• Главная
  • Карта сайта
Не найдено

Як видалити троянську програму

  1. Схожі матеріали:

Історія одного лікування на прикладі зловреда AntiVir: Worm / Dorkbot Історія одного лікування на прикладі зловреда AntiVir: Worm / Dorkbot.A.24, DrWeb: BackDoor.Butter.23, Kaspersky: Backdoor.Win32.Ruskill.dj, NOD32: Win32 / Dorkbot.B.

Симптоми у цього зловреда були такі: не оновлюється антивірус, комп'ютер працює дуже погано: «жахливо гальмує і висне», періодично перестає відгукуватися і вимикається з «синім екраном смерті», багато сайтів в інтернеті не відкриваються, результати веб-пошуку змінені, на робочому столі з'являються нові ярлики, при натисканні на які, користувач потрапляє на інші заражені веб-сайти. Крім того троян краде конфіденційну інформацію: список відвіданих веб-сторінок, логіни-паролі до сайтів, кредитними картками і т.д.

Симптом №1, за яким можна визначити наявність зловредів в системі: вставити флешку і подивитися в файловому менеджері (в даному випадку Total Commander) не з'явилося на флешці будь-яких нових файлів, папок, ярликів, прихованих файлів і папок. Якщо так - то в системі шкідлива програма 100% присутня. В даному випадку маємо таку картину:

Результат зараження флешки троянської програмою

Справжні папки з файлами в даний момент приховані (1), тобто коли б ми відкрили флешку через Провідник Windows (Мій комп'ютер - Знімний диск), то цих папок ми б не побачили. Але на їх місці з'явилися ярлики (2), які мають ті ж назви як і справжні папки і виглядають як справжні папки, так що візуально звичайний користувач може і не помітити каверзи. З'являється також прихована папка «RECYCLER» (3), в якій знаходиться файл «11afb2c9.exe». Зараження комп'ютера відбувається наступним чином: нічого не підозрюючи користувач відкриває флешку і натискає на ярлик, думаючи що він відкриває папку. При цьому запускається файл 11afb2c9.exe з папки «RECYCLER» (як Ви здогадалися, це вірус) і одночасно відкривається потрібна користувачеві прихована папка, так що момент зараження комп'ютера відбувається зовсім непомітно.

Перше, що потрібно зробити - відновити антивірусну програму і антивірусні бази до актуальної версії і проконтролювати чи модулі антивіруса працюють. На зараженому комп'ютері стояв Avast, але його оновлення нам, на жаль, нічого не дало, антивірус мовчить як партизан, поводиться так, як ніби ніякого зараження на комп'ютері немає.

Антивірус NOD32 може боротися тільки з наслідками вірусу: він видаляє з флешки ярлики, створені вірусом, видаляє вірусні файли (наприклад f5399233.exe, 11afb2c9.exe) з папки «RECYCLER». Самою ж причини зараження він не бачить і при вставці черговий флешки в заражений комп'ютер ми бачимо одну і ту ж картину, як антивірус створює бурхливу діяльність по знезараженню черговий флешки.

NOD32 Antivirus не здатний побороти причину зараження комп'ютера

Друге що ми робимо - запускаємо антітроянскую програму Malwarebytes Anti-Malware (запустити - оновити - швидке сканування. Огляд інших антишпигунських програм тут ). Одночасно завантажуємо файл «11afb2c9.exe» на сайт virustotal.com для перевірки:

Результати перевірки підозрілого файлу на сайті virustotal

Як видно з результатів перевірки наш Avast - єдиний з нормальних антивірусів, який нашого трояна не знає. В цьому і є причина його «партизанського мовчання» з цього приводу. (До слова сказати така ситуація трапляється з усіма антивірусами, ідеальних не буває, пропускають іноді все ...) Зате ось результати перевірки програмою Malwarebytes Anti-Malware порадували:

Результати перевірки програмою malwarebytes

Перші два записи - здається і є наш зловредів. Видаляємо всіх і перезавантажуємося.

Після перезавантаження викачуємо з сайту DrWeb-a безкоштовну лікує утиліту Dr.Web CureIt! ® (За результатами перевірки на virustotal-е ми вже знаємо, що DrWeb цю заразу знає і, отже, може знешкодити), скануємо комп'ютер. Утиліта нічого більше не знайшла, це означає що Avast і Malwarebytes Anti-Malware зі своїм завданням впоралися: комп'ютер чистий.

Подбаймо про те, щоб Avast вніс цього трояна в свою антивірусну базу і він почав визначатися у всіх його користувачів. Для цього потрібно файл «11afb2c9.exe» помістити в карантин антивіруса і від туди відправити його для аналізу:

Відправляємо файл для аналізу в компанію Avast

Тепер потрібно навести порядок на флешці. Видаляємо ярлики, папку «RECYCLER» і знімаємо атрибути зі прихованих папок. В Total Commander-е це зробити знову-таки зручніше:

Групове зміна атрибутів файлів в програмі Total Commander

Виділяємо всі наші приховані папки і запускаємо команду зміни атрибутів. У провіднику Windows це довелося б робити для кожної папки окремо.

Завершальний. Для цього робимо «контрольне вставлення флешки» і переконуємося що нічого крамольного з нею більше не відбувається. Візуальне покращення стану роботи комп'ютера теж на обличчя: він не висне, всі файли, папки, програми відкриваються нормально, інтернет працює, всі сайти відкриваються.

До слова сказати, дана методика підходить для видалення не тільки цього трояна, а й багатьох інших. Сподіваюся, це Вам якось допоможе!

Схожі матеріали:

Як видалити вірус Conficker (він же Downup, він же Downadup, він же Kido) - опис способу видалення вірусу, який свого часу створив багато головного болю користувачам, але і до цього дня є досить распростанённим.

Як визначити, чи є на комп'ютері шкідливе ПО - огляд антишпигунського програмного забезпечення. Одна з таких програм обов'язково повинна бути встановлена на комп'ютері так як антивіруси не завжди гідно справляються зі своїми обов'язками!

Як прибрати стартову сторінку Webalta, apeha.ru, ctel.ru, smaxi.net, wonderpage.org - деякі веб-сайти використовують нелегітимності способи завоювання пользовательськой аудиторії, від яких часом дуже важко позбутися. Описано способи боротьби з цією напастю.

Новости
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью