Перейти к содержанию
Jeims Bond

как удалить Trojan-spy.win32.webmoner.fi

Recommended Posts

Jeims Bond

Не могу удалить Trojan-spy.win32.webmoner.fi . Касперский его обнаруживает, а удалять и лечить не хочет. Помогите чем сможите. Зарание спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Trojan-spy.win32.webmoner.fi

Это файл из директории C:\WINDOWS\system32?

Он прицепляется к userunit.exe и загружается вместе с учётной записью пользователя, как ранее делал ntos, см. тут.

Он корректно удаляется и Антивирусом Касперского, и Антвирусом Доктор Веб.

AVZ может сделать отложенное удаление этого файла после перезагрузки, но были случаи когда файл прятался и этот номер не проходил.

Если не получается, то возможно вам поможет вот это

http://support.kaspersky.ru/faq/?qid=208636281 (аналогичный тип заражения).

Утилита ZBotKiller

Предварительно отключите "Восстановление системы":

Мой компьютер > Свойства > Восстановление системы > галочка на "Отключить восстановление системы на всех дисках" (дождаться окончания операции) > Применить > ОК

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mona Sax
Касперский его обнаруживает, а удалять и лечить не хочет. Помогите чем сможите. Зарание спасибо!

Сделайте аварийный диск. инструкция тут: http://support.kaspersky.ru/faq/?qid=208635971

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      В меню: Скрипт добавить проверку скрипта находящегося в буфере обмена. Это нужно при работе на форумах.    
    • demkd
      причем хорошая такая защита, тут скорее всего только виртуализацией его выковыривать, если защиты и то нее нет, заморозка только на потоки в uVS работает, да и я не факт что именно поток защищает процесс.
    • santy
      похоже впервые по данному типу майнера используются потоки для защиты от удаления файлов. по крайней мере, в октябрьском варианте по этому распространенному на нек форумах майнеру нет потоков. C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE. может заморозку потоков делать перед  созданием образа автозапуска? по кройней мере в том случае, если они обнаружены  
    • demkd
      потому что файлы защищены: (!) Невозможно открыть процесс: dllhost.exe [6856]
      (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE [7424], tid=7428
      Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
      Не удалось открыть файл: C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
    • PR55.RP55
      C:\PROGRAMDATA\REALTEKHD\TASKHOST.EXE C:\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE Хэш файла не найден http://www.tehnari.ru/f35/t270519/
×