Режим усиленной защиты Антивируса, лечение трояна

реклама

Вирус-троян, отключает антивирус и меняет диалоговое окно на картинку в нижнем левом углу: Антивирус работает в усиленном режиме (при этом не важно какая антивирусная программа у Вас установлена). Переустановка антивируса, даже замена на другой, проблемы не решает. Надпись по прежнему остается, только название изменяется в зависимости от антивируса.

 


Например:

NOD 32 работает в усиленном режиме

Avira работает в усиленном режиме

Avast работает в усиленном режиме

Касперский работает в усиленном режиме

DR.web работает в усиленном режиме и т. д.


Так что далее под словом антивирус будем иметь в виду Eset NOD 32, Avira, Avast, Касперский, DR.web и т. д.

Антивируса в диспетчере задач в процессах нет и запустить его не возможно, каждый раз при запуске просто появляется это окно. В установленных программах антивируса, тоже нет. При попытке установить антивирус, в завершающей стадии установки, операционная система, самостоятельно перезагружается и загружается безопасный режим. После чего система опять перезагружается и на этот раз в обычном режиме, но уже с подменой антивируса, т. е. в режиме усиленной защиты. Скорей всего удаление и подмены антивируса происходит именно в момент включения безопасного режима.

 

реклама

Симптомы:

 

  • Вирус начинает блокировать интернет сайт. 
  • Окно в нижнем правом углу про усиленный режим работы.
  • Антивирус не работает.

 

Инструкция по удалению:

 

  1. Загружаем операционную систему через Безопасный режим
  2. С помощью диспетчера задач отключаем процесс svchost.exe, который запускался не системой, а пользователем.
  3. Удаляем содержимое папки временных файлов C:WINDOWSTEMP*.* 
  4. Удаляем «services32.exe» по адресу C:WINDOWSservices32.exe
  5. Удаляем папки в C:WINDOWS: update.tray-8-0-ink, update.tray-8–0, update 1, update 2
  6. В реестре через поиск ищем ключи svchost в описании которых встречаются одна из папок описанных в пункте 5 и удаляем их.
  7. Перезагружаемся. 
  8. Переустанавливаем антивирус.

 

Вылечить режим усиленной защиты Антивируса. Способ № 2

 

Выполните следующий скрипт в avz:

 

begin RegKeyIntParamWrite('HKCU', 'SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3', '1201', 3); RegKeyIntParamWrite('HKCU', 'SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3', '1001', 1); RegKeyIntParamWrite('HKCU', 'SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3', '1004', 3); RegKeyIntParamWrite('HKCU', 'SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3', '2201', 3); RegKeyIntParamWrite('HKCU', 'SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3', '2201', 1); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:WINDOWSupdate.tray-2-0svchost.exe',''); QuarantineFile('C:WINDOWSupdate.tray-11-0svchost.exe',''); QuarantineFile('C:WINDOWSsystemup.exe',''); QuarantineFile('C:WINDOWSsysdriver32_.exe',''); QuarantineFile('C:WINDOWSsysdriver32.exe',''); QuarantineFile('C:WINDOWSservices32.exe',''); QuarantineFile('C:WINDOWSl1rezerv.exe',''); QuarantineFile('C:WINDOWSTEMP803934.exe',''); QuarantineFile('C:WINDOWSTEMP7759186.exe',''); QuarantineFile('C:WINDOWSTEMP7065087.exe',''); QuarantineFile('C:WINDOWSTEMP5845422.exe',''); QuarantineFile('C:WINDOWSTEMP5081223.exe',''); QuarantineFile('C:WINDOWSTEMP4948548.exe',''); QuarantineFile('C:WINDOWSTEMP4246746.exe',''); QuarantineFile('C:WINDOWSTEMP1379643.exe',''); QuarantineFile('c:windowsupdate.2svchost.exe','');  DeleteService('wxpdrivers'); DeleteService('srvsysdriver32'); DeleteService('srviecheck'); DeleteFile('c:windowsupdate.tray-2-0svchost.exe'); DeleteFile('c:windowsupdate.tray-11-0svchost.exe'); DeleteFile('c:windowsupdate.2svchost.exe'); DeleteFile('c:windowssysdriver32.exe'); DeleteFile('c:windowssystemup.exe'); DeleteFile('C:WINDOWSTEMP1379643.exe'); DeleteFile('C:WINDOWSTEMP4246746.exe'); DeleteFile('C:WINDOWSTEMP4948548.exe'); DeleteFile('C:WINDOWSTEMP5081223.exe'); DeleteFile('C:WINDOWSTEMP5845422.exe'); DeleteFile('C:WINDOWSTEMP7065087.exe'); DeleteFile('C:WINDOWSTEMP7759186.exe'); DeleteFile('C:WINDOWSTEMP803934.exe'); DeleteFile('C:WINDOWSl1rezerv.exe'); DeleteFile('C:WINDOWSservices32.exe'); DeleteFile('C:WINDOWSsysdriver32_.exe'); DeleteFile('services32.exe'); DeleteFile('%Windir%system32driversetchosts'); DeleteFileMask('C:WINDOWSTemp', '*.*', true); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','1379643.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','4246746.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','4948548.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','5081223.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','5845422.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','7065087.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','7759186.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','803934.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','l1rezerv.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','wxpdrv'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','sysdriver32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','sysdriver32_.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','systemup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','tray_ico1'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','tray_ico0'); BC_ImportAll; ExecuteRepair(6); ExecuteRepair(13); ExecuteWizard('TSW',2,2,true); ExecuteWizard('SCU',2,2,true); RegKeyParamWrite('HKLM','SYSTEMCurrentControlSetControlSafeBoot','AlternateShell','REG_SZ', 'cmd.exe'); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWAREMicrosoftWindowsCurrentVersionpoliciesNonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); BC_Activate; RebootWindows(true);
end.
следующий скрипт в avz:

Код:
  begin RegKeyIntParamWrite('HKCU', 'SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3', '1201', 3); RegKeyIntParamWrite('HKCU', 'SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3', '1001', 1); RegKeyIntParamWrite('HKCU', 'SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3', '1004', 3); RegKeyIntParamWrite('HKCU', 'SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3', '2201', 3); RegKeyIntParamWrite('HKCU', 'SoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3', '2201', 1); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:WINDOWSupdate.tray-2-0svchost.exe',''); QuarantineFile('C:WINDOWSupdate.tray-11-0svchost.exe',''); QuarantineFile('C:WINDOWSsystemup.exe',''); QuarantineFile('C:WINDOWSsysdriver32_.exe',''); QuarantineFile('C:WINDOWSsysdriver32.exe',''); QuarantineFile('C:WINDOWSservices32.exe',''); QuarantineFile('C:WINDOWSl1rezerv.exe',''); QuarantineFile('C:WINDOWSTEMP803934.exe',''); QuarantineFile('C:WINDOWSTEMP7759186.exe',''); QuarantineFile('C:WINDOWSTEMP7065087.exe',''); QuarantineFile('C:WINDOWSTEMP5845422.exe',''); QuarantineFile('C:WINDOWSTEMP5081223.exe',''); QuarantineFile('C:WINDOWSTEMP4948548.exe',''); QuarantineFile('C:WINDOWSTEMP4246746.exe',''); QuarantineFile('C:WINDOWSTEMP1379643.exe',''); QuarantineFile('c:windowsupdate.2svchost.exe','');  DeleteService('wxpdrivers'); DeleteService('srvsysdriver32'); DeleteService('srviecheck'); DeleteFile('c:windowsupdate.tray-2-0svchost.exe'); DeleteFile('c:windowsupdate.tray-11-0svchost.exe'); DeleteFile('c:windowsupdate.2svchost.exe'); DeleteFile('c:windowssysdriver32.exe'); DeleteFile('c:windowssystemup.exe'); DeleteFile('C:WINDOWSTEMP1379643.exe'); DeleteFile('C:WINDOWSTEMP4246746.exe'); DeleteFile('C:WINDOWSTEMP4948548.exe'); DeleteFile('C:WINDOWSTEMP5081223.exe'); DeleteFile('C:WINDOWSTEMP5845422.exe'); DeleteFile('C:WINDOWSTEMP7065087.exe'); DeleteFile('C:WINDOWSTEMP7759186.exe'); DeleteFile('C:WINDOWSTEMP803934.exe'); DeleteFile('C:WINDOWSl1rezerv.exe'); DeleteFile('C:WINDOWSservices32.exe'); DeleteFile('C:WINDOWSsysdriver32_.exe'); DeleteFile('services32.exe'); DeleteFile('%Windir%system32driversetchosts'); DeleteFileMask('C:WINDOWSTemp', '*.*', true); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','1379643.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','4246746.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','4948548.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','5081223.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','5845422.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','7065087.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','7759186.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','803934.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','l1rezerv.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','wxpdrv'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','sysdriver32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','sysdriver32_.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','systemup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','tray_ico1'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SoftwareMicrosoftWindowsCurrentVersionRun','tray_ico0'); BC_ImportAll; ExecuteRepair(6); ExecuteRepair(13); ExecuteWizard('TSW',2,2,true); ExecuteWizard('SCU',2,2,true); RegKeyParamWrite('HKLM','SYSTEMCurrentControlSetControlSafeBoot','AlternateShell','REG_SZ', 'cmd.exe'); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWAREMicrosoftWindowsCurrentVersionpoliciesNonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); BC_Activate; RebootWindows(true);

Читайте также:

Добавить комментарий

Ваш e-mail не будет опубликован.