Премахването на вируса () ръчно, компютърна помощ

Премахване вирус igfxtray.exe (Carberp.AD) ръчно

Така че днес аз отново хвана окото igfxtray.exe вирус (Win32 / TrojanDownloader.Carberp.AD - такава, както я наричат ​​в Nod'om)

Този паразит се намира или в папка% APPDATA% на. все по-често срещани в% USERPROFILE% \ Start Menu \ Programs \ Startup

С файл igfxtray.exe да отидете igfxtray.dat файл

1) igfxtray блокира достъпа до интернет в браузърите, като Skype, Mail-агент на TeamViewer и други програми не са свързани с браузъри, като в момента работи нормално.

2) на компютъра ви започва да се забавя значително, може да се мотае, "изчезване" на информацията за диска, докато навигирате папки и т.н.

Този компютър е инсталиран антивирусен Avast. Но е изненадващо, че много лично уведомил, че преминава на вируса. Въпреки че по-рано се запознах и Nod32 - но очевидно актуализираните дефиниции за вируси, за да помогне да го заключите сега. След успешното премахване на вируса, той е бил инсталиран Nod32

Премахването на вируса е бил произведен, този път без използването на LiveCD (използвам живо CD Lex-PEX), въпреки че всички използват щеше да е много по-лесно, просто исках да видя ще има трудности без негово участие. Както се оказа, не е проблем при отстраняването на никой.

Програма, която ми хареса по време на отстраняването: Total Commander (Shareware версия може да бъде изтеглена от тук), Autoruns. Unlocker. AVZ добре и може би aswclear - за отстраняване на Avast антивирусна

Нека разгледаме по-подробно как да се отърве от него. Компютърът, с които съм се занимавал, очевидно е заразен не само на вируса, но преди netprotocol вирус - най-малко следи от него да остане.

Бих искал да отбележа, че работата за вас може да направи програма CureIt. но в нашия случай ние трябва да се почисти дори фактът, че CureIt не точно ще бъде, а именно премахване на не само на тялото на вируса - но "смелостта", отнасящи се до него.

Така че, в Total Commander отидете на диск система. Ние виждаме следната картина:

Премахването на вируса () ръчно, компютърна помощ

Виждаме странно името на папката, като 3aiOVQ5DGHHMHH5, gXWtglLVONwOh6V т.н.

Именно знак, че системата е igfxtray он вирус създава в корена папки със същите имена, и тъй като тя е в паметта, дори и след като изтриете тези папки, се създават нови папки отново със същата "глупави "заглавия.

Така че, докато те не могат да се докоснат, но може и да ги премахнете.

Давай, път% TMP% по - вижте следното

Аз не знам дали тези файлове, за да igfxtray вирус в моя vzlyad не, те никога не са изпълнени, както и датата не съвпада, но фактът, че не е необходимо "останки" на това, което вирусът или някаква предварително инсталирана програма - никакви съмнения

Също така, ако преминете през файловете могат да бъдат намерени

Това най-вероятно до файлове, свързани с netprotocol вирус - и няма връзка с igfxtray не съм. Срещнах тези имена точно с netprotocol на вирус. Очевидно Antivirus недостатъци и не почисти всичко.

Избери всички (Ctrl + A) и безопасно премахване на всичко, което е в тази папка.

За изненада на абсолютно всички файлове и директории са си отишли, без никакви проблеми. (Ако някой от файловете, ще бъде "прилепването към живота" използвате програмата Unlocker)

Давай% USERPROFILE% \ Local Settings \ Temporary Internet Files \ Content.IE5 \

Изберете всички файлове и да ги изтриете.

След това отидете в% APPDATA%

Премахването на вируса () ръчно, компютърна помощ

Тук се срещаме igfxtray.dat, множество файлове * .tmp + директории с "глупави" имена. Избери всички (INS) и изтриване (SHIFT + DEL).

Този път не бяхме толкова щастлив

Премахването на вируса () ръчно, компютърна помощ

Интересното е, че изглежда има досие и не е - тя също е характерна черта на този вирус. В крайна сметка, ако се вгледате в директорията, след отстраняване (измъкнем от него и пак)

файла остава на мястото на това, което ще се върнете към нея по-късно, или просто Почистете система да го използвате Unlocker -soglasivshis да изтриете файла, след като рестартирате компютъра.

Отидете в% WINDIR% \ Temp

Премахването на вируса () ръчно, компютърна помощ

Има също така виждаме огромен брой временни файлове, както и изпълними файлове с неясен.

Също така тук ние всички (Ctrl + A) и да изтриете.

По този начин, временната папка почистени.

Е, сега се търси вируси в нестандартни места.

За да направите това, стартирайте Autoruns на програмата.

Така че, ние виждаме следното

Тук отново виждаме как тези същите вируси, които все още не са намерили.

Така 3RGYU6fvr98.exe XT83ibJLcRc.exe файлове и са разположени в% USERPROFILE% \ Start Menu \ Programs \ Startup

Най-общо казано, аз очаквах да видя в този каталог igfxtray.exe. защото преди това често го срещнах точно тук - тя изглежда един от нейните модификации и да се срещнат с него няма да успеем.

Имайте предвид, че файлът е описанието и производителя, производителят на първия файл е написано като Microsoft Corporation - доста дързостта да загубят)) Ако няма име на файла може да posomnevatsya и произхода му.

Вторият файл е подписан е типична за такива вируси - "глупави" Изглежда, че името е взето на случаен принцип.

Тук ние виждаме, че системата е все още Netprotocol вирус - но отдавна е била изтрита (файлът не е намерен), както и lsass.exe - също има дистанционно (може да се свърже при почистване на указателя е било в% APPDATA% и може би по-рано. - Но това няма значение)

Така че, ние се пристъпи към премахване на 3RGYU6fvr98.exe и XT83ibJLcRc.exe

Когато изтриете тези файлове (DEL) получите съобщение за грешка от Autoruns на програмата.

Е, хайде да отидем в другата посока. Търсене на файлове в Total Commander

С Unlocker - отключването им и отстранете

Премахването на вируса () ръчно, компютърна помощ

След това рестартирайте компютъра си

Веднага след като ботуши компютърни нагоре, отиват в системата ви диск, за да изтриете директории с глупави имена, отворете% APPDATA% - не виждаме igfxtray.dat файл (ако има такъв - изтриване)

Отиди на AutoRuns. Почиства ненужните програми като netprotocol LSASS + и премахване на стартиране на ненужните програми.

След почистване, аз имам това:

Премахването на вируса () ръчно, компютърна помощ

Сега за Antivirus (I е инсталирана на компютъра по време на отстраняване на вируса, но поръчката не е толкова важно)

Ние трябва да премахнете Avast - защото му надеждност не, и се слага в моя случай, ESET NOD32.

Проблемът е, че в Добавяне или премахване на програми - това не е антивирусна

Премахването на вируса () ръчно, компютърна помощ

В този случай, безопасен режим не се зарежда - появява BSOD 0x7B грешка.

Тук идват по-удобен програма AVZ. С помощта на нея, за да възстановите системата (File - Възстановяване на системата)

Премахването на вируса () ръчно, компютърна помощ

Изберете желаните елементи (най-важното в този случай, за да извършите 10 точки) и изпълнява избрани операции

Рестарт и стартирате безопасен режим (F8 преди Windows Welcome)

Тя вече се изпълни файл за премахване на антивирусен Avast - aswclear.exe

Да се ​​чака Antivirus Изваждането на приемащата страна, отново заредена в нормален режим и да Nod32

Е, всички цели са изпълнени, igfxtray вирус е отстранена, по-надежден антивирусен разположение.

За пълно спокойствие все пак препоръчваме свалянето CureIt скенер и сканира системата напълно (или поне да се направи бърза проверка)

plg.txt файл в главната директория също предоставя вирус. И MicroST папка с един куп DatB0DE.tmp.xsi тип файл в базата от данни, ако има такива, и ieunitdrf.inf файл в System32. И klpclst.dat и wndsksi.inf файлове се прилагат и за този вирус. Виж, ако искате напълно да се отървете от "смелостта". 🙂 О, и проверете друга настройка зони в IE, те могат да се свалят.

klpclst.dat wndsksi.inf файлове и директории, намиращи се в главната директория

Файловете, намиращи се в% USERPROFILE% на:

Не е сигурен какво точно те са свързани с вируса, като на компютъра е знаме на син фон с молба за изпращане на SMS, и най-вероятно притежава тези файлове с него.
Но се провери за наличието на такива файлове в% USERPROFILE% не може да боли

Наличието на папка с едно глупаво име (не MicroST) с един куп Dat1FOE.tmp.xsi тип файл в базата от данни:

Премахването на вируса () ръчно, компютърна помощ

Също така, наличието на данни за приложения wndsksi.inf файл, igfxtray.dat и файлове, без тип разширение 743s55d3a:

Премахването на вируса () ръчно, компютърна помощ

% TEMP% директория и нейното съдържание - за почистване напълно:

Ами ieunitdrf.inf подаде в System32, както и един куп тип tmpCB0AE.FOT файл и неподписан DLL, (аз не знам дали тези файлове на вируса, или не - но тук те са очевидно излишни) и наличието на двата файла и amcompat.tlb nscompat .tlb (аз ги преименува, защото аз не знам какви са те - въпреки че на сайта, за да проверите подозрителни файлове, написани, че те са безопасни и са на пръв поглед като Windows Movie Maker или Microsoft MediaPlayer):

Премахването на вируса () ръчно, компютърна помощ

Да, igfxtray.dat също се позовава на вируса, забравих да спомена за него. Като цяло, всички вътрешности търсени по дата на създаване и модифициране на файлове. Повече от всичко подозрително, освен вече изброените, домакин не е намерен. Но шегата е, че igfxtray.dat файл е с дата на създаване и модификация са същите като повечето системни файлове на Windows, т.е. вирусът изглежда е повече и замества датата на вашите файлове. Така че моят списък с вътрешности може по никакъв начин пълни, но вашите файлове, най-малко по себе си не е намерен (amcompat.tlb не се брои, нормална система файл от WMP). И аз може би имаше различна модификация на вируса (Trojan.DownLoader5.43515 / Trojan.Carberp.30 версия CureIt!), Така че файловете са различни. Самият вирус, регистрирана в стартиране имаше име BNk7tb211xA.exe файл.

Клас! Вие сте толкова ясно и подробно описани. Всичко, което съм се сбъдне! Много благодаря.