В основном этот троян используется для распространения поддельных антивирусов. Когда этот паразит запущен, он заменяет заставку на рабочем столе, показывая сообщение YOUR SYSTEM IS INFECTED, и кроме этого будет время от времени показывать предупреждение о том, что компьютер заражён опасным червём Worm.Win32.Netsky и что рекомендуется выполнить срочную проверку компьютера. При этом предлагается установить специальную программу – поддельный антивирус, например Internet Security 2010. Все эти сообщение подделка, поэтому можете смело их игнорировать!

Если ваш компьютер заражён таким трояном, то воспользуйтесь ниже приведённой инструкцией, которая поможет вам удалить smss32.exe, winlogon32.exe, helper32.dll и поддельное предпреждение «Worm.Win32.Netsky Spyware Alert».

HijackThis показывает заражение

F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\smss32.exe
O4 – HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winlogon32.exe
O10 – Unknown file in Winsock LSP: c:\windows\system32\helper32.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\helper32.dll

Как удалить smss32.exe, winlogon32.exe, helper32.dll (поддельное предупреждение Worm.Win32.Netsky Spyware Alert)

Шаг 1.

Скачайте программу HijackThis кликнув по этой ссылке, но в диалоге сохранения файла измените имя HijackThis.exe на explorer.exe, после чего сохраните файл на ваш рабочий стол.

Кликните дважды по иконке explorer.exe на вашем рабочем столе для запуска программы. Откроется главное меню. Кликните по кнопке Do a system scan only.

Выделите галочками слева все строки похожие на следующие:

F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\smss32.exe
O4 – HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winlogon32.exe

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES. Закройте HijackThis.

Шаг 2.

Скачайте программу LSPFix и распакуйте её на рабочий стол.

Запустие LSPFix. Поставьте галочку напротив пункта “I know what i`m doing”.

В списке KEEP выберите helper32.dll и нажмите кнопку “>>”.

Нажмите кнопку Finish>>. Когда программа закончит работу, закройте её кликнув по кнопке OK.

Шаг 3.

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.

Откройте вкладку Обновления, и кликните по кнопке Проверить обновления.

Откройте вкладку Сканер, и кликните по кнопке Проверить.

После сканирования кликните Показать результаты и вам будет показан результат сканирования.

Кликните по кнопке Удалить выделенные.

Примечание: если эта инструкция вам не помогла, то обратитесь на наш антивирусный форум.

В основном этот троян используется для распространения поддельных антивирусов. Когда этот паразит запущен, он будет время от времени показывать предупреждение о том, что компьютер заражён опасным червём Worm.Win32.Netsky и что рекомендуется выполнить срочную проверку компьютера. При этом предлагается установить специальную программу – поддельный антивирус, например Internet Security 2010. Всё это обман, который нужно игнорировать! Ниже будет приведена инструкция по-удалению троянов winupdate86.exe, winhelper86.dll, winlogon86.exe и поддельного предпреждения «Worm.Win32.Netsky Spyware Alert».

HijackThis показывает заражение

F2 – REG:system.ini: Shell=Explorer.exe logon.exe
F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon86.exe
O4 – HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe
O10 – Unknown file in Winsock LSP: c:\windows\system32\winhelper86.dll
O10 – Unknown file in Winsock LSP: c:\windows\system32\winhelper86.dll

Как удалить winupdate86.exe, winhelper86.dll, winlogon86.exe (поддельное предупреждение Worm.Win32.Netsky Spyware Alert)

Шаг 1.

Скачайте программу HijackThis кликнув по этой ссылке, но в диалоге сохранения файла измените имя HijackThis.exe на explorer.exe, после чего сохраните файл на ваш рабочий стол.

Кликните дважды по иконке explorer.exe на вашем рабочем столе для запуска программы. Откроется главное меню. Кликните по кнопке Do a system scan only.

Выделите галочками слева все строки похожие на следующие:

F2 – REG:system.ini: Shell=Explorer.exe logon.exe
F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon86.exe
O4 – HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe

Закройте все запущенные программы (включая InternetExplorer) и окна Windows.

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES. Закройте HijackThis.

Шаг 2.

Скачайте программу LSPFix кликнув по этой ссылке и распакуйте её на рабочий стол.

Запустие LSPFix. Поставьте галочку напротив пункта “I know what i`m doing”.

В списке KEEP выберите winhelper86.dll и нажмите кнопку “>>”.

Нажмите кнопку Finish>>. Когда программа закончит работу, закройте её кликнув по кнопке OK.

Шаг 3.

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер.

Откройте вкладку Сканер, и кликните по кнопке Проверить.

После сканирования кликните Показать результаты и вам будет показан результат сканирования.

Кликните по кнопке Удалить выделенные.

Примечание: если эта инструкция вам не помогла, то обратитесь на наш антивирусный форум.

Когда вы ищете что-либо через поисковые системы (Google, Yahoo, MSN) и кликатете на ссылку в результатах поиска, то попадаете совсем не на тот сайт, на который хотели. При этом в строке статуса браузера вы можете успеть увидеть, что были сначала перенаправлены на сайт windowsclick.com. Кроме этого UACd.sys троян может блокировать доступ к антиспайварным и антивирусным сайтам, заблокировать работу и обновление антивирусных программ. И конечно же, после заражения ваш компьютер будет работать медленнее чем обычно.

Выполните следующие инструкции для удаления редиректа на windowsclick.com и UACd.sys трояна.

1. Удаление скрытого драйвера UACd.sys.

• Скачайте программу Avenger кликнув по этой ссылке.
• Распакуйте её на Рабочий стол.
• Запустите Avenger.
• Скопируйте ниже приведённый текст в Input script Box:
  

  Drivers to delete:
  UACd.sys

• Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
• Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.

2. Удаления остальных паразитов, которые могли попасть на ваш компьютер вместе с UACd.sys трояном.

• Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Примечание: если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.

Security Center Alert
To help protect your computer, Windows Firewall has blocked activity of harmful software.
Do you want to block this suspicious software?
Name: Spyware.ISpynow
Risk Level: High
Description: iSpynow is a Spyware program that records keystrokes and takes screen shots of the computer, stealing personal financial information.

то это говорит только о том, что ваш компьютер заражён опасным трояном, но само это сообщение является поддельным. В зависимости от версии трояна сообщение может частично меняться.
Этот троян использует такие сообщения, для того чтобы обманом вынудить вас установить поддельную антиспайварную программу (Perfect Defender 2009 или возможно другую).

HijackThis показывает заражение.

O4 – HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 – HKCU\..\Run: [winhpdrv] “C:\Documents and Settings\User\Application Data\Google\[Набор_букв_и_цифр].exe”
O4 – HKCU\..\Run: [HPseti] “C:\Documents and Settings\User\Application Data\Google\[Набор_букв_и_цифр].exe”
Примечание: [Набор_букв_и_цифр] – это случайная комбинация букв и цифр, первые 5 знаков в имени – буквы, остальные 6 – это цифры, например runhh6110411.exe, ijdkq13324484.exe, xtgoj6119471.exe.

Инструкция по удаленияю трояна с компьютера.

1. Отключаем драйвер трояна TDSSserv.
Троян TDSSserv может так же поразить ваш компьютер вместе с паразитом описанным выше, а так как он более опасен и может блокировать работу антиспайварных программ, то процесс лечения компьютера необходимо начинать именно с его удаления.

• Кликните правой клавишей мыши по иконке Мой компьютер.
• В открывшемся меню выберите пункт Свойства.
• В открывшемся окне Свойства системы выберите вкладку Оборудование.
• Кликните по кнопке Диспетчер устройств.
• Кликните Вид, в открывшемся меню кликните по пункту Показать скрытые устройства.
• В списке устройств найдите пункт Драйверы устройств не Plug and Play.
• Кликните по + слева от наименования этого пункта.
• В открывшемся списке кликните правой клавишей по пункту TDSSserv или TDSSserv.sys.
• В открывшемся меню выберите Отключить.
• Кликните Да для подтверждения ваших действий.
• Закройте все окна и перезагрузите компьютер.

2. Удаляем другие части трояна.

• Скачайте OTM by OldTimer кликнув по этой ссылке.
• Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.
  

  :reg
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  “SVCHOST.EXE”=-
  “winhpdrv”=-
  “HPseti”=-
  “HPsetm”=-
  “nah_Shell”=-

  :files
  C:\WINDOWS\system32\drivers\svchost.exe
  %UserProfile%\nah_eere.exe
  %UserProfile%\Application Data\Google\ijdkq13324484.exe
  %UserProfile%\AppData\Roaming\Google\dvvm.exe
  %UserProfile%\Application Data\Google\xtgoj6119471.exe
  %UserProfile%\Application Data\Google\teuaa1726165.exe
  %UserProfile%\Google\runhh6110411.exe

• Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
• Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.

Основные симптомы заражения трояном Vundo.

• Множество вплывающих окон.
• Резкое замедление работы компьютера.
• Поддельные сообщения службы безопасности о том, что компьютер заражён и необходимо скачать специальную программу, чтобы вылечить компьютер. ОБЯЗАТЕЛЬНО игнорируйте это сообщение, ни в коем случае не скачивайте и не устанавливайте никаких дополнительных программ.
• Ваш антивирус сообщает об заражении компьютера трояном Vundo и не может его удалить.

HijackThis показывает заражёние.

O2 – BHO: WTLHelper Object – {75DC57F8-D831-4AB8-86B7-4F826F4A0873} – C:\WINDOWS\system32\unnqw.dll
O2 – BHO: (no name) – {10654df0-1449-4b62-82e9-9a6f61cc2ed7} – C:\WINDOWS\system32\yehifuni.dll (file missing)
O4 – HKLM\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s
O4 – HKLM\..\Run: [CPM3b906d0c] Rundll32.exe “c:\windows\system32\henemate.dll”,a
O4 – HKLM\..\Run: [38a35e90] rundll32.exe “C:\WINDOWS\system32\wavemile.dll”,b
O4 – HKLM\..\Run: [prunnet] “C:\WINDOWS\system32\prunnet.exe”
O4 – HKLM\..\Run: [jsf8j34rgfght] C:\DOCUME~1\user\LOCALS~1\Temp\winloggn.exe
O4 – HKCU\..\Run: [gadcom] “C:\Documents and Settings\user\Application Data\gadcom\gadcom.exe” 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 – HKUS\S-1-5-19\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘LOCAL SERVICE’)
O4 – HKUS\S-1-5-20\..\Run: [risawenifa] Rundll32.exe “C:\WINDOWS\system32\lujivoni.dll”,s (User ‘NETWORK SERVICE’)
O20 – AppInit_DLLs: c:\windows\system32\kabunabo.dll c:\windows\system32\pasaruwe.dll c:\windows\system32\vinomisu.dll c:\windows\system32\zahuzihi.dll C:\WINDOWS\system32\tazeyubo.dll C:\WINDOWS\system32\wifufulu.dll c:\windows\system32\gesekise.dll c:\windows\system32\kelinepe.dll c:\windows\system32\henemate.dll
O21 – SSODL: SSODL – {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} – c:\windows\system32\kelinepe.dll
O22 – SharedTaskScheduler: STS – {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} – c:\windows\system32\kelinepe.dll

Примечание: как вы видите из примеров выше в качестве имён файлов используется случайный набор символов. Трояно Vundo поражает практически все возможные способы автозапуска, причём HijackThis не показывает все эти способы.

Используйте следующие инструкции для удаления трояна Vundo.

1. Используя программу VundoFix.

• Скачайте VundoFix и запишите его на ваш рабочий стол.
• Дважды кликните по файлу vundofix.exe для запуска.
• Когда VundoFix запуститься, кликните по кнопке Scan for Vundo.
• После окончания сканирования, кликните по кнопке Remove Vundo.
• Будет показан запрос на подтверждение удаления файлов, кликните по кнопке YES. Возможно что в процессе удаления трояна, VundoFix не сможет удалить ассоциированный с трояном файл, поэтому он попытается его удалить после перезагрузки
• после этого ваш рабочий стол очиститься и запустится процесс удаления трояна
• когда он закончится, у вас будет запрошено разрешение на перезагрузку компьютера, кликните по кнопке YES

2. Используя программу VirtumundoBegone.

• Скачайте VirtumundoBegone кликнув по этой ссылке и запишите его на ваш рабочий стол.
• Перазапустите ваш компьютер в Безопасном режиме.
• Запустите VirtumundoBeGone.exe
• Кликните по кнопке Continue, затем по кнопке Start.
• В процессе работы возможно программа перезагрузит компьютер.
• Когда программа закончит работу, откроется лог файл с описанием всего, чтобы было сделано.

3. Используя Malwarebytes Anti-Malware.

• Скачайте Malwarebytes Anti-Malware.
• Запустите, на начальной стадии не забудьте выбрать русский язык интерфейса.
• Следуйте указаниям. По окончании установки программы, запуститься процесс обновления. По его окончании откроется главное меню Malwarebytes Anti-Malware.
• Откройте вкладку Сканер и кликните по кнопке Проверить. Будьте терпеливы, процесс сканирования может быть довольно долгим.
• После сканирования кликните Показать результаты и вам будет показан результат сканирования.
• Кликните по кнопке Удалить выделенные.

Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.

Рассмотрим как удалить троян TDSSserv и сопутствующие вредоносные программы.

1. Отключаем основной компонент (скрытый драйвер) трояна TDSSserv.

• Кликните правой клавишей мыши по иконке Мой компьютер.
• В открывшемся меню выберите пункт Свойства.
• В открывшемся окне Свойства системы выберите вкладку Оборудование.
• Кликните по кнопке Диспетчер устройств.
• Кликните Вид, в открывшемся меню кликните по пункту Показать скрытые устройства.
• В списке устройств найдите пункт Драйверы устройств не Plug and Play.
• Кликните по + слева от наименования этого пункта.
• В открывшемся списке кликните правой клавишей по пункту TDSSserv или TDSSserv.sys или TDSSxyz.sys где xyz случайные символы. Так же отключите драйвера clbdriver.sys, seneka.sys (это тоже трояны, которые могут идти в комплекте).
• В открывшемся меню выберите Отключить.
• Кликните Да для подтверждения ваших действий.
• Закройте все окна и перезагрузите компьютер.

2. Удаляем троян TDSSserv

• Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
• Запустите и скопируйте ниже приведённый текст в Input script Box:
  

  Drivers to delete:
  TDSSserv.sys
  clbdriver.sys
  seneka.sys

• Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
• Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.

3. Удаляем сопутствующие вредоносные программы.

• Скачайте программу Malwarebytes Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Троян TDSSserv создает следующие файлы.

%Temp%\file.exe
%Temp%\TDSS[случайные_символы].tmp
%System%\drivers\TDSS[случайные_символы].sys
%System%\TDSS[случайные_символы].sys
%System%\TDSS[случайные_символы].dat
%System%\TDSS[случайные_символы].log
%System%\TDSSerrors.log
%System%\TDSSservers.dat
%System%\TDSSl.dll
%System%\TDSSlog.
%System%\TDSSmain.dll
%System%\TDSSinit.dll
%System%\TDSSlog.dll
%System%\TDSSadw.dll
%System%\TDSSpopup.dll

Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.

Это предупреждение – подделка и вам нужно просто его игнорировать. В любом случае у трояна одна задача, вынудить вас скачать и установить поддельную антиспаварную программу. Эта программа выполнит сканирование вашего компьютера и наёдет множество вирусов и троянов. После чего будет требовать купить её, чтобы активировать функцию «удаления» вредоносных программ. Делать этого не нужно, так как и предупреждение системы безопасности Windows описанное выше, так и результаты сканирования – это части одного обмана.

HijackThis показывает заражение:

O4 – HKCU\..\Run: [asus32] “%UserProfile%\Application Data\Google\mupd1_2_1711951.exe

Как удалить троян:
Этото троян и другие вредоносные программы, которые могли попасть вместе с ним на ваш компьютер можно удалить двумя способами. Если первый способ не работает, попробуйте второй.
1. Используя SmitFraudFix.

• Скачайте Smitfraudfix на ваш рабочий стол.
• Перезагрузите компьютер в безопасном режиме.
• Запустите Smitfraudfix.
• Нажмите 2, для выбора режима лечения (2 – Clean).
• Программа спросит у вас о необходимости очистки реестра (Do you want to clean the registry ?), нажмите Y и подтвердите свой выбор клавишей Enter. Этим вы разрешите программе удалить из реестра все, что ассоциировано с найденным спайваре.
• Далее Smitfraudfix проверит инфицирование файла wininet.dll, если этот файл заражен, то вам будет предложено заменить его (Replace infected file ?) на не зараженный файл. Нажмите Y и подтвердите свой выбор клавишей Enter.
• Для окончания очистки системы от заражения программа перезапустит ваш компьютер.

2. Используя программу Malwarebytes’ Anti-Malware.

• Скачайте Malwarebytes’ Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.

• после загрузки компьютера, в качестве фона рабочего стола устанавливается синий цвет
• появляется сообщение, что компьютер инфицирован и требуется установить антиспайварную программу
• при сканировании антивирус находит перечисленные выше трояны
• возможно отключение некоторых функций Windows (System restore, Taskbar)
• резкое замедление работы компьютера

Как удалить троян:
Для начала скачиваем программы HijackThis и Combofix.
Запускаем HijackThis, выполняем сканирование, для этого кликните по кнопке «Do a system scan only», затем отмечаем в открывшемся окне следующие строки (если они присутствуют):

O4 – HKLM\..\Run: [DLI32] C:\WINDOWS\dli32.exe
O4 – HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe
O4 – HKCU\..\Run: [CDriver] c:\microsoft\svchost.exe
O4 – HKCU\..\Run: [DDriver] c:\microsoft\svchost.exe
O4 – HKCU\..\Run: [alpha] c:\microsoft\svchost.exe
O4 – HKCU\..\Run: [beta] c:\microsoft\svchost.exe
O4 – HKCU\..\Run: [gamma] c:\microsoft\svchost.exe
O4 – HKLM\..\Run: [SMrhcjlaj0ee91] C:\Program Files\rhcjlaj0ee91\rhcjlaj0ee91.exe
O4 – HKLM\..\Policies\Explorer\Run: [CDriver] c:\microsoft\svchost.exe
O4 – HKLM\..\Policies\Explorer\Run: [DDriver] c:\microsoft\svchost.exe
O4 – HKLM\..\Policies\Explorer\Run: [alpha] c:\microsoft\svchost.exe
O4 – HKLM\..\Policies\Explorer\Run: [beta] c:\microsoft\svchost.exe
O4 – HKLM\..\Policies\Explorer\Run: [gamma] c:\microsoft\svchost.exe
O9 – Extra button: (no name) – {9034A523-D068-4BE8-A284-9DF278BE776E} – http://www.securesoftwarefeed.com/redirect.php (file missing)
O9 – Extra ‘Tools’ menuitem: IE Anti-Spyware – {9034A523-D068-4BE8-A284-9DF278BE776E} – http://www.securesoftwarefeed.com/redirect.php (file missing)
O22 – SharedTaskScheduler: cariniana – {5c770fbc-cc2f-4acd-93e8-e6f0594307fd} – C:\WINDOWS\system32\gnjsjc.dll (file missing)

Закройте все открытые окна кроме HijackThis и кликните по кнопке Fix Checked. Запуститься процесс удаления.
Примечание 1: после названия переменной, например CDriver, gamma, стоит имя файла трояна, так вот путь к нему может быть разным, не только c:\microsoft\. Поэтому впервую очередь обращайте внимание именно на имя переменной, а затем проверяйте её значение.
Примечание 2: Строки с идентификатором O9 не существенны, они не отвечают за автозапуск.
Примечание 3: Обратите внимание на строки с идентификатором O22, имя «cariniana» может быть абсолютно любым, так же как и имя самого файла. Поэтому перед пометкой этой строки на удаление, проверьте её в Интернет.

Перезагрузите компьютер. Если часть симптомов заражения осталось, то выходит вы полностью не очистили свой компьютер. Следующий шаг – это запуск Combofix.

Запустите Combofix и следуйте указаниям.
Примечание 1: все указания на английском языке, ничего особо важного там не написано, вам будет предложенно ознакомиться с правилами использования программы и подтвердить запуск процедуры сканирования и лечения компьютера. Так что смело можете кликать ДА/YES/OK.
Примечание 2: перед использованием Combofix автор рекомендует отключить ваш антивирус.

Если данная иструкция вам не помогла, то обратитесь на наш антиспайварный форум, где я и команда Spyware-ru попытается вам помочь.

1. удаляем файлы autorun.inf со всех ваших дисков, включая дискеты и USB диски.

Вручную:

• Перезапустите ваш компьютер в безопасном режиме.
• Кликните по кнопке Пуск, далее Запустить, введите cmd и нажмите Enter.
• В открывшемся окне командной консоли введите del /a:h /f c:\autorun.*, для диска D, введите del /a:h /f d:\autorun.*, и так далее, меняйте в строке только имя диска, оно выделено жирным шрифтом.
• Проделайте подобную операцию для всех ваших дисков, включая USB диски и тд.

Автоматически:

• Скачайте программу Combofix.
• Запустите, вам будут показаны правила использования программы, кликните YES для подтверждения.
• В процессе своей работы, combofix просканирует ваш компьютер, удалит найденные спайваре, трояны, а так же удалит с дисков файлы autorun.inf. В случае успешного удаления, в лог файле, в секции Others Deletions, будут перечислены удаленные файлы, в том числе и autorun.inf.

2. удаляем ключи реестра обеспечивающие автозапуск трояна при загрузке компьютера

• Скачайте и установите программу HijackThis.
• Запустите, кликните по кнопке Do a system scan only.
• Выделите галочкой следующие строки:
  

  O4 – HKLM\..\Run: [SystemDrive] c:\windows\system32\SVCH0ST.EXE
  O4 – HKCU\..\Run: [avp] C:\WINDOWS\system32\avp.exe
  O4 – HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
  O4 – HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe
  O4 – HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
  O4 – HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
  O4 – HKCU\..\Run: [TaskMonitor] C:\WINDOWS\system32\TaskMonitor.exe
  O4 – HKCU\..\Run: [Realshade] C:\WINDOWS\system32\realshade.exe
  O4 – HKCU\..\Run: [cftmonn] C:\WINDOWS\system32\cftmonn.exe
  O4 – HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
  O4 – HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
  O4 – HKCU\..\Run: [kmmsoft] C:\WINDOWS\system32\revo.exe
  O4 – HKCU\..\Run: [jvsoft] C:\WINDOWS\system32\j3ewro.exe
  O4 – HKCU\..\Run: [ckvo] c:\windows\system32\ckvo.exe

• Закройте все открытые окна, кроме HijackThis, после чего нажмите кнопку Fix Checked. В результате программа удалит из реестра всё что вы выделили.

Небольшое замечание, в каждом конкретном случае как набор ключей, так и название файлов – троянов могут различаться, поэтому если вы увидели в логе HijackThis, а именно в секции O4, подозрительные строчки, обязательно их проверьте, используя Google или Yahoo.

3. удаляем трояны с диска.

• Скачайте архив программы Avenger.
• Распакуйте программу на ваш рабочий стол.
• Запустите Avenger, после чего в окне ввода введите или просто скопируйте следующий скрипт:
  

  Files to delete:
  C:\WINDOWS\system32\avp.exe
  C:\WINDOWS\system32\amvo.exe
  C:\WINDOWS\system32\kxvo.exe
  C:\WINDOWS\system32\kavo.exe
  C:\WINDOWS\system32\tavo.exe
  c:\windows\system32\Bitkv0.dll
  c:\windows\system32\Bitkv1.dll
  c:\windows\system32\kavo0.dll
  c:\windows\system32\kavo1.dll
  c:\windows\system32\tavo0.dll
  c:\windows\system32\tavo1.dll
  C:\WINDOWS\system32\SCVVHSOT.exe
  C:\WINDOWS\system32\TaskMonitor.exe
  C:\WINDOWS\system32\RavMon.exe
  C:\WINDOWS\system32\realshade.exe
  C:\WINDOWS\system32\cftmonn.exe
  C:\WINDOWS\system32\wincab.sys
  c:\windows\system32\ckvo.exe
  c:\windows\system32\ckvo0.dll
  c:\windows\system32\gasretyw0.dll
  c:\windows\system32\gasretyw1.dll
  c:\windows\system32\kamsoft.exe
  c:\windows\system32\vbsdfe1.dll
  c:\windows\system32\vbsdfe0.dll
  c:\windows\system32\vamsoft.exe
  C:\WINDOWS\system32\revo.exe
  c:\windows\system32\j3ewro.exe
  c:\windows\system32\jwedsfdo0.dll
  c:\resycled\boot.com
  C:\kjibu.com
  C:\6fnlpetp.exe
  C:\rcukd.cmd
  C:\rqq2v.bat
  C:\t.com
  C:\xp19.com
  C:\x0.cmd
  C:\yg.cmd
  C:\ntde1ect.com
  C:\tio8×6.cmd
  C:\d6fagcs8.cmd
  C:\gbiehbsb.dll
  C:\tio8×6.cmd
  C:\fooool.exe
  C:\8ng8w.com
  C:\x.com
  C:\xn1i9x.com
  c:\invwft2h.com
  c:\AutoRun\AutoStart.exe
  c:\AutoRun\autorun.pif
  c:\ktnquo.exe
  c:\NewVirusRemoval.vbs
  c:\kinza.exe
  c:\rs.cmd
  c:\yssjnngm.cmd
  c:\h3.bat
  c:\6fnlpetp.exe
  c:\boot.exe
  C:\6j2j.com
  c:\0jbnlnu8.exe
  c:\1q8p0y.com
  c:\2g.com
  c:\39ysi89.com
  c:\3jkka91.com
  c:\92j11sm.com
  c:\a.exe
  c:\cjrp8.com
  c:\dp.exe
  c:\jg6w3yx.com
  c:\ntnq.exe
  c:\nw0t1l0d.exe
  c:\q0rppr.exe
  c:\tj8odymw.exe
  c:\uh31.exe
  c:\vnkucvv.com
  c:\xpq63xl.exe
  c:\xwpehlv.com
  c:\fun.xls.exe
  c:\iqe68o.bat
  c:\AutoRun\AutoStart.exe
  c:\ampfrb.cmd
  c:\hbs.exe
  c:\yfog8p.exe
  c:\as.bat
  c:\phwe.com
  c:\o0s.cmd
  c:\xa2c.exe
  c:\killVBS.vbs
  c:\uxdeiect.com
  c:\clshsy.cmd
  c:\awda2.exe

• После чего нажмите кнопку Execute.
• Появится запрос на подтверждение ваших действий, кликните Yes/Да.
• Компьютер будет перезагружен.

4. Завершающий этап.

После перечисленных выше шагов желательно так же просканировать ваш компьютер используя какой-либо антивирус, онлайн сканнер или используя программу SDFix. Последняя программа создана специально для борьбы с троянами, червями и спайваре. Она просканирует ваш компьютер и удалит всё вредное.

Примечание 1: если вы не можете включить просмотр скрытых файлов, то прочитайте эту статью – Не включается просмотр скрытых файлов. Как исправить ?
Примечание 2: если у вас не получается удалить троян, или вы не уверенны в своих действиях, то обратитесь на наш форум.

Прочитайте больше о том как бороться с autorun.inf троянами: Flash_Disinfector ещё одно оружие против autorun.inf троянов.

• вам предложено купить специальную программу для удаления троянов/спайваре, причём это предложение часто появляется перед вами.
• появление множества внезапно выскакивающих окон с различной рекламой.
• увеличение исходящего трафика.
• появление привлекающих внимание иконок на панели задач.

Таким образом, надо лечить ваш компьютер немедленно.
Подтвердить наличие инфекции можно скачав программу HijackThis и просканировав ей ваш компьютер. В случае заражения вы увидите похожие строчки:

O4 – HKLM\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O20 – AppInit_DLLs: cru629.dat

Так же если ваш компьютер ведет себя нестандартно, попробуйте выполнить поиск файла braviax.exe, не пытайтесь его удалить вручную. Нет смысла, после перезагрузки он будет восстановлен. Так же и с файлами cru629.dat и users32.dat.

Как удалить braviax.exe/cru629.dat/users32.dat троян:
Чтобы излечиться от этой заразы вам понадобятся несколько бесплатных анти спайварных программ. Это SDFix и ComboFix.
Скачайте SDFix, после чего кликните по файлу, он автоматически распакуется в каталог SDFix, который будет создан на вашем системном диске (диск на котором находиться каталог Windows).

Перезагрузите компьютер в безопасном режиме.
Откройте каталог SDFix и дважды кликните по файлу RunThis.bat.
Нажмите клавишу Y для подтверждения начала процесса очистки. Программа начнет поиск и удаление шпионов, троянов и тд. По окончании этого процесса, вам нужно нажать любую клавишу для перезагрузки компьютера. После того как компьютер загрузиться, эта программа автоматически запуститься и продолжит процесс поиска и удаления. По его окончании будет показано сообщение об этом, нажмите любую клавишу, программа закроется и откроется ваш рабочий стол.

Закройте все запущенные программы. Запустите ComboFix. Я не буду останавливаться на том как и зачем использовать Combofix, просто в подтверждайте свои действия когда программа будет спрашивать разрешение на выполнение того или иного действия.

Основную работы выполнит программа Sdfix, Combofix только подчистит то, что этот троян успел натащить к вам на компьютер.

Примечание 1: некоторые версии трояна не позволяют запускать анти спайварные программы, столкнувшись с этим попробуйте переименовать нужную программу и запустить ее снова.

Примечание 2: при разборке логов и помощи людям на форуме, я так же столкнулся с тем, что попадаются случаи когда сам braviax, то ли его модуль инфицирует легальные файлы, эти файлы Combofix показывает как зараженные Win32.Agent.zb и тогда единственная возможность избавиться от трояна это переустановить эти программы и конечно же удалить троян с компьютера.

Примечание 3: можно ли удалить троян без SDFix ? можно, но сложно для этого необходимо анализировать ваш компьютер и писать специальный скрипт.

Примечание 4: Sdfix желательно запускать в безопасном режиме, я уже писал как в него заходить и что делать если спайваре блокировало безопасный режим.

К сожалению существуют случаи инфицирования, когда после выполнения описанной выше инструкции, какие-то части троянов/вирусов/спайваре остаются. В этом случае прочитайте следующий топик.