вторник, 12 июля 2011 г.

Усиленный режим работы антивируса

Всем добрый день. Хочу сегодня рассказать, как я встретился с интересным вирусом, который заставляет антивирусы работать в усиленном режиме. Описывать я всё буду на примере антивируса Avira, так как я выделяю это антивирус наилучшим на сегодняшний день из всех бесплатных антивирусов. И поэтому я его ставлю всем своим клиентам. На днях мне позвонил один из моих постоянных клиентов и сказал что у него в нижнем левом углу появилась надпись Avira работает в усиленном режиме. Я достаточно долго работаю с данным антивирусам и долго не мог понять какого чёрта Avira включила усиленный режим и где он в нём вообще находится?! =)

После долгих разбирательств с клиентом по телефону стало понятно, что ник чему мы не придём и мне придётся всё равно выезжать и разбираться на месте. Когда я приехал то увидел на компе во такую штуку:
Как выяснилось позже это встречается со всеми антивирусами вот примеры надписей на NoD32, всеми любимым касперским или авастом:


Как мы видем оригинальностью создатели этого вируса не блещут =)

Самое интересное что в процессах самой avira не было и запустить антивирь не удалось, каждый раз при запуске просто появлялось это окно. Первое что пришло в голову это загрузиться в безопасном режиме и запустить старый добрый DrWeb Сureit.. после получасовой проверки DrWeb нашёл пару тройку вирусняков с чувством выполненного долго я их удалил. А загрузившись обратно в мелкософт я сильно обламался т.к. этот вирус сидел себе приспокойно и дальше продолжал тихонько кушать авиру  и выводить своё злосчастное окошко. Не долго думая я полез в интернет но там ничего кроме как проверить другим антивирусам предложение не было, тогда я понял что придётся сидеть и вникать в этого упыря и думать как его вырезать из ненавистных форточек самому.

Симптомы:
1. вирус начинает блокировать интернет сайты
2. окошко в нижнем правом углу
3. и естественно антивирус не работает

Инструкция по удалению:
1. первым делом я отключил процесс svchost.exe который запускался не системой а user-ом
2. чистим папку C:\WINDOWS\TEMP\
3. удаляем "services32.exe" по адресу C:\WINDOWS\
4. удаляем странные папки в C:\WINDOWS\:
  update.tray-8-0-ink
  update.tray-8-0
  update 1
  update 2
все папки могут сразу не удалиться
 5. дальше я не буду расписывать все ключи как это делал в статье про удаление XP Home Security 2011 а сделаю проще... открываем редактор реестра и в поиске вбиваем "svchost" ищем все ключи svchost в описании которых встречаются одна из папок описанных в пункте 4 и удаляем их от туда.

Будьте осторожны и внимательно читайте пути файлов т.к. если вы удалите не тот файл может возникнуть куча проблем с работай мелкософта.

Ну вот как бы и всё =)) после всего этого перезагружавшемся и повторяем пункт 4 (если всё не удалилось с первого раза). После чего я просто переустановил Avir-у и всё заработало как часы

PS: Лучше всё делать из безопасного режима. И насколько мне удалось вникнуть, этот вирус чаще всего попадает на компьютер под видом обновление на Flash Player. Будьте бдительны к тому что качаете =)

Комментариев нет:

Отправить комментарий