Не удаляется троян

@kmay · Регистрация: 13.11.2018

Author24 — интернет-сервис помощи студентам

Dr.web постоянно находит trojan.copyself и trojan.copyself.94, не может их вылечить, и пытается удалить, но при повторном сканировании, опять показывает трояны в файлах с другими именами.

@Sandor · 13.11.2018, 12:18

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя kmay. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:

AusLogics BoostSpeed
SpyHunter4

Java(TM) 6 Update 10 - очень старая и уязвимая версия. Удалите и, если нужна, установите актуальную.

2. Пофиксите в HijackThis следующие строчки:

Код

O4 - HKU\.DEFAULT\..\RunOnce: [IE7_011] = C:\WINDOWS\system32\regsvr32.exe /s /n /i:u shell32
O4 - HKU\.DEFAULT\..\RunOnce: [IE7_012] = C:\WINDOWS\system32\advpack.dll advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N
O4 - HKU\.DEFAULT\..\RunOnce: [Rebuild Icon Cache] = REBUILDI.EXE  (file missing)
O4 - HKU\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] = C:\WINDOWS\system32\advpack.dll advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0
O4 - HKU\.DEFAULT\..\RunOnce: [tscuninstall] = C:\WINDOWS\system32\tscupgrd.exe  (file missing)
O4 - HKU\S-1-5-19\..\RunOnce: [IE7_011] = C:\WINDOWS\system32\regsvr32.exe /s /n /i:u shell32
O4 - HKU\S-1-5-19\..\RunOnce: [IE7_012] = C:\WINDOWS\system32\advpack.dll advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N
O4 - HKU\S-1-5-19\..\RunOnce: [Rebuild Icon Cache] = REBUILDI.EXE  (file missing)
O4 - HKU\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] = C:\WINDOWS\system32\advpack.dll advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0
O4 - HKU\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] = C:\WINDOWS\system32\advpack.dll advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0
O4 - HKU\S-1-5-20\..\RunOnce: [IE7_011] = C:\WINDOWS\system32\regsvr32.exe /s /n /i:u shell32
O4 - HKU\S-1-5-20\..\RunOnce: [IE7_012] = C:\WINDOWS\system32\advpack.dll advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N
O4 - HKU\S-1-5-20\..\RunOnce: [Rebuild Icon Cache] = REBUILDI.EXE  (file missing)
O4 - HKU\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] = C:\WINDOWS\system32\advpack.dll advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0
O4 - HKU\S-1-5-20\..\RunOnce: [ZZZZ2_FirstLogonSetting] = C:\WINDOWS\system32\advpack.dll advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0
O4 - MSConfig\startupreg: Load [command] = C:\WINDOWS\svchost.exe (HKCU) (2015/10/12) (file missing)

3. Перезагрузите систему и соберите свежий CollectionLog.

@kmay · 13.11.2018, 13:31 **[ТС]**

upd

@Sandor · 13.11.2018, 13:49

Пофиксите в HijackThis следующие строчки:

Код

O4 - HKLM\..\Run: [SpyHunter Security Suite] = C:\Program Files\SpyHunter\SpyHunter4.exe  (file missing)
O4 - MSConfig\startupreg: SpyHunter Security Suite [command] = C:\Program Files\SpyHunter\SpyHunter4.exe (HKLM) (2018/07/02) (file missing)

Сообщите что с проблемой.

@kmay · 13.11.2018, 14:52 **[ТС]**

Троян теперь не находит. Но теперь при попытке перенести любую информацию с заражённого ПК (например флешкой) dr.web на не инфицированном ПК находит net-worm.win32.Kido.ir в файле autorun.inf

@Sandor · 13.11.2018, 15:50

Сообщение от kmay

перенести любую информацию с заражённого ПК (например флешкой)

На любой флешке, даже на чистой (после того, как вставили ее в этот ПК)?

@kmay · 13.11.2018, 15:53 **[ТС]**

Да, 4 разными пробовал. Две из которых чистые.

@Sandor · 15.11.2018, 10:53

Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы.

Подготовьте лог uVS.

@kmay · 15.11.2018, 19:05 **[ТС]**

Спасибо за помощь, уже решил проблему с автораном, установкой обновлений, т.к компьютер старый, не имел доступа к интернету. Там была уязвимость, которая залаталось с помощью kb967715. И спасибо за помощь с трояном.

Новые блоги и статьи
Книги и учебные ресурсы по C# InfoMaster 08.01.2025 Базовые учебники и руководства Одной из лучших книг для начинающих является "C# 10 и . NET 6 для начинающих" Эндрю Троелсена и Филиппа Джепикса . Книга последовательно раскрывает основные концепции. . .	Что такое NullReferenceException и как исправить? InfoMaster 08.01.2025 NullReferenceException - одно из самых распространенных исключений, с которым сталкиваются разработчики на C#. Это исключение возникает при попытке обратиться к членам объекта (методам, свойствам или. . .	Что такое Null Pointer Exception (NPE) и как это исправить? InfoMaster 08.01.2025 Null Pointer Exception (NPE) - это одно из самых распространенных исключений в Java, которое возникает при попытке использовать ссылку на объект, значение которой равно null. Это исключение относится. . .	Русский язык в консоли C++ InfoMaster 08.01.2025 При разработке программ на C++ одной из частых проблем, с которой сталкиваются русскоязычные программисты, является корректное отображение кириллицы в консольных приложениях. Эта проблема особенно. . .	Telegram бот на C# InfoMaster 08.01.2025 Разработка ботов для Telegram стала неотъемлемой частью современной экосистемы мессенджеров. C# предоставляет мощный и удобный инструментарий для создания разнообразных ботов, от простых. . .	Использование GraphQL в Go (Golang) InfoMaster 08.01.2025 Go (Golang) является одним из наиболее популярных языков программирования, используемых для создания высокопроизводительных серверных приложений. Его архитектурные особенности и встроенные. . .
Что лучше использовать при создании класса в Java: сеттеры или конструктор? Alexander-7 08.01.2025 Вопрос подробнее: На вопрос: «Когда одновременно создаются конструктор и сеттеры в классе – это нормально?» куратор уточнил: «Ваш класс может вообще не иметь сеттеров, а только конструктор и геттеры. . .	Как работать с GraphQL на TypeScript InfoMaster 08.01.2025 Введение в GraphQL и TypeScript В современной разработке веб-приложений GraphQL стал мощным инструментом для создания гибких и эффективных API. В сочетании с TypeScript, эта технология. . .	Счётчик на базе сумматоров + регистров и генератора сигналов согласования. Hrethgir 07.01.2025 Создан с целью проверки скорости асинхронной логики: ранее описанного сумматора и предополагаемых fast регистров. Регистры созданы на базе ранее описанного, предполагаемого fast триггера. То-есть. . .	Как перейти с Options API на Composition API в Vue.js BasicMan 06.01.2025 Почему переход на Composition API актуален В мире современной веб-разработки фреймворк Vue. js продолжает эволюционировать, предлагая разработчикам все более совершенные инструменты для создания. . .	Архитектура современных процессоров inter-admin 06.01.2025 Процессор (центральный процессор, ЦП) является основным вычислительным устройством компьютера, которое выполняет обработку данных и управляет работой всех остальных компонентов системы. Архитектура. . .	История создания реляционной модели баз данных, правила Кодда Programming 06.01.2025 Предпосылки создания реляционной модели В конце 1960-х годов компьютерная индустрия столкнулась с серьезными проблемами в области управления данными. Существовавшие на тот момент модели данных -. . .

@kmay 0 / 0 / 0 Регистрация: 13.11.2018 Сообщений: 5
	13.11.2018, 14:52 [ТС]	5
	Троян теперь не находит. Но теперь при попытке перенести любую информацию с заражённого ПК (например флешкой) dr.web на не инфицированном ПК находит net-worm.win32.Kido.ir в файле autorun.inf 0

@Sandor 22308 / 15789 / 3051 Регистрация: 08.10.2012 Сообщений: 64,203
	13.11.2018, 15:50	6
	Сообщение от kmay перенести любую информацию с заражённого ПК (например флешкой) На любой флешке, даже на чистой (после того, как вставили ее в этот ПК)? 0

@kmay 0 / 0 / 0 Регистрация: 13.11.2018 Сообщений: 5
	13.11.2018, 15:53 [ТС]	7
	Да, 4 разными пробовал. Две из которых чистые. 0

@Sandor 22308 / 15789 / 3051 Регистрация: 08.10.2012 Сообщений: 64,203
	15.11.2018, 10:53	8
	Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы. Подготовьте лог uVS. 1

@kmay 0 / 0 / 0 Регистрация: 13.11.2018 Сообщений: 5
	15.11.2018, 19:05 [ТС]	9
	Спасибо за помощь, уже решил проблему с автораном, установкой обновлений, т.к компьютер старый, не имел доступа к интернету. Там была уязвимость, которая залаталось с помощью kb967715. И спасибо за помощь с трояном. 0