Пошаговая инструкция по удалению вируса TROJAN.ADYLKUZZ.

Posted in Инструкции по удалению вирусов

Андрей "Вирусолог"

Что такое TROJAN.ADYLKUZZ?

TROJAN.ADYLKUZZ — это вирус-троян, занимающийся майнингом (добычей, эмиссией) криптовалюты при помощи зараженных компьютеров.
Трояны довольно опасны. Их деятельность может быть направлена на похищение ваших личных, в том числе банковских данных путем отправки их злоумышленнику без вашего ведома. Кроме того, как в случае с TROJAN.ADYLKUZZ, их деятельность может быть направлена на использование мощности зараженного компьютера для добычи криптовалюты в пользу автора вируса. В отдельных случаях трояны могут заниматься и шифрованием данных пользователя с целью получения выкупа.

Как происходит заражение рекламным вирусом TROJAN.ADYLKUZZ?

Что ж, я постоянно всем советую аккуратнее устанавливать неизвестное программное обеспечение. Эта же рекомендация относится и к неизвестным файлам, приходящим по почте в качестве вложений, либо скачанных самостоятельно.

Как избавиться от вируса Trojan.Adylkuzz

Что касается конкретно TROJAN.ADYLKUZZ, то перво-наперво данный вирус создает следующие файлы на зараженной машине:

%ProgramFiles%\Hardware Driver Management\windriver.exe
%Windir%\Fonts\wuauser.exe

После этого вирус отправляет отчет об установке на удаленный сервер, передавая туда информацию о:
Глобальном IP жертвы
Своей версии
операционной системе и архитектуре компьютера
частоте и количестве процессоров
объему памяти

Далее, вирус скачивает с удаленного сервера так называемый криптомайнер (службы для добычи, зарабатывания криптовалюты в пользу злоумышленника), запускает его и создает на зараженной машине службы: WHDMIDE and WELM.

Как можно заметить, что на вашей машине уже запустился криптомайнер? Проверьте наличие следующих файлов:
%ProgramFiles%\Microsoft.NET\Primary Interop Assemblies\LMS.dat
%Windir%\Fonts\msiexev.exe
а также %Temp%\[RANDOM CHARACTERS]._Miner_.log, куда троян сбрасывает свой лог.

Кроме того, TROJAN.ADYLKUZZ определяет наличие следующих запущенных процессов (а также некоторых антивирусов) и останавливает работу своих служб и криптомайнера:
taskmgr.exe
mmc.exe
procexp.exe

Кстати, забавное свойство! При заражении TROJAN.ADYLKUZZ отключает работу сетевого протокола SMB и блокирует доступ к порту 445 с целью защититься от заражения конкурирующими криптомайнерами. В результате такого поведения машина жертвы становится неуязвима для раскрученного в последнее время в СМИ вируса шифровальщика WANNACRY (WannaCrypt)!

Так что же делать, если вы таки заразились вирусом TROJAN.ADYLKUZZ?
Для начала, как в случае с любым трояном, изолируйте зараженную машину от других машин в сети как можно быстрее. Ну а затем, конечно же лечиться! А как это сделать, мы подробно опишем ниже.

Инструкция по ручному удалению рекламного вируса TROJAN.ADYLKUZZ

Для того, чтобы самостоятельно избавиться от рекламы TROJAN.ADYLKUZZ, вам необходимо последовательно выполнить все шаги, которые я привожу ниже:

  1. Поискать «TROJAN.ADYLKUZZ» в списке установленных программ и удалить ее.

    2. Проверить список установленных программ

  2. Открыть Диспетчер задач и закрыть программы, у которых в описании или имени есть слова «TROJAN.ADYLKUZZ». Заметьте, из какой папки происходит запуск этой программы. Удалите эти папки.

    3. проверить диспетчер задач

  3. Запретить вредные службы с помощью консоли services.msc.

    4. запустить консоль служб

  4. Удалить “Назначенные задания”, относящиеся к TROJAN.ADYLKUZZ, с помощью консоли taskschd.msc.

    5. запустить планировщик заданий

  5. С помощью редактора реестра regedit.exe поискать ключи с названием или содержащим «TROJAN.ADYLKUZZ» в реестре.

    6. запустить редактор реестра

  6. Проверить ярлыки для запуска браузеров на предмет наличия в конце командной строки дополнительных адресов Web сайтов и убедиться, что они указывают на подлинный браузер.

    7. проверить ярлык на наличие дополнительных инструкций в конце

  7. Проверить плагины всех установленных браузеров Internet Explorer, Chrome, Firefox и т.д.

    8. проверить плагины

  8. Проверить настройки поиска, домашней страницы. При необходимости сбросить настройки в начальное положение.

    9. проверить изменения в настройках домашней страницы

  9. Очистить корзину, временные файлы, кэш браузеров.

И все же автоматика лучше!

Если ручной метод — не для вас, и хочется более легкий путь, существует множество специализированного ПО, которое сделает всю работу за вас. Я рекомендую воспользоваться UnHackMe от Greatis Software, выполнив все по пошаговой инструкции.
Шаг 1. Установите UnHackMe. (1 минута)
Шаг 2. Запустите поиск вредоносных программ в UnHackMe. (1 минута)
Шаг 3. Удалите вредоносные программы. (3 минуты)

UnHackMe выполнит все указанные шаги, проверяя по своей базе, всего за одну минуту.

При этом UnHackMe скорее всего найдет и другие вредоносные программы, а не только редиректор на TROJAN.ADYLKUZZ.

При ручном удалении могут возникнуть проблемы с удалением открытых файлов. Закрываемые процессы могут немедленно запускаться вновь, либо могут сделать это после перезагрузки. Часто возникают ситуации, когда недостаточно прав для удалении ключа реестра или файла.

UnHackMe легко со всем справится и выполнит всю трудную работу во время перезагрузки.

И это еще не все. Если после удаления редиректа на TROJAN.ADYLKUZZ какие то проблемы остались, то в UnHackMe есть ручной режим, в котором можно самостоятельно определять вредоносные программы в списке всех программ.

Итак, приступим:

Шаг 1. Установите UnHackMe (1 минута).

  1. Скачали софт, желательно последней версии. И не надо искать на всяких развалах, вполне возможно там вы нарветесь на пиратскую версию с вшитым очередным мусором. Оно вам надо? Идите на сайт производителя, тем более там есть бесплатный триал. Запустите установку программы.

    2. начать установку UnHackMe

  2. Затем следует принять лицензионное соглашение.

    3. продолжить установку UnHackMe

  3. И наконец указать папку для установки. На этом процесс инсталляции можно считать завершенным.

    4. выбрать каталог для установки UnHackMe

Шаг 2. Запустите поиск вредоносных программ в UnHackMe (1 минута).

  1. Итак, запускаем UnHackMe, и сразу стартуем тестирование, можно использовать быстрое, за 1 минуту. Но если время есть — рекомендую расширенное онлайн тестирование с использованием VirusTotal — это повысит вероятность обнаружения не только перенаправления на TROJAN.ADYLKUZZ, но и остальной нечисти.

    2. Начинаем удалять вирусы используя UnHackMe

  2. Мы увидим как начался процесс сканирования.

    3. сканирование системы UnHackMe

Шаг 3. Удалите вредоносные программы (3 минуты).

  1. Обнаруживаем что-то на очередном этапе. UnHackMe отличается тем, что показывает вообще все, и очень плохое, и подозрительное, и даже хорошее. Не будьте обезьяной с гранатой! Не уверены в объектах из разряда “подозрительный” или “нейтральный” — не трогайте их. А вот в опасное лучше поверить. Итак, нашли опасный элемент, он будет подсвечен красным. Что делаем, как думаете? Правильно — убить! Ну или в английской версии — Remove Checked. В общем, жмем красную кнопку.

    2. удалить используя UnHackMe

  2. После этого вам возможно будет предложено подтверждение. И приглашение закрыть все браузеры. Стоит прислушаться, это поможет.
  3. В случае, если понадобится удалить файл, или каталог, пожалуй лучше использовать опцию удаления в безопасном режиме. Да, понадобится перезагрузка, но это быстрее, чем начинать все сначала, поверьте.

    4. исправить с использованием UnHackMe

  4. Ну и в конце вы увидите результаты сканирования и лечения.

    5. исправлено при помощи UnHackMe

Итак, как вы наверное заметили, автоматизированное лечение значительно быстрее и проще! Лично у меня избавление от перенаправителя на TROJAN.ADYLKUZZ заняло 5 минут! Поэтому я настоятельно рекомендую использовать UnHackMe для лечения вашего компьютера от любых нежелательных программ!

[ratings]
  • Андрей "Вирусолог"

    Андрей - обычный парень, который пользуется компьютером каждый день, и ненавидит, когда неприятности наполняют его жизнь. А еще он любит петь. Но не переживайте, его голос не будет досаждать вам. Только текст )