Первый случай
На первом компьютере пришлось загрузиться с Alkid SE и разыскивать на винчестере недавно созданные исполняемые файлы. Стер несколько новых библиотек *.dll из пользовательского профиля, презагрузил компьютер в обычный Windows – никакого результате, баннер eKav antivirus не перестал появляться при запуске любой программы. Опять загрузился с Alkid SE и в разделе системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows очистил значение AppInit_DLLs, открыв при этом ветку рееста software на винчестере по пути \windows\system32\config\. В указанном месте было имя ничем не примечательного файла в \windows\system32\... затем двоеточие и за ним случайный подбор цифр, букв и знаков препинания.
Известно, что в системе NTFS в комплекте с любым файлом есть возможность хранить один или более дополнительных потоков информации (технология NTFS streams) с именами, добавляемыми к имени родительского файла и указываемыми через двоеточие от имени основного файла. Также известно, что операционная система Windows дает возможность исполнять команды, содержащиеся в этих потоках, при упоминании их в соответствующих ветках системного реестра или конфигурационных переменных. Авторы вирусов и программ-вымогателей и eKav antivirus в том числе знают об этой технологии и пользуются ею.
После такой очистки, при перезагрузке Windows в обычном режиме все приложения стали запускаться и работать, а eKav antivirus перестал себя как-либо проявлять.
После проверки системы, приложение AutoRuns определило, что в системе находится еще один вирус с исполняемым файлом sdra64.exe. Для того, чтобы избавиться от него, надо было загрузиться с Alkid SE еще раз и удалить исполняемый файл из ветки \windows\system32 и в программе Regedit стереть его из списка Userlnit в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
После этих манипуляций остался запрещенным запуск утилиты Regedit, диспетчера задач и всех имевшихся на машине антивирусных программ. Через Интернет, который работал на тот момент, была скачана программа RegistryFix (сайт программы) и через нее был восстановлен запуск приложения Regedit. C помощью этой же утилиты был запрещен запуск исполняемых файлов и потоков информации в вышеуказанных каталогах с помощью механизма политик Windows XP, Safer. В разделе KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths были вычищены все подразделы с каталогами, запрещенными при проникновении вируса. После следующего перезапуска системы появилась возможность установить и обновить Zillya, MBAM и с помощью последнего просканировать всю машину. Сканирование позволило удалить остатки «зараженных» файлов и восстановить настройки реестра, которые были нарушены вредоносной программой eKav antivirus. Все настройки приложений и данные были сохранены, система была полностью работоспособной.
Второй случай
На втором компьютере, который был поражен eKav antivirus с помощью Alkid SE были удалены все новые библиотеки *.dll и вычищены AppInit_DLLs и Safer\...\Paths. После перезагрузки в обычном режиме был установлен MBAM, который просканировал машину и помог стереть остатки вредных файлов и восстановить настройки системного реестра в их прежнее состояние.
