Лечение компьютерных вирусов и троянов в примерах
Самостоятельное лечение компьютера с помощью спец утилит (AVZ, UVS...)

Навигация

Главная страница

Инструменты

Примеры лечения вирусов/троянов

Форум

Гостевая книга

Контакты

Ссылки

 

 Лечение зловреда своими руками (фейковый антивирус)

Дата публикации: 14.08.2012.
Подопытный: поддельный антивирус  Trojan.Fakealert.32747 (Drweb) / variant of Win32/Kryptik.AJZU (ESET-NOD32).
Анализ Virus Total: смотреть (на дату публикации).

Согласно Virus Total, на момент публикации, зловред детектировался 4 антивирусами:

  • DrWeb: Trojan.Fakealert.32747
  • ESET-NOD32: a variant of Win32/Kryptik.AJZU
  • GData: Gen:Variant.Graftor.39538
  • Norman: W32/FakeAV.BGDR
     

Зловред представляет собой фейковый антивирус, который делает вид, что находит на компьютере целый букет вирусов и предлагает их удалить, понятное дело, за деньги.

Фейковый антивирус делает вид, что компьютер заражен кучей вирусов

Ложь и вранье

Зловред прописывается в автозагрузку. При попытке деинсталлировать просто опять запускает "проверку" компьютера и не удаляется.

Деинсталляция не помогает

Попытка вызвать Диспетчер задач не увенчалась успехом:

зловред блокирует Диспетчер задач

Зловред вообще блокирует запуск всех программ. По этой причине запустить какие-либо антивирусные средства не получается.

Но Windows продолжает работать и это значит, что зловред не блокирует все программные файлы.

- Удаление зловреда с помощью AVZ -

Что нужно делать чтобы запустить утилиту AVZ? Логично, нужно переименовать файл avz.exe, например, в winlogon.exe.

Переименовываем файл avz.exe в winlogon.exe

После этого AVZ запускается. Теперь дело за малым.

"Сервис" -> "Диспетчер процессов" и находим зловредную запись:

Ставим курсор не запись и убиваем ее.

Затем "Сервис" -> "Диспетчер автозапуска", ищем зловредную запись и удаляем ее:

Перезагружаем компьютер, зловред побежден:

Ярлык с Рабочего стола удалить.

- Удаление зловреда с помощью UVS -

Чтобы запустить утилиту UVS достаточно переименовать программный файл UVS в winlogon.exe. Причем, не файл start.exe, а файл startf.exe.

Выберите "Запустить под LocalSystem..." или "Запустить с ЧИСТЫМ раб. столом...".

UVS сразу облегчает поиск тела зловреда и выделяет его в вкладку подозрительных:

Щелкаем правой кнопкой мыши по подозрительному файлу и добавляем его сигнатуру в вирусную базу:

Щелкаем по кнопке "Проверить список":

UVS обнаруживает все тела вируса. Теперь жмем кнопку "Убить все вирусы".

Перезагружаем Windows, зловред побежден.

- Дополнительная информация о зловреде -

Тело: C:\Documents and Settings\All Users\Application Data\6F63A5C70045EF496B0FC6627B07D287\6F63A5C70045EF496B0FC6627B07D287.exe

Реестр: Автозагрузка пользователя\RunOnce

назад | наверх
  При использовании материалов с данного сайта, просьба указывать ссылку на www.av-help.narod.ru
Hosted by uCoz