Как удалить троян Vundo
Троян Vundo - это опасный и широкораспространённый троян, так же известен как VirtuMonde, WindowsUpd, Adware.VirtuMonde, TrojanDownloader.Win32.Agent.e, ADW_TARGETSOFT.A. Этот троян довольно трудно удалить с компьютера, при этом часто с ним не справляются многие именитые антивирусные и снтиспайварные программы. Причина этому - полиморфизм трояна, каждый компьютер заражён индивидуальным образом, при этом при каждой перезагрузке часть компонентов меняет свои имена и CLSID. Но при этом троян Vundo обладает рядом признаков, по которым опытный специалист его сразу узнает.
Основные симптомы заражения трояном Vundo.
- Множество вплывающих окон.
- Резкое замедление работы компьютера.
- Поддельные сообщения службы безопасности о том, что компьютер заражён и необходимо скачать специальную программу, чтобы вылечить компьютер. ОБЯЗАТЕЛЬНО игнорируйте это сообщение, ни в коем случае не скачивайте и не устанавливайте никаких дополнительных программ.
- Ваш антивирус сообщает об заражении компьютера трояном Vundo и не может его удалить.
HijackThis показывает заражёние.
O2 - BHO: WTLHelper Object - {75DC57F8-D831-4AB8-86B7-4F826F4A0873} - C:\WINDOWS\system32\unnqw.dll
O2 - BHO: (no name) - {10654df0-1449-4b62-82e9-9a6f61cc2ed7} - C:\WINDOWS\system32\yehifuni.dll (file missing)
O4 - HKLM\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s
O4 - HKLM\..\Run: [CPM3b906d0c] Rundll32.exe “c:\windows\system32\henemate.dll”,a
O4 - HKLM\..\Run: [38a35e90] rundll32.exe “C:\WINDOWS\system32\wavemile.dll”,b
O4 - HKLM\..\Run: [prunnet] “C:\WINDOWS\system32\prunnet.exe”
O4 - HKLM\..\Run: [jsf8j34rgfght] C:\DOCUME~1\user\LOCALS~1\Temp\winloggn.exe
O4 - HKCU\..\Run: [gadcom] “C:\Documents and Settings\user\Application Data\gadcom\gadcom.exe” 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKUS\S-1-5-19\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘LOCAL SERVICE’)
O4 - HKUS\S-1-5-20\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘NETWORK SERVICE’)
O20 - AppInit_DLLs: c:\windows\system32\kabunabo.dll c:\windows\system32\pasaruwe.dll c:\windows\system32\vinomisu.dll c:\windows\system32\zahuzihi.dll C:\WINDOWS\system32\tazeyubo.dll C:\WINDOWS\system32\wifufulu.dll c:\windows\system32\gesekise.dll c:\windows\system32\kelinepe.dll c:\windows\system32\henemate.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\kelinepe.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\kelinepe.dll
Примечание: как вы видите из примеров выше в качестве имён файлов используется случайный набор символов. Трояно Vundo поражает практически все возможные способы автозапуска, причём HijackThis не показывает все эти способы.
Используйте следующие инструкции для удаления трояна Vundo.
1. Используя программу VundoFix.
- Скачайте VundoFix и запишите его на ваш рабочий стол.
- Дважды кликните по файлу vundofix.exe для запуска.
- Когда VundoFix запуститься, кликните по кнопке Scan for Vundo.
- После окончания сканирования, кликните по кнопке Remove Vundo.
- Будет показан запрос на подтверждение удаления файлов, кликните по кнопке YES. Возможно что в процессе удаления трояна, VundoFix не сможет удалить ассоциированный с трояном файл, поэтому он попытается его удалить после перезагрузки
- после этого ваш рабочий стол очиститься и запустится процесс удаления трояна
- когда он закончится, у вас будет запрошено разрешение на перезагрузку компьютера, кликните по кнопке YES
2. Используя программу VirtumundoBegone.
- Скачайте VirtumundoBegone кликнув по этой ссылке и запишите его на ваш рабочий стол.
- Перазапустите ваш компьютер в Безопасном режиме.
- Запустите VirtumundoBeGone.exe
- Кликните по кнопке Continue, затем по кнопке Start.
- В процессе работы возможно программа перезагрузит компьютер.
- Когда программа закончит работу, откроется лог файл с описанием всего, чтобы было сделано.
3. Используя Malwarebytes Anti-Malware.
- Скачайте Malwarebytes Anti-Malware.
- Запустите, на начальной стадии не забудьте выбрать русский язык интерфейса.
- Следуйте указаниям. По окончании установки программы, запуститься процесс обновления. По его окончании откроется главное меню Malwarebytes Anti-Malware.
- Откройте вкладку Сканер и кликните по кнопке Проверить. Будьте терпеливы, процесс сканирования может быть довольно долгим.
- После сканирования кликните Показать результаты и вам будет показан результат сканирования.
- Кликните по кнопке Удалить выделенные.
Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.
Как удалить троян TDSServ (TDSSserv.sys)
Троян TDSServ - это опасный троян, который использует руткит технологии для того чтобы скрыть собственное присутствие на компьютере. После заражения блокируется доступ пользователя к большинству антивирусных сайтов, а также запуск антивирусных и антиспайварных программ. Троян TDSServ распространяется не в одиночку, а в основном он идёт в комплекте с трояном (trojan.fakealert), который показывает поддельные сообщения о заражении компьютера и предлагающего скачать и установить на компьютер поддельную антиспайварную программу.
Рассмотрим как удалить троян TDSServ и сопутствующие вредоносные программы.
1. Блокируем/удаляем троян TDSServ.
Метод I.
- Кликните правой клавишей мыши по иконке Мой компьютер.
- В открывшемся меню выберите пункт Свойства.
- В открывшемся окне Свойства системы выберите вкладку Оборудование.
- Кликните по кнопке Диспетчер устройств.
- Кликните Вид, в открывшемся меню кликните по пункту Показать скрытые устройства.
- В списке устройств найдите пункт Драйверы устройств не Plug and Play.
- Кликните по + слева от наименования этого пункта.
- В открывшемся списке кликните правой клавишей по пункту TDSSserv или TDSSserv.sys.
- В открывшемся меню выберите Отключить.
- Кликните Да для подтверждения ваших действий.
- Закройте все окна и перезагрузите компьютер.
Метод II.
- Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
- Запустите и скопируйте ниже приведённый текст в Input script Box:
Drivers to delete:
TDSSserv.sys - Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
- Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
2. Удаляем сопутствующие вредоносные программы.
- Скачайте программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
- Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
- Откройте вкладку Сканер, и кликните по кнопке Проверить.
- После сканирования кликните OK, вам будет показан результат сканирования.
- Удалите всё что было найдено.
Троян TDSServ создает следующие файлы.
%Temp%\file.exe
%Temp%\TDSS[случайные_символы].tmp
%System%\drivers\TDSS[случайные_символы].sys
%System%\TDSS[случайные_символы].sys
%System%\TDSS[случайные_символы].dat
%System%\TDSS[случайные_символы].log
%System%\TDSSerrors.log
%System%\TDSSservers.dat
%System%\TDSSl.dll
%System%\TDSSlog.
%System%\TDSSmain.dll
%System%\TDSSinit.dll
%System%\TDSSlog.dll
%System%\TDSSadw.dll
%System%\TDSSpopup.dll
Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.
Как удалить Trojan-Keylogger.WIN32.Fung
Trojan-Keylogger.WIN32.Fung - это имя под которым маскируется другой опасный троян, который используется для распространения поддельных антиспайварных программ. В случае заражения компьютера появляется предупреждение системы безопасности Windows, говорящие о том, что встроенный брандмауэр (firewall) обнаружил на вашем компьютере активность трояна Trojan-Keylogger.WIN32.Fung и предлагается заблокировать его.
Это предупреждение - подделка и вам нужно просто его игнорировать. В любом случае у трояна одна задача, вынудить вас скачать и установить поддельную антиспаварную программу. Эта программа выполнит сканирование вашего компьютера и наёдет множество вирусов и троянов. После чего будет требовать купить её, чтобы активировать функцию “удаления” вредоносных программ. Делать этого не нужно, так как и предупреждение системы безопасности Windows описанное выше, так и результаты сканирования - это части одного обмана.
HijackThis показывает заражение:
O4 - HKCU\..\Run: [asus32] “%UserProfile%\Application Data\Google\mupd1_2_1711951.exe
Как удалить троян:
Этото троян и другие вредоносные программы, которые могли попасть вместе с ним на ваш компьютер можно удалить двумя способами. Если первый способ не работает, попробуйте второй.
1. Используя SmitFraudFix.
- Скачайте Smitfraudfix на ваш рабочий стол.
- Перезагрузите компьютер в безопасном режиме.
- Запустите Smitfraudfix.
- Нажмите 2, для выбора режима лечения (2 - Clean).
- Программа спросит у вас о необходимости очистки реестра (Do you want to clean the registry ?), нажмите Y и подтвердите свой выбор клавишей Enter. Этим вы разрешите программе удалить из реестра все, что ассоциировано с найденным спайваре.
- Далее Smitfraudfix проверит инфицирование файла wininet.dll, если этот файл заражен, то вам будет предложено заменить его (Replace infected file ?) на не зараженный файл. Нажмите Y и подтвердите свой выбор клавишей Enter.
- Для окончания очистки системы от заражения программа перезапустит ваш компьютер.
2. Используя программу Malwarebytes’ Anti-Malware.
- Скачайте Malwarebytes’ Anti-Malware и установите её на компьютер. Запустите.
- Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
- Откройте вкладку Сканер, и кликните по кнопке Проверить.
- После сканирования кликните OK, вам будет показан результат сканирования.
- Удалите всё что было найдено.
Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.
Как удалить joke-bluescreen троян
В последнее время активизировался троян который своими действиями напоминает два: это joke-bluescreen[McAfee] и Generic Downloader.k [McAfee] (trojan downloader apher [Webroot], Scam.Iwin [CounterSpy], Win32/Shadown!generic [VET], Trojan-Downloader.Win32.Tiny.bn [Kaspersky]). Этот паразит после заражения компьютера скачивает и устанавливает поддельные антиспайваре программы (Antivirus XP, IE Defender), призывая пользователя к покупке лицензии на эти программы (эти не программы не помогут вам).
Этот троян распространяется посредством спама (сообщения с заголовком cnn.com breaking news или msnbc.com breaking news), дыр в браузерах и Java машине.
Основные проявления трояна:
- после загрузки компьютера, в качестве фона рабочего стола устанавливается синий цвет
- появляется сообщение, что компьютер инфицирован и требуется установить антиспайварную программу
- при сканировании антивирус находит перечисленные выше трояны
- возможно отключение некоторых функций Windows (System restore, Taskbar)
- резкое замедление работы компьютера
Как удалить троян:
Для начала скачиваем программы HijackThis и Combofix.
Запускаем HijackThis, выполняем сканирование, для этого кликните по кнопке “Do a system scan only”, затем отмечаем в открывшемся окне следующие строки (если они присутствуют):
O4 - HKLM\..\Run: [DLI32] C:\WINDOWS\dli32.exe
O4 - HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe
O4 - HKCU\..\Run: [CDriver] c:\microsoft\svchost.exe
O4 - HKCU\..\Run: [DDriver] c:\microsoft\svchost.exe
O4 - HKCU\..\Run: [alpha] c:\microsoft\svchost.exe
O4 - HKCU\..\Run: [beta] c:\microsoft\svchost.exe
O4 - HKCU\..\Run: [gamma] c:\microsoft\svchost.exe
O4 - HKLM\..\Run: [SMrhcjlaj0ee91] C:\Program Files\rhcjlaj0ee91\rhcjlaj0ee91.exe
O4 - HKLM\..\Policies\Explorer\Run: [CDriver] c:\microsoft\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [DDriver] c:\microsoft\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [alpha] c:\microsoft\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [beta] c:\microsoft\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [gamma] c:\microsoft\svchost.exe
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.securesoftwarefeed.com/redirect.php (file missing)
O9 - Extra ‘Tools’ menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.securesoftwarefeed.com/redirect.php (file missing)
O22 - SharedTaskScheduler: cariniana - {5c770fbc-cc2f-4acd-93e8-e6f0594307fd} - C:\WINDOWS\system32\gnjsjc.dll (file missing)
Закройте все открытые окна кроме HijackThis и кликните по кнопке Fix Checked. Запуститься процесс удаления.
Примечание 1: после названия переменной, например CDriver, gamma, стоит имя файла трояна, так вот путь к нему может быть разным, не только c:\microsoft\. Поэтому впервую очередь обращайте внимание именно на имя переменной, а затем проверяйте её значение.
Примечание 2: Строки с идентификатором O9 не существенны, они не отвечают за автозапуск.
Примечание 3: Обратите внимание на строки с идентификатором O22, имя “cariniana” может быть абсолютно любым, так же как и имя самого файла. Поэтому перед пометкой этой строки на удаление, проверьте её в Интернет.
Перезагрузите компьютер. Если часть симптомов заражения осталось, то выходит вы полностью не очистили свой компьютер. Следующий шаг - это запуск Combofix.
Запустите Combofix и следуйте указаниям.
Примечание 1: все указания на английском языке, ничего особо важного там не написано, вам будет предложенно ознакомиться с правилами использования программы и подтвердить запуск процедуры сканирования и лечения компьютера. Так что смело можете кликать ДА/YES/OK.
Примечание 2: перед использованием Combofix автор рекомендует отключить ваш антивирус.
Если данная иструкция вам не помогла, то обратитесь на наш антиспайварный форум, где я и команда Spyware-ru попытается вам помочь.
Как удалить трояны, которые используют autorun.inf файл
В Windows есть прекрасная возможность организовывать автозагрузку и автозапуск программ используя специально созданный файл – autorun.inf. Этот файл «может» многое, и одно из этого - обеспечение автоматического запуска определённого файла при открытии диска, где находится сам файл autorun.inf. Благодаря этой возможности трояны, спайваре и вирусы могут распространятся с одного зараженного компьютера на другой. Для примера, с зараженного домашнего, посредством флэшки, на ваш рабочий компьютер. Рассмотрим ниже действия необходимые для того чтобы удалить такие трояны.
1. удаляем файлы autorun.inf со всех ваших дисков, включая дискеты и USB диски.
Вручную:
- Перезапустите ваш компьютер в безопасном режиме.
- Кликните по кнопке Пуск, далее Запустить, введите cmd и нажмите Enter.
- В открывшемся окне командной консоли введите del /a:h /f c:\autorun.*, для диска D, введите del /a:h /f d:\autorun.*, и так далее, меняйте в строке только имя диска, оно выделено жирным шрифтом.
- Проделайте подобную операцию для всех ваших дисков, включая USB диски и тд.
Автоматически:
- Скачайте программу Combofix.
- Запустите, вам будут показаны правила использования программы, кликните YES для подтверждения.
- В процессе своей работы, combofix просканирует ваш компьютер, удалит найденные спайваре, трояны, а так же удалит с дисков файлы autorun.inf. В случае успешного удаления, в лог файле, в секции Others Deletions, будут перечислены удаленные файлы, в том числе и autorun.inf.
2. удаляем ключи реестра обеспечивающие автозапуск трояна при загрузке компьютера
- Скачайте и установите программу HijackThis.
- Запустите, кликните по кнопке Do a system scan only.
- Выделите галочкой следующие строки:
O4 - HKCU\..\Run: [avp] C:\WINDOWS\system32\avp.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe
O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
O4 - HKCU\..\Run: [TaskMonitor] C:\WINDOWS\system32\TaskMonitor.exe
O4 - HKCU\..\Run: [cftmonn] C:\WINDOWS\system32\cftmonn.exe - Закройте все открытые окна, кроме HijackThis, после чего нажмите кнопку Fix Checked. В результате программа удалит из реестра всё что вы выделили.
Небольшое замечание, в каждом конкретном случае как набор ключей, так и название файлов – троянов могут различаться, поэтому если вы увидели в логе HijackThis, а именно в секции O4, подозрительные строчки, обязательно их проверьте, используя Google или Yahoo.
3. удаляем трояны с диска.
- Скачайте архив программы Avenger.
- Распакуйте программу на ваш рабочий стол.
- Запустите Avenger, после чего в окне ввода введите или просто скопируйте следующий скрипт:
Files to delete:
C:\WINDOWS\system32\avp.exe
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\kxvo.exe
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\tavo.exe
C:\WINDOWS\system32\SCVVHSOT.exe
C:\WINDOWS\system32\cftmonn.exe
C:\WINDOWS\system32\TaskMonitor.exe
C:\WINDOWS\system32\wincab.sys - После чего нажмите кнопку Execute.
- Появится запрос на подтверждение ваших действий, кликните Yes/Да.
- Компьютер будет перезагружен.
4. Завершающий этап.
После перечисленных выше шагов желательно так же просканировать ваш компьютер используя какой-либо антивирус, онлайн сканнер или используя программу SDFix. Последняя программа создана специально для борьбы с троянами, червями и спайваре. Она просканирует ваш компьютер и удалит всё вредное.
Примечание 1: если вы не можете включить просмотр скрытых файлов, то прочитайте эту статью - Не включается просмотр скрытых файлов. Как исправить ?
Примечание 2: если у вас не получается удалить троян, или вы не уверенны в своих действиях, то обратитесь на наш форум.
Прочитайте больше о том как бороться с autorun.inf троянами: Flash_Disinfector ещё одно оружие против autorun.inf троянов.
Как удалить braviax.exe/cru629.dat/users32.dat троян с вашего компьютера
В последнее время получил распространение троян основными компонентами которого являются файлы braviax.exe, cru629.dat, users32.dat. Этот троян сам по себе не повреждает ваш компьютер, но он может загружать дополнительные модули, прокси серверы, кейлоггеры и многое другое.
Основные признаки заражения:
- вам предложено купить специальную программу для удаления троянов/спайваре, причём это предложение часто появляется перед вами.
- появление множества внезапно выскакивающих окон с различной рекламой.
- увеличение исходящего трафика.
- появление привлекающих внимание иконок на панели задач.
Таким образом, надо лечить ваш компьютер немедленно.
Подтвердить наличие инфекции можно скачав программу HijackThis и просканировав ей ваш компьютер. В случае заражения вы увидите похожие строчки:
O4 - HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O20 - AppInit_DLLs: cru629.dat
Так же если ваш компьютер ведет себя нестандартно, попробуйте выполнить поиск файла braviax.exe, не пытайтесь его удалить вручную. Нет смысла, после перезагрузки он будет восстановлен. Так же и с файлами cru629.dat и users32.dat.
Как удалить braviax.exe/cru629.dat/users32.dat троян:
Чтобы излечиться от этой заразы вам понадобятся несколько бесплатных анти спайварных программ. Это SDFix и ComboFix.
Скачайте SDFix, после чего кликните по файлу, он автоматически распакуется в каталог SDFix, который будет создан на вашем системном диске (диск на котором находиться каталог Windows).
Перезагрузите компьютер в безопасном режиме.
Откройте каталог SDFix и дважды кликните по файлу RunThis.bat.
Нажмите клавишу Y для подтверждения начала процесса очистки. Программа начнет поиск и удаление шпионов, троянов и тд. По окончании этого процесса, вам нужно нажать любую клавишу для перезагрузки компьютера. После того как компьютер загрузиться, эта программа автоматически запуститься и продолжит процесс поиска и удаления. По его окончании будет показано сообщение об этом, нажмите любую клавишу, программа закроется и откроется ваш рабочий стол.
Закройте все запущенные программы. Запустите ComboFix. Я не буду останавливаться на том как и зачем использовать Combofix, просто в подтверждайте свои действия когда программа будет спрашивать разрешение на выполнение того или иного действия.
Основную работы выполнит программа Sdfix, Combofix только подчистит то, что этот троян успел натащить к вам на компьютер.
Примечание 1: некоторые версии трояна не позволяют запускать анти спайварные программы, столкнувшись с этим попробуйте переименовать нужную программу и запустить ее снова.
Примечание 2: при разборке логов и помощи людям на форуме, я так же столкнулся с тем, что попадаются случаи когда сам braviax, то ли его модуль инфицирует легальные файлы, эти файлы Combofix показывает как зараженные Win32.Agent.zb и тогда единственная возможность избавиться от трояна это переустановить эти программы и конечно же удалить троян с компьютера.
Примечание 3: можно ли удалить троян без SDFix ? можно, но сложно 
для этого необходимо анализировать ваш компьютер и писать специальный скрипт.
Примечание 4: Sdfix желательно запускать в безопасном режиме, я уже писал как в него заходить и что делать если спайваре блокировало безопасный режим.
К сожалению существуют случаи инфицирования, когда после выполнения описанной выше инструкции, какие-то части троянов/вирусов/спайваре остаются. В этом случае прочитайте следующий топик.
SdFix – бесплатная программа для удаления троянов и руткитов
SdFix это бесплатная программа для удаления троянов, руткитов, шпионских и других вредоносных программ. Эту утилиту создал AndyManchesta.
Несколько примеров того, что удаляет SDFix. (в том виде как их определяет HijackThis)
Трояны бэкдоры (backdoors) и ирцботы(IRCBot):
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\accwiz.exe
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\astra32.exe
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\Avsynmgr.exe
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\BTStack.exe
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\BTTray.exe
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\ctfmon.exe
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\czsrv.exe
…
Трояны Ranky/Ranck:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\etc\services.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\NT\nrcs.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\1.tmp
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\mbti.exe
…
Загрузчики троянов, Прокси, Бэкдоры, трояны кейлоггеры:
F2 - REG:system.ini: Shell=explorer.exe %Temp%\cryptfg.exe
F2 - REG:system.ini: Shell=Explorer.exe boot
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\alg32.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\MSACCESS.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\explorer..exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
…
HackerDefender:
O23 - Service: MSDN Driver (msdndr) - Unknown owner - C:\WINDOWS\system32\msdndr.pif
O23 - Service: MSDV Driver (msdvdr) - Unknown owner - C:\WINDOWS\system32\msdvdr.pif
O23 - Service: ro0 Service (ro0Srv) - Unknown owner - C:\WINDOWS\system32\ro0\ro0.exe
O23 - Service: Time Service (TIME) - Unknown owner - C:\WINDOWS\system32\(RandomName).exe
Трояны и руткит компоненты:
__oddysee.sys
asc355.sys
asc355O.sys
asc3550a.sys
asc3550o.sys
asc3550p.sys
asc3550u.sys
asc3550v.sys
backsys.sys
core.sys
…
Примечание:
- если при запуске sdfix появляется сообщение об ошибке «The command prompt has been disabled by your administrator. Press any key to continue . . .», то в этом случае выполните следующие действия, Кликните по кнопке Пуск, далее выбрать пункт Запустить, далее введите «%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg» и нажмите Enter. После этого попробуйте запустить sdfix снова.
- если при запуске sdfix быстро выскакивает и исчезает окно командной строки (Windows XP и Windows 2000), то нужно кликнуть по кнопке Пуск, далее выбрать пункт Запустить, далее ввести «%systemdrive%\SDFix\apps\FixPath.exe /Q Reboot ». После этого попробуйте запустить sdfix снова.
- если sdfix продалжает не запускаться, то проверьте системную переменную %comspec%. Для этого кликните правой клавишей по иконке Мой компьютер, в контекстном меню выберите пункт Свойства, далее закладку Дополнительно и внизу шелкните по кнопке Переменные среды. В нижней части появившегося окна проверьте, что значение переменной ComSpec это «%SystemRoot%\system32\cmd.exe», если это не так, то отредактируйте значение этой переменной.
Как использовать SDFix
- Скачайте SDFix по ссылке приведенной ниже.
- Дважды кликните по загруженному файлу и вы запустите процесс автоматической распаковки файла. Все файлы будут распакованы в %systemdrive%\SDFix, то есть в каталог SDFix на вашем системном диске (диске где находиться каталог Windows)
- Далее перезагрузите компьютер в безопасном режиме. Зайдите в каталог SDFix и кликните дважды по файлу RunThis.bat
- Нажмите Y для начала сканирования.
- По окончанию сканирования ваш компьютер будет перезагружен, при последующей его загрузке будут удалены все найденные трояны, спайваре и тд.
- По окончании удаления на экран будет выведен созданный лог файл, где будут указаны какие действия выполнила программа.
Примечание: перед началом работы sdfix делает резервную копию реестра используя программу ERUNT, что позволяет в случает необходимости сделать отмену изменений.
