Опять eKAV.... :-(

**Lovehepburn** · 11.01.2010, 01:48

Проблема случалась не у меня - у друга, все симптомы указывают на вирус eKav (о котором тут уже не одна тема поднималась).
Со слов автора: "Подцепил eKav Antivirus, он просит отправить k205114000 на 4460".
Что удалось: код удалось подобрать, компьютер временно разблокирован.
Теперь стоит задача вычистить вирус пока он затаился...
Согласно правилам, прикрепляю логи и прошу помощи (а конкретно- о скриптах)! Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 11.01.2010, 08:26

Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите базы AVZ и переделайте логи!

**Lovehepburn** · 11.01.2010, 18:43

Обновил базы, переделал и перезалил логи.:0)

**Aleksandra** · 12.01.2010, 06:49

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('Schedule', 4);
SetServiceStart('RemoteRegistry', 4);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 DeleteFile('C:\WINDOWS\services.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
 DeleteFile('D:\autorun.inf');
 DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true);
ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=66715

4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**Lovehepburn** · 12.01.2010, 20:04

Спасибо еще раз! Итак, карантин закачан, новые логи прикрепляю.

**Lovehepburn** · 13.01.2010, 02:53

Сорри, мне кажется, мой друг упустил некоторые моменты, как то "только п.2 и 3 раздела Диагностика". Трудно, когда не сам все делаешь, а подопытный компьютер - вообще в другом городе.

Если никак иначе- попрошу его переделать логи. В любо случае- еще раз благодарю за помощь!:-)

**Aleksandra** · 14.01.2010, 07:16

Ничего зловредного в логах не увидела. Что с проблемами?

**Lovehepburn** · 14.01.2010, 13:40

Человек говорит, что компьютер работает хорошо.

Думаю, проблема решена! Сердечное спасибо!

**CyberHelper** · 15.01.2010, 13:40

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\ntos.exe - Trojan-Dropper.Win32.VB.agua ( AVAST4: Win32:Trojan-gen )

Опять eKAV.... :-( (заявка № 66715)

Опции темы

Опять eKAV.... :-(

Итог лечения

Похожие темы

Опять eKav

опять eKAV!!!

опять ЦП загружен на 100%. Опять вирус?

Ваши права в разделе