Главная / Cоветы ПК / Это полезно знать. / СМС-вымогатель eKAV.

СМС-вымогатель eKAV.

Симптомы

Ощутимо заторможенная система, блокированы Avast, диспетчер задач, редактор реестра, брандмауэр Windows и восстановление системы. При запуске Windows некоторые программы, которые обычно запускаются автоматически, вылетают с системным сообщением об ошибке. Иногда (недоработка вирусописателей?) появляется окно, закрывающее собой весь экран. Вначале якобы сканируются файлы, затем выводится сообщение от “антивируса” eKAV. Мол, обнаружена туча вирусов и смертельно раненого кота может спасти только глоток керосина отправка платного СМС. Ага, щас!

Лечение

Попытка запуска Autoruns или AVZ в зараженной системе приводит к перезагрузке. Запуск DrWeb CureIt! частично блокируется. Kaspersky AVP Tool блокируется полностью.

С помощью  LiveCD текущие обновленные версии CureIt! и AVP Tool успешно удаляют заразу.

Ручное лечение

Сразу после нового года CureIt! не обнаруживал вируса, AVP Tool испробовать не успел. Поиск в Google по запросу “антивирус eKAV” предложил ссылки на антивирусный сайт virusinfo.info и ЖЖ пользователя с ником ig0rexa (тут более понятное описание для новичков).Спасибо людям за конкретный рецепт и подсказку места, где нужно было копать.

Итак:

Необходимо загрузиться с LiveCD (рекомендую HIREN’s BOOT CD или флешка), после загрузки Mini XP запустить полезный инструмент – Registry Editor PE. Это редактор реестра, который умеет подключать для редактирования реестр зараженной системы. После запуска программа просит указать системный каталог зараженной системы, например C:\Windows. Нужно открыть следующий раздел реестра:

HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows

И смотреть, что записано в параметре Appinit_Dlls

Registry Editor PE подключает реестр системы в папки с именами _REMOTE_, поэтому открывайте раздел:

HKLM/_REMOTE_SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/Appinit_Dlls

Имена файлов, в которых прописался вирус, могут быть разными, например:

c:\windows\cursors\stopwtch.ani:exaSnr GYA9hVdzzQSh3K:$DATA

c:\windows\system32\sorttbls.nls:bpSRd4Lc+EP

Необходимо удалить эти записи из реестра, удалить или перекинуть в карантин зараженные файлы.

Дополнительно стоит проверить системные папки на вирусный файл, если обнаружится, тоже удалить или в карантин:

c:\windows\system32\sdra64.exe

Можно выходить из режима LiveCD и загрузить вашу систему. Если все прошло успешно, теперь вы сможете запустить AVZ. Нужно выбрать команду Восстановление системы, отметить пункты 6, 8, 11 и 17, нажать Выполнить отмеченные операции:

Рекомендую полностью проверить систему вашим штатным антивирусом либо последней версией CureIt! или AVP Tool. Как говорится, если в системе обнаружен вирус, кто знает – возможно найдется еще несколько “сюрпризов”.

Оставьте комментарий

Ваш электронный адрес не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>