Виправляємо та оптимізуємо за допомогою програми AVZ. AVZ – відновлення системних налаштувань та видалення вірусів. Налаштування мікропрограм AVZ — відновлення системи після вірусів

Проста та зручна утилітка AVZ, яка може не тільки допоможе, але й уміє відновлювати систему. Для чого це треба?

Справа в тому, що після нашестя вірусів (буває, що AVZ їх вбиває тисячами), деякі програми відмовляються працювати, налаштування всі кудись поділися і Windows якось працює не зовсім коректно.

Найчастіше в такому випадку користувачі просто встановлюють систему. Але, як показує практика, це зовсім необов'язково, тому що за допомогою тієї ж утилітки AVZ, Ви можете відновити практично будь-які пошкоджені програми та дані.

Щоб дати Вам наочнішу картину, надаю повний список того, що вміє відновлюватиAVZ.

Матеріал взятий з довідника поAVZ - http://www.z-oleg.com/secur/avz_doc/ (скопіювати та вставити в адресний рядок браузера).

В даний час в базі є такі мікропрограми:

1.Відновлення параметрів запуску.exe, .com, .pif файлів

Ця мікропрограма відновлює реакцію системи на файли exe, com, pif, scr.

Показання до застосування:після видалення вірусу перестають запускатись програми.

2.Скидання налаштувань префіксів протоколів Internet Explorer на стандартні

Ця мікропрограма відновлює налаштування префіксів протоколів в Internet Explorer

Показання до застосування:при введенні адреси типу www.yandex.ru йде його заміна на щось виду www.seque.com/abcd.php?url=www.yandex.ru

3.Відновлення стартової сторінки Internet Explorer

Ця мікропрограма відновлює стартову сторінку в Internet Explorer

Показання до застосування:заміна стартової сторінки

4.Скидання налаштувань пошуку Internet Explorer на стандартні

Ця мікропрограма відновлює налаштування пошуку в Internet Explorer

Показання до застосування:При натисканні кнопки «Пошук» у IE йде звернення до якогось стороннього сайту

5.Відновлення налаштувань робочого столу

Ця мікропрограма відновлює налаштування робочого столу.

Відновлення означає видалення всіх активних елементів ActiveDesctop, шпалер, зняття блокувань на меню, що відповідає за налаштування робочого столу.

Показання до застосування:Зникли закладки налаштування робочого стола у вікні «Властивості:екран», на робочому столі відображаються сторонні написи або малюнки

6.Видалення всіх Policies (обмежень) поточного користувача

Windows передбачає механізм обмежень дій користувача, який називають Policies. Цією технологією користуються багато шкідливих програм, оскільки налаштування зберігаються в реєстрі і їх нескладно створювати або модифікувати.

Показання до застосування:Заблоковано функції провідника чи інші функції системи.

7.Видалення повідомлення, що виводиться під час WinLogon

Windows NT та наступні системи в лінійці NT (2000, XP) дозволяють встановити повідомлення, що відображається під час автозавантаження.

Цим користується ряд шкідливих програм, причому знищення шкідливої програми не призводить до знищення цього повідомлення.

Показання до застосування:Під час завантаження системи вводиться стороннє повідомлення.

8.Відновлення налаштувань провідника

Дана мікропрограма скидає ряд налаштувань провідника на стандартні (скидаються в першу чергу налаштування, що змінюються шкідливими програмами).

Показання до застосування:Змінено налаштування провідника

9.Видалення відладчиків системних процесів

Реєстрація налагоджувача системного процесу дозволять здійснити прихований запуск програми, що й використовується рядом шкідливих програм

Показання до застосування: AVZ виявляє невідомі відладники системних процесів, виникають проблеми із запуском системних компонентів, зокрема після перезавантаження зникає робочий стіл.

10. Відновлення налаштувань завантаження в SafeMode

Деякі шкідливі програми, зокрема хробак Bagle, ушкоджують налаштування завантаження системи в захищеному режимі.

Ця мікропрограма відновлює налаштування завантаження у захищеному режимі. Показання до застосування:Комп'ютер не завантажується у захищеному режимі (SafeMode). Застосовувати цю мікропрограму слід тільки у разі проблем із завантаженням у захищеному режимі .

11. Розблокування диспетчера завдань

Блокування диспетчера завдань застосовується шкідливими програмами захисту процесів від виявлення і видалення. Відповідно виконання даної мікропрограми знімає блокування.

Показання до застосування:Блокування диспетчера завдань, під час спроби виклику диспетчера задач виводиться повідомлення «Диспетчер завдань заблокований адміністратором».

12.Очищення списку ігнорування утиліти HijackThis

Утиліта HijackThis зберігає в реєстрі ряд своїх налаштувань, зокрема список винятків. Тому для маскування від HijackThis шкідливій програмі достатньо зареєструвати свої файли в списку винятків.

Зараз відомий ряд шкідливих програм, що використовують цю вразливість. Мікропрограма AVZ виконує очищення списку виключень утиліти HijackThis

Показання до застосування:Підозри на те, що утиліта HijackThis відображає не всю інформацію про систему.

13. Очищення файлу Hosts

Очищення файлу Hosts зводиться до пошуку файлу Hosts, видалення всіх значних рядків і додавання стандартного рядка «127.0.0.1 localhost».

Показання до застосування:Підозри на те, що файл Hosts змінено шкідливою програмою. Типові симптоми – блокування оновлення антивірусних програм.

Проконтролювати вміст Hosts можна за допомогою менеджера Hosts файлу, вбудованого в AVZ.

14. Автоматичне виправлення налаштувань SPl/LSP

Виконує аналіз налаштувань SPI і у разі виявлення помилок здійснює автоматичне виправлення знайдених помилок.

Дану мікропрограму можна запускати повторно необмежену кількість разів. Після виконання цієї мікропрограми рекомендується перезавантажити комп'ютер. Зверніть увагу! Дану мікропрограму не можна запускати з термінальної сесії

Показання до застосування:Після видалення шкідливої програми зник доступ до Інтернету.

15. Скидання налаштувань SPI/LSP та TCP/IP (XP+)

Зверніть увагу! Застосовувати скидання налаштувань потрібно лише в разі потреби за наявності непереборних проблем з доступом до Інтернету після видалення шкідливих програм!

Показання до застосування:Після видалення шкідливої програми зник доступ до Інтернету та виконання мікропрограми «14. Автоматичне виправлення параметрів SPl/LSP» не дає результату.

16. Відновлення ключа запуску Explorer

Відновлює системні ключі реєстру, які відповідають за запуск провідника.

Показання до застосування:Під час завантаження системи не запускається провідник, але запуск explorer.exe можливий вручну.

17. Розблокування редактора реєстру

Розблокує редактор реєстру шляхом видалення політики, яка забороняє його запуск.

Показання до застосування:Неможливо запустити редактор реєстру, при спробі виводиться повідомлення про те, що його запуск заблоковано адміністратором.

18. Повне перестворення налаштувань SPI

Виконує резервне копіювання налаштувань SPI/LSP, після чого знищує їх і створює за стандартом, який зберігається в базі.

Показання до застосування:Тяжкі пошкодження налаштувань SPI, непереборні скриптами 14 і 15. Застосовувати лише у разі потреби!

19. Очистити базу MountPoints

Здійснює очищення бази MountPoints та MountPoints2 у реєстрі. Ця операція нерідко допомагає у разі, коли після зараження Flash-вірусом у провіднику не відкриваються диски

Для відновлення необхідно відзначити один або кілька пунктів і натиснути кнопку «Виконати зазначені операції». Натискання кнопки "ОК" закриває вікно.

На замітку:

Відновлення марно, якщо в системі працює троянська програма, що виконує подібні переналаштування, необхідно спочатку видалити шкідливу програму, а потім відновлювати налаштування системи

На замітку:

Для усунення слідів більшості Hijacker необхідно виконати три мікропрограми - "Скидання налаштувань пошуку Internet Explorer на стандартні", "Відновлення стартової сторінки Internet Explorer", "Скидання налаштувань префіксів протоколів Internet Explorer на стандартні"

На замітку:

Будь-яку мікропрограму можна виконувати кілька разів поспіль без шкоди для системи. Винятки - «5.

Відновлення налаштувань робочого столу» (робота цієї мікропрограми скине всі налаштування робочого столу і доведеться заново вибирати розмальовку робочого столу та шпалери) та «10.

Відновлення параметрів завантаження в SafeMode» (дана мікропрограма перетворює ключі реєстру, які відповідають за завантаження в безпечному режимі).

Щоб запустити відновлення, спочатку скачуємо розпаковуємо та запускаємо утиліту. Потім натискаємо файл – відновлення системи. До речі, можна ще виконати

Відзначаємо галочки, які вам потрібні і натискаємо запустити операції. Все, очікуємо виконання:-)

У наступних статтях ми розглянемо докладніше проблеми, вирішити які нам допоможуть мікропрограми avz відновлення системи. Тож і удачі вам.

Посвячений AVZ, хочу поділитися з Вами ще рядом знань щодо можливостей цієї чудової утиліти.

Сьогодні мова піде про засоби відновлення системи, які часто можуть врятувати Вам комп'ютер життя після зараження вірусами та іншими жахами життя, а також вирішити ряд системних проблем, що виникають внаслідок тих чи інших помилок.
Корисно буде кожному.

Вступна

Перед тим, як приступити, традиційно, хочу запропонувати Вам два формати матеріалу, а саме: відеоформат або текстовий. Відео ось:

Ну а текстовий нижче. Дивіться самі якийсь варіант Вам ближче.

Загальний опис функціоналу програми

Що ж це за кошти відновлення? Це набір мікропрограм та скриптів, які допомагають повернути в робочий стан ті чи інші функції системи. Які Наприклад? Ну, скажімо, повернути чи редактор реєстру, очистити файл hosts чи скинути налаштування IE. Загалом даю цілком і з описом (щоб не винаходити велосипед):

1. Відновлення параметрів запуску.exe, .com, .pif файлів
Ця мікропрограма відновлює реакцію системи на файли exe, com, pif, scr.
Показання для застосування: після видалення вірусу перестають запускатися програми.
2. Скидання налаштувань префіксів протоколів Internet Explorer на стандартні
Ця мікропрограма відновлює налаштування префіксів протоколів в Internet Explorer
При введенні адреси типу www.yandex.ru йде його заміна на щось виду www.seque.com/abcd.php?url=www.yandex.ru
3. Відновлення стартової сторінки Internet Explorer
Ця мікропрограма відновлює стартову сторінку в Internet Explorer
Показання для застосування: заміна стартової сторінки
4. Скидання налаштувань пошуку Internet Explorer на стандартні
Ця мікропрограма відновлює налаштування пошуку в Internet Explorer
Показання для застосування: При натисканні кнопки "Пошук" в IE йде звернення до якогось стороннього сайту
5. Відновлення налаштувань робочого столу
Ця мікропрограма відновлює налаштування робочого столу. Відновлення означає видалення всіх активних елементів ActiveDesctop, шпалер, зняття блокувань на меню, що відповідає за налаштування робочого столу.
Показання для застосування: Зникли закладки налаштування робочого стола у вікні "Властивості:екран", на робочому столі відображаються сторонні написи або малюнки
6. Видалення всіх Policies (обмежень)поточного користувача.
Windows передбачає механізм обмежень дій користувача, який називають Policies. Цією технологією користуються багато шкідливих програм, оскільки налаштування зберігаються в реєстрі і їх нескладно створювати або модифікувати.
Показання для застосування: Заблоковано функції провідника або інші функції системи.
7. Видалення повідомлення, що виводиться під час WinLogon
Windows NT та наступні системи в лінійці NT (2000, XP) дозволяють встановити повідомлення, що відображається під час автозавантаження. Цим користується ряд шкідливих програм, причому знищення шкідливої програми не призводить до знищення цього повідомлення.
Показання для застосування: Під час завантаження системи вводиться стороннє повідомлення.
8. Відновлення налаштувань провідника
Дана мікропрограма скидає ряд налаштувань провідника на стандартні (скидаються в першу чергу налаштування, що змінюються шкідливими програмами).
Показання для застосування: Змінено налаштування провідника
9. Видалення налагоджувачів системних процесів
Реєстрація налагоджувача системного процесу дозволять здійснити прихований запуск програми, що й використовується рядом шкідливих програм
Показання для застосування: AVZ виявляє невідомі відладники системних процесів, виникають проблеми із запуском системних компонентів, зокрема після перезавантаження зникає робочий стіл.
10. Відновлення налаштувань завантаження у SafeMode
Деякі шкідливі програми, зокрема хробак Bagle, ушкоджують налаштування завантаження системи в захищеному режимі. Ця мікропрограма відновлює налаштування завантаження у захищеному режимі.
Показання для застосування: Комп'ютер не завантажується в захищеному режимі (SafeMode). Застосовувати цю мікропрограму слід лише у разі проблем із завантаженням у захищеному режимі.
11. Розблокування диспетчера завдань
Блокування диспетчера завдань застосовується шкідливими програмами захисту процесів від виявлення і видалення. Відповідно виконання даної мікропрограми знімає блокування.
Показання для застосування: Блокування диспетчера завдань, при спробі виклику диспетчера задач виводиться повідомлення "Диспетчер задач заблокований адміністратором".
12. Очищення списку ігнорування утиліти HijackThis
Утиліта HijackThis зберігає в реєстрі ряд своїх налаштувань, зокрема – список винятків. Тому для маскування від HijackThis шкідливій програмі достатньо зареєструвати свої файли в списку винятків. Зараз відомий ряд шкідливих програм, що використовують цю вразливість. Мікропрограма AVZ виконує очищення списку виключень утиліти HijackThis
Показання для застосування: Підозри на те, що утиліта HijackThis відображає не всю інформацію про систему.
13. Очищення файлу Hosts
Очищення файлу Hosts зводиться до пошуку файлу Hosts, видалення з нього всіх значних рядків та додавання стандартного рядка "127.0.0.1 localhost".
Показання для застосування: Підозри на те, що файл Hosts змінений шкідливою програмою. Типові симптоми – блокування оновлення антивірусних програм. Проконтролювати вміст Hosts можна за допомогою менеджера Hosts файлу, вбудованого в AVZ.
14. Автоматичне виправлення налаштувань SPl/LSP
Виконує аналіз налаштувань SPI і у разі виявлення помилок здійснює автоматичне виправлення знайдених помилок. Дану мікропрограму можна запускати повторно необмежену кількість разів. Після виконання цієї мікропрограми рекомендується перезавантажити комп'ютер. Зверніть увагу! Дану мікропрограму не можна запускати з термінальної сесії
Показання для застосування: Після видалення шкідливої програми зник доступ в Інтернет.
15. Скидання налаштувань SPI/LSP та TCP/IP (XP+)
Дана мікропрограма працює лише у XP, Windows 2003 та Vista. Її принцип роботи заснований на скиданні та перестворенні налаштувань SPI/LSP і TCP/IP за допомогою штатної утиліти netsh, що входить до складу Windows. Детально про скидання настройок можна прочитати в базі знань Microsoft - Зверніть увагу! Застосовувати скидання налаштувань потрібно лише в разі потреби за наявності непереборних проблем з доступом до Інтернету після видалення шкідливих програм!
Показання для застосування: Після видалення шкідливої програми зник доступ до Інтернету та виконання мікропрограми "14. Автоматичне виправлення налаштувань SPl/LSP" не дає результату".
16. Відновлення ключа запуску Explorer
Відновлює системні ключі реєстру, які відповідають за запуск провідника.
Показання для застосування: Під час завантаження системи не запускається провідник, але запуск explorer.exe вручну можливий.
17. Розблокування редактора реєстру
Розблокує редактор реєстру шляхом видалення політики, яка забороняє його запуск.
Показання для застосування: Неможливо запустити редактор реєстру, при спробі виводиться повідомлення про те, що його запуск заблокований адміністратором.
18. Повне перестворення налаштувань SPI
Виконує резервне копіювання налаштувань SPI/LSP, після чого знищує їх і створює за стандартом, який зберігається в базі.
Показання для застосування: Тяжкі пошкодження налаштувань SPI, непереборні скриптами 14 і 15. Застосовувати тільки в разі потреби!
19. Очистити базу MountPoints
Здійснює очищення бази MountPoints та MountPoints2 у реєстрі.
Показання для застосування: Ця операція нерідко допомагає у випадку, коли після зараження Flash-вірусом у провіднику не відкриваються диски
На замітку :
Відновлення марно, якщо в системі працює троянська програма, яка виконує подібні переналаштування - необхідно спочатку видалити шкідливу програму, а потім відновлювати налаштування системи
На замітку :
Для усунення слідів більшості Hijacker необхідно виконати три мікропрограми - "Скидання налаштувань пошуку Internet Explorer на стандартні", "Відновлення стартової сторінки Internet Explorer", "Скидання налаштувань префіксів протоколів Internet Explorer на стандартні"
На замітку :
Будь-яку мікропрограму можна виконувати кілька разів поспіль без шкоди для системи. Винятки - "5. Відновлення налаштувань робочого столу" (робота цієї мікропрограми скине всі налаштування робочого столу і доведеться заново вибирати розмальовку робочого столу та шпалери) та "10. Відновлення налаштувань завантаження в SafeMode" (дана мікропрограма перетворює ключі реєстру, що відповідають за завантаження в безпечному режимі).

Корисно, чи не так?
Тепер про те, як користуватися.

Завантаження запуск, використання

Власне, все просто.

Качаємо звідси (або звідки ще) антивірусну утиліту AVZ.
Розпаковуємо архів з нею кудись куди Вам зручно
Прямуємо в папку куди ми розпакували програму і запускаємо там avz.exe.
У вікні програми вибираємо "Файл" - " Відновлення системи".
Відзначаємо галочками потрібні пункти і давимо в кнопку " Виконати зазначені операції".
Чекаємо і насолоджуємось результатом.

Ось такі от справи.

Післямова

Треба сказати, що працює воно на ура і позбавляє ряду зайвих рухів тіла. Так би мовити, все під рукою, швидко, просто та ефективно.

Спасибі за увагу;)

16.08.2019

Посвячений AVZ, хочу поділитися з Вами ще рядом знань щодо можливостей цієї чудової утиліти.

Вступна

Ну а текстовий нижче. Дивіться самі якийсь варіант Вам ближче.

Загальний опис функціоналу програми

1. Відновлення параметрів запуску.exe, .com, .pif файлів
Показання для застосування: після видалення вірусу перестають запускатися програми.
2. Скидання налаштувань префіксів протоколів Internet Explorer на стандартні
При введенні адреси типу www.yandex.ru йде його заміна на щось виду www.seque.com/abcd.php?url=www.yandex.ru
3. Відновлення стартової сторінки Internet Explorer
Показання для застосування: заміна стартової сторінки
4. Скидання налаштувань пошуку Internet Explorer на стандартні
Показання для застосування: При натисканні кнопки "Пошук" в IE йде звернення до якогось стороннього сайту
5. Відновлення налаштувань робочого столу
Ця мікропрограма відновлює налаштування робочого столу. Відновлення означає видалення всіх активних елементів ActiveDesctop, шпалер, зняття блокувань на меню, що відповідає за налаштування робочого столу.
Показання для застосування: Зникли закладки налаштування робочого стола у вікні "Властивості:екран", на робочому столі відображаються сторонні написи або малюнки
6. Видалення всіх Policies (обмежень)поточного користувача.
Показання для застосування: Заблоковано функції провідника або інші функції системи.
7. Видалення повідомлення, що виводиться під час WinLogon
Windows NT та наступні системи в лінійці NT (2000, XP) дозволяють встановити повідомлення, що відображається під час автозавантаження. Цим користується ряд шкідливих програм, причому знищення шкідливої програми не призводить до знищення цього повідомлення.
Показання для застосування: Під час завантаження системи вводиться стороннє повідомлення.
8. Відновлення налаштувань провідника
Показання для застосування: Змінено налаштування провідника
9. Видалення налагоджувачів системних процесів

Показання для застосування: AVZ виявляє невідомі відладники системних процесів, виникають проблеми із запуском системних компонентів, зокрема після перезавантаження зникає робочий стіл.
10. Відновлення налаштувань завантаження у SafeMode
Деякі шкідливі програми, зокрема хробак Bagle, ушкоджують налаштування завантаження системи в захищеному режимі. Ця мікропрограма відновлює налаштування завантаження у захищеному режимі.
Показання для застосування: Комп'ютер не завантажується в захищеному режимі (SafeMode). Застосовувати цю мікропрограму слід лише у разі проблем із завантаженням у захищеному режимі.
11. Розблокування диспетчера завдань
Показання для застосування: Блокування диспетчера завдань, при спробі виклику диспетчера задач виводиться повідомлення "Диспетчер задач заблокований адміністратором".
12. Очищення списку ігнорування утиліти HijackThis
Утиліта HijackThis зберігає в реєстрі ряд своїх налаштувань, зокрема – список винятків. Тому для маскування від HijackThis шкідливій програмі достатньо зареєструвати свої файли в списку винятків. Зараз відомий ряд шкідливих програм, що використовують цю вразливість. Мікропрограма AVZ виконує очищення списку виключень утиліти HijackThis
Показання для застосування: Підозри на те, що утиліта HijackThis відображає не всю інформацію про систему.
13. Очищення файлу Hosts
Очищення файлу Hosts зводиться до пошуку файлу Hosts, видалення з нього всіх значних рядків та додавання стандартного рядка "127.0.0.1 localhost".
Показання для застосування: Підозри на те, що файл Hosts змінений шкідливою програмою. Типові симптоми – блокування оновлення антивірусних програм. Проконтролювати вміст Hosts можна за допомогою менеджера Hosts файлу, вбудованого в AVZ.
Виконує аналіз налаштувань SPI і у разі виявлення помилок здійснює автоматичне виправлення знайдених помилок. Дану мікропрограму можна запускати повторно необмежену кількість разів. Після виконання цієї мікропрограми рекомендується перезавантажити комп'ютер. Зверніть увагу! Дану мікропрограму не можна запускати з термінальної сесії
Показання для застосування: Після видалення шкідливої програми зник доступ в Інтернет.
Дана мікропрограма працює лише у XP, Windows 2003 та Vista. Її принцип роботи заснований на скиданні та перестворенні налаштувань SPI/LSP і TCP/IP за допомогою штатної утиліти netsh, що входить до складу Windows. Детально про скидання настройок можна прочитати в базі знань Microsoft - Зверніть увагу! Застосовувати скидання налаштувань потрібно лише в разі потреби за наявності непереборних проблем з доступом до Інтернету після видалення шкідливих програм!
Показання для застосування: Після видалення шкідливої програми зник доступ до Інтернету та виконання мікропрограми "14. Автоматичне виправлення налаштувань SPl/LSP" не дає результату".
Показання для застосування: Під час завантаження системи не запускається провідник, але запуск explorer.exe вручну можливий.
Показання для застосування: Неможливо запустити редактор реєстру, при спробі виводиться повідомлення про те, що його запуск заблокований адміністратором.
Показання для застосування: Тяжкі пошкодження налаштувань SPI, непереборні скриптами 14 і 15. Застосовувати тільки в разі потреби!
Здійснює очищення бази MountPoints та MountPoints2 у реєстрі.
Показання для застосування: Ця операція нерідко допомагає у випадку, коли після зараження Flash-вірусом у провіднику не відкриваються диски
На замітку:
На замітку:
Для усунення слідів більшості Hijacker необхідно виконати три мікропрограми - "Скидання налаштувань пошуку Internet Explorer на стандартні", "Відновлення стартової сторінки Internet Explorer", "Скидання налаштувань префіксів протоколів Internet Explorer на стандартні"
На замітку:
Будь-яку мікропрограму можна виконувати кілька разів поспіль без шкоди для системи. Винятки - "5. Відновлення налаштувань робочого столу" (робота цієї мікропрограми скине всі налаштування робочого столу і доведеться заново вибирати розмальовку робочого столу та шпалери) та "10. Відновлення налаштувань завантаження в SafeMode" (дана мікропрограма перетворює ключі реєстру, що відповідають за завантаження в безпечному режимі).

Корисно, чи не так?
Тепер про те, як користуватися.

Завантаження запуск, використання

Власне, все просто.

Качаємо звідси(або звідки ще) антивірусну утиліту AVZ.
Розпаковуємо архів з нею кудись куди Вам зручно
Прямуємо в папку куди ми розпакували програму і запускаємо там avz.exe.
У вікні програми вибираємо "Файл" - "Відновлення системи".
Відзначаємо галочками потрібні пункти і давимо в кнопку " Виконати зазначені операції".
Чекаємо і насолоджуємось результатом.

Ось такі от справи.

Післямова

Спасибі за увагу;)

Дякую за допомогу у підготовці матеріалу майстрів комп'ютерного сервісного центру Запускай.РФ. У цих хлопців ви можете замовити ремонт ноутбуків та нетбуків у Москві.

Шкідливі програми, що впроваджуються в операційну систему персонального комп'ютера, завдають значної шкоди всьому обсягу даних. На даний момент програми-шкідники створюються з різними цілями, тому їх дії спрямовані на коригування різних структур операційної системи персонального комп'ютера.

Поширеними та наслідками, очевидними користувачеві, є проблеми в роботі з мережею Інтернет, порушення в роботі пристроїв, приєднаних до ПК.

Навіть якщо шкідника було виявлено та знищено – це не виключає втрати інформації та інших проблем, що виникають у подальшій роботі. Перераховувати варіанти можна нескінченно, найчастіше користувач виявляє повне або часткове блокування доступу до Всесвітньої мережі, відмова у роботі зовнішніх пристроїв (мишка, флеш-карта), порожній робочий стіл та інше.

Перелічені наслідки спостерігаються через зміни, які внесла програма – шкідник у системні файли персонального комп'ютера. Такі зміни не ліквідуються з усуненням вірусу, їх потрібно коригувати самостійно, або вдатися до допомоги фахівців. По суті робота такого роду не вимагає спеціальної підготовки, і виконати її може будь-який просунутий користувач, вивчивши відповідні інструкції.

У практиці роботи з організації відновлення операційної системи розрізняють кілька підходів, які залежать від причин, що призвели до збою. Розглянемо кожен із варіантів докладно. Простий спосіб доступний кожному користувачеві - це відкат ОС на точку відновлення, коли робота персонального комп'ютера відповідала вимогам користувача. Але дуже часто це рішення є незадовільним, або його неможливо здійснити з об'єктивних причин.

Як відновити ОС, якщо неможливий вхід до системи ПК?

Запуск відновлення системи відбувається в такий спосіб. Меню Пуск \ Панель керування \ Відновлення системи. За цією адресою вибираємо потрібну нам точку відновлення та запуск процес. Через деякий час роботу буде завершено і комп'ютер готовий до нормального функціонування. Прийом цілком застосовний для усунення деяких видів вірусів, оскільки зміни відбуваються і на рівні реєстру. Такий варіант відновлення операційної системи вважається найпростішим і входить до набору стандартних інструментів Windows. Покрокова інструкція та довідка з докладними коментарями процесу допоможе освоїти прийом відновлення працездатності та комп'ютера навіть якщо користувач не зовсім впевнено почувається як адміністратор ПК.

Іншим поширеним варіантом відновлення ОС – запуск процедури із зовнішнього носія. Даний варіант ускладнюється деякими моментами, наприклад, необхідно мати образ системи на флеш-карті або диску і подбати про наявність такої копії заздалегідь. Крім того, часто необхідно мати певні навички в роботі з системою BIOS. Образ операційної системи зовнішньому носії - оптимальний варіант у разі, якщо відновлення неможливо, оскільки вірус заблокував вхід у систему комп'ютера. Є інші варіанти.

Скористатися стандартними інструментами Windows для відновлення ОС неможливо, якщо, наприклад, вхід неможливий, або існують інші причини, що перешкоджають виконанню операції в стандартному режимі. Ситуацію можна вирішити за допомогою інструменту ERD Commander (ERDC).

Як програма функціонує, розберемо ситуацію послідовно. Перший крок – завантаження програми. Другий крок - це запуск інструменту Syst em Restore Wizard, саме з його допомогою здійснюється відкат ОС на задану позицію відновлення.

Як правило, кожен інструмент має в запасі кілька контрольних точок, і у вісімдесяти відсотках випадків працездатність персонального комп'ютера буде повністю реанімована.

Застосування інструментів утиліти AVZ

Даний інструмент у роботі не вимагає якихось особливих умінь і навичок користувача. Програмний продукт розроблений Олегом Зайцевим та призначений для пошуку та знищення всіх видів вірусів та шкідливих програм. Але крім основної функції, утиліта відновлює більшість системних налаштувань, які зазнали атаки або зміни зі стороною вірусів-шкідників.

Які проблеми може вирішити програма, що представляється? Головне – відновлення системних файлів та налаштувань, що зазнали атаки вірусів. Утиліта справляється із пошкодженими драйверами програм, які відмовляються запускатися після відновлення. Коли виникають проблеми роботи в браузерах або ж у разі блокування доступу до мережі Інтернет та багато інших неприємностей.

Активуємо операцію відновлення на адресу Файл \ Відновлення системи та вибираємо операцію, яка необхідна. На малюнку представлений інтерфейс мікропрограм, якими оперує утиліта, дамо характеристику кожній із них.

Як можна побачити, набір операцій представлений 21 пунктом, і найменування кожного їх пояснює його призначення. Зазначимо, що можливості програми досить різноманітні та її можна вважати універсальним інструментом у реанімації не лише самої системи, а й ліквідації наслідків роботи вірусів із системними даними.

Перший параметр використовують, якщо наслідками атаки вірусів та процедури відновлення ОС відмовляються працювати необхідні користувачеві програми. Як правило, таке трапляється, якщо шкідник проник у файли та драйвера програм і вніс будь-які зміни до записаної там інформації.

Другий параметр необхідний, коли віруси здійснили заміну доменів під час введення в пошукову систему браузера. Така підміна – перший рівень коригування взаємодії системних файлів операційної системи та мережі Інтернет. Така функція програми, як правило, без сліду усуває внесені зміни, не намагаючись їх виявити, а просто піддаючи повному форматуванню всього обсягу даних префіксів і протоколів, замінюючи їх на стандартні налаштування.

Третій параметр відновлює налаштування стартової сторінки веб-браузера. Як і в попередньому випадку, за промовчанням програма коригує проблеми браузера Internet Explorer.

Четвертий параметр коригує роботу пошукової системи та встановлює стандартний режим роботи. Знову ж таки процедура стосується браузера встановленого Windows за замовчуванням.

При проблемі, пов'язаної з функціонуванням робочого столу (поява на ньому банерів, малюнків, сторонніх записів) активують п'ятий пункт програми. Такі наслідки дії шкідливих програм були дуже популярними ще кілька років тому і доставляли чимало проблем користувачам, але й зараз не виключено проникнення в операційну систему ПК таких капосників.

Шостий пункт необхідний у випадку, якщо програма-шкода обмежила дії користувача при виконанні ряду команд. Ці обмеження можуть мати різний характер, а оскільки налаштування доступу зберігаються в реєстрі, шкідливі програми найчастіше використовують цю інформацію для коригування роботи користувача зі своїм ПК.

Якщо при завантаженні ОС з'являється стороннє повідомлення, це означає, що шкідлива програма змогла впровадитися в параметри запуску Windows NT. Відновлення ОС, що знищило вірус, не прибирає це повідомлення. Для того щоб прибрати його необхідно активувати сьомий параметр меню утиліти AVZ.

Восьмий параметр меню, відповідно до назви, відновлює налаштування провідника.

Іноді проблема проявляється у вигляді перебоїв у роботі системних компонентів, наприклад, під час запуску ОС персонального комп'ютера зникає робочий стіл. Утиліта AVZ проводить діагностику цих структур та вносить необхідні коригування за допомогою пункту дев'ять меню інструментів.

Проблеми завантаження ОС у безпечному режимі усуваються пунктом десять. Виявити необхідність в активації даного пункту мультипрограми утиліти, що розглядається тут, просто. Вони проявляються за будь-яких спроб провести роботу в режимі безпеки.

Якщо відбувається блокування диспетчера завдань, необхідно активувати пункт меню одинадцять. Віруси від імені адміністратора вносять зміни до активації цього розділу операційної системи, і замість робочого вікна з'являється повідомлення про те, що роботу з диспетчером завдань заблоковано.

Утиліта HijackThis як одна з основних своїх функцій використовує зберігання в реєстрі списку винятків. Для вірусу достатньо проникнути в базу утиліти та зареєструвати файли у списку реєстру. Після цього він може самостійно відновлюватися необмежену кількість разів. Чищення реєстру утиліти відбувається за рахунок активації дванадцятого пункту меню налаштувань AVZ.

Наступний, тринадцятий пункт, дозволяє очистити файл Hosts, це файл змінений вірусом може викликати складнощі під час роботи з мережею, блокувати деякі ресурси, заважати оновленню баз даних антивірусних програм. Робота з цим файлом докладніше буде розібрана нижче. На жаль, редагувати цей файл прагнуть практично всі вірусні програми, що пов'язано, по-перше, з простотою внесення таких змін, а наслідки можуть бути більш ніж значними і вже після видалення вірусів інформація, занесена до файлу, може бути прямою брамою для проникнення в ОС нових шкідників та шпигунів.

Якщо блокований доступ до мережі Інтернет, це зазвичай означає наявність помилок в налаштуваннях SPI . Їхнє виправлення відбудеться, якщо активувати пункт меню чотирнадцять. Важливо, що цим пунктом налаштувань не можна використовувати термінальну сесію.

Аналогічні функції закладені у п'ятнадцятому пункті меню, але його активація можлива лише з роботою таких ОС як XP, Windows 2003, Vista. Використовувати цю мультипрограму можна, якщо спроби виправити ситуацію з входом до мережі за допомогою попереднього налаштування не дали бажаного результату.

Можливості шістнадцятого пункту меню спрямовані на відновлення системних ключів реєстру, які відповідають за запуск веб-браузера.

Наступний крок у роботі відновлення параметрів ОС після атаки вірусів – це розблокування редактора реєстру. Як правило, зовнішній прояв - неможливо завантажити програму роботи з Мережею.

Наступні чотири пункти рекомендується застосовувати тільки якщо пошкодження операційної системи настільки катастрофічні, що за великим рахунком немає жодної різниці в тому, чи будуть вони усунені за допомогою таких методів або в результаті буде потрібно встановлювати систему повністю.

Так, вісімнадцятий пункт відтворює початкові налаштування SPI. Дев'ятнадцятий пункт очищає реєстр Mount Points/2.

Двадцятий пункт видаляє усі статичні маршрути. Нарешті, останній, двадцять перший пункт стирає всі підключення до DNS .

Як можна бачити, можливості утиліти охоплюють практично всі сфери, в які може проникнути програма-шкодить ялина і залишити свій активний слід, виявити який не так просто.

Оскільки антивірусні програми не гарантують стовідсоткового захисту операційної системи вашого ПК, рекомендуємо мати таку програму в арсеналі інструментів боротьби з комп'ютерними вірусами всіх видів та форм.

Внаслідок лікування ОС персонального комп'ютера не працюють підключені до нього пристрої.

Один із популярних способів маскування шпигунських програм – це встановлення свого вірусного драйвера на додаток до реального програмного забезпечення. У цій ситуації реальним драйвером найчастіше є файл мишки чи клавіатури. Відповідно, після того, як вірус знищений, його слід залишається в реєстрі, тому пристрій до якого шкідник зміг приєднатися перестає працювати.

Схожа ситуація спостерігається і за некоректної роботи у процесі видалення антивіруса Касперського. Це також пов'язано зі специфікою установки програми, коли її інсталяція на ПК використовує допоміжний драйвер klmouflt. У ситуації з Касперським цей драйвер треба знайти і повністю видалити з системи персонального комп'ютера відповідно до всіх правил.

Якщо клавіатура та миша відмовляються функціонувати в потрібному режимі, спочатку потрібно відновити ключі реєстру.

Клавіатура :
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Cont rol\Class\(4D36E 96B-E325-11CE-BF C1-08002BE10318)
UpperFilters=kbd class

Миша :
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Cont rol\Class\(4D36E 96F-E325-11CE-BF C1-08002BE10318)
UpperFilters = mou class

Проблема недоступних сайтів

Наслідками атаки шкідливих програм може стати недоступність деяких ресурсів в Інтернеті. І ці наслідки є результатом змін, які встигли внести в систему віруси. Проблема виявляється відразу або через деякий час, проте якщо в результаті дій програм шкідників вона проявилася через деякий час, усунути її не важко.

Існує два варіанти блокування і найпоширеніший - це коригування файлу hosts. Другий варіант - створення хибних статичних маршрутів. Навіть якщо вірус знищено, внесені ним зміни до цих інструментів не усунуть.

Розглянутий документ розташований у системній папці на диску С. Його адресу і місце розташування можна знайти тут: З: Windows System 32drivers \ host \ hosts . Для швидкого пошуку зазвичай використовують рядок команд з меню «Пуск».

Якщо за допомогою вказаного порядку дій файл знайти неможливо, це може означати:

Вірусна програма змінила його місцезнаходження у реєстрі;

Документ файлу має параметр "прихований".

У разі змінюємо характеристики пошуку. За адресою: Параметри папок / Вигляд знаходимо рядок "Показувати приховані файли" і встановлюємо навпаки позначку, розширюючи діапазон пошуку.

Файл hosts містить інформацію перетворення літерного найменування домену сайту на його IP адресу, тому програми-шкідливі ялини прописують у ньому коригування, здатні перенаправляти користувача на інші ресурси. Якщо це сталося, то при введенні адреси потрібного сайту відкривається зовсім інший. Для того, щоб ці зміни повернути у вихідний стан і виправити, потрібно знайти файл і проаналізувати його вміст. Навіть недосвідченому користувачеві буде видно, що саме підправило вірус, але якщо це викликає певні складнощі, можна відновити стандартні налаштування, тим самим усунувши зміни внесений до файлу.

Що стосується виправлення маршрутів, тут принцип дій той самий. Однак, у процесі взаємодії операційної системи ПК та мережі Інтернет пріоритет завжди залишається за файлом hosts, тому його відновлення достатньо для того, щоб робота здійснювалася у стандартному режимі.

Складність виникає, якщо потрібний файл неможливо знайти, оскільки вірус змінює місце знаходження у системних папках. Тоді треба виправляти ключ реєстру.

HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\serv ices\Tcpip\Param eters\DataBasePa th

Віруси, що входять до групи Win32/Vundo у хитромудрості, що стосується перетворень файлів hosts, перевершують більшість своїх шкідливих побратимів. Він змінюють саму назву файлу, стираючи латинську літеру о та замінюючи знак на кириличну літеру. Такий файл вже не займається перетворенням доменних найменуванням сайтів в IP адреси, і навіть якщо користувач відновлюватиме цей файл результат роботи залишиться тим самим. Як знайти справжній файл? Якщо виникають сумніви, що потрібний нам об'єкт реальний, виконуємо таку процедуру. Перший крок – активація режиму відображення прихованих файлів. Досліджуємо каталог, виглядає він, оскільки представлено малюнку.

Тут представлені два однакові файли, але так як ОС не дозволяє використовувати ідентичні найменування, очевидно, що ми маємо справу з хибним документом. Визначити який із них правильний, а який ні, просто. Вірус створює об'ємний файл та численними коригуваннями, тому результат його шкідництва на малюнку представлений прихованим файлом об'ємом 173 КБ.

Якщо відкрити файл-документ, інформація в ньому міститиме такі рядки:

31.214.145.172 vk.com - рядок, який може замінити IP адресу сайту

127.0.0.1 avast.com - рядок файлу, прописаний вірусом з метою заборони доступу до сайту антивірусної програми

Вище ми вже зазначали, що заблокувати окремі ресурси можна за допомогою створення неправильних маршрутів у таблиці маршрутизації. Яким чином можна вирішити ситуацію, розглянемо послідовність дій.

Якщо файл hosts не має шкідливих коригувань, а робота з ресурсом неможлива, проблема у таблиці маршрутів. Декілька слів про сутність взаємодії даних інструментів. Якщо у файлі hosts прописана вірна адаптивна адреса домену, то відбувається перенаправлення за цією адресою на існуючий ресурс. Як правило, IP адреса не належить діапазону адрес локальної підмережі, тому переадресація відбувається за допомогою шлюзу маршрутизатора, який визначається налаштуваннями Інтернет-з'єднання.

Якщо скоригувати записи маршруту для конкретної IP-адреси, то автоматичне підключення буде відбуватися на підставі цього запису. За умови, що такого маршруту немає або шлюз не працює, з'єднання не відбудеться, і ресурс залишиться недоступним. Таким чином, вірус може видалити запис у таблиці маршрутів та заблокувати абсолютно будь-який сайт.

Маршрути, які створюються для конкретних сайтів, залишаються в базі даних реєстру HKLM . Оновлення маршруту відбувається при активації програмної команди route add або ручного коригування даних. Коли статично маршрути відсутні, розділ таблиці порожній. Переглянути список даних маршрутизації можна за допомогою команди route print. Випрасує це так:

Активні маршрути:

Представлена вище таблиця стандартна для ПК з єдиною мережевою картою та параметрами налаштування мережевого підключення:

IP-адреса 192.168.0.0

маска 255.255.255.0

шлюз за замовчуванням 192.168.0.1

Запис, представлений вище, включає IP адресу мережі з кодуванням 192.168.0.0 та маску підмережі з кодуванням 255.255.255.0. Якщо розшифрувати ці дані, інформація така. Маска включає весь обсяг вузлів із рівнозначною старшою частиною адреси. Відповідно до метричної системи перші три байти маски підмережі рівні 1 у всіх операційних системах ПК (виняток становлять десяткова, де значення дорівнює 255 і шістнадцяткова я, де значення дорівнює 0 * FF). Молодша частина адреси вузлів становить значення в діапазоні 1-254.

Відповідно до інформації, наведеної вище, молодша адреса має кодування - 192.168.0.0, цей код є адресою мережі. Старша адреса з кодуванням 192.168.0.255 характеризується як широкомовна адреса. І якщо перший код виключає його використання для обміну даними, то другий код і призначений для виконання цих функцій. Свої вузли обмінюються пакетами даних за допомогою маршрутів.

Представимо таку конфігурацію:

IP адреса - 192.168.0.0

Маска мережі – 255.255.255.0

Шлюз – 192.168.0.3

Інтерфейс – 192.168.0.3

Метрика - 1

Інформація логічно розшифровується так: у діапазоні адрес від 192.168.0.0 - 192.168.0.255 для обміну інформацією як шлюз та інтерфейс застосовуємо код мережевої карти (192.168.0.3). Все це означає, що інформація переходить самому адресату безпосередньо.

Коли умова кінцевої адреси відповідає заданому діапазону 192.168.0.0-192. 168.0.255, передати інформацію безпосередньо не вийде. Протокол сервера надсилає дані маршрутизатору, який передає її до іншої мережі. Якщо статичні маршрути не прописані, адреса маршрутизатора за умовчанням залишається такою, як адреса шлюзу. Інформація надсилається на цю адресу, потім у мережу, і за маршрутами, прописаними в таблиці, поки адресат не отримає пакет. Загалом процес передачі даних виглядає саме так. Наведемо ілюстрацію записів стандартної таблиці маршрутизатора. У прикладі є лише кілька записів, проте їх кількість може досягати десятків та сотень рядків.

Відштовхуючись від даних прикладу, опишемо процес переадресації до адрес Інтернет-ресурсів. Під час контакту з адресами Інтернет-ресурсів, розташованих у вказаному діапазоні від 74.55.40.0 до 74.55.40.255, код маршрутизатора дорівнює номеру мережі 192.168.0.0, а відповідно не може застосовуватися в процесі обміну інформаційними даними. IP-протокол діагностує адресу (74.55.40.226), яка не включена в пакет адрес індивідуальної локальної мережі та звертається до прописаних статичних маршрутів.

Ситуація коли цей маршрут не прописаний, пакет інформації відправляється за ідентифікаційною адресою шлюзу, встановленим у прикладі за замовчуванням.

Оскільки маршрут, представлений у прикладі, характеризується високим пріоритетом, тому йому необхідний певний шлюз, а чи не стандарт, придатний всім. Так як шлюзу, що задовольняє запиту в таблиці немає, сервер з мережевою адресою 74.55.40.226 залишиться поза зоною доступу. А за прописаних у прикладі умов з кодом маски підмережі будуть заблоковані всі адреси діапазону 74.55.40.0 - 74.55.40.255. Саме цей діапазон включає мережевий шлях до сайту антивірусного програмного забезпечення, встановленого на персональний комп'ютер, який не отримає необхідних оновлень вірусних баз і не буде належним чином функціонувати.

Чим більше таких даних у таблиці маршрутів, тим більше ресурсів блокується. У практиці фахівців вірусні програми створювали до чотирьохсот рядків такого виду, тим самим блокуючи роботу близько тисячі ресурсів мережі. Причому господарям вірусів не дуже цікаво, що прагнучи забанити якийсь окремий ресурс, вони виключають із можливого доступу десятки інших сайтів. У цьому полягає основна помилка неохайних програмістів, оскільки кількість недоступних ресурсів виявляє ймовірність блокування передачі. Так, наприклад, якщо в коло виключення увійшли найпопулярніші соціальні мережі, і користувач не може увійти на сайт ВКонтакті або Однокласники, виникає підозра щодо правильної роботи ПК з мережею.

Виправити ситуацію не складно, для цієї мети використовується команда route та ключ delete. Знаходимо в таблиці помилкові записи і деінсталюємо. Невелике зауваження, всі операції здійсненні, тільки якщо користувач має права адміністратора, але й зміни в маршрут вірус може внести, тільки якщо впровадився в мережу через обліковий запис адміна персонального комп'ютера. Наведемо приклади таких завдань.

route delete 74.55.40.0 - запис, що видаляє перший варіант рядка маршруту;

route delete 74.55.74.0 - запис, що видаляє другий варіант рядка маршруту.

Кількість таких рядків має становити загальну кількість хибних маршрутів.

Якщо підійти до процедури простіше, необхідно застосувати операцію перенаправлення висновку. Це робиться за допомогою введення завдання route print > C:\routes.txt. Активація команди створює ситуацію, коли на системному диску створюється файловий документ під назвою routes.txt, в ньому міститься таблиця з даними маршрутів.

Список таблиці містить символи коди DOS . Ці символи нечитані, і вони не мають значення для роботи. Додаючи на початку кожного маршруту завдання route delete, видаляємо кожен помилковий запис. Виглядає ці приблизно так:

route delete 84.50.0.0

route delete 84.52.233.0

route delete 84.53.70.0

route delete 84.53.201.0

route delete 84.54.46.0

Далі треба змінити розширення файлу, варіанти заміни такого розширення – це cmd чи bat. Новий файл запускається за допомогою подвійного натискання правої кнопки миші. Спростити завдання можна за допомогою популярного файлового менеджера FAR, який працює в такий спосіб. Редактор, виклик якого здійснюється функціональною кнопкою F 4, виділяє спеціальним маркуванням праву частину запису маршруту. За допомогою комбінації клавіш CTRL + F 7 виконується автоматична перестановка всіх прогалин на символ з порожнім значенням, а пробіл у свою чергу встановлюється в початкову позицію рядка. Нове поєднання вказаних клавіш встановлює завдання route delete на потрібне нам місце.

Коли помилкових маршрутів у таблиці даних прописано дуже багато і коригувати їх вручну є довгим і стомлюючим процесом, рекомендується застосовувати задачу route разом із ключем F .

Цей ключ видаляє всі невузлові маршрути, а також повністю деінсталює маршрути з кінцевою точкою і широкомовною адресою. Перші та останні мають цифровий код 255.255.255.255; другі 127.0.0.0. Іншими словами, вся хибна інформація, прописана в таблицю вірусом, буде деінстальована. Але одночасно знищаться записи статичних маршрутів, виписані користувачем самостійно дані основного шлюзу, тому їх потрібно буде відновити, оскільки мережа залишиться недоступною. Або відстежувати процес чищення таблиці даних і зупиняти його при намірі видалити потрібний нам запис.

Антивірусна програма AVZ також можна використовувати для коригування налаштувань маршрутизатора. Конкретна мультипрограма, що займається цим процесом – це двадцятий пункт налаштування TCP.

Останній варіант блокування доступу користувача до IP-адрес сайтів, які використовуються вірусними програмами - використання заміни адреси сервера DNS. У такому варіанті підключення до мережі відбувається через шкідливий сервер. Але такі ситуації досить рідкісні.

Після поведінки всіх робіт, необхідно перезавантажувати персональний комп'ютер.

Ще раз дякую за допомогу в підготовці матеріалу майстрів комп'ютерного сервісного центру Запускай.РФ - http://запускай.рф/інформація/територія/коломенська/, у яких можна замовити ремонт ноутбуків та нетбуків у Москві.

Відновлення зашифрованих файлів- це проблема, з якою зіткнулася велика кількість користувачів персональних комп'ютерів, які стали жертвою різноманітних вірусів-шифрувальників. Кількість шкідливих програм у цій групі дуже багато і збільшується з кожним днем. Лише останнім часом ми зіткнулися з десятками варіантів шифрувальників: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt і т.д.

Звичайно, відновити зашифровані файли можна просто, виконавши інструкцію, яку творці вірусу залишають на зараженому комп'ютері. Але найчастіше вартість розшифровки дуже значна, так само потрібно знати, що частина вірусів-шифрувальників так зашифровують файли, що розшифрувати їх потім просто неможливо. І, звичайно, просто неприємно платити за відновлення своїх власних файлів.

Способи відновлення зашифрованих файлів безкоштовно

Існує кілька способів відновити зашифровані файли, використовуючи абсолютно безкоштовні та перевірені програми, такі як ShadowExplorer та PhotoRec. Перед і під час відновлення намагайтеся якнайменше використовувати заражений комп'ютер, таким чином ви збільшуєте свої шанси на вдале відновлення файлів.

Інструкцію, описану нижче, потрібно виконувати крок за кроком, якщо у вас щось не виходить, то Зупиніться, запитайте допомогу написавши коментар до цієї статті або створивши нову тему на нашому.

1. Видалити вірус-шифрувальник

Kaspersky Virus Removal Tool та Malwarebytes Anti-malware можуть виявляти різні типи активних вірусів-шифрувальників і легко видалять їх з комп'ютера, але вони не можуть відновити зашифровані файли.

1.1. Видалити вірус-шифрувальник за допомогою Kaspersky Virus Removal Tool

Клацніть по кнопці Скануватидля запуску перевірки вашого комп'ютера на наявність вірусу-шифрувальника.

Дочекайтеся закінчення цього процесу та видаліть знайдених зловредів.

1.2. Видалити вірус-шифрувальник за допомогою Malwarebytes Anti-malware

Завантажте програму. Після завантаження запустіть завантажений файл.

Автоматично запустити процедуру оновлення програми. Коли вона закінчиться натисніть кнопку Запустити перевірку. Malwarebytes Anti-malware розпочне перевірку вашого комп'ютера.

Відразу після закінчення перевірки комп'ютера програма Malwarebytes Anti-malware відкриє список знайдених компонентів вірусу-шифрувальника.

Клацніть по кнопці Видалити вибранедля очищення комп'ютера. Під час видалення шкідливих програм, Malwarebytes Anti-malware може вимагати перезавантаження комп'ютера для продовження процесу. Підтвердьте це, вибравши Так.

Після того як комп'ютер запуститися знову, Malwarebytes Anti-malware автоматично продовжить лікування.

2. Відновити зашифровані файли за допомогою ShadowExplorer

ShadowExplorer - це невелика утиліта, яка дозволяє відновлювати тіньові копії файлів, які створюються автоматично операційною системою Windows (7-10). Це дозволить відновити вихідний стан зашифрованих файлів.

Завантажте програму. Програма знаходиться у zip архіві. Тому клацніть по завантаженому файлу правою клавішею і виберіть Вийняти все. Потім відкрийте папку ShadowExplorerPortable.

Запустіть ShadowExplorer. Виберіть потрібний диск і дату створення тіньових копій, відповідно цифра 1 і 2 на малюнку нижче.

Клацніть правою клавішею миші за каталогом або файлом, копію якого ви хочете відновити. У меню виберіть Export.

І останнє, виберіть папку, в яку буде скопійовано відновлений файл.

3. Відновити зашифровані файли за допомогою PhotoRec

PhotoRec це безкоштовна програма, створена для відновлення видалених та втрачених файлів. Використовуючи її, можна відновити вихідні файли, які видали віруси-шифрувальники після створення їх зашифрованих копій.

Завантажте програму. Програма знаходиться у архіві. Тому клацніть по завантаженому файлу правою клавішею і виберіть Вийняти все. Потім відкрийте папку testdisk.

У списку файлів знайдіть QPhotoRec_Win та запустіть її. Відкриється вікно програми, де будуть показані всі розділи доступних дисків.

У списку розділів виберіть той, у якому знаходяться зашифровані файли. Після чого клацніть по кнопці File Formats.

За промовчанням програма налаштована на відновлення всіх типів файлів, але для прискорення роботи рекомендується залишити лише типи файлів, які потрібно відновити. Завершивши вибір, натисніть кнопку OK.

У нижній частині вікна QPhotoRec знайдіть кнопку Browse і натисніть її. Вам потрібно вибрати каталог, до якого будуть збережені відновлені файли. Бажано використовувати диск, на якому не знаходяться зашифровані файли, що потребують відновлення (можете використовувати флешку або зовнішній диск).

Натисніть кнопку Search, щоб розпочати пошук та відновлення вихідних копій зашифрованих файлів. Цей процес триває досить довго, тому наберіться терпіння.

Коли пошук буде завершено, натисніть кнопку Quit. Відкрийте папку, яку ви вибрали для збереження відновлених файлів.

У папці будуть каталоги з іменами recup_dir.1, recup_dir.2, recup_dir.3 і т.д. Чим більше файлів знайде програма, тим більше буде каталогів. Для пошуку потрібних вам файлів послідовно перевірте всі каталоги. Для полегшення пошуку потрібного вам файлу, серед великої кількості відновлених, використовуйте вбудовану систему пошуку Windows (за вмістом файлу), а також не забувайте про функцію сортування файлів у каталогах. Як параметр сортування можна вибрати дату зміни файлу, оскільки QPhotoRec намагається відновити цю властивість під час відновлення файлу.

Вірус є типом malicious software, що penetrates system memory areas, code of інших programs, і boot sectors. Це capable deleting важливі дані від hard drive, USB drive or memory card.

Більшість користувачів не знають, як відновити файли після virus attack. У цьому матеріалі, ми хотіли б скористатися тим, що ви робите в quick and easy way. We hope that this information буде useful to you. Там є два основні методи, які можна використовувати для швидкого переміщення virus a recover deleted data after virus attack.

Delete the virus using the command prompt

1) Click the “Start” button. Enter CMD в search bar. Ви будете думати про “Command Prompt” at the top of the pop-up window. Press Enter.

2) Run the Command prompt and type in: “attrib –h –r –s /s /d driver_name\*.*”

Після цього кроку, Windows буде запускати, щоб повернути virus-infected hard drive, пам'ять картки або USB. Це буде деякий час для процесу, щоб бути здійсненим.

Натисніть кнопку “Start”, щоб перейти до Windows Recovery. Type Restore в search bar. Натисніть кнопку “Start System Restore” → “Next” and select the desired restore point.

Інші варіанти схеми є “Control Panel” → “System” → “System Protection”. A recovery preparation window буде appear. Then the computer will reboot and a message will appear saying “System Restore completed successfully.” Якщо це не потрібний ваш проблему, він намагається бігти до іншого останнього пункту. That's all to be said about the second method.

Magic Partition Recovery: Зберігання Missing Files and Folders after a Virus Attack

Для надійного відновлення файлів вирівняно з viruses, використовуючи Magic Partition Recovery. Програма базується на прямому низькому рівні доступу до диска. Там,воно будевикористовувати virus blocking і read all your files.

Download and install the program, then analyze the disk, flash drive or memory card. Після аналізу, програма відображення списку folders на вибраному диску. Маючи вибрати необхідний folder на лівому, ви можете побачити його в правій секції.

Тому, програма забезпечує здатність до перегляду вмісту диска в той же час як стандарт Windows Explorer. In addition to existing files, deleted files and folders will be displayed. Вони будуть марковані з особливим red cross, making it much easier to recover deleted files.

Якщо ви втратите ваші файли після virus attack, Magic Partition Recovery буде help you restore everything without much effort.

Проста та зручна утилітка AVZ, яка може не тільки допоможе, але і вміє відновлювати систему. Для чого це треба?

Щоб дати Вам наочнішу картину, надаю повний список того, що вміє відновлювати AVZ.

Матеріал взятий з довідника по AVZ - http://www.z-oleg.com/secur/avz_doc/ (скопіювати та вставити в адресний рядок браузера).

В даний час в базі є такі мікропрограми:

1.Відновлення параметрів запуску.exe, .com, .pif файлів

Ця мікропрограма відновлює реакцію системи на файли exe, com, pif, scr.

Показання до застосування:після видалення вірусу перестають запускатись програми.

2.Скидання налаштувань префіксів протоколів Internet Explorer на стандартні

Ця мікропрограма відновлює налаштування префіксів протоколів в Internet Explorer

3.Відновлення стартової сторінки Internet Explorer

Ця мікропрограма відновлює стартову сторінку в Internet Explorer

Показання до застосування:заміна стартової сторінки

4.Скидання налаштувань пошуку Internet Explorer на стандартні

Ця мікропрограма відновлює налаштування пошуку в Internet Explorer

Показання до застосування:При натисканні кнопки «Пошук» у IE йде звернення до якогось стороннього сайту

5.Відновлення налаштувань робочого столу

Ця мікропрограма відновлює налаштування робочого столу.

6.Видалення всіх Policies (обмежень) поточного користувача

Показання до застосування:Заблоковано функції провідника чи інші функції системи.

7.Видалення повідомлення, що виводиться під час WinLogon

Показання до застосування:Під час завантаження системи вводиться стороннє повідомлення.

8.Відновлення налаштувань провідника

Показання до застосування:Змінено налаштування провідника

9.Видалення відладчиків системних процесів

10. Відновлення налаштувань завантаження в SafeMode

11. Розблокування диспетчера завдань

12.Очищення списку ігнорування утиліти HijackThis

Утиліта HijackThis зберігає в реєстрі ряд своїх налаштувань, зокрема – список винятків. Тому для маскування від HijackThis шкідливій програмі достатньо зареєструвати свої файли в списку винятків.

Показання до застосування:Підозри на те, що утиліта HijackThis відображає не всю інформацію про систему.

13. Очищення файлу Hosts

Проконтролювати вміст Hosts можна за допомогою менеджера Hosts файлу, вбудованого в AVZ.

14. Автоматичне виправлення налаштувань SPl/LSP

Показання до застосування:Після видалення шкідливої програми зник доступ до Інтернету.

15. Скидання налаштувань SPI/LSP та TCP/IP (XP+)

16. Відновлення ключа запуску Explorer

Відновлює системні ключі реєстру, які відповідають за запуск провідника.

17. Розблокування редактора реєстру

Розблокує редактор реєстру шляхом видалення політики, яка забороняє його запуск.

18. Повне перестворення налаштувань SPI

19. Очистити базу MountPoints

На замітку:

Відновлення марно, якщо в системі працює троянська програма, яка виконує подібні переналаштування - необхідно спочатку видалити шкідливу програму, а потім відновлювати налаштування системи

На замітку:

Будь-яку мікропрограму можна виконувати кілька разів поспіль без шкоди для системи. Винятки – «5.

Відзначаємо галочки, які вам потрібні і натискаємо запустити операції. Все, очікуємо виконання:-)

Антивірусні програми, навіть при виявленні та видаленні шкідливого програмного забезпечення, далеко не завжди відновлюють повну працездатність системи. Нерідко, після видалення вірусу, користувач комп'ютера отримує порожній робочий стіл, повну відсутність доступу до Інтернету (або блокування доступу до деяких сайтів), мишку, що не працює, і т.п. Викликано це, як правило, тим, що залишилися недоторканими деякі системні або налаштування користувача, змінені шкідливою програмою.

Утиліта безкоштовна, працює без установки, напрочуд функціональна і виручала мене в різних ситуаціях. Вірус, як правило, вносить зміни до реєстру системи (додавання в автозавантаження, модифікація параметрів запуску програм тощо). Щоб не копатися в системі, вручну виправляючи сліди вірусу, варто скористатися наявною в AVZ операцією "відновлення системи" (хоча і як антивірус утиліта дуже непогана, дуже непогано перевірити утилітою диски на наявність вірусів).

Щоб запустити відновлення, запускаємо утиліту. Потім натискаємо файл – відновлення системи

і перед нами відкриється таке віконце

відзначаємо потрібні нам галочки і тиснемо "Виконати зазначені операції"

Ця мікропрограма відновлює реакцію системи на файли exe, com, pif, scr.

Показання до застосування:після видалення вірусу перестають запускатись програми.

Ця мікропрограма відновлює налаштування префіксів протоколів в Internet Explorer

Показання до застосування:при введенні адреси типу www.yandex.ru йде його заміна на щось виду www.seque.com/abcd.php?url=www.yandex.ru

Ця мікропрограма відновлює стартову сторінку в Internet Explorer

Показання до застосування:заміна стартової сторінки

Ця мікропрограма відновлює налаштування пошуку в Internet Explorer

Показання до застосування:При натисканні кнопки «Пошук» у IE йде звернення до якогось стороннього сайту

Ця мікропрограма відновлює налаштування робочого столу. Відновлення означає видалення всіх активних елементів ActiveDesctop, шпалер, зняття блокувань на меню, що відповідає за налаштування робочого столу.

Показання до застосування:Зникли закладки налаштування робочого стола у вікні «Властивості:екран», на робочому столі відображаються сторонні написи або малюнки

Windows передбачає механізм обмежень дій користувача, який називають Policies. Цією технологією користуються багато шкідливих програм, оскільки налаштування зберігаються в реєстрі і їх нескладно створювати або модифікувати.

Показання до застосування:Заблоковано функції провідника чи інші функції системи.

Windows NT та наступні системи в лінійці NT (2000, XP) дозволяють встановити повідомлення, що відображається під час автозавантаження. Цим користується ряд шкідливих програм, причому знищення шкідливої програми не призводить до знищення цього повідомлення.

Показання до застосування:Під час завантаження системи вводиться стороннє повідомлення.

Дана мікропрограма скидає ряд налаштувань провідника на стандартні (скидаються в першу чергу настройки, що змінюються шкідливими програмами).

Показання до застосування:Змінено налаштування провідника

Реєстрація налагоджувача системного процесу дозволять здійснити прихований запуск програми, що й використовується рядом шкідливих програм

Показання до застосування: AVZ виявляє невідомі відладники системних процесів, виникають проблеми із запуском системних компонентів, зокрема після перезавантаження зникає робочий стіл.

Деякі шкідливі програми, зокрема хробак Bagle, ушкоджують налаштування завантаження системи в захищеному режимі. Ця мікропрограма відновлює налаштування завантаження у захищеному режимі.

Показання до застосування: .

Блокування диспетчера завдань застосовується шкідливими програмами захисту процесів від виявлення і видалення. Відповідно виконання даної мікропрограми знімає блокування.

Показання до застосування:Блокування диспетчера завдань, під час спроби виклику диспетчера задач виводиться повідомлення «Диспетчер завдань заблокований адміністратором».

Утиліта HijackThis зберігає у реєстрі низку своїх налаштувань, зокрема – список винятків. Тому для маскування від HijackThis шкідливій програмі достатньо зареєструвати свої файли в списку винятків. Зараз відомий ряд шкідливих програм, що використовують цю вразливість. Мікропрограма AVZ виконує очищення списку виключень утиліти HijackThis

Показання до застосування:Підозри на те, що утиліта HijackThis відображає не всю інформацію про систему.

13. Очищення файлу Hosts

Очищення файлу Hosts зводиться до пошуку файлу Hosts, видалення всіх значних рядків і додавання стандартного рядка «127.0.0.1 localhost».

Показання до застосування:Підозри на те, що файл Hosts змінено шкідливою програмою. Типові симптоми – блокування оновлення антивірусних програм. Проконтролювати вміст Hosts можна за допомогою менеджера Hosts файлу, вбудованого в AVZ.

Виконує аналіз налаштувань SPI і у разі виявлення помилок здійснює автоматичне виправлення знайдених помилок. Дану мікропрограму можна запускати повторно необмежену кількість разів. Після виконання цієї мікропрограми рекомендується перезавантажити комп'ютер.

Показання до застосування:Після видалення шкідливої програми зник доступ до Інтернету.

Дана мікропрограма працює лише у XP, Windows 2003 та Vista. Її принцип роботи заснований на скиданні та перестворенні налаштувань SPI/LSP і TCP/IP за допомогою штатної утиліти netsh, що входить до складу Windows. Зверніть увагу! Застосовувати скидання налаштувань потрібно лише в разі потреби за наявності непереборних проблем з доступом до Інтернету після видалення шкідливих програм!

Показання до застосування:Після видалення шкідливої програми зник доступ до Інтернету та виконання мікропрограми «14. Автоматичне виправлення параметрів SPl/LSP» не дає результату.

Відновлює системні ключі реєстру, які відповідають за запуск провідника.

Показання до застосування:Під час завантаження системи не запускається провідник, але запуск explorer.exe можливий вручну.

Розблокує редактор реєстру шляхом видалення політики, яка забороняє його запуск.

Показання до застосування:Неможливо запустити редактор реєстру, при спробі виводиться повідомлення про те, що його запуск заблоковано адміністратором.

Виконує резервне копіювання налаштувань SPI/LSP, після чого знищує їх і створює за стандартом, який зберігається в базі.

Показання до застосування:

Здійснює очищення бази MountPoints та MountPoints2 у реєстрі. Ця операція нерідко допомагає у разі, коли після зараження Flash-вірусом у провіднику не відкриваються диски

Для відновлення необхідно відзначити один або кілька пунктів і натиснути кнопку «Виконати зазначені операції». Натискання кнопки "ОК" закриває вікно.

На замітку:

Відновлення марно, якщо в системі працює троянська програма, яка виконує подібні переналаштування - необхідно спочатку видалити шкідливу програму, а потім відновлювати налаштування системи

На замітку:

Для усунення слідів більшості Hijacker необхідно виконати три мікропрограми - "Скидання налаштувань пошуку Internet Explorer на стандартні", "Відновлення стартової сторінки Internet Explorer", "Скидання налаштувань префіксів протоколів Internet Explorer на стандартні"

На замітку:

Будь-яку мікропрограму можна виконувати кілька разів поспіль без шкоди для системи. Винятки – «5. Відновлення налаштувань робочого столу» (робота цієї мікропрограми скине всі налаштування робочого столу і доведеться заново вибирати розмальовку робочого столу та шпалери) та «10. Відновлення параметрів завантаження в SafeMode» (дана мікропрограма перетворює ключі реєстру, які відповідають за завантаження в безпечному режимі).

Лайкнути

Твітнути

Існують універсальні як швейцарський ніж програми. Герой моєї статті – саме такий «універсал». Звати його AVZ(Антивірус Зайцева). За допомогою цього безкоштовногоАнтивірусу та віруси виловити можна, і систему оптимізувати, і проблеми виправити.

Можливості AVZ

Про те, що це антивірусна програма, я вже розповідав. Про роботу AVZ як одноразовий антивірус (точніше, антируткіт) добре розказано в довідці до неї, я ж покажу вам іншу сторону програми: перевірка та відновлення налаштувань.

Що можна «полагодити» за допомогою AVZ:

Відновити запуск програм (.exe, .com, .pif файлів)
Скинути налаштування Internet Explorer на стандартні
Відновити налаштування робочого столу
Зняти обмеження прав (наприклад, якщо вірус заблокував запуск програм)
Видалити банер або вікно, що з'являється до входу в систему
Видалити віруси, які вміють запускатися разом із будь-якою програмою
Розблокувати диспетчер завдань та редактор реєстру (якщо вірус заборонив їх запуск)
Очистити файл
Заборонити автозапуск програм з флешок та дисків
Видалити непотрібні файли з жорсткого диска
Виправити проблеми з Робочим столом
І багато іншого

Також з її допомогою можна перевірити на безпеку налаштування Windows (щоб краще захистити від вірусів), а також оптимізувати систему, почистивши автозавантаження.

Сторінка завантаження AVZ знаходиться.

Програма безкоштовна.

Спочатку убезпечимо свою Windows від необережних дій

Програма AVZ має дужебагато функцій, що стосуються роботи Windows. Це небезпечно, тому що у разі помилки може статися біда. Прохання уважно читати текст та довідку, перш ніж щось робити. Автор статті не несе відповідальності за ваші дії.

Щоб мати можливість все "повернути як було" після необережної роботи з AVZ, я написав цей розділ.

Це обов'язковий крок, по суті, створення «шляху відходу» у разі необережних дій - завдяки точці відновлення можна буде відновити налаштування, реєстр Windows до більш раннього стану.

Система відновлення Windows - це обов'язковий компонент усіх версій Windows, починаючи з Windows ME. Шкода, що про нього зазвичай не згадують і втрачають час, встановлюючи Windows і програми, хоча можна було лише кілька разів клікнути мишкою і уникнути всіх проблем.

Якщо серйозні пошкодження (наприклад, видалена частина системних файлів), то «Відновлення системи» не допоможе. В інших випадках - якщо ви неправильно налаштували Windows, "намудрили" з реєстром, поставили програму, від якої Windows не завантажується, неправильно скористалися програмою AVZ - "Відновлення системи" має допомогти.

Після роботи AVZ створює у своїй папці підпапки з резервними копіями:

/Backup- там зберігаються резервні копії реєстру.

/Infected- Копії віддалених вірусів.

/Quarantine- Копії підозрілих файлів.

Якщо після роботи AVZ почалися проблеми (наприклад, ви бездумно скористалися інструментом AVZ «Відновленням системи» та Інтернет перестав працювати) і Відновлення системи Windows не відкотило зроблені зміни, можна відкрити резервні копії реєстру з папки Backup.

Як створити точку відновлення

Йдемо до Пуск - Панель управління - Система - Захист системи:

Натискаємо "Захист системи" у вікні "Система".

Натискаємо кнопку "Створити".

Процес створення точки відновлення може тривати з десяток хвилин. Потім з'явиться вікно:

Точка відновлення буде створена. До речі, вони автоматично створюються при встановленні програм та драйверів, але не завжди. Тому перед небезпечними діями (налаштуванням, чищенням системи) краще зайвий раз створити точку відновлення, щоб у разі лиха хвалити себе за передбачливість.

Як відновити комп'ютер за допомогою точки відновлення

Існує два варіанти запуску відновлення системи - з-під запущеної Windows і за допомогою диска з установкою.

Варіант 1 – якщо Windows запускається

Йдемо до Пуск - Усі програми - Стандартні - Службові - Відновлення системи:

Запуститься Вибрати іншу точку відновленнята натискаємо Далі.Відкриється список точок відновлення. Вибираємо ту, яка потрібна:

Комп'ютер автоматично перезавантажиться. Після завантаження всі налаштування, його реєстр та частина важливих файлів буде відновлено.

Варіант 2 – якщо Windows не завантажується

Потрібен «настановний» диск з Windows 7 або Windows 8. Де його дістати (або завантажити), я написав в.

Завантажуємося з диска (як завантажуватись із завантажувальних дисків, написано) і вибираємо:

Вибираємо «Відновлення системи» замість інсталяції Windows

Полагодження системи після вірусів або невмілих дій з комп'ютером

До всіх дій позбавтеся вірусів, наприклад, за допомогою. В іншому випадку толку не буде - виправлені налаштування запущений вірус знову «поломає».

Відновлення запуску програм

Якщо вірус заблокував запуск будь-яких програм, AVZ вам допоможе. Звичайно, треба ще запустити сам AVZ, але це досить легко:

Спочатку йдемо в Панель управління- ставимо будь-який вид перегляду, крім Категорії - Параметри папок - Вид- зняти галку з Приховувати розширення для зареєстрованих типів файлів – OK.Тепер у кожного файлу видно розширення- кілька символів після останньої точки імені. У програм це зазвичай .exeі .com. Щоб запустити антивірус AVZ на комп'ютері, де заборонено запуск програм, перейменуйте розширення cmd або pif:

Тоді AVZ запуститься. Потім у самому вікні програми натискаємо Файл - :

Слід зазначити пункти:

1. Відновлення параметрів запуску.exe, .com, .pif файлів(Власне, вирішує проблему запуску програм)

6. Видалення всіх Policies (обмежень) поточного користувача(у деяких випадках цей пункт також допомагає вирішити проблему запуску програм, якщо вірус потрапив дуже шкідливий)

9. Видалення налагоджувачів системних процесів(Дуже бажано відзначити і цей пункт, тому що навіть якщо ви перевірили систему антивірусом, від вірусу щось могло залишитися. Також допомагає у випадку, якщо Робочий стіл не з'являється при запуску системи)

Підтверджуємо дію, з'являється вікно із текстом «Відновлення системи виконано». Після залишається перезавантажити комп'ютер – проблему із запуском програм буде вирішено!

Відновлення запуску робочого столу

Досить часта проблема - під час запуску системи не з'являється Робочий стіл.

Запустити Робочий стілможна так: натискаємо Ctrl+Alt+Del, запускаємо Диспетчер завдань, там натискаємо Файл - Нове завдання (Виконати…) -вводимо explorer.exe:

ОК- Робочий стіл запуститься. Але це лише тимчасове вирішення проблеми – при наступному включенні комп'ютера доведеться все повторити заново.

Щоб не робити так щоразу, треба відновити ключ запуску програми explorer(«Провідник», який відповідає за стандартний перегляд вмісту папок та роботу Робочого столу). В AVZ натискаємо Файл- і відзначаємо пункт

Виконати зазначені операції, підтверджуємо дію, натискаємо Добре.Тепер при запуску комп'ютера робочий стіл буде запускатись нормально.

Розблокування Диспетчера завдань та Редактора реєстру

Якщо вірус заблокував запуск двох вищезгаданих програм, за допомогою вікна програми AVZ можна заборону прибрати. Просто позначте два пункти:

11. Розблокування диспетчера завдань

17. Розблокування редактора реєстру

І натисніть Виконати зазначені операції.

Проблеми з інтернетом (не відкриваються сайти Вконтакте, Однокласники та сайти антивірусів)

Чищення системи від непотрібних файлів

Програми AVZвміє чистити комп'ютер від непотрібних файлів Якщо на комп'ютері не встановлена програма очищення жорсткого диска, то зійде і AVZ, благо можливостей багато:

Докладніше про пункти:

Очистити кеш системи Prefetch- очищення папки з інформацією про те, які файли завантажувати заздалегідь для швидкого запуску програм. Опція марна, тому що Windows сама цілком успішно стежить за папкою Prefetch і чистить її, коли потрібно.
Видалити файли журналів Windows- можна очистити різноманітні бази даних і файли, що містять у собі різні записи про події, що відбуваються в операційній системі. Опція корисна, якщо треба звільнити з десяток-другий мегабайт місця на жорсткому диску. Тобто вигода від використання мізерна, опція марна.
Видалити файли дампів пам'яті- при виникненні критичних помилок Windows перериває свою роботу і показує BSOD (синій екран смерті), заодно зберігаючи інформацію про запущені програми та драйвери у файл для подальшого аналізу спеціальними програмами, щоб виявити винуватця збою. Опція майже марна, оскільки дозволяє виграти лише десяток мегабайт вільного місця. Очищення файлів дампів пам'яті системі не шкодить.
Очистити список Останні документи- як не дивно, опція очищує список недавніх документів. Цей список міститься в меню Пуск. Очищення списку можна зробити і вручну, натиснувши правою кнопкою цього пункту в меню Пуск і вибравши «Очистити список останніх елементів». Опція корисна: мною було помічено, що очищення списку недавніх документів дозволяє меню Пуск відображати свої меню трохи швидше. Системі не зашкодить.
Очищення папки TEMP- Святий Грааль для тих, хто шукає причину зникнення вільного місця на диску C:. Справа в тому, що в папці TEMP багато програм складають файли для тимчасового використання, забуваючи потім «прибрати за собою». Типовий приклад – архіватори. Розпакують туди файли та забудуть видалити. Очищення папки TEMP системі не шкодить, місця може звільнити багато (в особливо запущених випадках виграш вільного місця досягає півсотні гігабайт!).
Adobe Flash Player - очищення тимчасових файлів- "Флеш-плеєр" може зберігати файли для тимчасового використання. Їх можна видалити. Іноді (рідко) опція допомагає у боротьбі з глюками Flash Player. Наприклад, із проблемами відтворення відео та аудіо на сайті Вконтакте. Шкоди від використання немає.
Очищення кешу термінального клієнта- наскільки я знаю, ця опція очищає тимчасові файли компонента Windows під назвою "Підключення до віддаленого робочого столу" (віддалений доступ до комп'ютерів за протоколом RDP). Опція начебтошкоди не завдає, місця звільняє з десяток мегабайт у кращому випадку. Сенсу використати немає.
IIS - видалення журналу помилок HTTP- Довго пояснювати, що це таке. Скажу лише, що опцію очищення журналу IIS краще не вмикати. У жодному разі шкоди не завдає, користі теж.
Macromedia Flash Player- пункт дублює "Adobe Flash Player - очищення тимчасових файлів"Але зачіпає досить стародавні версії Флеш Плеєра.
Java - очищення кешу- дає виграш у пару мегабайт на жорсткому диску. Я не користуюся програмами Java, тому наслідки включення опції не перевіряв. Не раджу вмикати.
Очищення кошика- Призначення цього пункту абсолютно зрозуміло з його назви.
Видалити протоколи встановлення оновлень системи- Windows веде журнал встановлених оновлень. Увімкнення цієї опції очищає журнал. Опція марна, тому що виграшу вільного місця ніякого.
Видалити протокол Windows Update- аналогічно до попереднього пункту, але видаляються інші файли. Теж марна опція.
Очистити базу MountPoints- якщо під час підключення флешки або жорсткого диска не створюються значки з ними у вікні Комп'ютер, ця опція може допомогти. Раджу включати лише в тому випадку, якщо у вас є проблеми з підключенням флешок та дисків.
Internet Explorer – очищення кешу- Очищає тимчасові файли Internet Explorer. Опція безпечна та корисна.
Microsoft Office – очищення кешу- очищає тимчасові файли програм Microsoft Office – Word, Excel, PowerPoint та інших. Перевірити безпеку опції не можу, тому що у мене немає Microsoft Office.
Очищення кешу системи запису на компакт-диск- Корисна опція, що дозволяє видалити файли, які Ви підготували для запису на диски.
Очищення системної папки TEMP- на відміну від папки TEMP (див. пункт 5) очищення цієї папки не завжди безпечне, та й місця зазвичай звільняється небагато. Включати не раджу.
MSI - очищення папки Config.Msi- у цій папці зберігаються різні файли, створені інсталяторами програм. Папка має великий обсяг, якщо програми установки некоректно завершували свою роботу, тому чищення папки Config.Msi виправдане. Тим не менш, попереджаю - можуть виникнути проблеми з видаленням програм, що використовують .msi-інсталятори (наприклад, Microsoft Office).
Очистити протоколи планувальника завдань- Планувальник завдань Windows зберігає журнал, де записує інформацію про виконані завдання. Не рекомендую включати цей пункт, тому що вигоди немає, проте проблем додасть - Планувальник завдань Windows досить глючний компонент.
Видалити протоколи інсталяції Windows- Виграш місця несуттєвий, сенсу видаляти немає.
Windows - очищення кеш іконок- Корисно, якщо у вас проблеми з ярликами. Наприклад, з появою робочого столу значки з'являються не відразу. Увімкнення опції на стабільність системи не вплине.
Google Chrome - очищення кешу- Дуже корисна опція. Google Chrome зберігає копії сторінок у відведеній для цього папці, щоб швидше відкривати сайти (сторінки завантажуються з жорсткого диска замість завантаження через інтернет). Іноді розмір цієї папки досягає півгігабайт. Очищення корисне через звільнення місця на жорсткому диску, стабільність ні Windows, ні Google Chrome не впливає.
Mozilla Firefox - очищення папки CrashReports- Щоразу, коли з браузером Firefox трапляється проблема і він аварійно закривається, створюються файли звіту. Ця опція видаляє звіти. Виграш вільного місця досягає пару десятків мегабайт, тобто користі від опції мало, але є. На стабільність Windows та Mozilla Firefox не впливає.

Залежно від встановлених програм кількість пунктів буде відрізнятися. Наприклад, якщо встановлено браузер Opera, можна буде очистити його кеш теж.

Чистка списку автозапуску програм

Правильний спосіб прискорити увімкнення комп'ютера та швидкість його роботи - чищення списку автозапуску. Якщо непотрібні програми не будуть запускатися, то комп'ютер не тільки включатиметься швидше, але й працювати швидше теж - за рахунок ресурсів, що звільнилися, які не будуть забирати запущені у фоні програми.

AVZ вміє переглядати практично всі лазівки у Windows, через які запускаються програми. Переглянути список автозапуску можна в меню Сервіс - Менеджер автозапуску:

Пересічному користувачеві настільки потужний функціонал абсолютно ні до чого, тому я закликаю не відключати все поспіль. Достатньо подивитися лише два пункти - Папки автозапускуі Run*.

AVZ відображає автозапуск не тільки вашого користувача, але і всіх інших профілів:

В розділі Run*краще не відключати програми, що знаходяться у розділі HKEY_USERS- це може порушити роботу інших профілів користувачів та операційної системи. В розділі Папки автозапускуможна вимкнути все, що вам не потрібно.

Зеленим відзначені рядки, упізнані антивірусом як відомі. Сюди входять як системні програми Windows, і сторонні програми, мають цифровий підпис.

Чорним відзначені всі інші програми. Це не означає, що такі програми є вірусами або чимось подібним, просто не всі програми мають цифровий підпис.

Не забудьте розтягнути першу колонку ширше, щоб було видно назву програми. Звичайне зняття галочки тимчасово відключить автозапуск програми (можна потім поставити галку знову), виділення пункту і натискання кнопки з чорним хрестиком видалити запис назавжди (або до того моменту, як програма знову себе пропише в автозапуск).

Постає питання: як визначити, що можна відключати, а що ні? Є два шляхи вирішення:

По-перше, є здоровий глузд: за назвою.exe файлу програми можна прийняти рішення. Наприклад, програма Skype під час встановлення створює запис для автоматичного запуску при включенні комп'ютера. Якщо вам це не потрібно – знімайте галочку з пункту, що закінчується на skype.exe. До речі, багато програм (і Скайп серед них) вміють самі прибирати себе з автозавантаження, достатньо зняти галку з відповідного пункту в налаштуваннях самої програми.

По-друге, можна пошукати в Інтернеті інформацію про програму. На основі отриманих відомостей залишається ухвалити рішення: видаляти її з автозапуску чи ні. AVZ спрощує пошук інформації про пункти: достатньо лише натиснути правою кнопкою миші по пункту і вибрати ваш улюблений пошуковик:

Вимкнувши непотрібні програми, ви відчутно прискорите запуск комп'ютера. Однак все підряд відключати небажано - це може призвести до того, що ви втратите індикатор розкладки, відключіть антивірус і т.д.

Відключайте лише ті програми, про які ви знаєте точно – вони вам в автозапуску не потрібні.

Підсумок

В принципі, те, про що я написав у статті, схоже на забиття цвяхів мікроскопом - програма AVZ підходить для оптимізації Windows, але взагалі-то це складний і потужний інструмент, що підходить для виконання різних завдань. Однак, щоб використовувати AVZ на повну котушку, потрібно досконально знати Windows, тому можна почати з малого – а саме з того, що я розповів вище.

Якщо у вас є питання або зауваження - під статей є блок коментарів, де можна написати мені. Я стежу за коментарями і постараюся якнайшвидше вам відповісти.

Схожі записи:

Лайкнути

Йтиметься про найпростіші способи нейтралізації вірусів, зокрема блокуючих робочий стіл користувача Windows 7 (родина вірусів Trojan.Winlock). Подібні віруси відрізняються тим, що не приховують своєї присутності в системі, а навпаки, демонструють його, максимально ускладнюючи виконання будь-яких дій, крім введення спеціального коду розблокування, для отримання якого, нібито, потрібно перерахувати деяку суму зловмисникам через відправку СМС або поповнення рахунку мобільного телефону через платіжний термінал Ціль тут одна - змусити користувача платити, причому іноді досить пристойні гроші. На екран виводиться вікно з грізним попередженням про блокування комп'ютера за використання неліцензійного програмного забезпечення або відвідування небажаних сайтів, і ще щось таке, як правило, щоб налякати користувача. Крім цього, вірус не дозволяє виконати якісь дії в робочому середовищі Windows - блокує натискання спеціальних комбінацій клавіш для виклику меню кнопки "Пуск", команди "Виконати", диспетчера завдань тощо. Вказівник мишки неможливо перемістити за межі вікна вірусу. Як правило, ця картина спостерігається і при завантаженні Windows в безпечному режимі. Ситуація здається безвихідною, особливо якщо немає іншого комп'ютера, можливості завантаження в іншій операційній системі або зі змінного носія (LIVE CD, ERD Commander, антивірусний сканер). Проте вихід у переважній більшості випадків є.

Нові технології, реалізовані в Windows Vista / Windows 7 значно утруднили впровадження та взяття системи під повний контроль шкідливими програмами, а також надали користувачам додаткові можливості щодо просто їх позбутися, навіть не маючи антивірусного програмного забезпечення (ПЗ). Йдеться про можливість завантаження системи в безпечному режимі за допомогою командного рядка та запуску з неї програмних засобів контролю та відновлення. Очевидно, за звичкою, через досить убогу реалізацію цього режиму в попередніх версіях операційних систем сімейства Windows, багато користувачів просто ним не користуються. А даремно. У командному рядку Windows 7 немає звичного робочого столу (який може бути заблокований вірусом), але можна запустити більшість програм - редактор реєстру, диспетчер завдань, утиліту відновлення системи і т.п.

Видалення вірусу за допомогою відкату системи на точку відновлення

Вірус - це звичайна програма, і якщо навіть вона знаходиться на жорсткому диску комп'ютера, але не може автоматично стартувати при завантаженні системи та реєстрації користувача, то вона так само нешкідлива, як, наприклад, звичайний текстовий файл. Якщо вирішити проблему блокування автоматичного запуску шкідливої програми, то завдання звільнення від шкідливого ПЗ можна вважати виконаним. Основний спосіб автоматичного запуску, що використовується вірусами, - це спеціально створені записи в реєстрі, що створюються при впровадженні в систему. Якщо видалити ці записи – вірус можна вважати знешкодженим. Найпростіший спосіб – це виконати відновлення системи за даними контрольної точки. Контрольна точка - це копія важливих системних файлів, що зберігається в спеціальному каталозі ("System Volume Information") і містять, крім іншого, копії файлів системного реєстру Windows. Виконання відкату системи на точку відновлення, дата створення якої передує вірусному зараженню, дозволяє отримати стан системного реєстру без тих записів, які зроблені вірусом і тим самим, виключити його автоматичний старт, тобто. позбавитися зараження навіть без використання антивірусного ПЗ. У такий спосіб можна легко і швидко позбутися зараження системи більшістю вірусів, у тому числі й тих, що виконують блокування робочого столу Windows. Природно, вірус-блокувальник, який використовує наприклад, модифікацію завантажувальних секторів жорсткого диска (вірус MBRLock) у такий спосіб видалити не може, оскільки відкат системи на точку відновлення не зачіпає завантажувальні записи дисків, та й завантажити Windows в безпечному режимі за допомогою командного рядка не вдасться оскільки вірус завантажується ще до завантажувача Windows. Для позбавлення такого зараження доведеться виконувати завантаження з іншого носія і відновлювати заражені завантажувальні записи. Але подібних вірусів відносно небагато і здебільшого позбутися зарази можна відкатом системи на точку відновлення.

1. На початку завантаження натиснути кнопку F8 . На екрані з'явиться меню завантажувача Windows, з можливими варіантами завантаження системи

2. Вибрати варіант завантаження Windows - "Безпечний режим із підтримкою командного рядка"

Після завершення завантаження та реєстрації користувача замість звичного робочого столу Windows, відображатиметься вікно командного процесора cmd.exe

3. Запустити засіб "Відновлення системи", для чого в командному рядку потрібно набрати rstrui.exe та натиснути ENTER.

Переключити режим на "Вибрати іншу точку відновлення" та в наступному вікні встановити галочку "Показати інші точки відновлення"

Після вибору точки відновлення Windows, можна переглянути список програм, що зачіпаються при відкаті системи:

Список програм, що торкаються, - це список програм, які були встановлені після створення точки відновлення системи і які можуть вимагати переустановки, оскільки в реєстрі будуть відсутні пов'язані з ними записи.

Після натискання на кнопку "Готово" розпочнеться процес відновлення системи. Після його завершення буде виконано перезавантаження Windows.

Після перезавантаження на екран буде виведено повідомлення про успішний або неуспішний результат виконання відкату і, у разі успіху, Windows повернеться до того стану, який відповідав даті створення точки відновлення. Якщо блокування робочого столу не припиниться, можна скористатися більш просунутим способом, наведеним нижче.

Видалення вірусу без відкату системи на точку відновлення

Можлива ситуація, коли в системі відсутні, з різних причин дані точок відновлення, процедура відновлення завершилася з помилкою, або відкат не дав позитивного результату. У такому разі можна скористатися діагностичною утилітою Конфігурування системи MSCONFIG.EXE . Як і в попередньому випадку, потрібно завантажити Windows у безпечному режимі з підтримкою командного рядка і у вікні інтерпретатора командного рядка cmd.exe набрати msconfig.exe і натиснути ENTER

На вкладці "Загальні" можна вибрати такі режими запуску Windows:

При завантаженні системи буде виконано запуск лише мінімально необхідних системних служб та програм користувача.
Вибірковий запуск- дозволяє задати в ручному режимі перелік системних служб та програм користувача, які будуть запущені під час завантаження.

Для усунення вірусу найбільш просто скористатися діагностичним запуском, коли утиліта сама визначить набір програм, що автоматично запускаються. Якщо в такому режимі блокування робочого столу вірусом припиниться, потрібно перейти до наступного етапу - визначити, яка ж з програм є вірусом. Для цього можна скористатися режимом вибіркового запуску, який дозволяє вмикати або вимикати запуск окремих програм у ручному режимі.

Вкладка "Служби" дозволяє увімкнути або вимкнути запуск системних служб, у налаштуваннях яких встановлено тип запуску "Автоматично" . Знята галочка перед назвою служби означає, що вона не буде запущена під час завантаження системи. У нижній частині вікна утиліти MSCONFIG є поле для встановлення режиму "Не відображати служби Майкрософт", при включенні якого відображатимуться лише служби сторонніх виробників.

Зауважу, що ймовірність зараження системи вірусом, який інстальований як системна служба, при стандартних налаштуваннях безпеки в середовищі Windows Vista / Windows 7, дуже невелика, і сліди вірусу доведеться шукати в списку програм користувачів, що автоматично запускаються (вкладка "Автозавантаження").

Так само, як і на вкладці "Служби", можна увімкнути або вимкнути автоматичний запуск будь-якої програми, що є у списку, що відображається MSCONFIG. Якщо вірус активізується в системі шляхом автоматичного запуску з використанням спеціальних ключів реєстру або вмісту папки "Автозавантаження", за допомогою msconfig можна не тільки знешкодити його, але й визначити шлях та ім'я зараженого файлу.

Утиліта msconfig є простим та зручним засобом конфігурування автоматичного запуску служб та програм, які запускаються стандартним чином для операційних систем сімейства Windows. Однак автори вірусів нерідко використовують прийоми, що дозволяють запускати шкідливі програми без використання стандартних точок автозапуску. Позбутися такого вірусу з великою ймовірністю можна описаним вище способом відкату системи на точку відновлення. Якщо відкат неможливий і використання msconfig не призвело до позитивного результату, можна скористатися прямим редагуванням реєстру.

У процесі боротьби з вірусом користувачеві часто доводиться виконувати жорстке перезавантаження скиданням (Reset) або вимкненням живлення. Це може спричинити ситуацію, коли завантаження системи починається нормально, але не доходить до реєстрації користувача. Комп'ютер "висить" через порушення логічної структури даних у деяких системних файлах, що виникає при некоректному завершенні роботи. Для вирішення проблеми так само, як і в попередніх випадках, можна завантажитися в безпечному режимі за допомогою командного рядка та виконати команду перевірки системного диска

chkdsk C: /F - виконати перевірку диска C: з виправленням виявлених помилок (ключ /F)

Оскільки на момент запуску chkdsk системний диск зайнятий системними службами та програмами, програма chkdsk не може отримати до нього монопольний доступ для виконання тестування. Тому користувачеві буде видано повідомлення із попередженням та запит на виконання тестування при наступному перезавантаженні системи. Після відповіді Y до реєстру буде занесена інформація, що забезпечує запуск перевірки диска під час перезавантаження Windows. Після перевірки ця інформація видаляється і виконується звичайне перезавантаження Windows без втручання користувача.

Усунення можливості запуску вірусу за допомогою редактора реєстру.

Для запуску редактора реєстру, як і в попередньому випадку, потрібно виконати завантаження Windows у безпечному режимі за допомогою командного рядка, у вікні інтерпретатора командного рядка набрати regedit.exe і натиснути ENTER Windows 7, при стандартних налаштуваннях безпеки системи, захищена від багатьох методів запуску шкідливих програм, які застосовувалися для попередніх версій операційних систем Microsoft. Встановлення вірусами своїх драйверів і служб, переналаштування служби WINLOGON з підключенням власних виконуваних модулів, виправлення ключів реєстру, що стосуються всіх користувачів тощо - всі ці методи в середовищі Windows 7 або не працюють, або вимагають настільки серйозних витрат, що практично не трапляються. Зазвичай, зміни у реєстрі, які забезпечують запуск вірусу, виконуються лише у контексті дозволів, існуючих для поточного користувача, тобто. у розділі HKEY_CURRENT_USER

Для того, щоб продемонструвати найпростіший механізм блокування робочого столу з використанням підміни оболонки користувача (shell) та неможливості використання утиліти MSCONFIG для виявлення та видалення вірусу можна провести наступний експеримент - замість вірусу самостійно підправити дані реєстру, щоб замість робочого столу отримати, наприклад, командний рядок . Звичний робочий стіл створюється провідником Windows (Програма Explorer.exe), що запускається як оболонка користувача. Це забезпечується значеннями параметра Shell у розділах реєстру

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - для всіх користувачів.
- Для поточного користувача.

Параметр Shell є рядком з ім'ям програми, яка буде використовуватися як оболонка при вході користувача до системи. Зазвичай у розділі для поточного користувача (HKEY_CURRENT_USER або скорочено - HKCU) параметр Shell відсутній і використовується значення розділу реєстру для всіх користувачів (HKEY_LOCAL_MACHINE\ або в скороченому вигляді - HKLM)

Так виглядає розділ реєстру HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogonпри стандартній установці Windows 7

Якщо ж до цього розділу додати рядковий параметр Shell, що приймає значення "cmd.exe", то при наступному вході поточного користувача в систему замість стандартної оболонки користувача на основі провідника буде запущена оболонка cmd.exe і замість звичного робочого столу Windows буде відображатися вікно командного рядка .

Звичайно, подібним чином може бути запущена будь-яка шкідлива програма і користувач отримає замість робочого столу порнобанер, блокувальник та іншу гидоту.
Для внесення змін до розділу для всіх користувачів (HKLM. . .) потрібна наявність адміністративних привілеїв, тому вірусні програми зазвичай модифікують параметри розділу реєстру поточного користувача (HKCU . . .)

Якщо, в продовження експерименту, запустити утиліту msconfig , то можна переконатися, що у списках програм, що автоматично запускаються cmd.exe як оболонка користувача відсутня. Відкат системи, природно, дозволить повернути вихідний стан реєстру і позбутися автоматичного старту вірусу, але якщо він з якихось причин неможливий - залишається лише пряме редагування реєстру. Для повернення до стандартного робочого столу достатньо видалити параметр Shell або змінити його значення з "cmd.exe" на "explorer.exe" і виконати перереєстрацію користувача (вийти з системи і знову увійти) або перезавантаження. Редагування реєстру можна виконати, запустивши з командного рядка редактор реєстру regedit.exe або скористатись консольною утилітою REG.EXE . Приклад командного рядка для видалення Shell:

REG delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Наведений приклад із заміною оболонки користувача, на сьогоднішній день є одним з найпоширеніших прийомів, що використовуються вірусами серед операційної системи Windows 7 . Досить високий рівень безпеки при стандартних налаштуваннях системи не дозволяє шкідливим програмам отримувати доступ до розділів реєстру, які використовувалися для зараження у Windows XP та попередніх версій. Навіть якщо поточний користувач є членом групи "Адміністратори", доступ до більшості параметрів реєстру, що використовуються для зараження, вимагає запуск програми від імені адміністратора. Саме тому шкідливі програми модифікують ключі реєстру, доступ до яких дозволено поточному користувачеві (розділ HKCU . . .) Другий важливий чинник - складність реалізації запису файлів програм у системні каталоги. Саме тому більшість вірусів у середовищі Windows 7 використовують запуск виконуваних файлів (.exe) з каталогу тимчасових файлів (Temp) поточного користувача. При аналізі точок автоматичного запуску програм у реєстрі, в першу чергу, потрібно звертати увагу на програми, що знаходяться в каталозі тимчасових файлів. Зазвичай це каталог C:\USERS\ім'я користувача\AppData\Local\Temp. Точний шлях каталогу тимчасових файлів можна переглянути через панель управління у властивостях системи - "Змінні середовища". Або в командному рядку:

set temp
або
echo %temp%

Крім того, пошук у реєстрі за рядком відповідного імені каталогу для тимчасових файлів або змінної %TEMP% можна використовувати як додатковий засіб для виявлення вірусів. Легальні програми ніколи не виконують автоматичного запуску з каталогу TEMP.

Для отримання повного списку можливих точок автоматичного запуску зручно використовувати спеціальну програму Autoruns із пакета SysinternalsSuite.

Найпростіші способи видалення блокувальників сімейства MBRLock

Шкідливі програми можуть отримати контроль над комп'ютером не тільки при зараженні операційної системи, але і при модифікації записів секторів завантаження диска, з якого виконується завантаження. Вірус виконує заміну даних завантажувального сектора активного розділу своїм програмним кодом так, щоб замість Windows виконувалася завантаження простої програми, яка виводила б на екран повідомлення здирника, що вимагає грошей для шахраїв. Оскільки вірус отримує керування ще до завантаження системи, обійти його можна тільки одним способом - завантажитися з іншого носія (CD/DVD, зовнішнього диска тощо) в будь-якій операційній системі, де є можливість відновлення програмного коду завантажувальних секторів. Найпростіший спосіб - скористатися Live CD / Live USB, як правило, безкоштовно надаються користувачам більшістю антивірусних компаній (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk і т.п.) Крім відновлення завантажувальних секторів, дані продукти можуть виконати ще та перевірку файлової системи на наявність шкідливих програм із видаленням або лікуванням заражених файлів. Якщо немає можливості використовувати цей спосіб, можна обійтися і простим завантаженням будь-якої версії Windows PE (установочний диск, диск аварійного відновлення ERD Commander), що дозволяє відновити нормальне завантаження системи. Зазвичай достатньо навіть простої можливості отримати доступ до командного рядка та виконати команду:

bootsect /nt60 /mbr

bootsect /nt60 /mbr E:> - відновити завантажувальні сектори диска E: Тут повинна використовуватися буква для диска, який використовується як пристрій завантаження пошкодженої вірусом системи.

або для Windows, що передують Windows Vista

bootsect /nt52 /mbr

Утиліта bootsect.exe може знаходитися не тільки в системних каталогах, але і на будь-якому знімному носії, може виконуватися в середовищі будь-якої операційної системи сімейства Windows і дозволяє відновити програмний код завантажувальних секторів, не торкаючись таблиці розділів та файлової системи. Ключ /mbr, як правило, не потрібен, оскільки відновлює програмний код головного завантажувального запису MBR, який віруси не модифікують (можливо – поки не модифікують).

Проста та зручна утилітка AVZ, яка може не тільки допоможе, але і вміє відновлювати систему. Для чого це треба?

Щоб дати Вам наочнішу картину, надаю повний список того, що вміє відновлювати AVZ.

Матеріал взятий з довідника по AVZ - http://www.z-oleg.com/secur/avz_doc/ (скопіювати та вставити в адресний рядок браузера).

В даний час в базі є такі мікропрограми:

1.Відновлення параметрів запуску.exe, .com, .pif файлів

Ця мікропрограма відновлює реакцію системи на файли exe, com, pif, scr.

Показання до застосування:після видалення вірусу перестають запускатись програми.

2.Скидання налаштувань префіксів протоколів Internet Explorer на стандартні

Ця мікропрограма відновлює налаштування префіксів протоколів в Internet Explorer

3.Відновлення стартової сторінки Internet Explorer

Ця мікропрограма відновлює стартову сторінку в Internet Explorer

Показання до застосування:заміна стартової сторінки

4.Скидання налаштувань пошуку Internet Explorer на стандартні

Ця мікропрограма відновлює налаштування пошуку в Internet Explorer

Показання до застосування:При натисканні кнопки «Пошук» у IE йде звернення до якогось стороннього сайту

5.Відновлення налаштувань робочого столу

Ця мікропрограма відновлює налаштування робочого столу.

6.Видалення всіх Policies (обмежень) поточного користувача

Показання до застосування:Заблоковано функції провідника чи інші функції системи.

7.Видалення повідомлення, що виводиться під час WinLogon

Показання до застосування:Під час завантаження системи вводиться стороннє повідомлення.

8.Відновлення налаштувань провідника

Показання до застосування:Змінено налаштування провідника

9.Видалення відладчиків системних процесів

10. Відновлення налаштувань завантаження в SafeMode

11. Розблокування диспетчера завдань

12.Очищення списку ігнорування утиліти HijackThis

Показання до застосування:Підозри на те, що утиліта HijackThis відображає не всю інформацію про систему.

13. Очищення файлу Hosts

Проконтролювати вміст Hosts можна за допомогою менеджера Hosts файлу, вбудованого в AVZ.

14. Автоматичне виправлення налаштувань SPl/LSP

Показання до застосування:Після видалення шкідливої програми зник доступ до Інтернету.

15. Скидання налаштувань SPI/LSP та TCP/IP (XP+)

16. Відновлення ключа запуску Explorer

Відновлює системні ключі реєстру, які відповідають за запуск провідника.

17. Розблокування редактора реєстру

Розблокує редактор реєстру шляхом видалення політики, яка забороняє його запуск.

18. Повне перестворення налаштувань SPI

19. Очистити базу MountPoints

На замітку:

Будь-яку мікропрограму можна виконувати кілька разів поспіль без шкоди для системи. Винятки – «5.

Відзначаємо галочки, які вам потрібні і натискаємо запустити операції. Все, очікуємо виконання:-)

Вступна

Загальний опис функціоналу програми

Завантаження запуск, використання

Післямова

Вступна

Загальний опис функціоналу програми

Завантаження запуск, використання

Післямова

Як відновити ОС, якщо неможливий вхід до системи ПК?

Застосування інструментів утиліти AVZ

Внаслідок лікування ОС персонального комп'ютера не працюють підключені до нього пристрої.

Проблема недоступних сайтів

Способи відновлення зашифрованих файлів безкоштовно

1. Видалити вірус-шифрувальник

1.1. Видалити вірус-шифрувальник за допомогою Kaspersky Virus Removal Tool

1.2. Видалити вірус-шифрувальник за допомогою Malwarebytes Anti-malware

2. Відновити зашифровані файли за допомогою ShadowExplorer

3. Відновити зашифровані файли за допомогою PhotoRec

Delete the virus using the command prompt

Magic Partition Recovery: Зберігання Missing Files and Folders after a Virus Attack

Ця мікропрограма відновлює реакцію системи на файли exe, com, pif, scr.

Показання до застосування:після видалення вірусу перестають запускатись програми.

Ця мікропрограма відновлює налаштування префіксів протоколів в Internet Explorer

Показання до застосування:при введенні адреси типу www.yandex.ru йде його заміна на щось виду www.seque.com/abcd.php?url=www.yandex.ru

Ця мікропрограма відновлює стартову сторінку в Internet Explorer

Показання до застосування:заміна стартової сторінки

Ця мікропрограма відновлює налаштування пошуку в Internet Explorer

Показання до застосування:При натисканні кнопки «Пошук» у IE йде звернення до якогось стороннього сайту

Показання до застосування:Зникли закладки налаштування робочого стола у вікні «Властивості:екран», на робочому столі відображаються сторонні написи або малюнки

Показання до застосування:Заблоковано функції провідника чи інші функції системи.

Показання до застосування:Під час завантаження системи вводиться стороннє повідомлення.

Дана мікропрограма скидає ряд налаштувань провідника на стандартні (скидаються в першу чергу настройки, що змінюються шкідливими програмами).

Показання до застосування:Змінено налаштування провідника

Реєстрація налагоджувача системного процесу дозволять здійснити прихований запуск програми, що й використовується рядом шкідливих програм

Показання до застосування: .

Показання до застосування:Підозри на те, що утиліта HijackThis відображає не всю інформацію про систему.

13. Очищення файлу Hosts

Очищення файлу Hosts зводиться до пошуку файлу Hosts, видалення всіх значних рядків і додавання стандартного рядка «127.0.0.1 localhost».

Показання до застосування:Після видалення шкідливої ​​програми зник доступ до Інтернету.

Відновлює системні ключі реєстру, які відповідають за запуск провідника.

Показання до застосування:Під час завантаження системи не запускається провідник, але запуск explorer.exe можливий вручну.

Розблокує редактор реєстру шляхом видалення політики, яка забороняє його запуск.

Показання до застосування:Неможливо запустити редактор реєстру, при спробі виводиться повідомлення про те, що його запуск заблоковано адміністратором.

Виконує резервне копіювання налаштувань SPI/LSP, після чого знищує їх і створює за стандартом, який зберігається в базі.

Показання до застосування:

Здійснює очищення бази MountPoints та MountPoints2 у реєстрі. Ця операція нерідко допомагає у разі, коли після зараження Flash-вірусом у провіднику не відкриваються диски

Для відновлення необхідно відзначити один або кілька пунктів і натиснути кнопку «Виконати зазначені операції». Натискання кнопки "ОК" закриває вікно.

На замітку:

На замітку:

На замітку:

Можливості AVZ

Спочатку убезпечимо свою Windows від необережних дій

Як створити точку відновлення

Як відновити комп'ютер за допомогою точки відновлення

Варіант 1 – якщо Windows запускається

Варіант 2 – якщо Windows не завантажується

Полагодження системи після вірусів або невмілих дій з комп'ютером

Відновлення запуску програм

Відновлення запуску робочого столу

Розблокування Диспетчера завдань та Редактора реєстру

Проблеми з інтернетом (не відкриваються сайти Вконтакте, Однокласники та сайти антивірусів)

Чищення системи від непотрібних файлів

Чистка списку автозапуску програм

Підсумок

Показання до застосування:Після видалення шкідливої програми зник доступ до Інтернету.