Конечно, тему стоило создать в
соответствующем разделе, но уж коли она здесь, то поделюсь своим опытом "знакомства" с данным типом зловредов.
Я столкнулся с ними в начале января этого года, когда их не обнаруживала
ни одна из имеющихся у меня антивирусных программ.
CureIt равно как и
AVZ с
Avast молчали в тряпочку. Всё удалялось вручную.
Здесь надо отследить логику работы подобных вирусов. Во-первых, он должен быть прописан в автозапуске. В этом хорошо помогает утилита
AutoRuns. В моём конкретном случае всё оказалось довольно просто. Автозапуск был прописан в самом банальном месте реестра -
Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Там я обнаружил параметр
Код:
Amva=amvo.exe
который тут же и удалил.
Во-вторых, вирус создаёт на всех разделах жёстких дисков и съёмных носителей пару файлов -
autorun.inf, и второй файл, который может иметь любое название, и расширение исполняемых файлов - .com, .bat, .cmd, .exe, причём он делает их системными и скрытыми, и запрещает показ этих типов файлов.
В-третьих, вирус постоянно сканирует корневые папки всех разделов на предмет изменений, и если удалить вышеуказанную пару файлов из всех разделов, то не пройдёт и пяти минут, как они будут воссозданы заново.
Алгоритм лечения простой
(ещё раз повторюсь - без применения каких-либо антивирусных средств!) - сначала убираем параметр в реестре, отвечающий за автозагрузку вируса. Если вирус шибко ушлый, и запретил пользоваться редактором реестра - пользуйтесь альтернативными редакторами.
Затем перезагружаемся, и вот тут
внимание! Ни в коем случае не надо щёлкать мышью по дискам! Иначе вы опять запустите вирус! Для начала надо включить показ скрытых и системных файлов, как описано
здесь. Либо воспользоваться альтернативными файловыми менеджерами, например
Total Commander'ом.
После этого заходить на диски для удаления вирусных файлов и
autorun.inf следует
только с помощью левой панели проводника - "Папки"!.
Напоследок останется удалить только пару файликов в папке
%SystemRoot%\system32 - это
amvo.exe и
amvo0.dll. Впрочем, названия могут варьироваться.
И напоследок - настоятельно рекомендую ознакомиться с
этой темой.
