Режим усиленной защиты антивируса.

С понятием «режим усиленной защиты антивируса» сталкивались все пользователи лечащей антивирусной утилиты «Dr.Web CureIt!». Но в данном обзоре речь пойдет как раз наоборот, о вредоносном коде, троянской программе, выдающей себя за этот самый «усиленный режим».

Качественный блок питания для нетбука acer обеспечит надежную работу нетбука, а вот обеспечить надежную и безопасную работу операционной системы – это забота пользователя. И если пользователь не доверяет позаботился о качественном антивирусе и нажимает на все получаемы ссылки из интернета, результат не заставит себя ждать.

Если Вы видите картинку, аналогичную приведенной в начале статьи – «поздравляем», Вы «счастливый» обладатель троянской программы, известной под именем «em>режим усиленной защиты антивируса». Да, вариации картинки могут немного отличаться – это могут быть: Avast, Avira, Касперский, Eset NOD 32, DR.web и т. д. Суть от этого не меняется.

Как же избавиться от этой «награды» за безответственное отношение к безопасности и несоблюдение элементарных правил при пользовании интернетом? Вот приблизительный перечень мер. Это лишь руководство к действию, а не детальная инструкция, в общем где-то так:

• Желательно перегрузиться в защищенный режим;
• Запустив диспетчер задач «убиваем» все служебные процессы, запущенные от имени пользователя, а не системы;
• Удаляем все содержимое временной папки windows, т.е. %SystemRoot%\TEMP\*.*;
• Также если присутствует, то удаляем %SystemRoot%\services32.exe;
• Удаляем или перемещаем следующие папки: %SystemRoot%\Update1 и %SystemRoot%\Update2 (по некоторым источникам %SystemRoot%\update.tray-8-0-ink, update.tray-8–0, update 1, update 2, если найдете что-то подобное, лучше удалите или хотя-бы переместите);
• Запускаем редактор реестра regedit.exe и ищем и удаляем все ключи svchost ссылающиеся на вышеперечисленные папки;

Для дальнейшей очистки от зловреда нам понадобится утилита AVZ. Запускаем ее и действуем по следующему плану:

• Сервис - Диспетчер служб и драйверов: убираем службу xWpDrivers и все другие подозрительные службы, выделенные черным цветом;
• Запускаем проверку AVZ;

Осталось перегрузиться, установить любой качественный лицензионный антивирус и провести полное сканирование системы. И больше не запускать «левые» программы по незнакомым ссылкам из интернет, пусть даже со знакомым наименованием.

P.S. По данным из не проверенного источника весь процесс лечения можно выполнить с помощью скрипта для утилиты AVZ. Ниже привожу сам скрипт, но повторюсь, сам не проверял.

Begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\update.tray-2-0\svchost.exe',''); QuarantineFile('C:\WINDOWS\update.tray-11-0\svchost.exe',''); QuarantineFile('C:\WINDOWS\systemup.exe',''); QuarantineFile('C:\WINDOWS\sysdriver32_.exe',''); QuarantineFile('C:\WINDOWS\sysdriver32.exe',''); QuarantineFile('C:\WINDOWS\services32.exe',''); QuarantineFile('C:\WINDOWS\l1rezerv.exe',''); QuarantineFile('C:\WINDOWS\TEMP\803934.exe',''); QuarantineFile('C:\WINDOWS\TEMP\7759186.exe',''); QuarantineFile('C:\WINDOWS\TEMP\7065087.exe',''); QuarantineFile('C:\WINDOWS\TEMP\5845422.exe',''); QuarantineFile('C:\WINDOWS\TEMP\5081223.exe',''); QuarantineFile('C:\WINDOWS\TEMP\4948548.exe',''); QuarantineFile('C:\WINDOWS\TEMP\4246746.exe',''); QuarantineFile('C:\WINDOWS\TEMP\1379643.exe',''); QuarantineFile('c:\windows\update.2\svchost.exe',''); DeleteService('wxpdrivers'); DeleteService('srvsysdriver32'); DeleteService('srviecheck'); DeleteFile('c:\windows\update.tray-2-0\svchost.exe'); DeleteFile('c:\windows\update.tray-11-0\svchost.exe'); DeleteFile('c:\windows\update.2\svchost.exe'); DeleteFile('c:\windows\sysdriver32.exe'); DeleteFile('c:\windows\systemup.exe'); DeleteFile('C:\WINDOWS\TEMP\1379643.exe'); DeleteFile('C:\WINDOWS\TEMP\4246746.exe'); DeleteFile('C:\WINDOWS\TEMP\4948548.exe'); DeleteFile('C:\WINDOWS\TEMP\5081223.exe'); DeleteFile('C:\WINDOWS\TEMP\5845422.exe'); DeleteFile('C:\WINDOWS\TEMP\7065087.exe'); DeleteFile('C:\WINDOWS\TEMP\7759186.exe'); DeleteFile('C:\WINDOWS\TEMP\803934.exe'); DeleteFile('C:\WINDOWS\l1rezerv.exe'); DeleteFile('C:\WINDOWS\services32.exe'); DeleteFile('C:\WINDOWS\sysdriver32_.exe'); DeleteFile('services32.exe'); DeleteFile('%Windir%\system32\drivers\etc\hosts'); DeleteFileMask('C:\WINDOWS\Temp', '*.*', true); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1379643.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4246746.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4948548.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5081223.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5845422.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7065087.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7759186.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','803934.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0'); BC_ImportAll; ExecuteRepair(6); ExecuteRepair(13); ExecuteWizard('TSW',2,2,true); ExecuteWizard('SCU',2,2,true); RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe'); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); BC_Activate; RebootWindows(true);
end