‘TR/PSW.Magania.bajt [trojan]‘ – by Avira / removal instructions « Электрофатера Евгения Прыгова
  • Начало


    • 6 июня 2009 г.

    ‘TR/PSW.Magania.bajt [trojan]‘ – by Avira / removal instructions

    Кстати, если кто столкнулся с вирусом, оставляющим на флешке autorun.inf и ku.bat a в реестре на загрузку kvasoft…exe, то не торопитесь выкидывать свой компьютер. Лечится руками. Этот орёл прописывается в запуск к шеллу, то есть explorer.exe. Пока висит эксплорер – вирус активен? антивирусы его не видят, ибо, как это – в эксплорере сомневаться? У нас только каспер такой смелый, что в прошлом году удалял «подозрительный» эксплорер напропалую. Инструкция простая:

    В Safe mode принудительно выгрузить вообще все, оставить только самое необходимое. Потом снять и explorer и через task manager – в regedit, где чистится загрузка explorer.exe и сама личинка ku.bat, так же де как и kvasoft. Сами файлы также ищутся и удаляются, невидимые «системные» файлы отлично видны в Far Manager. Естественно, восстановление системы должно быть вырублено, Prefetch зачищен, темпы регулярно зануляться, что удобно сделать, переписав все Enviroment Variables про TEMP и TMP (системные и пользовательские), куда-нибудь в C:\TMP. Explorer во время колдовства должен быть наглухо закрыт.

    ————–

    This crap is easy to identify by autorun.inf and ku.bat it left in the removable media or hard drives. Easy to cure with hands and head. Antiviruses installed after the infection are helpless since there is nothing suspicious while ku.bat is registered as a part of the system shell – explorer.exe in the registry. Go Safe Mode and unload everything except the system processes sufficient to keep OS alive. Then kill the explorer process, and clean the run keys of registry (starting from here all stuff you should run via the Task Manager, but not Explorer) for kvasoft… or something similar (use «kva» as search criteria). Its nice to have Far Manager installed to track the «system» files, cause virus made its parts system and hidden. Clean that parts in FAR. Then search for «ku.bat» in the registry and delete all of its keys there. As a good practice, shut down the system restore, clean Prefentch, Recycle bin, System Volume Information and re-write the Enviromental Variables like TMP and TEMP both for account and system to C:/TMP. Clean that folder while doing the each step. Thats it. Reload, do the experiment with flash drive if noted files will apears there or not.

    Тема: Рекомендую,Софт @ 18:58
    

    Комментариев нет




    Комментариев нет.


    RSS комментариеиев. 
    

    Издается с прошлого века, как, когда попало и часто по недоразумению. Украдёте текст или графику - обоcрётесь и воды не будет! Если взяли, сделали ссылку - пользуйтесь на здоровье, будет вам вода. Не регулируется никакими законами Российской Федерации, потому что там не находится. Электрофатера Евгения Прыгова © 1993-2012. Пишите е-письма. Работает на WordPress. Размещено: Gandi. No Bullshit™