Открыл для себя замечательную программу - AVZ. Маленькая, быстрая, установки не требует, помогает там, где Касперский бессилен.
Применить эту программу пришлось после заражения моего компьютера программой RelevantKnowledge (rlvknlg.exe). Откуда она появилась - совершенно непонятно, Касперский это молча пропустил. Утром после включения компьютера на работе обнаружил в трее непонятный значок в виде зеленого глобуса. Вела программа себя совершенно нахально - выводила всплывающее полупрозрачное окно и не давала себя удалить.
Запустил Process Explorer и выяснил, что программа расположилась в папке C:\Program Files\RelevantKnowledge\. Попытки прибить процесс не увенчались успехом - после удаления из списка запущенных программ она запускалась снова. Попробовал проверить папку C:\Program Files\RelevantKnowledge\ антивирусом Касперского, но он ничего подозрительного там не нашел. Начал разбираться, как удалить программу RelevantKnowledge, нашел в интернете информацию, что нужно запустить программу AVZ со скриптом (AVZ, Меню "Файл - Выполнить скрипт"), см. [1]. По приведенному примеру составил свой скрипт и записал в файл. Вот его содержимое (если будете использовать скрипт для себя, подкорректируйте пути до нужных файлов и папок при необходимости).
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\program files\relevantknowledge\rlvknlg.exe');
TerminateProcessByName('c:\windows\system32\notepad.exe');
QuarantineFile('c:\Program Files\relevantknowledge\*.*','');
QuarantineFile('c:\Documents and Settings\Andrey\Local Settings\Temp\*.exe','');
QuarantineFile('c:\WINDOWS\system32\sysdm.cpl','');
QuarantineFile('c:\WINDOWS\system32\stisvc.exe','');
QuarantineFile('c:\Program Files\Garena\safedrv.sys','');
QuarantineFile('c:\windows\system32\notepad.exe','');
DeleteFile('c:\Program Files\relevantknowledge\rlls.dll');
DeleteFile('c:\Program Files\relevantknowledge\rlservice.exe');
DeleteFile('c:\Program Files\relevantknowledge\rlvknlg.exe');
DeleteFileMask('c:\Program Files\relevantknowledge\','*.* ',true ,' ');
DeleteDirectory('c:\Program Files\relevantknowledge\ ',' ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RelevantKnowledge','DLLName');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Запустил из AVZ скрипт. Скрипт успешно выполнился, компьютер перезагрузился, в результате программа Relevant Knowledge исчезла. Вручную удалил только папку с ярлычками Relevant Knowledge из стартового меню.
[Ссылки]
1. Антивирусная утилита AVZ - 4.35.
|
Комментарии
RSS лента комментариев этой записи