Главная » Безопасность » Как удалить троянскую программу

Как удалить троянскую программу

Как удалить троянскую программуИстория одного излечения на примере зловреда AntiVir: Worm/Dorkbot.A.24, DrWeb: BackDoor.Butter.23, Kaspersky: Backdoor.Win32.Ruskill.dj, NOD32: Win32/Dorkbot.B.

Симптомы у этого зловреда были такие: не обновляется антивирус, компьютер работает очень плохо: «ужасно тормозит и виснет», периодически перестаёт откликаться и выключается с «синим экраном смерти», многие сайты в интернете не открываются, результаты веб-поиска изменены, на рабочем столе появляются новые ярлыки, при нажатии на которые, пользователь попадает на другие зараженные веб-сайты. Кроме того троян ворует конфиденциальную информацию: список посещённых веб-страниц, логины-пароли к сайтам, кредитным картам и т.д.

Симптом №1, по которому можно определить наличие зловреда в системе: вставить флешку и посмотреть в файловом менеджере (в данном случае Total Commander) не появилось ли на флешке каких-либо новых файлов, папок, ярлыков, скрытых файлов и папок. Если да — то в системе зловредная программа 100% присутствует. В данном случае имеем такую картину:

Результат заражения флешки троянской программой

Результат заражения флешки троянской программой

Настоящие папки с файлами в данный момент скрыты (1), то есть когда бы мы открыли флешку через Проводник Windows (Мой компьютер — Съёмный диск), то этих папок мы бы не увидели. Но на их месте появились ярлыки (2), которые имеют те же названия как и настоящие папки и выглядят как настоящие папки, так что визуально обычный пользователь может и не заметить подвоха. Появляется также скрытая папка «RECYCLER» (3), в которой находится файл «11afb2c9.exe». Заражение компьютера происходит следующим образом: ничего не подозревающий пользователь открывает флешку и нажимает на ярлык, думая что он открывает папку. При этом запускается файл 11afb2c9.exe из папки «RECYCLER» (как Вы догадались, это вирус) и одновременно открывается нужная пользователю скрытая папка, так что момент заражения компьютера происходит совсем незаметно.

Первое, что нужно сделать — обновить антивирусную программу и антивирусные базы до актуальной версии и проконтролировать все ли модули антивируса работают. На зараженном компьютере стоял Avast, но его обновление нам, к сожалению, ничего не дало, антивирус молчит как партизан, ведёт себя так, как будто никакого заражения на компьютере нет.

Антивирус NOD32 может бороться только с последствиями вируса: он удаляет с флешки ярлыки, созданные вирусом, удаляет вирусные файлы (например f5399233.exe, 11afb2c9.exe) из папки «RECYCLER». Самой же причины заражения он не видит и при вставке очередной флешки в зараженный компьютер мы видим одну и ту же картину, как антивирус создаёт бурную деятельность по обеззараживанию очередной флешки.

Обнаружена угроза в памяти! Очистка невозможна. NOD32 Antivirus. Dorkbot.B

NOD32 Antivirus не способен побороть причину заражения компьютера

Второе что мы делаем — запускаем антитроянскую программу Malwarebytes Anti-Malware (запустить — обновить — быстрое сканирование. Обзор других антишпионских программ здесь). Одновременно загружаем файл «11afb2c9.exe» на сайт virustotal.com для проверки:

Результаты проверки подозрительного файла на сайте virustotal

Результаты проверки подозрительного файла на сайте virustotal

Как видно из результатов проверки наш Avast — единственный из нормальных антивирусов, который нашего трояна не знает. В этом и есть причина его «партизанского молчания» по этому поводу. (К слову сказать такая ситуация случается со всеми антивирусами, идеальных не бывает, пропускают иногда все…) Зато вот результаты проверки программой Malwarebytes Anti-Malware порадовали:

Результаты проверки программой malwarebytes

Результаты проверки программой malwarebytes

Первые две записи — кажется и есть наш зловред. Удаляем всех и перезагружаемся.

После перезагрузки скачиваем с сайта DrWeb-a бесплатную лечащую утилиту Dr.Web CureIt!® (по результатам проверки на virustotal-е мы уже знаем, что DrWeb эту заразу знает и, следовательно, может обезвредить), сканируем компьютер. Утилита ничего больше не нашла, это значит что Avast и Malwarebytes Anti-Malware со своей задачей справились: компьютер чист.

Позаботимся о том, чтобы Avast внёс этого трояна в свою антивирусную базу и он начал определяться у всех его пользователей. Для этого нужно файл «11afb2c9.exe» поместить в карантин антивируса и от туда отправить его для анализа:

avast - отправить файл для анализа

Отправляем файл для анализа в компанию Avast

Теперь нужно навести порядок на флешке. Удаляем ярлыки, папку «RECYCLER» и снимаем атрибуты со скрытых папок. В Total Commander-е это сделать опять-таки удобнее:

Групповое изменение аттрибутов файлов в программе Total Commander

Групповое изменение атрибутов файлов в программе Total Commander

Выделяем все наши скрытые папки и запускаем команду изменения атрибутов. В проводнике Windows это пришлось бы делать для каждой папки отдельно.

Заключительная проверка. Для этого делаем «контрольное вставляние флешки» и убеждаемся что ничего крамольного с ней больше не происходит. Визуальное улучшение состояния работы компьютера тоже на лицо: он не виснет, все файлы, папки, программы открываются нормально, интернет работает, все сайты открываются.

К слову сказать, данная методика подходит для удаления не только этого трояна, но и многих других. Надеюсь, это Вам однажды поможет!

Похожие материалы:

Как удалить вирус Conficker (он же Downup, он же Downadup, он же Kido) — описание способа удаления вируса, который в своё время создал много головной боли пользователям, но и по сей день является довольно распростанённым.

Как определить, есть ли на компьютере вредоносное ПО — обзор антишпионского программного обеспечения. Одна из таких программ обязательно должна быть установлена на компьютере так как антивирусы не всегда достойно справляются со своими обязанностями!

Как убрать стартовую страницу Webalta, apeha.ru, ctel.ru, smaxi.net, wonderpage.org — некоторые веб-сайты используют нелигитимные способы завоевания пользовательськой аудитории, от которых порой очень трудно избавиться. Описаны способы борьбы с этой напастью.

Понравилась статья - поддержи проект материально:
Понравилась статья - поделись с друзьями:

Похожие записи:

95 комментариев

  1. Василий

    Еще один из вариантов как открыть скрытые файлы. Всего за пару щелчков — подойдет для обычных пользователей, которым и не обязательно знать файловые менеджеры и тд. Просто выбрать папку или флешку, и нажать начать. 5 сек и готово! Если кому интересно вот — http://михасэ.рф/load/programmy/rabota_s_fajlovoj_sistemoj/programma_otkrytija_skrytykh_papok_i_fajlov/3-1-0-2 — надеюсь поможет многим. P.S. программа абсолютно бесплатна, без регистрации и смс. скачивайте и обменивайтесь на здоровье.(только на операционные системы Windows, необходима платформа NET 2й версии — обычно в ходит в комплект операционной системы, если не урезанная версия)

  2. агромное спасибо —-папка recysler и SYSTEM volume information с диска D не удалились но к огромному облегчению они прекратили своё копирование в другие диски и влешки—но к сожалению в самом диске D я их удаляю но они опять появляются

  3. у меня комп поймал такой вирус что при включении вылез банер, непонятно из-за чего: КОМПЬЮТЕР ЗАБЛОКИРОВАН! (якобы за посещение порно сайтов и всякого такогои типо того что надо внести некую сумму на мтс и получите код разблокировки) антивирусник жестоко затупил,но сего помощью можно было выйти в интернет, скачала прграмму чтобы убрать банер и воспользовалась вашим способом, только был установлен Malwarebytes Anti-Malware (он нашел трояны и еще как кто там …door), потом проверен утилитой Dr.Web CureIt!® там он нашел много тех же вирусов и вирус взлома и архивы содержащие инфецированные обьекты.Но я не проверяла, как написано выше, в Total Commanderстоит ли?

  4. Zdrasti. Ya zdelal kak vi napisali. No problema ne reshaetsya. Papki s yarlikami ostayutsya.

    • Нужно вылечить компьютер, иначе ярлыки будут появляться каждый раз при вставлянии флешки в компьютер

  5. подскажите пожалуйста что мне делать не могу войти в одноклассники и в остальные сети походу вирус поймала и анти вирус доктор веб не видит его

  6. не помогает или я не правильно что то делаю ((((((

    • Попробуйте зайти с другого компьютера, возможно проблема не у вас или провайдер/администратор Вашей локальной сети заблокировал Вам доступ

      • с другого компьютера я могу заходить на все свои сайты в контакт и в одноклассники и т.д. а сосвоего нет (((((((

        • Здесь трудно что-то сказать не видя ситуацию своими глазами. Обычно в таких случаях сканирования Докторвебом бывает достаточно… Может быть в Вашем случае проще переустановить Виндовс чем разбираться почему нет доступа?

  7. Здравствуйте!
    Сегодня пыталась скинуть фотки с фотоаппарата на ноутбук.На ноутбуке установлен касперский 2013 с новой лицензией,базы регулярно обновляются.Папки с фотками отобразились как ярлыки и не открылись.Касперский угроз при сканировании не обнаружил.
    Попробовала скинуть фотки на другой компьютер-на нем установлен Eset Smart Security 4-при сканировании обнаружился вирус:Win32/Dorkbot.Dчервь.

    Вопрос:1.почему касперский даже при полном сканировании не обнаружил этот вирус?
    2.как узнать заражен ли теперь мой ноутбук?

    • 1. Возможно вируса на флешке уже действительно нет, а Нод принимает за вирусы и уничтожает ярлыки, которые должны запускать вирус, а Касперский этого просто не делает.
      2. Если папки на флешке при вставлянии превращаются в скрытые и появляются ярлыки — значит заражен. Если нет — значит нет.

  8. Виктор

    Доброго времени суток!!Знакомый принес ноутбук..Я начал в нем ковырятся сначала просто вставил свою флэш карту без вирусов..у меня там были просто папки после извлечения из ноута и установки в мой системник моим папкам в ноуте было присвоено значение EXE, и антивирус их удалил сразу после установки в системник. я отформатировал флэш отфарматировал ноут установил новую винду такая же песня что предпринять ?

  9. Доброго времени суток. У меня сьёмный жёсткий диск. Там 500 гигов очень ценных файлов и информации,на старом компьютере у меня он открывал его там была папка recycler и все мои папки стали ярлыками. Папки открывались в новом окне,так что я большой промблемы не ощущал. Недавно купил новый компьютер,старый отдал. Вставляю в новый компьютер свой сьёмный жёсткий диск,у меня показывает только вирус папку recycler. Мои все папки(ярлыки) пропали,тоесть ни папок ни ярлыков. Если я всё сделаю по вашей инструкции,папки снова будет видно? Комп показывает что на харде 500 гб имеется. Но папок некаких невидать. Огромная просьба ответьте мне на мэил dmitriy_mgdcity@mail.ru

  10. Александр

    Спасибо. Дай Бог здоровья

  11. Николай

    Добрый день! В CCleaner в автозагрузке в разделе Startup User висит прога Stdlas.exe. Я её точно не ставил. Ad Aware позиционирует её как троян. Через CCleaner удалить не получается. Через msconfig тоже. Т.е. галочку-то я убираю, но после перезагрузки и галка на месте и прога тут как тут. Как быть?

    • удалять её нужно антивирусом или антитроянской программой (типа Ad Aware и т.д.) http://www.1st.rv.ua/kak-opredelit-est-li-na-kompyutere-vredonosnoe-po/

      • Николай

        Ad Aware и Norman Malware Cleaner помещают stdlas.exe в карантин, но никак не удаляют поскольку она продолжает находится в автозагрузке. Чем она вообще занимается эта stdlas.exe хотелось бы мне знать. И почему вручную я не могу удалить оную из списка

        • Это какой-то вирус. В данный момент он сидит в памяти и сам себя защищает. Потому удалить его вручную невозможно. Полечите данными программами и после перезагрузки он должен пропасть

        • Удаляется он вручную,для этого нужно найти место его хранения и просто переименовать с правами администратора,после удалить вручную,но для уверенности можно убить процесс в диспетчере либо при помощи Программы Kill Process

  12. Спасибо Вам огромное!!!
    Вот неделю уже борюсь с этой заразой….
    только благодаря Вашим советам, с мобильным справилась (очень даже легко и быстро-радости нет предела!!!), осталось дело за ноутом….надеюсь всё получится….
    Спасибо ещё раз!!!

  13. Огромное человеческое спасибо Автору!!!

  14. Liz.Barbarian

    Извините у меня на флэшке такая зараза exploint.win32.cve-2010-2568.gen скажите долго не мучаясь я могу на один винт скинуть с флэшки всю нужную инфу (ну она естественно не заражена,он где-то на флэшке в корне) и тупо удалить раздел,а создать новый раздел на другом компе без вирусов.Вопрос после удаления раздела,троян выживет или флэшка станет девственной.

    • Флешку после извлечения информации для пущей уверенности можно просто отформатировать. Не понятно зачем удалять-создавать разделы. Если компьютер не заражен, то вирус вновь на ней не появится.

  15. Liz.Barbarian

    Извините за наглость,но узнал тут про скрытый системный раздел (систем волиум информэйшен) может эта зараза на нём.Вопрос при форматировании жесткого диска эта системная область тоже удаляется или надо удалять этот раздел,заранее спасибо!

    • систем волиум информэйшен при форматировании тоже удаляется, а после него создаётся новый (для файловой системы ntfs)

  16. Liz.Barbarian

    Данке,кстати,а почему при сканировании (систем волиум информэйшен) Касперский не нашел совсем ничего и проверил 20 000 файлов в нём.А вот доктор вэб — кьюрит нашел аж 4.В чем заключается политика Касперского.Типо я вирусы вижу,но тебе обыкновенный пользователь (олень) знать не обязательно.И я их удалять не стану,а то в друг этот пользователь (олень) снесет меня! Касперского!!!,ну и вурусы тогда останутся и будут шалить,олень.Поясните за что платят люди?

    • Любой антивирус несколько процентов вирусов не поймает. У всех их этот зазор различен (у хороших меньше, у плохих — больше). Потому доверять на 100% одному антивирусу нельзя. Так же есть ложные срабатывания, у каждого антивируса они свои. За что платят люди — сложный вопрос… С одной стороны логично платить за чужой труд, но с другой — обидно бывает за пользователей, которые заплатили за антивирус, а их компьютер заблокирован наитупейшим винлокером, а предъявить претензии оказывается некому – никто ни за что не отвечает и ничего никому не гарантирует.

  17. Надежда

    Добрый день!
    У меня проблема с компьютером или браузером Google chrom, но скорее с компьютером, т.к походу вирус невидимый, хотя папки неизвестные мне появляются на диске С. Пыталась удалить их некоторые удаляются, а некоторые нет. Вторая проблема, в том что когда в интернете появляются какие то окошки (реклама), (даже иногда нет крестика, чтобы убрать, либо новые закладки с разной рекламой типо игровые. как избавится от этого всего. как найти это вирус или проверить. Помогите!!!

Оставить комментарий

Ваш email нигде не будет показанОбязательные для заполнения поля помечены *

*