Как удалить троян Bicololo и его последствия?

[Andrey,pro]

запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

Code: [Select]

:OTL
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

:Files
C:\Users\Mih\AppData\Roaming\DSite
c:\windows\system32\DRIVERS\eamonm.sys

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

[Extralinguist]

Настройки OTL строго те же, что в самой первой инструкции?

[Andrey,pro]

нет, при выполнении скрипта выставлять настройки уже не нужно.

[Extralinguist]

Итак, вот результат выполнения скрипта:

All processes killed
========== OTL ==========
========== FILES ==========
C:\Users\Mih\AppData\Roaming\DSite\UpdateProc folder moved successfully.
C:\Users\Mih\AppData\Roaming\DSite folder moved successfully.
File\Folder c:\windows\system32\DRIVERS\eamonm.sys not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Mih
->Temp folder emptied: 40242049 bytes
->Temporary Internet Files folder emptied: 143878 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 115696670 bytes
->Google Chrome cache emptied: 17122731 bytes
->Apple Safari cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1076 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: Все пользователи
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6422 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 165,00 mb
 
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.69.0 log created on 07092013_211640

Files\Folders moved on Reboot...
C:\Users\Mih\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Mih\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


====
Честно говоря, настораживает строка:
File\Folder c:\windows\system32\DRIVERS\eamonm.sys not found.

[Andrey,pro]

Честно говоря, настораживает строка:
File\Folder c:\windows\system32\DRIVERS\eamonm.sys not found.

не стоит так беспокоиться по этому поводу, на всякий случай проверьте: в папке c:\windows\SYSNATIVE\DRIVERS\ есть файл eamonm.sys? До этого у Вас был установлен ESET Nod 32?

[Extralinguist]

на всякий случай проверьте: в папке c:\windows\SYSNATIVE\DRIVERS\ есть файл eamonm.sys?

Нет вообще такой папки в каталоге c:\windows\

До этого у Вас был установлен ESET Nod 32?

Был, но после удаления (прошлым летом) я полностью переустановил систему. Точней даже не после, а при: я и систему-то переустанавливал именно потому, что решил поменять кривой и левый NOD 32 на нормальный Аваст.

[Andrey,pro]

тогда нечего беспокоиться последите несколько дней, если реклама снова появится, то сообщите об этом

[Vitall.Zhukov]

Здравствуйте.

Столкнулся с тойже проблемой. Кажется все помогло. Только вот одно наблюдение: похоже что вирус создает Windows Scheduler Task и он не удвляеться с выполнением скрипта. http://screencast.com/t/8uSou5G70x

[Andrey,pro]

Vitall.Zhukov, здравствуйте и добро пожаловать на форум!

Для плодотворной работы рекомендуем ознакомиться с темой Информация о форуме.

Вы выполнили скрипт, который предназначен для другого пользователя? В предупреждении ведь написано: "ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!".

Для подготовки отчётов (логов), необходимых для лечения Вашего компьютера от заражений, рекомендуем ознакомиться с темой Логи для помощи в очистке компьютера от заражений.

Не стесняйтесь задавать вопросы, если Вам что-то непонятно. Желаем удачи!