Как избавиться от троянов?

[Альпа]

Trojan.Win32.SpyAgent.a

Как с этим бороться? Я в отчаянии. Касперский не берёт!!!

[Unknown]

Альпа а как же ты его нашла?
трояны и вирусы это не одно и тоже..
http://www.providers.perm.ru/article03.shtml -там внизу ссылочки есть..

[Unknown]

а что это?

а это вот это:
Trojan Remover 6.0.9
2,75 Мб
Руссконо интерфЭйса нет
Антивирусник, специализирующийся на отлавливании троянских программ - полезная в хозяйстве вещь, ведь вполне может случиться так, что стандартный антивирусник не сможет не то что удалить, но и обнаружить какой-нибудь особо изощренно изготовленный троян (в настощий момент программа способна обнаружить и удалить более шести тысяч троянов, и эта база данных постоянно пополняется).
Кроме версии для "домашнего" применения (на нее ведет ссылка "загрузить"), выпускаются разновидности Pro и сетевая.
Без регистрации: работает 30 дней.
---
WEREWOLF такакая же просьба, как и к Киллеру нашему - говоришь о программе, давай ссылку на нее сразу..
Альпа

Unknown, дык ты думаешь я их часто встречаю? Я в них не разибаюсь!!!

Разбираться надо.. встречаешься или нет, часто или редко, а надо.

[Unknown]

Альпа он заходит файл с трояном?
Если да - то найди файл (где он рассполагается, в какой дирректории) и удали сама.

[~Frau Nebel~]

Я живу с вирусом уже полгода. Постоянно при включении компа появляется удаленное соединение. Если нажимаешь "Отмена" - начинает противно щелкать, потом выпадает ошибка, которую никак не убрать. Нашла метод борьбы, но удалить его невозможно. Пробовала найти енту хрень в списке автоматически загружаемых программ - ни фига. Виндоус вцепился и не отпускает. Как мне с ним бороться???

[Kosh]

Роза Люксембург Зайди в реестр (regedit), найди там его название или что он там тебе выдаёт и удали все строки, которые связаны с ним

[Nika]

Постоянно при включении компа появляется удаленное соединение

Роза Люксембург, типичная картина для троянских программ. Самый простой способ - поставить какой-нить антивирус (с новыми вирусными базами) и почистить комп с помощью него.
Или же, как тебе сказали уже, удалить всё, связанное с этим трояном, из реестра.
Если уж вообще ничего не помогает, придется форматировать системный диск и переставлять систему, но такие безнадежные случаи на самом деле встречаются редко.

Пробовала найти енту хрень в списке автоматически загружаемых программ - ни фига.

Да, обычно такие вещи не появляются в списке автоматически загружаемых программ. "Вычислить" этого трояна можно, просмотрев список процессов, в данный момент исполняемых компом. Для этого надо нажать Ctrl-Alt-Del -- Диспетчер задач --Процессы (правда, это не поможет в случае с Windows 98). А затем посмотреть, нет ли там процесса с каким-нибудь странным названием, но для этого естесственно, нужно знать, как называются обычные виндовые процессы и процессы приложений. Скорее всего определить , "вычислить" левый процесс может только достаточно опытный системщик. Ну так вот, если удастся вычислить процесс, исполняемый трояном, можно будет иметь представление о том, как называется .exe файл трояна, найти его в винде и удалить, Хотя конечно не факт, что система вот так просто даст это сделать.

[Michael]

От большинства тройнцев легко избавиться в ручную Правда для этого надо иметь определенный опыт общения с компьютером.
Как правило, эти вредоносные программы не меняют исполняемые файлы других программ. Все что они делают -- это копируют себя куда-нибудь в папку windows, иногда при этом подменяя собой какую-нибудь полезную программу, например, notepad, затем прописывают свой запуск при загрузке windows и живут у вас в системе.

Шаг первый -- найти где эта программа запускается.
Таких мест в ситсеме windows много. Реестр, файлы win.ini, system.ini, папка для автозагрузки программ.

Шаг второй -- удалаяеам команду запуска этой программы, одновременно запоминая название файла из которго она запускается.

Шаг третий -- перезагружаем компьютер и удаляем саму программу с диска.

Это все в общих чертах. Иногда приходится импровизировать. Например, недавно я нашел у себя дома троянца и смог удалить его только из DOS'а (у меня win98).
Кроме того, антивирусные сканеры никто не отменял. Теми, что постоянно сидят в памяти и что-то там проверяют я не пользуюсь, а вот обычное сканирование программ на диске запускаю регулярно.

Если есть желающие -- могу расписать шаги более подробно.

[Альпа]

Michael, есть. Я. Давай расписывай.
У меня эта зараза в Windows. И ничем она себя не заменяла. Так и называется по имени... Ну, того, кто хрюшу подкинул. Пробовала удалить обычным методом, ан неет. Ковыряется, укоренился... "Нет доступа... Диск защищён или переполнен...". Касперский не удаляет, а находит, при этом троян противно визжит по-свинячьи. Хотите пришлю? Послушаете. Шутю, шутю...
Michael, айда расписывать. Будем объявлять войну троянам!!!
"Здоровье компам русских граждан!" Ураааа! Ураа!... Ура.




Michael, заранее благодарю!

[Michael]

Ладно.
Начнем с певого шага. Находим где запускается зловредный троян.
Для начала расскажу как быть в том случае, когда имя исполняемого файла программы-трояна нам известно.

Хочу предупрелить, что если вы не уверены в своих действиях, то лучше ничего не меняйте в файлах конфигурации Windows, так как это может привести к неприятным последствиям, вплоть до полной потери всех данных на диске

Итак.
1. Сморим в папке "StartUp" ("Автозагрузка") в меню "Programs" ("Программы")

Если там есть какие-то ярлыки -- смотрим что они запускают. Если они запускают нужный (а точнее совсем не нужный) нам файл, то удаляем этот ярлык из папки.

2. Смотрим на содержимое файла Win.ini из папки, где у нас стоит windows. Как правило он находится там: "C:\WINDOWS\WIN.INI"
Чем смотреть? Ну хотя бы программой NotePad.
Кстати, эти файлы выглядят по разному в разных версиях Windows.
Нас интересуют такие строки:

Код:

[windows]
load=
run=

В данном случае они пустые. Но может быть и вот так:

Код:

[windows]
load=
run=C:\Windows\Trojan-we-are-looking-for.exe

В этом случае, все, что написано справа от знака "равно" нужно удалить.

На всякий случай смотрим в файл system.ini, рассположенный там же.

Код:

[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll power.drv
user.exe=user.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
shell=Explorer.exe

В строке Shell= после Explorer.exe не должно быть больше ничего. Если есть -- удаляем.

3. Ну а теперь -- самый распространенный и часто используемый вариант запуска троянцев. Через реестр. Для его просмотра и редактирования нужно запустить специальную программу -- редактор реестра. Нажимаем "Start"-->"Run..." ("Пуск"-->"Выполнить") и в появившемся окошке набираем "Regedit" без кавычек и нажимаем "Enter". Запустится программа -- редактор реестра.

На экране вы увидите окно, разделенное на две части. В левой части -- дерево и ветки реестра. В правой части -- содержимое той ветки, которая выбрана слева. Если эту программу раньше не запускали или если у вас windows95-98, то Сверху вы увидите иконку "My computer" и из нее будут "произрастать" несколько веток-разделов. Нас интересуют только два: HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE. Если же стоит более позний Windows и кто-то уже "лазил" по реестру, то часть веток может быть открыта с самого начала. Видимо будет удобнее их закрыть, а потом идти дальше по инструкции.
Начнем со второго ключа HKEY_LOCAL_MACHINE. Открываем его содержимое, щелкнув на маленький "плюс" слева около него. Можно просто втать на него "стрелками" и нажать "стрелка вправо". Из этой ветки "вывалится" несколько "подветок". Среди них надо найти ветку "SOFTWARE" и, в свою очередь, открыть ее. Дальше ищем ветку "Microsoft" и открываем ее. В выпавших из ветки "Microsoft" ищем "Windows" и тоже открываем ее содержимое. Находим "CurentVersion" и открываем ее. Вот мы и добрались до нужного места. В нижней части окна, редактор реестра пишет путь к тому месту, где мы сечас находимся. Если вы все сделали правильно, то там должна быть строка вида:

Код:

My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurentVersion\

Если там что-то другое -- начните сначала.
Итак, в открывшемся разделе ищем ветку "Run". Если установить курсор на эту строку, в правой части отобразится ее содержимое. В этом разделе прописываются все программы, которые автоматически запускаются при загрузке компьютера. Программ этих может быть довольно много. Штук десять, например. Важно найти ту, что нам мешает. Как выглядит экран программы в этот момент, вы можете увидеть в прикрепленном к сообщению файле. Этот скриншот сделан в windows95, поэтому там запускается всего три программы. Одна из них (winkiller.exe) специальная утилита, которую я сам когда то устанавливал на тот компьютер. На ее примере хорошо видно, как программы "прописывают" себя в этот раздел. Смотрим на скриншот в правую часть окна. Каждый параметр, запускающий программы, состоит из двух частей: "Name" (имя) и "Data" (данные). Имя может быть произвольным. Часто троянцы прописывают себя под какими-то заковыристыми именами, так что и не сразу поймешь, что это не то, что есть на самом деле. Нас интересует только вторая часть параметра: данные. Вот там мы видим либо просто имя файла с программой или то же имя вместе с путем до него.
Теперь все просто. Так как имя файла с программой-троянцем нам известно -- находим соответствующий параметр и просто удаляем его (кнопка "Del" или контекстное меню правой кнопкой мыши).
Кроме этой ветки реестра точно так же нужно проверить еще несколько:

Код:

My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurentVersion\RunOnce
My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurentVersion\RunServices
My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurentVersion\RunServicesOnce

Последние два есть не во всех версиях Windows.
Затем нужно посмотреть те же ветки но в разделе для текущего пользователя, то есть в My Computer\HKEY_CURRENT_USER. Нужно вернутся на самый верх деревса и опять идти по веткам вниз, открывая нужные. Итак проверяем

Код:

My Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurentVersion\Run
My Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurentVersion\RunOnce

и удаляем оттуда все лишнее, если оно там есть.

Заодно можно и поудальть то, что запускается, но вам не нужно. Например какой-нибудь LivePlayer, WinampAgent и т. п.

После того, как мы удалили все команды на запуск троянца нужно перезагрузить Windows и удалить файл с троянцем вручную. Затем запустить антивирус на проверку.

Когда имя программы с троянцем нам не известно, делать надо примерно тоже, но только тут уже нужно представлять что должно запускаться при старте Windows, а что нет. И аккуратно удалять лишнее.

То что я написал -- это лишь общие рекомендации. Мой способ может сработать не всегда. Например, две недели назад я нашел у себя дома троянца. Удалил строки на его запуск из реестра, перезагрузился, а windows не дает мне стереть файл с трояном, потому, что тот запущен. Странно. Захожу опять в реестр -- а там опять команда на запуск есть. Но я ведь ее удалял только что? Удаляю снова, перегружаюсь -- то же самое. Оказалось, что троянец сидел в памяти и регулярно обновлял команду на свой запуск в реестре. То есть, я ее удалял, а он ее снова туда вписывал через пару секунд. Пришлось перезагрузится в DOS'е и удалить файл с троянцем, а потом почистить реестр...
Так что, к вопросу удаления троянцев надо подходить творчески. Кроме того, существует полно программ, в том числе и бесплатных, которые покажут вам и все, что у вас запускается при загрузке, и троянцев удалят... Я просто по старой привычке стараюсь все то, что могу делать сам, делать своими руками...

[size=1]Michael добавил [date]1065510567[/date]:[/size]
Похоже, форум обрезает длинные строки... В общем, пути в реестре должны писаться в одну строку, как на скриншоте.

___
По техническим причинам вложение было удалено.
Обращайтесь лично ко мне.
Fractal

[Shy]

Можно я вмешаюсь? В Windows 98 определить какие программы запускаютя автоматически можно гораздо проще. Нужно нажать "Пуск", затем "Выполнить" в появившемся окне написать "msconfig" и нажать на "OK". Запустится "Программа настройки системы". На закладке "Автозагрузка" будет приведен список всех программ, которые стартуют вместе с Windows. Если убрать галочку, стоящую напротив программы, она загружаться не будет.

А удалять файлы трояна лучше всего в защищенном режиме (его еще называют режим защиты от сбоев или safe mode). Чтобы в этот режим перейти, нужно при загрузке Windows 98 несколько раз нажать клавишу Ctrl (с одного раза иногда не срабатывает), и в появившемся меню выбрать Safe mode. После следующей перезагрузки система вернется в нормальное состояние. Способ перехода в DOS тоже хорош, но в DOS'е не видны длинные имена файлов.

[Аманда]

Не подскажите что за вирус?Записываю игры а через сутки некоторые игры полностью стёрты, а в некоторых остается 2 папки и в каждой папки по 10 файлов?

[Comens-la-la]

У меня на рабочем компьютере при проверке жесткого диска Dr.Web, кажется, (паучок такой, не могу посмотреть, т.к. я сейчас на другом компе) обнаружилось два трояна. Я их удалила. При повторном сканировании антивирус ничего не обнаружил. Это все? Последствий никаких быть не может?

[Unknown]

Comens-la-la, неа.. не может. Но все таки, чтобы управляться с троянами лучше специализированную прогу поставить.. ссылка в теме, но выше..

[Shah]

http://www.kephyr.com/spywarescanner...se/index.phtml