Як видалити троянську програму
Історія одного лікування на прикладі зловреда AntiVir: Worm / Dorkbot.A.24, DrWeb: BackDoor.Butter.23, Kaspersky: Backdoor.Win32.Ruskill.dj, NOD32: Win32 / Dorkbot.B.
Симптоми у цього зловреда були такі: не оновлюється антивірус, комп'ютер працює дуже погано: «жахливо гальмує і висне», періодично перестає відгукуватися і вимикається з «синім екраном смерті», багато сайтів в інтернеті не відкриваються, результати веб-пошуку змінені, на робочому столі з'являються нові ярлики, при натисканні на які, користувач потрапляє на інші заражені веб-сайти. Крім того троян краде конфіденційну інформацію: список відвіданих веб-сторінок, логіни-паролі до сайтів, кредитними картками і т.д.
Симптом №1, за яким можна визначити наявність зловредів в системі: вставити флешку і подивитися в файловому менеджері (в даному випадку Total Commander) не з'явилося на флешці будь-яких нових файлів, папок, ярликів, прихованих файлів і папок. Якщо так - то в системі шкідлива програма 100% присутня. В даному випадку маємо таку картину:
Результат зараження флешки троянської програмою
Справжні папки з файлами в даний момент приховані (1), тобто коли б ми відкрили флешку через Провідник Windows (Мій комп'ютер - Знімний диск), то цих папок ми б не побачили. Але на їх місці з'явилися ярлики (2), які мають ті ж назви як і справжні папки і виглядають як справжні папки, так що візуально звичайний користувач може і не помітити каверзи. З'являється також прихована папка «RECYCLER» (3), в якій знаходиться файл «11afb2c9.exe». Зараження комп'ютера відбувається наступним чином: нічого не підозрюючи користувач відкриває флешку і натискає на ярлик, думаючи що він відкриває папку. При цьому запускається файл 11afb2c9.exe з папки «RECYCLER» (як Ви здогадалися, це вірус) і одночасно відкривається потрібна користувачеві прихована папка, так що момент зараження комп'ютера відбувається зовсім непомітно.
Перше, що потрібно зробити - відновити антивірусну програму і антивірусні бази до актуальної версії і проконтролювати чи модулі антивіруса працюють. На зараженому комп'ютері стояв Avast, але його оновлення нам, на жаль, нічого не дало, антивірус мовчить як партизан, поводиться так, як ніби ніякого зараження на комп'ютері немає.
Антивірус NOD32 може боротися тільки з наслідками вірусу: він видаляє з флешки ярлики, створені вірусом, видаляє вірусні файли (наприклад f5399233.exe, 11afb2c9.exe) з папки «RECYCLER». Самою ж причини зараження він не бачить і при вставці черговий флешки в заражений комп'ютер ми бачимо одну і ту ж картину, як антивірус створює бурхливу діяльність по знезараженню черговий флешки.
NOD32 Antivirus не здатний побороти причину зараження комп'ютера
Друге що ми робимо - запускаємо антітроянскую програму Malwarebytes Anti-Malware (запустити - оновити - швидке сканування. Огляд інших антишпигунських програм тут ). Одночасно завантажуємо файл «11afb2c9.exe» на сайт virustotal.com для перевірки:
Результати перевірки підозрілого файлу на сайті virustotal
Як видно з результатів перевірки наш Avast - єдиний з нормальних антивірусів, який нашого трояна не знає. В цьому і є причина його «партизанського мовчання» з цього приводу. (До слова сказати така ситуація трапляється з усіма антивірусами, ідеальних не буває, пропускають іноді все ...) Зате ось результати перевірки програмою Malwarebytes Anti-Malware порадували:
Результати перевірки програмою malwarebytes
Перші два записи - здається і є наш зловредів. Видаляємо всіх і перезавантажуємося.
Після перезавантаження викачуємо з сайту DrWeb-a безкоштовну лікує утиліту Dr.Web CureIt! ® (За результатами перевірки на virustotal-е ми вже знаємо, що DrWeb цю заразу знає і, отже, може знешкодити), скануємо комп'ютер. Утиліта нічого більше не знайшла, це означає що Avast і Malwarebytes Anti-Malware зі своїм завданням впоралися: комп'ютер чистий.
Подбаймо про те, щоб Avast вніс цього трояна в свою антивірусну базу і він почав визначатися у всіх його користувачів. Для цього потрібно файл «11afb2c9.exe» помістити в карантин антивіруса і від туди відправити його для аналізу:
Відправляємо файл для аналізу в компанію Avast
Тепер потрібно навести порядок на флешці. Видаляємо ярлики, папку «RECYCLER» і знімаємо атрибути зі прихованих папок. В Total Commander-е це зробити знову-таки зручніше:
Групове зміна атрибутів файлів в програмі Total Commander
Виділяємо всі наші приховані папки і запускаємо команду зміни атрибутів. У провіднику Windows це довелося б робити для кожної папки окремо.
Завершальний. Для цього робимо «контрольне вставлення флешки» і переконуємося що нічого крамольного з нею більше не відбувається. Візуальне покращення стану роботи комп'ютера теж на обличчя: він не висне, всі файли, папки, програми відкриваються нормально, інтернет працює, всі сайти відкриваються.
До слова сказати, дана методика підходить для видалення не тільки цього трояна, а й багатьох інших. Сподіваюся, це Вам якось допоможе!
Схожі матеріали:
Як видалити вірус Conficker (він же Downup, він же Downadup, він же Kido) - опис способу видалення вірусу, який свого часу створив багато головного болю користувачам, але і до цього дня є досить распростанённим.
Як визначити, чи є на комп'ютері шкідливе ПО - огляд антишпигунського програмного забезпечення. Одна з таких програм обов'язково повинна бути встановлена на комп'ютері так як антивіруси не завжди гідно справляються зі своїми обов'язками!
Як прибрати стартову сторінку Webalta, apeha.ru, ctel.ru, smaxi.net, wonderpage.org - деякі веб-сайти використовують нелегітимності способи завоювання пользовательськой аудиторії, від яких часом дуже важко позбутися. Описано способи боротьби з цією напастю.
