Содержание
Статья посвященная вирусу-трояну, который заставляет антивирусы работать в усиленном режиме. Однажды в нижнем левом углу появилась надпись Антивирус работает в усиленном режиме (при этом не важно какая антивирусная программа у Вас установлена). Переустановка антивируса, даже замена на другой, проблемы не решает. Надпись по прежнему остается, только название изменяется в зависимости от антивируса.
Например:
NOD 32 работает в усиленном режиме
Avira работает в усиленном режиме
Avast работает в усиленном режиме
Касперский работает в усиленном режиме
DR.web работает в усиленном режиме и т.д.
Так что далее под словом антивирус будем иметь в виду Eset NOD 32, Avira, Avast, Касперский, DR.web и т.д.
В общем оригинальностью создатели этого вируса не блещут. Естественно самого антивируса в процессах нет и запустить его не возможно, каждый раз при запуске просто появляется это окно.В установленных программах антивируса, тоже нет. При попытке установить антивирус, в завершающей стадии установки операционная система, самостоятельно перезагружается и загружается безопасный режим. После чего система опять перезагружается и на этот раз в обычном режиме, но уже с подменой антивируса, т.е. в режиме усиленной защиты. Скорей всего удаление и подмены антивируса происходит именно в момент включения безопасного режима.
И так что мы имеем в итоге?!
Симптомы:
1. Вирус начинает блокировать интернет сайт.
2. Окошко в нижнем правом углу про усиленный режим работы.
3. Антивирус не работает.
Инструкция по удалению:
1. Загружаем операционную систему через Безопасный режим
2. С помощью диспетчера задач отключаем процесс svchost.exe, который запускался не системой, а пользователем.
3. Удаляем содержимое папки временных файлов C:\WINDOWS\TEMP\*.*
4. Удаляем «services32.exe» по адресу C:\WINDOWS\services32.exe
5. Удаляем папки в C:\WINDOWS\: update.tray-8-0-ink, update.tray-8-0, update 1, update 2
6. В реестре через поиск ищем ключи svchost в описании которых встречаются одна из папок описанных в пункте 5 и удаляем их.
7. Перезагружаемся.
8. Переустанавливаем антивирус.
Вылечить режим усиленной защиты Антивируса. Способ №2
Выполните чледующий скрипт в avz:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\update.tray-2-0\svchost.exe','');
QuarantineFile('C:\WINDOWS\update.tray-11-0\svchost.exe','');
QuarantineFile('C:\WINDOWS\systemup.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32_.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32.exe','');
QuarantineFile('C:\WINDOWS\services32.exe','');
QuarantineFile('C:\WINDOWS\l1rezerv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\803934.exe','');
QuarantineFile('C:\WINDOWS\TEMP\7759186.exe','');
QuarantineFile('C:\WINDOWS\TEMP\7065087.exe','');
QuarantineFile('C:\WINDOWS\TEMP\5845422.exe','');
QuarantineFile('C:\WINDOWS\TEMP\5081223.exe','');
QuarantineFile('C:\WINDOWS\TEMP\4948548.exe','');
QuarantineFile('C:\WINDOWS\TEMP\4246746.exe','');
QuarantineFile('C:\WINDOWS\TEMP\1379643.exe','');
QuarantineFile('c:\windows\update.2\svchost.exe','');
DeleteService('wxpdrivers');
DeleteService('srvsysdriver32');
DeleteService('srviecheck');
DeleteFile('c:\windows\update.tray-2-0\svchost.exe');
DeleteFile('c:\windows\update.tray-11-0\svchost.exe');
DeleteFile('c:\windows\update.2\svchost.exe');
DeleteFile('c:\windows\sysdriver32.exe');
DeleteFile('c:\windows\systemup.exe');
DeleteFile('C:\WINDOWS\TEMP\1379643.exe');
DeleteFile('C:\WINDOWS\TEMP\4246746.exe');
DeleteFile('C:\WINDOWS\TEMP\4948548.exe');
DeleteFile('C:\WINDOWS\TEMP\5081223.exe');
DeleteFile('C:\WINDOWS\TEMP\5845422.exe');
DeleteFile('C:\WINDOWS\TEMP\7065087.exe');
DeleteFile('C:\WINDOWS\TEMP\7759186.exe');
DeleteFile('C:\WINDOWS\TEMP\803934.exe');
DeleteFile('C:\WINDOWS\l1rezerv.exe');
DeleteFile('C:\WINDOWS\services32.exe');
DeleteFile('C:\WINDOWS\sysdriver32_.exe');
DeleteFile('services32.exe');
DeleteFile('%Windir%\system32\drivers\etc\hosts');
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1379643.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4246746.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4948548.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5081223.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5845422.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7065087.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7759186.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','803934.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(13);
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end. следующий скрипт в avz:
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\update.tray-2-0\svchost.exe','');
QuarantineFile('C:\WINDOWS\update.tray-11-0\svchost.exe','');
QuarantineFile('C:\WINDOWS\systemup.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32_.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32.exe','');
QuarantineFile('C:\WINDOWS\services32.exe','');
QuarantineFile('C:\WINDOWS\l1rezerv.exe','');
QuarantineFile('C:\WINDOWS\TEMP\803934.exe','');
QuarantineFile('C:\WINDOWS\TEMP\7759186.exe','');
QuarantineFile('C:\WINDOWS\TEMP\7065087.exe','');
QuarantineFile('C:\WINDOWS\TEMP\5845422.exe','');
QuarantineFile('C:\WINDOWS\TEMP\5081223.exe','');
QuarantineFile('C:\WINDOWS\TEMP\4948548.exe','');
QuarantineFile('C:\WINDOWS\TEMP\4246746.exe','');
QuarantineFile('C:\WINDOWS\TEMP\1379643.exe','');
QuarantineFile('c:\windows\update.2\svchost.exe','');
DeleteService('wxpdrivers');
DeleteService('srvsysdriver32');
DeleteService('srviecheck');
DeleteFile('c:\windows\update.tray-2-0\svchost.exe');
DeleteFile('c:\windows\update.tray-11-0\svchost.exe');
DeleteFile('c:\windows\update.2\svchost.exe');
DeleteFile('c:\windows\sysdriver32.exe');
DeleteFile('c:\windows\systemup.exe');
DeleteFile('C:\WINDOWS\TEMP\1379643.exe');
DeleteFile('C:\WINDOWS\TEMP\4246746.exe');
DeleteFile('C:\WINDOWS\TEMP\4948548.exe');
DeleteFile('C:\WINDOWS\TEMP\5081223.exe');
DeleteFile('C:\WINDOWS\TEMP\5845422.exe');
DeleteFile('C:\WINDOWS\TEMP\7065087.exe');
DeleteFile('C:\WINDOWS\TEMP\7759186.exe');
DeleteFile('C:\WINDOWS\TEMP\803934.exe');
DeleteFile('C:\WINDOWS\l1rezerv.exe');
DeleteFile('C:\WINDOWS\services32.exe');
DeleteFile('C:\WINDOWS\sysdriver32_.exe');
DeleteFile('services32.exe');
DeleteFile('%Windir%\system32\drivers\etc\hosts');
DeleteFileMask('C:\WINDOWS\Temp', '*.*', true);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1379643.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4246746.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4948548.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5081223.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5845422.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7065087.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7759186.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','803934.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(13);
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);