1. удаляем файлы autorun.inf со всех ваших дисков, включая дискеты и USB диски.
Вручную:
- Перезапустите ваш компьютер в безопасном режиме.
- Кликните по кнопке Пуск, далее Запустить, введите cmd и нажмите Enter.
- В открывшемся окне командной консоли введите del /a:h /f c:\autorun.*, для диска D, введите del /a:h /f d:\autorun.*, и так далее, меняйте в строке только имя диска, оно выделено жирным шрифтом.
- Проделайте подобную операцию для всех ваших дисков, включая USB диски и тд.
Автоматически:
- Скачайте программу Combofix.
- Запустите, вам будут показаны правила использования программы, кликните YES для подтверждения.
- В процессе своей работы, combofix просканирует ваш компьютер,
удалит найденные спайваре, трояны, а так же удалит с дисков файлы
autorun.inf. В случае успешного удаления, в лог файле, в секции Others
Deletions, будут перечислены удаленные файлы, в том числе и autorun.inf.
2. удаляем ключи реестра обеспечивающие автозапуск трояна при загрузке компьютера
- Скачайте и установите программу HijackThis.
- Запустите, кликните по кнопке Do a system scan only.
- Выделите галочкой следующие строки:
O4 – HKLM\..\Run: [SystemDrive] c:\windows\system32\SVCH0ST.EXE
O4 – HKCU\..\Run: [avp] C:\WINDOWS\system32\avp.exe
O4 – HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 – HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe
O4 – HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 – HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
O4 – HKCU\..\Run: [TaskMonitor] C:\WINDOWS\system32\TaskMonitor.exe
O4 – HKCU\..\Run: [Realshade] C:\WINDOWS\system32\realshade.exe
O4 – HKCU\..\Run: [cftmonn] C:\WINDOWS\system32\cftmonn.exe
O4 – HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
O4 – HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O4 – HKCU\..\Run: [kmmsoft] C:\WINDOWS\system32\revo.exe
O4 – HKCU\..\Run: [jvsoft] C:\WINDOWS\system32\j3ewro.exe
O4 – HKCU\..\Run: [ckvo] c:\windows\system32\ckvo.exe
- Закройте все открытые окна, кроме HijackThis, после чего нажмите кнопку Fix Checked. В результате программа удалит из реестра всё что вы выделили.
Небольшое замечание, в каждом конкретном случае как набор
ключей, так и название файлов – троянов могут различаться, поэтому если
вы увидели в логе HijackThis, а именно в секции O4, подозрительные
строчки, обязательно их проверьте, используя Google или Yahoo.
3. удаляем трояны с диска.
- Скачайте архив программы Avenger.
- Распакуйте программу на ваш рабочий стол.
- Запустите Avenger, после чего в окне ввода введите или просто скопируйте следующий скрипт:
Files to delete:
C:\WINDOWS\system32\avp.exe
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\kxvo.exe
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\tavo.exe
c:\windows\system32\Bitkv0.dll
c:\windows\system32\Bitkv1.dll
c:\windows\system32\kavo0.dll
c:\windows\system32\kavo1.dll
c:\windows\system32\tavo0.dll
c:\windows\system32\tavo1.dll
C:\WINDOWS\system32\SCVVHSOT.exe
C:\WINDOWS\system32\TaskMonitor.exe
C:\WINDOWS\system32\RavMon.exe
C:\WINDOWS\system32\realshade.exe
C:\WINDOWS\system32\cftmonn.exe
C:\WINDOWS\system32\wincab.sys
c:\windows\system32\ckvo.exe
c:\windows\system32\ckvo0.dll
c:\windows\system32\gasretyw0.dll
c:\windows\system32\gasretyw1.dll
c:\windows\system32\kamsoft.exe
c:\windows\system32\vbsdfe1.dll
c:\windows\system32\vbsdfe0.dll
c:\windows\system32\vamsoft.exe
C:\WINDOWS\system32\revo.exe
c:\windows\system32\j3ewro.exe
c:\windows\system32\jwedsfdo0.dll
c:\resycled\boot.com
C:\kjibu.com
C:\6fnlpetp.exe
C:\rcukd.cmd
C:\rqq2v.bat
C:\t.com
C:\xp19.com
C:\x0.cmd
C:\yg.cmd
C:\ntde1ect.com
C:\tio8×6.cmd
C:\d6fagcs8.cmd
C:\gbiehbsb.dll
C:\tio8×6.cmd
C:\fooool.exe
C:\8ng8w.com
C:\x.com
C:\xn1i9x.com
c:\invwft2h.com
c:\AutoRun\AutoStart.exe
c:\AutoRun\autorun.pif
c:\ktnquo.exe
c:\NewVirusRemoval.vbs
c:\kinza.exe
c:\rs.cmd
c:\yssjnngm.cmd
c:\h3.bat
c:\6fnlpetp.exe
c:\boot.exe
C:\6j2j.com
c:\0jbnlnu8.exe
c:\1q8p0y.com
c:\2g.com
c:\39ysi89.com
c:\3jkka91.com
c:\92j11sm.com
c:\a.exe
c:\cjrp8.com
c:\dp.exe
c:\jg6w3yx.com
c:\ntnq.exe
c:\nw0t1l0d.exe
c:\q0rppr.exe
c:\tj8odymw.exe
c:\uh31.exe
c:\vnkucvv.com
c:\xpq63xl.exe
c:\xwpehlv.com
c:\fun.xls.exe
c:\iqe68o.bat
c:\AutoRun\AutoStart.exe
c:\ampfrb.cmd
c:\hbs.exe
c:\yfog8p.exe
c:\as.bat
c:\phwe.com
c:\o0s.cmd
c:\xa2c.exe
c:\killVBS.vbs
c:\uxdeiect.com
c:\clshsy.cmd
c:\awda2.exe
- После чего нажмите кнопку Execute.
- Появится запрос на подтверждение ваших действий, кликните Yes/Да.
- Компьютер будет перезагружен.
4. Завершающий этап.
После перечисленных выше шагов желательно так же просканировать ваш
компьютер используя какой-либо антивирус, онлайн сканнер или используя
программу SDFix.
Последняя программа создана специально для борьбы с троянами, червями и
спайваре. Она просканирует ваш компьютер и удалит всё вредное.
|