В последнее время активизировался троян который своими действиями напоминает два: это joke-bluescreen[McAfee] и Generic Downloader.k [McAfee] (trojan downloader apher [Webroot], Scam.Iwin [CounterSpy], Win32/Shadown!generic [VET], Trojan-Downloader.Win32.Tiny.bn [Kaspersky]). Этот паразит после заражения компьютера скачивает и устанавливает поддельные антиспайваре программы (Antivirus XP, IE Defender), призывая пользователя к покупке лицензии на эти программы (эти не программы не помогут вам).
Этот троян распространяется посредством спама (сообщения с заголовком cnn.com breaking news или msnbc.com breaking news), дыр в браузерах и Java машине.
Основные проявления трояна:
- после загрузки компьютера, в качестве фона рабочего стола устанавливается синий цвет
- появляется сообщение, что компьютер инфицирован и требуется установить антиспайварную программу
- при сканировании антивирус находит перечисленные выше трояны
- возможно отключение некоторых функций Windows (System restore, Taskbar)
- резкое замедление работы компьютера
Как удалить троян:
Для начала скачиваем программы HijackThis и Combofix.
Запускаем HijackThis, выполняем сканирование, для этого кликните по кнопке «Do a system scan only», затем отмечаем в открывшемся окне следующие строки (если они присутствуют):
O4 — HKLM\..\Run: [DLI32] C:\WINDOWS\dli32.exe
O4 — HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe
O4 — HKCU\..\Run: [CDriver] c:\microsoft\svchost.exe
O4 — HKCU\..\Run: [DDriver] c:\microsoft\svchost.exe
O4 — HKCU\..\Run: [alpha] c:\microsoft\svchost.exe
O4 — HKCU\..\Run: [beta] c:\microsoft\svchost.exe
O4 — HKCU\..\Run: [gamma] c:\microsoft\svchost.exe
O4 — HKLM\..\Run: [SMrhcjlaj0ee91] C:\Program Files\rhcjlaj0ee91\rhcjlaj0ee91.exe
O4 — HKLM\..\Policies\Explorer\Run: [CDriver] c:\microsoft\svchost.exe
O4 — HKLM\..\Policies\Explorer\Run: [DDriver] c:\microsoft\svchost.exe
O4 — HKLM\..\Policies\Explorer\Run: [alpha] c:\microsoft\svchost.exe
O4 — HKLM\..\Policies\Explorer\Run: [beta] c:\microsoft\svchost.exe
O4 — HKLM\..\Policies\Explorer\Run: [gamma] c:\microsoft\svchost.exe
O9 — Extra button: (no name) — {9034A523-D068-4BE8-A284-9DF278BE776E} — http://www.securesoftwarefeed.com/redirect.php (file missing)
O9 — Extra ‘Tools’ menuitem: IE Anti-Spyware — {9034A523-D068-4BE8-A284-9DF278BE776E} — http://www.securesoftwarefeed.com/redirect.php (file missing)
O22 — SharedTaskScheduler: cariniana — {5c770fbc-cc2f-4acd-93e8-e6f0594307fd} — C:\WINDOWS\system32\gnjsjc.dll (file missing)
Закройте все открытые окна кроме HijackThis и кликните по кнопке Fix Checked. Запуститься процесс удаления.
Примечание 1: после названия переменной, например CDriver, gamma, стоит имя файла трояна, так вот путь к нему может быть разным, не только c:\microsoft\. Поэтому впервую очередь обращайте внимание именно на имя переменной, а затем проверяйте её значение.
Примечание 2: Строки с идентификатором O9 не существенны, они не отвечают за автозапуск.
Примечание 3: Обратите внимание на строки с идентификатором O22, имя «cariniana» может быть абсолютно любым, так же как и имя самого файла. Поэтому перед пометкой этой строки на удаление, проверьте её в Интернет.
Перезагрузите компьютер. Если часть симптомов заражения осталось, то выходит вы полностью не очистили свой компьютер. Следующий шаг — это запуск Combofix.
Запустите Combofix и следуйте указаниям.
Примечание 1: все указания на английском языке, ничего особо важного там не написано, вам будет предложенно ознакомиться с правилами использования программы и подтвердить запуск процедуры сканирования и лечения компьютера. Так что смело можете кликать ДА/YES/OK.
Примечание 2: перед использованием Combofix автор рекомендует отключить ваш антивирус.
Если данная иструкция вам не помогла, то обратитесь на наш антиспайварный форум, где я и команда Spyware-ru попытается вам помочь.
