нужные разделы.
Проверяем HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run проверяем названия файлов через google если google таких не знает удаляем параметр.
Проверяем HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs и опять проверяем через google или тупо удаляем параметры.

Перезагружаемся с жесткого диска - скорее всего вируса нет. Но контрольная проверка cureIt обязательна.

Взято с http://faustovo.livejournal.com/8046.html

Еще один совет:

Грузимся с LiveCD (я использовал Infra CD, не новый диск но проверенный и не раз выручавший). На Инфре есть редактор удаленного реестра, позволяет подключить ветки реестра "пациента". Чудо-программа называется RegEdit PE.
Нас интересует
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
тут смотрим параметр - AppInit_DLLs. если есть строка с бредом в конце - типа ":FRfS5xF+XC"
нам повезло. Удаляем. Кроме того, не лишним будет почистить все темпы в профиле аользователя, предварительно оценив бредовость имен ДЛЛек. У меня была такая одна. Поиск по реестру привел к тому, что эта ДЛЛка была найдена в ветке реестра, отвечающей за исключения антивируса ТрендМайкро (этот антивирус в жизни не стоял на "пациенте")
Итак, почистив реестр, любым удобным способом копируем на пациента Антивирус Зайцева (AVZ). Перезвгружаемся, грузимся с жесткого диска. Запускаем AVZ, выбераем в менюшках - Файл -- Восстановление системы. Я выбрал все галки (пациенту уже хуже чем было не стало бы), жмем Выполнить отмеченные операции. Ждем. Перезагружаемся. Наблюдаем операционку, которой стало значитель легче дышать, при этом можно запустить дисп. задач, редактор реестра и то, что раньше не запускалось.

Взято с http://ig0rexa.livejournal.com/4394.html

А этот совет поможет на время снять блокировку, чтоб можно было провести процедуры лечения:


К = 1--2--3--4--5--6--7--8--9
-----------------------------
0 = 8--9--1--2--3--4--5--6--7
-----------------------------
1 = 9--1--2--3--4--5--6--7--8
-----------------------------
2 = 1--2--3--4--5--6--7--8--9
-----------------------------
3 = 2--3--4--5--6--7--8--9--1
-----------------------------
4 = 3--4--5--6--7--8--9--1--2
-----------------------------
5 = 4--5--6--7--8--9--1--2--3
-----------------------------
6 = 5--6--7--8--9--1--2--3--4
-----------------------------
7 = 6--7--8--9--1--2--3--4--5
-----------------------------
8 = 7--8--9--1--2--3--4--5--6
-----------------------------
9 = 8--9--1--2--3--4--5--6--7

простая таблица для кодов на номер 4460
меняете буквы и цифры сообщения (ищем их слева) на соответствующие цифры в одном из столбцов справа (столбец должен быть один для всего кода) - получаем 9 кодов... пробуем ... один подойдёт..
в моём случае К204414900 подошёл пятый из полученных , а именно 5537747333

Взято с http://otvety.google.ru

После деактивации Вы получите возможность запускать программы и достучаться до сети

Совет с форма поддержки Доктор Веб:

1- Запуск LiveCD с альтернативным редактором реестра (ERD Commander)
2 - с загруженной WinPE правим рег на больной ОС (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows удалить значение параметра AppInit_DLLs.
3 - Качаем CureIt папку test в корене С:\ (вирь уже в базе есть!)
4 - Качаем HijackThis
5 - Грузим больную ОС с откл. сетью (просто шнурок вытащите).
6 - Пускаем CureIt - находит C:\WINDOWS\system32\sdra64.exe, в кеше браузера load*.exe и еще кучу гадости в C:\WINDOWS\system32\
7 - Перезагрузка.
8 - Пускаем HijackThis сканим смотрим на наличие строки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, если есть то фиксим строку (но после CureIt ее не должно остаться).
9 - Качаем plstfix.exe
10 - Пускаем plstfix.exe
11 - Перезагрузка.
12 - Запуск редактора реестра и диспечера задач должны разблокироваться.
13 - Правим (т.е. удаляем) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
ключи типа {dda3f824-d8cb-441b-834d-be2efd2c1a33} в которых значение параметра ItemData есть путь на ваш антивирус и не только ваш.
14 - После перезагрузки у вас должен заработать антивирь.

Так я делал, может есть путь проще, я не претендую на панацею.

Совет с форума техподдержки Лаборатории Касперского:

Для того чтобы удалить eKAV (Trojan-Downloader.Win32.Piker.baw), а также iMax Download Manager и iLite Net Accelerator (Packed.Win32.Krap.w) нужно выполнить это:

Скачать: http://narod.ru/disk/16603369000/rescuecd.iso.html и записать образ на CD.

Затем загрузится с данного CD на зараженном ПК, обновить базы антивирусного модуля(если будет доступен интернет) и пролечить систему. Затем нужно выполнить это: http://forum.kaspersky.com/index.php?showtopic=115253


Для разблокировки можно воспользоваться этим советом

P.S. Последнее время иногда этот вирус проявляется с другим названием - "Internet Security", но поведение и внешний вид абсолютно идентичны с описанным "eKav antivirus"

Если у вас есть собственный опыт борьбы с этим лжеантивирусом, то можете поделиться ими с народом в комментариях

Категория: Советы по безопасности | Добавил: aktivist (09.01.2010)
Просмотров: 12618 | Комментарии: 4 | Теги: sms, лжеантивирус, блокировщик Windows, eKAV Antivirus | Рейтинг: 5.0/2
Всего комментариев: 4
3  
У меня этот eKAV "сожрал" AVAST за 5 секунд и не подавился!!! Антивируса словно и не было никогда! Не парился и переустановил винду!

4  
Да, Жестко ты с ним! surprised
Я пока имел отношение к его лечению на компах у двух знакомых. Первый раз был почти сразу, как только он появился, а второй на днях уже с другим названием: "Internet Security". Правда ничем от первого не отличался кроме названия. Второй раз обошлось достаточно легко. Подобрали код с помощью таблицы, которая приведена выше (подошел 7-й столбик). Вирус деактивировался. Avira , которая была установлена на ноуте и которая пропустила до, после перезагрузки сразу запустилась.Проверили и пофиксили AVZ. Проверили CureIt. Нашел 2 ехе-шника и 2 dll. (Правда один из них имеет отношение к другому вирусу). Вроде пока проблем нет. cool

2  
Вот статьи с методикой разблокировки и удаления, она довольно проста и очень доступно описана:
http://www.eavasi.ru/ekav-antivirus-delete/
http://www.eavasi.ru/ekav-antivirus-fight/
http://www.eavasi.ru/ekav-antivirus/
http://www.eavasi.ru/internet-security-ekav-antivirus-troyans/

1  
По состоянию на 9 января 2010 по крайней мере ESET NOD32 и Smart Security его отлавливают под названием "Win32/Kryptik.BPB троянская программа"

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск

Ставки на спорт Сопровождение 1С
Copyright tixer © 2009- 2016