СПАЙВАРЕ ру

Winweb Security 2008 это поддельная антиспайварная программа, которая получила довольно широкое распространение. Эта паразитная программа использует трояны для проникновения на компьютер. Кроме этого часто пользователи сами ошибочно устанавливают Winweb Security 2008 обманутые навязчивой рекламой. В этой рекламе сообщается что компьютер заражён и предлагается скачать и установить Winweb Security 2008 для того чтобы вылечить копьютер. Игнорируйте эту рекламу!

Во время установки Winweb Security 2008, программа настраивает себя таким образом, чтобы запускаться автоматически каждый раз, когда запускается Windows. Сразу после запуска этот паразит сканирует компьютер и находит множество инфицированных файлов, троянов, вирусов. Если вы попытаетсь вылечить компьютер, то Winweb Security 2008 сообщит о том, что нужно заплатить около 50 долларов, чтобы включить эту возможность. Платить деньги не нужно, ниже будут приведены инструкции как совершенно бесплатно можно удалить эту вредоносную программу.

После заражения, раз в несколько минут, Winweb Security 2008 показывает следующие предупреждения:

Winweb Security Warning
Your PC is still infected with dangerous viruses. Activate
antivirus protection to prevent data loss and to avoid the
theft of your credit card details.
Click here to activate protection.

Winweb Security Warning
Some critical system files of your computer were modified by
malicious program. It may cause system instability and data
loss.
Click here to block unathorised modification by removing
threats (Recommended)

Как уже было сказано выше, просто игнорируйте их.

HijackThis показывает заражения.

O2 – BHO: BHOws Object – {D5DF7C9D-6069-4552-8B0C-D02A912FC889} – ws.dll (file missing)
O4 – HKLM\..\Run: [adpws] “C:\Documents and Settings\All Users\Application Data\5689887B.exe”
O4 – HKLM\..\Run: [{90BF8224-CD63-4081-A4C7-EF9A2CF6596F}] “C:\Documents and Settings\All Users\Application Data\A974FA49.exe”
O4 – HKLM\..\Run: [WinwebSecurity] “C:\Documents and Settings\All Users\Application Data\WinwebSecurity\WinwebSecurity.exe”

Инструкция по удалению Winweb Security 2008 с компьютера.

• Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
• Запустите и скопируйте ниже приведённый текст в Input script Box:
  

  Registry values to delete:
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | WinwebSecurity
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | adpws
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | {90BF8224-CD63-4081-A4C7-EF9A2CF6596F}

  Registry keys to delete:
  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{D5DF7C9D-6069-4552-8B0C-D02A912FC889}

  Files to delete:
  C:\Documents and Settings\All Users\Application Data\5689887B.exe
  C:\Documents and Settings\All Users\Application Data\A974FA49.exe
  C:\Documents and Settings\All Users\Application Data\5828ADFF.exe

  Folders to delete:
  C:\Documents and Settings\All Users\Application Data\WinwebSecurity

• Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
• Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
• Скачайте Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.

Троян Vundo – это опасный и широкораспространённый троян, так же известен как VirtuMonde, WindowsUpd, Adware.VirtuMonde, TrojanDownloader.Win32.Agent.e, ADW_TARGETSOFT.A. Этот троян довольно трудно удалить с компьютера, при этом часто с ним не справляются многие именитые антивирусные и снтиспайварные программы. Причина этому – полиморфизм трояна, каждый компьютер заражён индивидуальным образом, при этом при каждой перезагрузке часть компонентов меняет свои имена и CLSID. Но при этом троян Vundo обладает рядом признаков, по которым опытный специалист его сразу узнает.

Основные симптомы заражения трояном Vundo.

• Множество вплывающих окон.
• Резкое замедление работы компьютера.
• Поддельные сообщения службы безопасности о том, что компьютер заражён и необходимо скачать специальную программу, чтобы вылечить компьютер. ОБЯЗАТЕЛЬНО игнорируйте это сообщение, ни в коем случае не скачивайте и не устанавливайте никаких дополнительных программ.
• Ваш антивирус сообщает об заражении компьютера трояном Vundo и не может его удалить.

HijackThis показывает заражёние.

O2 – BHO: WTLHelper Object – {75DC57F8-D831-4AB8-86B7-4F826F4A0873} – C:\WINDOWS\system32\unnqw.dll
O2 – BHO: (no name) – {10654df0-1449-4b62-82e9-9a6f61cc2ed7} – C:\WINDOWS\system32\yehifuni.dll (file missing)
O4 – HKLM\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s
O4 – HKLM\..\Run: [CPM3b906d0c] Rundll32.exe “c:\windows\system32\henemate.dll”,a
O4 – HKLM\..\Run: [38a35e90] rundll32.exe “C:\WINDOWS\system32\wavemile.dll”,b
O4 – HKLM\..\Run: [prunnet] “C:\WINDOWS\system32\prunnet.exe”
O4 – HKLM\..\Run: [jsf8j34rgfght] C:\DOCUME~1\user\LOCALS~1\Temp\winloggn.exe
O4 – HKCU\..\Run: [gadcom] “C:\Documents and Settings\user\Application Data\gadcom\gadcom.exe” 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 – HKUS\S-1-5-19\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘LOCAL SERVICE’)
O4 – HKUS\S-1-5-20\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘NETWORK SERVICE’)
O20 – AppInit_DLLs: c:\windows\system32\kabunabo.dll c:\windows\system32\pasaruwe.dll c:\windows\system32\vinomisu.dll c:\windows\system32\zahuzihi.dll C:\WINDOWS\system32\tazeyubo.dll C:\WINDOWS\system32\wifufulu.dll c:\windows\system32\gesekise.dll c:\windows\system32\kelinepe.dll c:\windows\system32\henemate.dll
O21 – SSODL: SSODL – {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} – c:\windows\system32\kelinepe.dll
O22 – SharedTaskScheduler: STS – {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} – c:\windows\system32\kelinepe.dll

Примечание: как вы видите из примеров выше в качестве имён файлов используется случайный набор символов. Трояно Vundo поражает практически все возможные способы автозапуска, причём HijackThis не показывает все эти способы.

Используйте следующие инструкции для удаления трояна Vundo.

1. Используя программу VundoFix.

• Скачайте VundoFix и запишите его на ваш рабочий стол.
• Дважды кликните по файлу vundofix.exe для запуска.
• Когда VundoFix запуститься, кликните по кнопке Scan for Vundo.
• После окончания сканирования, кликните по кнопке Remove Vundo.
• Будет показан запрос на подтверждение удаления файлов, кликните по кнопке YES. Возможно что в процессе удаления трояна, VundoFix не сможет удалить ассоциированный с трояном файл, поэтому он попытается его удалить после перезагрузки
• после этого ваш рабочий стол очиститься и запустится процесс удаления трояна
• когда он закончится, у вас будет запрошено разрешение на перезагрузку компьютера, кликните по кнопке YES

2. Используя программу VirtumundoBegone.

• Скачайте VirtumundoBegone кликнув по этой ссылке и запишите его на ваш рабочий стол.
• Перазапустите ваш компьютер в Безопасном режиме.
• Запустите VirtumundoBeGone.exe
• Кликните по кнопке Continue, затем по кнопке Start.
• В процессе работы возможно программа перезагрузит компьютер.
• Когда программа закончит работу, откроется лог файл с описанием всего, чтобы было сделано.

3. Используя Malwarebytes Anti-Malware.

• Скачайте Malwarebytes Anti-Malware.
• Запустите, на начальной стадии не забудьте выбрать русский язык интерфейса.
• Следуйте указаниям. По окончании установки программы, запуститься процесс обновления. По его окончании откроется главное меню Malwarebytes Anti-Malware.
• Откройте вкладку Сканер и кликните по кнопке Проверить. Будьте терпеливы, процесс сканирования может быть довольно долгим.
• После сканирования кликните Показать результаты и вам будет показан результат сканирования.
• Кликните по кнопке Удалить выделенные.

Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.

Троян TDSServ – это опасный троян, так же известный под именами Backdoor.Win32.TDSS, Backdoor.TDSS и Backdoor.Tidserv. Это очень опасный троян который использует руткит технологии для того чтобы скрыть собственное присутствие на компьютере. Для этого троян TDSServ использует разные имена для своих компонентов, регистрирует основной компонент как скрытый драйвер, а так же перехватывает обращение к реестру и файловой системе. Поэтому с помощью большинства программ вы даже не сможете найти файлы этого трояна.
После заражения блокируется доступ пользователя к большинству антивирусных сайтов, а также запуск антивирусных и антиспайварных программ. Троян TDSServ распространяется не в одиночку, а в основном он идёт в комплекте с трояном (trojan.fakealert), который показывает поддельные сообщения о заражении компьютера и предлагающего скачать и установить на компьютер поддельную антиспайварную программу.

Рассмотрим как удалить троян TDSSserv и сопутствующие вредоносные программы.

1. Отключаем основной компонент (скрытый драйвер) трояна TDSSserv.

• Кликните правой клавишей мыши по иконке Мой компьютер.
• В открывшемся меню выберите пункт Свойства.
• В открывшемся окне Свойства системы выберите вкладку Оборудование.
• Кликните по кнопке Диспетчер устройств.
• Кликните Вид, в открывшемся меню кликните по пункту Показать скрытые устройства.
• В списке устройств найдите пункт Драйверы устройств не Plug and Play.
• Кликните по + слева от наименования этого пункта.
• В открывшемся списке кликните правой клавишей по пункту TDSSserv или TDSSserv.sys или TDSSxyz.sys где xyz случайные символы. Так же отключите драйвера clbdriver.sys, seneka.sys (это тоже трояны, которые могут идти в комплекте).
• В открывшемся меню выберите Отключить.
• Кликните Да для подтверждения ваших действий.
• Закройте все окна и перезагрузите компьютер.

2. Удаляем троян TDSSserv

• Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
• Запустите и скопируйте ниже приведённый текст в Input script Box:
  

  Drivers to delete:
  TDSSserv.sys
  clbdriver.sys
  seneka.sys

• Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
• Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.

3. Удаляем сопутствующие вредоносные программы.

• Скачайте программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Троян TDSSserv создает следующие файлы.

%Temp%\file.exe
%Temp%\TDSS[случайные_символы].tmp
%System%\drivers\TDSS[случайные_символы].sys
%System%\TDSS[случайные_символы].sys
%System%\TDSS[случайные_символы].dat
%System%\TDSS[случайные_символы].log
%System%\TDSSerrors.log
%System%\TDSSservers.dat
%System%\TDSSl.dll
%System%\TDSSlog.
%System%\TDSSmain.dll
%System%\TDSSinit.dll
%System%\TDSSlog.dll
%System%\TDSSadw.dll
%System%\TDSSpopup.dll

Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.