Боремся с «eKAV антивирус» 7373
Сегодня у одной овцы сотрудницы выскочило занимательное окошечко:
Окно не переместишь, не закроешь. Процесс прибить нельзя, т.к. диспетчер задач оказывается заблокированным.
Самое главное – ничего никому не отправлять, это явный развод.
В принципе – всё просто – загрузиться в Safe Mode или c liveCD… но дело было осложнено тем, что компьютер находился в другой точке города, а ехать туда с утра не было ни малейшего желания.
Но в активе был туннель к той сети, VNC на больном компьютере, а также RDP к контроллеру домена.
На контроллере домена сделал tasklist удалённой машине, затем taskkill rundll32.exe (а это был именно он) – окно пропало. Я смог скачать свежий DrWeb CureIt!, а также утилиту Autoruns от Microsoft (ранее SysInternals), чтобы проверить, куда в реестре эта гадость себя прописала.
Однако меня ожидал былинный отказ – при попытке запуска антивируса или Autoruns, а также даже Far Manager – тварь снова запускалась.
Решил поискать в Интернетах, как народ борется с подобным. Оказывается есть методики генерации ключей к трояну – и я попробовал поискать. Здесь почитал – помогли ключи с конца.
Схавав подходящий ключ, троянец самозакрывается, возвращает доступ к диспетчеру задач.
После ребута можно запустить Autoruns, прошмонать компьютер свежим DrWeb.
Попутно сносим решето-антивирус Avast и ставим что-то получше, а также прекращаем пользоваться Internet Explorer.