Статьи Антивирусная защита Режим усиленной защиты Антивируса, лечение трояна

Режим усиленной защиты Антивируса, лечение трояна

PDF Печать

Статья посвященная вирусу-трояну, который заставляет антивирусы работать в усиленном режиме. Однажды в нижнем левом углу появилась надпись Антивирус работает в усиленном режиме (при этом не важно какая антивирусная программа у Вас установлена). Переустановка антивируса, даже замена на другой, проблемы не решает. Надпись по прежнему остается, только название изменяется в зависимости от антивируса.


Например:

NOD 32 работает в усиленном режиме

Avira работает в усиленном режиме

Avast работает в усиленном режиме

Касперский работает в усиленном режиме

DR.web работает в усиленном режиме и т. д.


Так что далее под словом антивирус будем иметь в виду Eset NOD 32, Avira, Avast, Касперский, DR.web и т. д.

В общем оригинальностью создатели этого вируса не блещут. Естественно самого антивируса в процессах нет и запустить его не возможно, каждый раз при запуске просто появляется это окно.В установленных программах антивируса, тоже нет. При попытке установить антивирус, в завершающей стадии установки операционная система, самостоятельно перезагружается и загружается безопасный режим. После чего система опять перезагружается и на этот раз в обычном режиме, но уже с подменой антивируса, т. е. в режиме усиленной защиты. Скорей всего удаление и подмены антивируса происходит именно в момент включения безопасного режима.

И так что мы имеем в итоге?!

Симптомы:

1. Вирус начинает блокировать интернет сайт.

2. Окошко в нижнем правом углу про усиленный режим работы.

3. Антивирус не работает.

Инструкция по удалению:

1. Загружаем операционную систему через Безопасный режим

2.° C помощью диспетчера задач отключаем процесс svchost.exe, который запускался не системой, а пользователем.

3. Удаляем содержимое папки временных файлов C:\WINDOWS\TEMP\*.*

4. Удаляем «services32.exe» по адресу C:\WINDOWS\services32.exe

5. Удаляем папки в C:\WINDOWS\: update.tray-8-0-ink, update.tray-8–0, update 1, update 2

6. В реестре через поиск ищем ключи svchost в описании которых встречаются одна из папок описанных в пункте 5 и удаляем их.

7. Перезагружаемся.

8. Переустанавливаем антивирус.

Вылечить режим усиленной защиты Антивируса. Способ № 2

Выполните чледующий скрипт в avz:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\update.tray-2-0\svchost.exe','');
QuarantineFile('C:\WINDOWS\update.tray-11-0\svchost.exe','');
QuarantineFile('C:\WINDOWS\systemup.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32_.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32.exe','');
QuarantineFile('C:\WINDOWS\services32.exe','');
QuarantineFile('C:\WINDOWS\l1rezerv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\803934.exe','');
QuarantineFile('C:\WINDOWS\TEMP\7759186.exe','');
QuarantineFile('C:\WINDOWS\TEMP\7065087.exe','');
QuarantineFile('C:\WINDOWS\TEMP\5845422.exe','');
QuarantineFile('C:\WINDOWS\TEMP\5081223.exe','');
QuarantineFile('C:\WINDOWS\TEMP\4948548.exe','');
QuarantineFile('C:\WINDOWS\TEMP\4246746.exe','');
QuarantineFile('C:\WINDOWS\TEMP\1379643.exe','');
QuarantineFile('c:\windows\update.2\svchost.exe',''); 
DeleteService('wxpdrivers');
DeleteService('srvsysdriver32');
DeleteService('srviecheck');
DeleteFile('c:\windows\update.tray-2-0\svchost.exe');
DeleteFile('c:\windows\update.tray-11-0\svchost.exe');
DeleteFile('c:\windows\update.2\svchost.exe');
DeleteFile('c:\windows\sysdriver32.exe');
DeleteFile('c:\windows\systemup.exe');
DeleteFile('C:\WINDOWS\TEMP\1379643.exe');
DeleteFile('C:\WINDOWS\TEMP\4246746.exe');
DeleteFile('C:\WINDOWS\TEMP\4948548.exe');
DeleteFile('C:\WINDOWS\TEMP\5081223.exe');
DeleteFile('C:\WINDOWS\TEMP\5845422.exe');
DeleteFile('C:\WINDOWS\TEMP\7065087.exe');
DeleteFile('C:\WINDOWS\TEMP\7759186.exe');
DeleteFile('C:\WINDOWS\TEMP\803934.exe');
DeleteFile('C:\WINDOWS\l1rezerv.exe');
DeleteFile('C:\WINDOWS\services32.exe');
DeleteFile('C:\WINDOWS\sysdriver32_.exe');
DeleteFile('services32.exe');
DeleteFile('%Windir%\system32\drivers\etc\hosts');
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1379643.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4246746.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4948548.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5081223.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5845422.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7065087.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7759186.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','803934.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(13);
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
следующий скрипт в avz:
Код:
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\update.tray-2-0\svchost.exe','');
QuarantineFile('C:\WINDOWS\update.tray-11-0\svchost.exe','');
QuarantineFile('C:\WINDOWS\systemup.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32_.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32.exe','');
QuarantineFile('C:\WINDOWS\services32.exe','');
QuarantineFile('C:\WINDOWS\l1rezerv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\803934.exe','');
QuarantineFile('C:\WINDOWS\TEMP\7759186.exe','');
QuarantineFile('C:\WINDOWS\TEMP\7065087.exe','');
QuarantineFile('C:\WINDOWS\TEMP\5845422.exe','');
QuarantineFile('C:\WINDOWS\TEMP\5081223.exe','');
QuarantineFile('C:\WINDOWS\TEMP\4948548.exe','');
QuarantineFile('C:\WINDOWS\TEMP\4246746.exe','');
QuarantineFile('C:\WINDOWS\TEMP\1379643.exe','');
QuarantineFile('c:\windows\update.2\svchost.exe',''); 
DeleteService('wxpdrivers');
DeleteService('srvsysdriver32');
DeleteService('srviecheck');
DeleteFile('c:\windows\update.tray-2-0\svchost.exe');
DeleteFile('c:\windows\update.tray-11-0\svchost.exe');
DeleteFile('c:\windows\update.2\svchost.exe');
DeleteFile('c:\windows\sysdriver32.exe');
DeleteFile('c:\windows\systemup.exe');
DeleteFile('C:\WINDOWS\TEMP\1379643.exe');
DeleteFile('C:\WINDOWS\TEMP\4246746.exe');
DeleteFile('C:\WINDOWS\TEMP\4948548.exe');
DeleteFile('C:\WINDOWS\TEMP\5081223.exe');
DeleteFile('C:\WINDOWS\TEMP\5845422.exe');
DeleteFile('C:\WINDOWS\TEMP\7065087.exe');
DeleteFile('C:\WINDOWS\TEMP\7759186.exe');
DeleteFile('C:\WINDOWS\TEMP\803934.exe');
DeleteFile('C:\WINDOWS\l1rezerv.exe');
DeleteFile('C:\WINDOWS\services32.exe');
DeleteFile('C:\WINDOWS\sysdriver32_.exe');
DeleteFile('services32.exe');
DeleteFile('%Windir%\system32\drivers\etc\hosts');
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1379643.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4246746.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4948548.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5081223.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5845422.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7065087.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7759186.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','803934.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(13);
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
 

Комментарии 

 
0 #14 Роман 24.01.2012 15:52
Цитирую Елизавета:
А возможен ли конфликт этой программы (Unlocker) и антивируса?

Конфликт возможен при установке, т.к. устанавливается не подписанный у некоторых антивирусов драйвер.
Цитировать
 
 
0 #13 Елизавета 20.01.2012 18:01
А возможен ли конфликт этой программы (Unlocker) и антивируса?
Цитировать
 
 
0 #12 admin 07.01.2012 00:00
Цитирую Елизавета:
Спасибо большое, за помощь. Поучилось, нашла эти папки и удалила. Загрузила антивирус и он, после сканирования, выдал такое сообщение: "Win32/Sirefer.CH троянская программа". После перезагрузки он должен был удалить этот объект, но после второго сканирования, оказалось, что он его не удалил. Я пыталась сама в папке удалить этот объект, но когда я открываю папку, в которой он находится, то она оказывается пуста. Но занимает 1 гб. Не подскажете ли вы мне, как мне удалить этот объект. Антивирус не может его удалить.


например любая через безопасный режим, live cd сборку, с помощью программы Unloker. Мне последний вариант нравится больше всего :-)
P.S. Мои поздравления с победой!
Цитировать
 
 
0 #11 Елизавета 06.01.2012 13:57
Спасибо большое, за помощь. Поучилось, нашла эти папки и удалила. Загрузила антивирус и он, после сканирования, выдал такое сообщение: "Win32/Sirefer.CH троянская программа". После перезагрузки он должен был удалить этот объект, но после второго сканирования, оказалось, что он его не удалил. Я пыталась сама в папке удалить этот объект, но когда я открываю папку, в которой он находится, то она оказывается пуста. Но занимает 1 гб. Не подскажете ли вы мне, как мне удалить этот объект. Антивирус не может его удалить.
Цитировать
 
 
0 #10 admin 05.01.2012 13:04
Цитирую Елизавета:
И что делать если с названием "update..." никаких папок нет? Может ли эта папка быть под другим названием?

скорей всего эти папки скрыты с атрибутом "системный". Лучше всего воспользоваться каким либо фаиловым менеджером: far или total commander
Цитировать
 
 
0 #9 admin 05.01.2012 13:03
Цитирую Елизавета:
"Удаляем содержимое временных файлов папки...", что значит "временные файлы" и чем они отличаются от обычных?

Временные файлы создаются на время работы программ или операционной системы.
Цитировать
 
 
0 #8 Елизавета 03.01.2012 20:34
И что делать если с названием "update..." никаких папок нет? Может ли эта папка быть под другим названием?
Цитировать
 
 
0 #7 Елизавета 03.01.2012 19:33
"Удаляем содержимое временных файлов папки...", что значит "временные файлы" и чем они отличаются от обычных?
Цитировать
 
 
+1 #6 admin 01.01.2012 13:43
Цитирую Елизавета:
Можно ли в 1-ом варианте удаления, сделать операцию в обычном режиме?

если вирус разрешит :-) В безопасном режиме существует вероятность запуска вируса при включении
Цитировать
 
 
0 #5 Елизавета 31.12.2011 15:24
Можно ли в 1-ом варианте удаления, сделать операцию в обычном режиме?
Цитировать
 

Добавить комментарий

Защитный код
Обновить