Как да премахнете троянски кон, приятелю
Симптомите на този злонамерен софтуер бяха следните: антивирусната програма не се актуализира, компютърът работи много зле: „ужасно бавен и замръзва“, периодично спира да отговаря и се изключва със „син екран на смъртта“, много сайтове в Интернет не се отварят, резултатите от търсенето в мрежата се променят, на работния плот се появяват нови преки пътища, когато щракне, потребителят стига до други заразени уебсайтове. Освен това троянският кон краде поверителна информация: списък на посетените уеб страници, данни за вход и пароли за сайтове, кредитни карти и др.
Симптом #1, чрез който можете даоткриете наличието на зловреден софтуер в системата: поставете флаш устройство и погледнете във файловия мениджър (в този случай Total Commander), за да видите дали на флаш устройството са се появили нови файлове, папки, преки пътища, скрити файлове и папки. Ако да, тогава злонамерената програма100% присъства в системата. В този случай имаме следната картина:
Резултат от заразяване на флашка с троянски кон
Истинските папки с файлове в момента са скрити (1), тоест ако отворим флашката през Windows Explorer (Моят компютър - Преносим диск), няма да видим тези папки. Но на тяхно място се появихапреки пътища (2), които имат същите имена като истинските папки и изглеждат като истински папки, така че визуално нормален потребител може да не забележи уловката. Появява се искритата папка "RECYCLER" (3), съдържаща файла "11afb2c9.exe". Заразяването на компютър става по следния начин: нищо неподозиращ потребител отваря USB флаш устройство и щраква върху прекия път,мислейки си, че отваря папка. Това стартира файла 11afb2c9.exe от папката RECYCLER (познахте, че това е вирус) и в същото време отваря скритата папка, от която се нуждае потребителят, така че моментът на заразяване на компютъра е напълно незабележим.
Първото нещо, което трябва да направите, е да актуализирате антивирусната програма и антивирусните бази данни до най-новата версия и да проверите дали всички антивирусни модули работят. Avast беше инсталиран на заразения компютър, но актуализацията му, за съжаление, не ни даде нищо, антивирусната мълчи като партизанка, държи се все едно няма инфекция на компютъра.
Антивирусната програма NOD32 може да се справи само с последствията от вирус: тя премахва преки пътища, създадени от вирус от флаш устройство, премахва вирусни файлове (например f5399233.exe, 11afb2c9.exe) от папката RECYCLER. Той не вижда самата причина за инфекцията и когато поставите друга флашка в заразен компютър, виждаме същата картина как антивирусът създава буря от активност, за да дезинфекцира друга флашка.
NOD32 Antivirus не е в състояние да преодолее причината за компютърната инфекция
Второто нещо, което правим, е да стартираме анти-троянската програма Malwarebytes Anti-Malware (стартиране - актуализиране - бързо сканиране. Преглед на други програми против шпионски софтуер тук).Едновременно качете файла "11afb2c9.exe" на virustotal.com, за да проверите:
Резултати от проверка на подозрителен файл на уебсайта virustotal
Както се вижда от резултатите от проверката, нашият Avast е единственият от нормалните антивируси, който не познава нашия троян. Това е причината за неговото "партизанско мълчание" по този въпрос. (Между другото, тази ситуация се случва с всички антивируси, няма идеални, понякога всички пропускат ...) Но ето резултатите от проверката от програматаMalwarebytes Anti-Malware доволен:
Резултати от сканиране на Malwarebytes
Първите два записа изглежда са нашия злонамерен софтуер. Изтрийте всички и рестартирайте.
След рестартиране изтеглете безплатната помощна програма за лечение Dr.Web CureIt!® от сайта на DrWeb (според резултатите от общата проверка за вируси вече знаем, че DrWeb познава тази инфекция и следователно може да я неутрализира), сканирайте компютъра. Помощната програма не намери нищо друго, което означава, че Avast и Malwarebytes Anti-Malware са свършили работата си: компютърът е чист.
Нека се уверим, че Avast добавя този троянски кон към своята антивирусна база данни и той започва да се открива от всички негови потребители. За да направите това, трябва да поставите файла „11afb2c9.exe“ в антивирусната карантина и да го изпратите от там за анализ:
Изпращаме файла за анализ на Avast
Сега трябва даподредите нещата на флаш устройството. Изтриваме преки пътища, папка RECYCLER и премахваме атрибути от скрити папки. В Total Commander това отново е по-удобно да се направи:
Избираме всички наши скрити папки и изпълняваме командата за промяна на атрибутите. В Windows Explorer това трябва да се направи за всяка папка поотделно.
Окончателна проверка. За да направим това, ние правим „контролно поставяне на флаш устройство“ и се уверяваме, че нищо повече не се случва с него. Визуално подобрение в състоянието на компютъра също е на лице: не виси, всички файлове, папки, програми се отварят нормално, интернет работи, всички сайтове се отварят.
Между другото, тази техника е подходяща за премахване не само на този троянски кон, но и на много други. Надяваме се това да ви помогне един ден!
Свързано съдържание:
Как да премахнете вируса Conficker (известен още като Downup, известен още като Downadup, известен още като Kido) - описание как да премахнете вируса,което навремето създаде много главоболия на потребителите, но до ден днешен е доста често срещано.
Как да разберете дали вашият компютър има злонамерен софтуер - преглед на антишпионския софтуер. Една от тезипрограми трябва да бъде инсталирана на вашия компютър, тъй като антивирусите не винаги се справят адекватно със задълженията си!