СПАЙВАРЕ ру

FixIEDef – небольшая утилита которая может удалять AntiSpyPro, Files Secure, IE AntiVirus, IEDefender, Malware Bell и Malware Protector 2008. Кроме этого она так же удалит с вашего компьютера и троян Trojan-Downloader.Win32.Delf, который используется для загрузки на ваш компьютер вирусов, троянов и тд.

Как использовать FixIEDef
Скачайте FixIEDef на ваш рабочий стол.

Запустите программу.

Кликните по кнопке OK.

Для начала сканирования кликните по кнопке Scan.

Кликните по кнопке OK.

В результате запуститься процедура сканирования вашего компьютера. По её оконочании окроется окно.

Кликните по кнопке Exit для выхода из программы.

Примечание 1: в процессе работы FixIEDef принудительно завершит работу Internet Explorer и Windows Explorer, поэтому во время работы программы меню Пуск, таскбар и иконки рабочего стола пропадут.

Примечание 2: в ходе своей работы FixIEDef создает лог файл, который сохраняется на Рабочем столе.

Вы купили себе компьютер, долго выбирали. Ваш компьютер стал другом и местом хранения различной информации, документации и тд. Но всё может измениться за несколько секунд, в случае заражения вашего компьютера вирусом, трояном или спайваре. Эти опасные программы могут удалить важные данные, зашифровать их или просто вывести из строя ваш компьютер. Чтобы защитить свой компьютер выполните следующее:

• Во-первых, на большинство современных компьютеров установлена операционная система Windows, которая поставляется вместе с браузером Internet Explorer, именно из-за него происходит большинство заражений. Скачайте прекрасный и бесплатный браузер Mozilla FireFox, установите и используйте для просмотра Интернет. Кроме того что он более безопасный, он так же содержит модуль блокирования всплывающих окон, что позволит вам избежать навязчивой рекламы.

• Во-вторых, вам надо установить на компьютер антивирусную программу. Их существует очень много, причем некоторые из них абсолютно бесплатны и не уступают по своим функциям другим коммерческим программам. Одной из таких бесплатных программ, является Avira, Avast, AVG.

• В третьих вам необходима специализированная программа - антиспайваре, которая защитит вас от троянов и спайваре. Одна из таких программ – Spybot Search and Destroy. Кроме того что она является одной из лучших в своём классе, она так же абсолютно бесплатна.

• В четвертых, вам нужно использовать файрволл – это специальная программа блокирующая атаки хакеров на ваш компьютер. Вы можете использовать как интегрированный в Windows файрволл, так и любой другой, например PC Tools Firewall, Comodo Personal Firewall.

• В пятых, нужно не забывать о некоторых прекрасных программах поставляемых вместе с Windows. Одна из них – это программа для создания точек восстановления. Создав такую точку в момент когда ваш компьютер работает прекрасно, вы сможете сделать возврат к этой конфигурации в любой момент, даже в случае заражения вашего компьютера. В результате ваш компьютер заработает как и прежде.

• И последнее, не забывайте обновлять саму операционную систему Windows, для этого посетите сайт Windows Update, открыв меню Пуск и выбрав пункт с аналогичным названием. Так же вы можете установить автоматическое обновление, для этого кликните правой клавишей мыши по иконке Мой компьютер, в открывшемся меню выберите Свойства, а в открывшемся окне выберите вкладку Автоматическое обновление, здесь выберите нужный вам вид обновления и нажмите кнопку Ok.

Следуя этим простым советам, вы сможете защитить ваш компьютер от большинства опасных программ.

В Windows есть прекрасная возможность организовывать автозагрузку и автозапуск программ используя специально созданный файл – autorun.inf. Этот файл «может» многое, и одно из этого – обеспечение автоматического запуска определённого файла при открытии диска, где находится сам файл autorun.inf. Благодаря этой возможности трояны, спайваре и вирусы могут распространятся с одного зараженного компьютера на другой. Для примера, с зараженного домашнего, посредством флэшки, на ваш рабочий компьютер. Рассмотрим ниже действия необходимые для того чтобы удалить такие трояны.

1. удаляем файлы autorun.inf со всех ваших дисков, включая дискеты и USB диски.

Вручную:

• Перезапустите ваш компьютер в безопасном режиме.
• Кликните по кнопке Пуск, далее Запустить, введите cmd и нажмите Enter.
• В открывшемся окне командной консоли введите del /a:h /f c:\autorun.*, для диска D, введите del /a:h /f d:\autorun.*, и так далее, меняйте в строке только имя диска, оно выделено жирным шрифтом.
• Проделайте подобную операцию для всех ваших дисков, включая USB диски и тд.

Автоматически:

• Скачайте программу Combofix.
• Запустите, вам будут показаны правила использования программы, кликните YES для подтверждения.
• В процессе своей работы, combofix просканирует ваш компьютер, удалит найденные спайваре, трояны, а так же удалит с дисков файлы autorun.inf. В случае успешного удаления, в лог файле, в секции Others Deletions, будут перечислены удаленные файлы, в том числе и autorun.inf.

2. удаляем ключи реестра обеспечивающие автозапуск трояна при загрузке компьютера

• Скачайте и установите программу HijackThis.
• Запустите, кликните по кнопке Do a system scan only.
• Выделите галочкой следующие строки:
  

  O4 – HKLM\..\Run: [SystemDrive] c:\windows\system32\SVCH0ST.EXE
  O4 – HKCU\..\Run: [avp] C:\WINDOWS\system32\avp.exe
  O4 – HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
  O4 – HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe
  O4 – HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
  O4 – HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
  O4 – HKCU\..\Run: [TaskMonitor] C:\WINDOWS\system32\TaskMonitor.exe
  O4 – HKCU\..\Run: [Realshade] C:\WINDOWS\system32\realshade.exe
  O4 – HKCU\..\Run: [cftmonn] C:\WINDOWS\system32\cftmonn.exe
  O4 – HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
  O4 – HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
  O4 – HKCU\..\Run: [kmmsoft] C:\WINDOWS\system32\revo.exe
  O4 – HKCU\..\Run: [jvsoft] C:\WINDOWS\system32\j3ewro.exe
  O4 – HKCU\..\Run: [ckvo] c:\windows\system32\ckvo.exe

• Закройте все открытые окна, кроме HijackThis, после чего нажмите кнопку Fix Checked. В результате программа удалит из реестра всё что вы выделили.

Небольшое замечание, в каждом конкретном случае как набор ключей, так и название файлов – троянов могут различаться, поэтому если вы увидели в логе HijackThis, а именно в секции O4, подозрительные строчки, обязательно их проверьте, используя Google или Yahoo.

3. удаляем трояны с диска.

• Скачайте архив программы Avenger.
• Распакуйте программу на ваш рабочий стол.
• Запустите Avenger, после чего в окне ввода введите или просто скопируйте следующий скрипт:
  

  Files to delete:
  C:\WINDOWS\system32\avp.exe
  C:\WINDOWS\system32\amvo.exe
  C:\WINDOWS\system32\kxvo.exe
  C:\WINDOWS\system32\kavo.exe
  C:\WINDOWS\system32\tavo.exe
  c:\windows\system32\Bitkv0.dll
  c:\windows\system32\Bitkv1.dll
  c:\windows\system32\kavo0.dll
  c:\windows\system32\kavo1.dll
  c:\windows\system32\tavo0.dll
  c:\windows\system32\tavo1.dll
  C:\WINDOWS\system32\SCVVHSOT.exe
  C:\WINDOWS\system32\TaskMonitor.exe
  C:\WINDOWS\system32\RavMon.exe
  C:\WINDOWS\system32\realshade.exe
  C:\WINDOWS\system32\cftmonn.exe
  C:\WINDOWS\system32\wincab.sys
  c:\windows\system32\ckvo.exe
  c:\windows\system32\ckvo0.dll
  c:\windows\system32\gasretyw0.dll
  c:\windows\system32\gasretyw1.dll
  c:\windows\system32\kamsoft.exe
  c:\windows\system32\vbsdfe1.dll
  c:\windows\system32\vbsdfe0.dll
  c:\windows\system32\vamsoft.exe
  C:\WINDOWS\system32\revo.exe
  c:\windows\system32\j3ewro.exe
  c:\windows\system32\jwedsfdo0.dll
  c:\resycled\boot.com
  C:\kjibu.com
  C:\6fnlpetp.exe
  C:\rcukd.cmd
  C:\rqq2v.bat
  C:\t.com
  C:\xp19.com
  C:\x0.cmd
  C:\yg.cmd
  C:\ntde1ect.com
  C:\tio8×6.cmd
  C:\d6fagcs8.cmd
  C:\gbiehbsb.dll
  C:\tio8×6.cmd
  C:\fooool.exe
  C:\8ng8w.com
  C:\x.com
  C:\xn1i9x.com
  c:\invwft2h.com
  c:\AutoRun\AutoStart.exe
  c:\AutoRun\autorun.pif
  c:\ktnquo.exe
  c:\NewVirusRemoval.vbs
  c:\kinza.exe
  c:\rs.cmd
  c:\yssjnngm.cmd
  c:\h3.bat
  c:\6fnlpetp.exe
  c:\boot.exe
  C:\6j2j.com
  c:\0jbnlnu8.exe
  c:\1q8p0y.com
  c:\2g.com
  c:\39ysi89.com
  c:\3jkka91.com
  c:\92j11sm.com
  c:\a.exe
  c:\cjrp8.com
  c:\dp.exe
  c:\jg6w3yx.com
  c:\ntnq.exe
  c:\nw0t1l0d.exe
  c:\q0rppr.exe
  c:\tj8odymw.exe
  c:\uh31.exe
  c:\vnkucvv.com
  c:\xpq63xl.exe
  c:\xwpehlv.com
  c:\fun.xls.exe
  c:\iqe68o.bat
  c:\AutoRun\AutoStart.exe
  c:\ampfrb.cmd
  c:\hbs.exe
  c:\yfog8p.exe
  c:\as.bat
  c:\phwe.com
  c:\o0s.cmd
  c:\xa2c.exe
  c:\killVBS.vbs
  c:\uxdeiect.com
  c:\clshsy.cmd
  c:\awda2.exe

• После чего нажмите кнопку Execute.
• Появится запрос на подтверждение ваших действий, кликните Yes/Да.
• Компьютер будет перезагружен.

4. Завершающий этап.

После перечисленных выше шагов желательно так же просканировать ваш компьютер используя какой-либо антивирус, онлайн сканнер или используя программу SDFix. Последняя программа создана специально для борьбы с троянами, червями и спайваре. Она просканирует ваш компьютер и удалит всё вредное.

Примечание 1: если вы не можете включить просмотр скрытых файлов, то прочитайте эту статью – Не включается просмотр скрытых файлов. Как исправить ?
Примечание 2: если у вас не получается удалить троян, или вы не уверенны в своих действиях, то обратитесь на наш форум.

Прочитайте больше о том как бороться с autorun.inf троянами: Flash_Disinfector ещё одно оружие против autorun.inf троянов.

Одним из источников дохода для авторов троянов, вирусов, спайваре и тд, является распространение поддельных антиспайваре программ, так называемых rogue antispyware. После установки такой программы на зараженный компьютер, эта программа осуществляет сканирование и «вроде бы» что-то находит, а для удаления найденного требует заплатить определенную сумму денег, купив лицензию. Делать этого не следует, так как эта программа, всего лишь подделка, найти ничего она ничего не может (не обращайте внимание на найденные ею спайваре, трояны и тд, это подделка), и конечно же ни от чего она не лечит.

Будьте бдительны, бывают случаи когда эти программы распространяются не через вирусы, а через различную навязчивую рекламу или специально сделанные вебсайты.

Рассмотрим несколько этих программ, появившихся в последнее время.

Malware Bell

Эта программа является новой версией IE Defender.

Создатели сменили цвета, немного изменили вид главного окна и вуаля – новый антиспайварный продукт. Этот случай не уникальный, а происходит после того, как поддельное антиспайваре стали обнаруживать антивирусы, меняется немного код программы, цвет и тексты главного окна, возможны другие косметические изменения, а всё для того чтобы антивирусы не определяли инсталлятор и другие файлы этой программы как опасные и вредные.

Если просканировать инсталлятор MalwareBell используя VirusTotal, то получим:

AntiVir 7.8.0.10 2008.04.25 DR/FraudTool.MalwareBell.F
DrWeb 4.44.0.09170 2008.04.26 Trojan.Fakealert.525
Fortinet 3.14.0.0 2008.04.26 Misc/MalwareBell
Ikarus T3.1.1.26 2008.04.26 Downloader.FraudTool.MalwareBell.F
Kaspersky 7.0.0.125 2008.04.26 not-a-virus:FraudTool.Win32.MalwareBell.f
NOD32v2 3057 2008.04.26 Win32/Adware.IeDefender.NDG
Prevx1 V2 2008.04.26 Generic.Malware
Sophos 4.28.0 2008.04.26 Troj/FakeVir-AY
Symantec 10 2008.04.26 MalwareBell
Webwasher-Gateway 6.6.2 2008.04.26 Trojan.Dropper.FraudTool.MalwareBell.F

Кроме всего прочего MalwareBell показывает окна с сообщением:

Your system is infected with dangerous virus!
Note: Strongly recommend to install antispyware program to clean your system and
avoid total crash of your computer!

IE Antivirus

Выглядит подобно IE Defender, Files Secure и рассмотренному выше Malware Bell.

Если просканировать инсталлятор IE Antivirus используя VirusTotal, то получим:

AntiVir 7.8.0.10 2008.04.25 DR/FraudTool.IeDefender.CJ
Fortinet 3.14.0.0 2008.04.26 Misc/IeDefender
Ikarus T3.1.1.26 2008.04.26 Downloader.FraudTool.IeDefender.CJ
Kaspersky 7.0.0.125 2008.04.26 not-a-virus:FraudTool.Win32.IeDefender.cj
Symantec 10 2008.04.26 MalwareBell
Webwasher-Gateway 6.6.2 2008.04.26 Trojan.Dropper.FraudTool.IeDefender.CJ

Адреса домашних страниц для рассмотренных выше программ:

Site Name: MalwareBellAgreement.com
Site Name: IEAntiAVDownload.com
IP Address: 89.149.227.195

Примеры URL’ов:

malwarebellagreement(dot)com/mb.exe
malwarebellagreement(dot)com/ieav.exe
ieantiavdownload(dot)com/ieav.exe
ieantiavdownload(dot)com/mb.exe

AntiSpywareMaster

Выглядит подобно AntiSpywareExpert, AntispywareDeluxe.
Hijackthis показывает наличие AntiSpywareMaster:

O4 – HKLM\..\Run: [AntiSpywareMaster] C:\Program Files\AntiSpywareMaster\asm.exe

RegistryGreat

Hijackthis показывает наличие RegistryGreat:

O4 – HKLM\..\Run: [RegistryGreat] C:\Program Files\RegistryGreat\RegistryGreat.exe

XPSecurityCenter

Hijackthis показывает наличие XPSecurityCenter:

O4 – HKLM\..\Run: [XP SecurityCenter] C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe /hide

AdvancedXPFixer

Эта программа похожа на WinIFixer.
Hijackthis показывает наличие AdvancedXPFixer:

O4 – HKLM\..\Run: [AXPFixer] C:\Program Files\AXPFixer\AXPFixer.exe

DisableSpyware

Zinaps

Hijackthis показывает наличие Zinaps:

O4 – HKCU\..\Run: [Zinaps7] C:\Documents and Settings\Administrator\Application Data\Zinaps7\Zinaps7.exe /MIN

Как удалить с компьютера рассмотренные выше программы:
Нужно учитывать, что эти программы могут установлены различными вирусами, троянами и спайваре. Поэтому просто удалив их с диска, в большинстве случаев, вы ничего не добьетесь, через некоторое время они появятся снова.

Что можно сделать:
1.Открываете контрольную панель, в ней панель добавления и удаления программ, в списке ищете программу, которую вам нужно удалить, и запускаете процедуру удаления.
2.Как я уже написал выше, в большинстве случаев первый пункт может не помочь, поэтому скачайте бесплатную программу SmitfraudFix и запустите её.
3.Еще что можно сделать – это попробовать другие бесплатные антиспайварные программы.
4.Если пункты 1-3 не помогают, то сделайте HijackThis лог и обратитесь за помощью на антиспайварный форум.

Прочитать больше о поддельных антиспайварных программах и как их удалить. (Eng)