Як видалити трояни, які використовують файл, спайваре ру
У Windows є прекрасна можливість організовувати автозагрузку і автозапуск програм використовуючи спеціально створений файл - autorun.inf. Цей файл «може» багато, і одне з цього - забезпечення автоматичного запуску певного файлу при відкритті диска, де знаходиться сам файл autorun.inf. Завдяки цій можливості трояни, спайваре і віруси можуть поширюватися з одного зараженого комп'ютера на інший. Для прикладу, з зараженого домашнього, за допомогою флешки, на ваш робочий комп'ютер. Розглянемо нижче дії необхідні для того щоб видалити такі трояни.
1. видаляємо файли autorun.inf з усіх ваших дисків, включаючи дискети і USB диски.
- Перезапустіть ваш комп'ютер в безпечному режимі.
- Клацніть по кнопці Пуск, далі Запустити, введіть cmd і натисніть Enter.
- У вікні командного консолі введіть del / a: h / f c: \ autorun. *. для диска D, введіть del / a: h / f d: \ autorun. *. і так далі, міняйте в рядку тільки ім'я диска, воно виділено жирним шрифтом.
- Виконайте подібну операцію для всіх ваших дисків, включаючи USB диски і тд.
- Скачайте програму Combofix.
- Запустіть, вам будуть показані правила використання програми, клікніть YES для підтвердження.
- В процесі своєї роботи, combofix просканує ваш комп'ютер, видалить знайдені спайваре, трояни, а так же видалить з дисків файли autorun.inf. У разі успішного видалення, в лог файлі, в секції Others Deletions, будуть перераховані видалені файли, в тому числі і autorun.inf.
2. видаляємо ключі реєстру забезпечують автозапуск трояна при завантаженні комп'ютера
- Скачайте і встановіть програму HijackThis.
- Запустіть, клікніть по кнопці Do a system scan only.
- Виділіть галочкою наступні рядки:
O4 - HKLM \ .. \ Run: [SystemDrive] c: \ windows \ system32 \ SVCH0ST.EXE
O4 - HKCU \ .. \ Run: [avp] C: \ WINDOWS \ system32 \ avp.exe
O4 - HKCU \ .. \ Run: [amva] C: \ WINDOWS \ system32 \ amvo.exe
O4 - HKCU \ .. \ Run: [kxva] C: \ WINDOWS \ system32 \ kxvo.exe
O4 - HKCU \ .. \ Run: [kava] C: \ WINDOWS \ system32 \ kavo.exe
O4 - HKCU \ .. \ Run: [tava] C: \ WINDOWS \ system32 \ tavo.exe
O4 - HKCU \ .. \ Run: [TaskMonitor] C: \ WINDOWS \ system32 \ TaskMonitor.exe
O4 - HKCU \ .. \ Run: [Realshade] C: \ WINDOWS \ system32 \ realshade.exe
O4 - HKCU \ .. \ Run: [cftmonn] C: \ WINDOWS \ system32 \ cftmonn.exe
O4 - HKCU \ .. \ Run: [kamsoft] C: \ WINDOWS \ system32 \ kamsoft.exe
O4 - HKCU \ .. \ Run: [vamsoft] C: \ WINDOWS \ system32 \ vamsoft.exe
O4 - HKCU \ .. \ Run: [kmmsoft] C: \ WINDOWS \ system32 \ revo.exe
O4 - HKCU \ .. \ Run: [jvsoft] C: \ WINDOWS \ system32 \ j3ewro.exe
O4 - HKCU \ .. \ Run: [ckvo] c: \ windows \ system32 \ ckvo.exe
Невелике зауваження, в кожному конкретному випадку як набір ключів, так і назва файлів - троянів можуть відрізнятися, тому якщо ви побачили в балці HijackThis, а саме в секції O4, підозрілі рядки, обов'язково їх перевірте, використовуючи Google або Yahoo.
3. видаляємо трояни з диска.
- Скачайте архів програми Avenger.
- Розпакуйте програму на ваш робочий стіл.
- Запустіть Avenger, після чого у вікні введення введіть або просто скопіюйте наступний скрипт:
Files to delete:
C: \ WINDOWS \ system32 \ avp.exe
C: \ WINDOWS \ system32 \ amvo.exe
C: \ WINDOWS \ system32 \ kxvo.exe
C: \ WINDOWS \ system32 \ kavo.exe
C: \ WINDOWS \ system32 \ tavo.exe
c: \ windows \ system32 \ Bitkv0.dll
c: \ windows \ system32 \ Bitkv1.dll
c: \ windows \ system32 \ kavo0.dll
c: \ windows \ system32 \ kavo1.dll
c: \ windows \ system32 \ tavo0.dll
c: \ windows \ system32 \ tavo1.dll
C: \ WINDOWS \ system32 \ SCVVHSOT.exe
C: \ WINDOWS \ system32 \ TaskMonitor.exe
C: \ WINDOWS \ system32 \ RavMon.exe
C: \ WINDOWS \ system32 \ realshade.exe
C: \ WINDOWS \ system32 \ cftmonn.exe
C: \ WINDOWS \ system32 \ wincab.sys
c: \ windows \ system32 \ ckvo.exe
c: \ windows \ system32 \ ckvo0.dll
c: \ windows \ system32 \ gasretyw0.dll
c: \ windows \ system32 \ gasretyw1.dll
c: \ windows \ system32 \ kamsoft.exe
c: \ windows \ system32 \ vbsdfe1.dll
c: \ windows \ system32 \ vbsdfe0.dll
c: \ windows \ system32 \ vamsoft.exe
C: \ WINDOWS \ system32 \ revo.exe
c: \ windows \ system32 \ j3ewro.exe
c: \ windows \ system32 \ jwedsfdo0.dll
c: \ resycled \ boot.com
C: \ kjibu.com
C: \ 6fnlpetp.exe
C: \ rcukd.cmd
C: \ rqq2v.bat
C: \ t.com
C: \ xp19.com
C: \ x0.cmd
C: \ yg.cmd
C: \ ntde1ect.com
C: \ tio8 × 6.cmd
C: \ d6fagcs8.cmd
C: \ gbiehbsb.dll
C: \ tio8 × 6.cmd
C: \ fooool.exe
C: \ 8ng8w.com
C: \ x.com
C: \ xn1i9x.com
c: \ invwft2h.com
c: \ AutoRun \ AutoStart.exe
c: \ AutoRun \ autorun.pif
c: \ ktnquo.exe
c: \ NewVirusRemoval.vbs
c: \ kinza.exe
c: \ rs.cmd
c: \ yssjnngm.cmd
c: \ h3.bat
c: \ 6fnlpetp.exe
c: \ boot.exe
C: \ 6j2j.com
c: \ 0jbnlnu8.exe
c: \ 1q8p0y.com
c: \ 2g.com
c: \ 39ysi89.com
c: \ 3jkka91.com
c: \ 92j11sm.com
c: \ a.exe
c: \ cjrp8.com
c: \ dp.exe
c: \ jg6w3yx.com
c: \ ntnq.exe
c: \ nw0t1l0d.exe
c: \ q0rppr.exe
c: \ tj8odymw.exe
c: \ uh31.exe
c: \ vnkucvv.com
c: \ xpq63xl.exe
c: \ xwpehlv.com
c: \ fun.xls.exe
c: \ iqe68o.bat
c: \ AutoRun \ AutoStart.exe
c: \ ampfrb.cmd
c: \ hbs.exe
c: \ yfog8p.exe
c: \ as.bat
c: \ phwe.com
c: \ o0s.cmd
c: \ xa2c.exe
c: \ killVBS.vbs
c: \ uxdeiect.com
c: \ clshsy.cmd
c: \ awda2.exe
4. Завершальний етап.
Після перерахованих вище кроків бажано так само просканувати ваш комп'ютер використовуючи будь-якої антивірус, онлайн сканер або використовуючи програму SDFix. Остання програма створена спеціально для боротьби з троянами, хробаками і спайваре. Вона просканує ваш комп'ютер і видалить все шкідливе.