Ako obnoviť okná po víruse. Niektorý malvér, ako napríklad červ Bagle, poškodzuje nastavenia zavádzania systému v chránenom režime. Tento firmvér obnoví nastavenia zavádzania v chránenom režime. Bežné nástroje

Páči sa mi to

Páči sa mi to

pípanie

Existujú univerzálne programy ako švajčiarsky nôž. Hrdina môjho článku je práve taký „univerzál“. Jeho meno je AVZ(Antivírus Zaitsev). S pomocou tohto zadarmo Môžete zachytiť antivírusy a vírusy a optimalizovať systém a opraviť problémy.

Vlastnosti AVZ

Už som hovoril o tom, že ide o antivírusový program. O práci AVZ ako jednorazového antivírusu (presnejšie anti-rootkitu) je dobre popísaná jeho nápoveda, ale ukážem vám druhú stránku programu: kontrolu a obnovenie nastavení.

Čo sa dá „opraviť“ pomocou AVZ:

• Oprava spúšťacích programov (súbory .exe, .com, .pif)
• Obnovte predvolené nastavenia programu Internet Explorer
• Obnoviť nastavenia pracovnej plochy
• Odstráňte obmedzenia práv (napríklad ak vírus zablokoval spustenie programov)
• Odstráňte banner alebo okno, ktoré sa zobrazuje pred prihlásením
• Odstráňte vírusy, ktoré sa dajú spustiť pomocou akéhokoľvek programu
• Odblokujte Správcu úloh a Editor databázy Registry (ak im vírus zabránil spustiť)
• Vymazať súbor
• Zakázať programy automatického spúšťania z jednotiek flash a diskov
• Odstráňte nepotrebné súbory z pevný disk
• Opravte problémy s počítačom
• A oveľa viac

Dá sa použiť aj na kontrolu bezpečnosti nastavenia windows(v záujme lepšej ochrany pred vírusmi), ako aj optimalizovať systém čistením spúšťania.

Stránka na stiahnutie AVZ je na adrese .

Program je bezplatný.

Po prvé, chráňme náš Windows pred neopatrnými akciami

Program AVZ má veľmi mnohé funkcie ovplyvňujúce fungovanie systému Windows. Toto nebezpečne, pretože v prípade chyby môže dôjsť k problémom. Predtým, ako niečo urobíte, pozorne si prečítajte text a pomôžte. Autor článku nezodpovedá za vaše činy.

Aby som po neopatrnej práci s AVZ mohol „vrátiť všetko tak, ako to bolo“, napísal som túto kapitolu.

Toto je povinný krok, v skutočnosti vytvorenie "ústupu" v prípade neopatrných akcií - vďaka bodu obnovenia bude možné obnoviť nastavenia, register systému Windows do skoršieho stavu.

Windows Recovery je vyžadovaná súčasť všetkých verzií Windowsu, počnúc Windows ME. Škoda, že si na to väčšinou nepamätajú a strácajú čas preinštalovaním Windowsu a programov, hoci bolo možné len párkrát kliknúť myšou a vyhnúť sa všetkým problémom.

Ak je poškodenie vážne (napríklad časť systémové súbory), potom "Obnovenie systému" nepomôže. V iných prípadoch - ak ste nesprávne nakonfigurovali systém Windows, "oklamali" register, nainštalovali program, z ktorého sa systém Windows nespúšťal, nesprávne použili program AVZ - malo by pomôcť "Obnovenie systému".

Po AVZ funguje vytvorí podpriečinky so zálohami vo svojom priečinku:

/záloha- tam sú uložené záložné kópie registra.

/Infikovaný- kópie odstránených vírusov.

/karanténa- kópie podozrivých súborov.

Ak sa problémy začali po spustení AVZ (napríklad ste bezmyšlienkovite použili nástroj AVZ System Restore a internet prestal fungovať) a Recovery systémy Windows nevrátil späť vykonané zmeny, môžete otvoriť zálohy registra z priečinka zálohovanie.

Ako vytvoriť bod obnovenia

Poďme do Štart - Ovládací panel - Systém - Ochrana systému:

Kliknite na "Ochrana systému" v okne "Systém".

Kliknite na tlačidlo "Vytvoriť".

Proces vytvárania bodu obnovenia môže trvať až desať minút. Potom sa zobrazí okno:

Vytvorí sa bod obnovenia. Mimochodom, automaticky sa vytvárajú pri inštalácii programov a ovládačov, ale nie vždy. Preto pred nebezpečnými akciami (konfigurácia, čistenie systému) je lepšie znova vytvoriť bod obnovenia, aby ste sa v prípade problémov pochválili za svoju predvídavosť.

Ako obnoviť počítač pomocou bodu obnovenia

Existujú dve možnosti spustenia nástroja Obnovovanie systému - zdola so systémom Windows a pomocou inštalačného disku.

Možnosť 1 - ak sa spustí systém Windows

Poďme do Štart - Všetky programy - Príslušenstvo - Systémové nástroje - Obnovenie systému:

začne Vyberte iný bod obnovenia a stlačte Ďalej. Otvorí sa zoznam bodov obnovenia. Vyberte si ten, ktorý potrebujete:

Počítač sa automaticky reštartuje. Po stiahnutí sa obnovia všetky nastavenia, jeho register a niektoré dôležité súbory.

Možnosť 2 – Ak sa systém Windows nespustí

Potrebujete "inštalačný" disk s Windows 7 alebo Windows 8. Kde ho získať (alebo stiahnuť), napísal som.

Zavedieme systém z disku (je napísané, ako zaviesť systém zo zavádzacích diskov) a vyberieme:

Namiesto inštalácie systému Windows zvoľte "Obnovenie systému".

Oprava systému po vírusoch alebo nešikovných akciách s počítačom

Pred všetkými akciami sa zbavte vírusov, napríklad pomocou. Inak to nebude mať zmysel – opravené nastavenia opäť „rozbije“ spustený vírus.

Reštartovanie programov

Ak vírus zablokoval spustenie akýchkoľvek programov, pomôže vám AVZ. Samozrejme, musíte spustiť aj samotný AVZ, ale je to celkom jednoduché:

Najprv ideme do Ovládací panel- nastaviť akýkoľvek typ zobrazenia okrem kategórie - Nastavenia priečinkov - vyhliadka- zrušiť začiarknutie Skryť prípony pre registrované typy súborov - OK. Teraz má každý súbor rozšírenie- niekoľko znakov za poslednou bodkou v názve. Programy zvyčajne .exe A .com. Ak chcete spustiť antivírus AVZ na počítači, kde sú zakázané programy, premenujte rozšírenie na cmd alebo pif:

Potom sa spustí AVZ. Potom v samotnom okne programu stlačte Súbor - :

Body, ktoré treba poznamenať:

1. Obnovte súbory launch options.exe, .com, .pif(v skutočnosti rieši problém spúšťania programov)

6. Odstráňte všetky zásady (obmedzenia) aktuálneho používateľa(v niektorých zriedkavých prípadoch táto položka tiež pomáha vyriešiť problém spúšťania programov, ak je vírus veľmi škodlivý)

9. Odstránenie ladiacich programov systémových procesov(je veľmi žiaduce si túto položku všimnúť, pretože aj keby ste systém skontrolovali antivírusom, z vírusu môže niečo zostať. Pomôže aj to, ak sa pri štarte systému nezobrazí Plocha)

, potvrďte akciu, zobrazí sa okno s textom „Obnovenie systému dokončené“. Potom zostáva reštartovať počítač - problém so spúšťaním programov bude vyriešený!

Obnova po spustení pracovnej plochy

Dosť bežný problém- Pracovná plocha sa nezobrazuje pri štarte systému.

Bežať Desktop môžete to urobiť: stlačte Ctrl + Alt + Del, spustite Správcu úloh, tam stlačte Súbor - Nová úloha(Beh...) - vstúpiť explorer.exe:

OK- Pracovná plocha sa spustí. Ide však len o dočasné riešenie problému – pri ďalšom zapnutí počítača budete musieť všetko zopakovať.

Aby ste to neurobili zakaždým, musíte obnoviť kľúč na spustenie programu prieskumník(„Prieskumník“, ktorý je zodpovedný za štandardné prezeranie obsahu priečinkov a prácu pracovnej plochy). V AVZ lisujeme Súbor- a označte položku

Vykonajte označené operácie, potvrďte akciu, stlačte OK Teraz, keď spustíte počítač, pracovná plocha sa spustí normálne.

Odomknite Správcu úloh a Editor databázy Registry

Ak vírus zablokoval spustenie dvoch vyššie uvedených programov, zákaz je možné odstrániť cez okno programu AVZ. Stačí skontrolovať dve veci:

11. Odomknite Správcu úloh

17. Odomknite Editor databázy Registry

A stlačte Vykonajte označené operácie.

Problémy s internetom (Vkontakte, Odnoklassniki a antivírusové stránky sa neotvárajú)

Čistenie systému od nepotrebných súborov

programy AVZ dokáže vyčistiť počítač od nepotrebných súborov. Ak v počítači nie je nainštalovaný program na čistenie pevného disku, urobí to AVZ, pretože existuje veľa možností:

Viac o bodoch:

1. Vymazať predbežné načítanie vyrovnávacej pamäte systému- čistenie priečinka s informáciami o tom, ktoré súbory sa majú načítať vopred pre rýchle spustenie programov. Táto možnosť je zbytočná, pretože samotný Windows celkom úspešne monitoruje Predbežne načítať priečinok a v prípade potreby ho vyčistite.
2. Odstráňte súbory denníka systému Windows- môžete vyčistiť rôzne databázy a súbory, ktoré sa ukladajú rôzne záznamy o udalostiach vyskytujúcich sa v operačnom systéme. Táto možnosť je užitočná, ak potrebujete uvoľniť tucet alebo dva megabajty miesta na pevnom disku. To znamená, že úžitok z používania je mizivý, možnosť je zbytočná.
3. Odstráňte súbory s výpisom pamäte- v prípade kritického stavu Chyby systému Windows preruší svoju prácu a zobrazí BSOD (modrá obrazovka smrti), pričom zároveň uloží informácie o spustené programy a ovládače do súboru na ďalšiu analýzu pomocou špeciálnych programov na identifikáciu vinníka poruchy. Táto možnosť je takmer zbytočná, pretože vám umožňuje vyhrať iba tucet megabajtov voľné miesto. Vymazanie súborov výpisu pamäte nepoškodí systém.
4. Vymazať zoznam posledných dokumentov- napodiv, táto možnosť vymaže zoznam posledných dokumentov. Tento zoznam sa nachádza v ponuke Štart. Zoznam môžete vymazať aj ručne kliknutím pravým tlačidlom myši na túto položku v ponuke Štart a výberom možnosti „Vymazať zoznam posledné prvky". Užitočná možnosť: Všimol som si, že vymazanie zoznamu posledných dokumentov umožňuje ponuke Štart zobrazovať ponuky o niečo rýchlejšie. Systém sa nepoškodí.
5. Vymazanie priečinka TEMP- Svätý grál pre tých, ktorí hľadajú príčinu miznutia voľného miesta na disku C:. Faktom je, že v priečinku TEMP mnohé programy ukladajú súbory na dočasné použitie a neskôr zabudnú „po sebe upratať“. Typickým príkladom sú archivátory. Rozbaľte tam súbory a zabudnite ich odstrániť. Vymazanie priečinka TEMP nepoškodí systém, môže uvoľniť veľa miesta (v obzvlášť zanedbaných prípadoch zisk voľného miesta dosiahne päťdesiat gigabajtov!).
6. Adobe Flash Player - čistenie dočasných súborov- "Flash player" môže ukladať súbory na dočasné použitie. Môžu byť odstránené. Niekedy (zriedkavo) táto možnosť pomáha v boji proti chybám prehrávača Flash Player. Napríklad pri problémoch s prehrávaním videa a zvuku na webovej stránke Vkontakte. Pri používaní nie je žiadna škoda.
7. Vymazanie vyrovnávacej pamäte terminálového klienta- pokiaľ viem, táto možnosť vymaže dočasné súbory komponent systému Windows s názvom „Pripojenie k vzdialenej ploche“ (vzdialený prístup k počítačom prostredníctvom protokolu RDP). Možnosť Zdá sa, že nepoškodí, uvoľní miesto v najlepšom prípade z tuctu megabajtov. Nemá zmysel ho používať.
8. IIS - Odstrániť protokol chýb HTTP- dlho vysvetliť, čo to je. Dovoľte mi povedať, že je lepšie nepovoliť možnosť vymazať denník IIS. V každom prípade neškodí, ani neprospieva.
9. Macromedia Flash Player- duplikáty položiek „Adobe Flash Player – čistenie dočasných súborov“, ale ovplyvňuje skôr staré verzie prehrávača Flash Player.
10. Java - vymazanie vyrovnávacej pamäte- poskytuje zisk o niekoľko megabajtov na pevnom disku. Nepoužívam programy Java, preto som nekontroloval dôsledky povolenia možnosti. Neodporúčam ho zapínať.
11. Vysypávanie koša- účel tejto položky je úplne jasný z jej názvu.
12. Odstráňte denníky inštalácie aktualizácie systému- Systém Windows vedie denník nainštalované aktualizácie. Povolenie tejto možnosti vymaže denník. Táto možnosť je zbytočná, pretože nie je voľné miesto na výhru.
13. Odstrániť protokol windows aktualizovať- podobný predchádzajúci odsek, ale ostatné súbory sa odstránia. Tiež démon užitočná možnosť.
14. Vymažte databázu MountPoints- ak sa pri pripájaní flash disku alebo pevného disku v okne Počítač nevytvoria ikony s nimi, táto možnosť môže pomôcť. Odporúčam vám ho zapnúť iba vtedy, ak máte problémy s pripojením flash diskov a diskov.
15. Internet Explorer - vymažte vyrovnávaciu pamäť- vymaže dočasné súbory programu Internet Explorer. Možnosť je bezpečná a užitočná.
16. Microsoft Office- Vymazať vyrovnávaciu pamäť- čistí dočasné súbory programov Microsoft Office - Word, Excel, PowerPoint a ďalšie. Nemôžem skontrolovať možnosti zabezpečenia, pretože nemám balík Microsoft Office.
17. Vymazanie vyrovnávacej pamäte systému napaľovania CD- užitočná možnosť, ktorá vám umožní vymazať súbory, ktoré ste pripravili na napálenie na disky.
18. Čistenie systémového priečinka TEMP- na rozdiel od používateľského priečinka TEMP (pozri bod 5), vymazanie tohto priečinka nie je vždy bezpečné a zvyčajne uvoľní trochu miesta. Neodporúčam ho zapínať.
19. MSI - čistenie priečinka Config.Msi- tento priečinok obsahuje rôzne súbory vytvorené inštalátormi programu. Priečinok je veľký, ak inštalačné programy nedokončili svoju prácu správne, takže vymazanie priečinka Config.Msi je opodstatnené. Upozorňujeme však, že pri odinštalovaní programov, ktoré používajú inštalátory .msi (napríklad Microsoft Office), môžu nastať problémy.
20. Vymazať denníky plánovača úloh- Plánovač úloh systému Windows vedie denník, do ktorého zaznamenáva informácie o dokončených úlohách. Neodporúčam zapínať túto položku, pretože to nemá žiadnu výhodu, ale pridá to problémy - Plánovač úloh systému Windows je pomerne chybný komponent.
21. Odstráňte inštalačné protokoly systému Windows- zisk miesta je bezvýznamný, nemá zmysel škrtať.
22. Windows - vymažte vyrovnávaciu pamäť ikon- užitočné, ak máte problémy so skratkami. Keď sa napríklad zobrazí Pracovná plocha, ikony sa nezobrazia okamžite. Povolenie tejto možnosti neovplyvní stabilitu systému.
23. Google Chrome- Vymazať vyrovnávaciu pamäť je veľmi užitočná možnosť. Prehliadač Google Chrome ukladá kópie stránok do priečinka určeného na tento účel, aby sa stránky otvárali rýchlejšie (stránky sa namiesto sťahovania cez internet načítavajú z pevného disku). Niekedy veľkosť tohto priečinka dosahuje pol gigabajtu. Čistenie je užitočné z hľadiska uvoľnenia miesta na pevnom disku, Windows ani Google Chrome neovplyvňujú stabilitu.
24. Mozilla Firefox- čistenie priečinka CrashReports- zakaždým s prehliadač Firefox nastane problém a zlyhá, vytvoria sa súbory správ. Táto možnosť vymaže súbory prehľadov. Zisk voľného miesta dosahuje niekoľko desiatok megabajtov, to znamená, že táto možnosť má malý zmysel, ale existuje. Stabilita Windows a Mozilla Firefox nie je ovplyvnená.

V závislosti od nainštalovaných programov sa počet bodov bude líšiť. Napríklad, ak je nainštalovaný Prehliadač Opera, môžete tiež vymazať jeho vyrovnávaciu pamäť.

Čistenie zoznamu spúšťacích programov

Istý spôsob, ako zrýchliť štart a rýchlosť počítača, je vyčistiť zoznam automatického spustenia. Ak sa nepotrebné programy nespustia, počítač sa nielen rýchlejšie zapne, ale aj rýchlejšie bude pracovať - ​​kvôli uvoľneným zdrojom, ktoré programy bežiace na pozadí nezoberú.

AVZ dokáže zobraziť takmer všetky medzery v systéme Windows, cez ktoré sa spúšťajú programy. Zoznam automatického spustenia si môžete pozrieť v ponuke Nástroje - Správca automatického spustenia:

Bežný používateľ nemá pre takúto výkonnú funkcionalitu absolútne využitie, preto vyzývam nevypínaj všetko. Stačí sa pozrieť iba na dva body - Autorun priečinky A bežať*.

AVZ zobrazuje automatické spustenie nielen pre vášho používateľa, ale aj pre všetky ostatné profily:

V sekcii bežať* je lepšie nezakázať programy umiestnené v sekcii HKEY_USERS- môže to narušiť ostatné používateľské profily a samotný operačný systém. V sekcii Autorun priečinky môžete vypnúť všetko, čo nepotrebujete.

Čiary označené zelenou farbou rozpozná antivírus ako známe. To zahŕňa oboje systémové programy Windows a cudzie programy s digitálnym podpisom.

Všetky ostatné programy sú označené čiernou farbou. To neznamená, že takéto programy sú vírusy alebo niečo podobné, len že nie všetky programy sú digitálne podpísané.

Nezabudnite roztiahnuť prvý stĺpec širšie, aby ste videli názov programu. Zvyčajným zrušením začiarknutia dočasne zakážete automatické spustenie programu (môžete ho znova zaškrtnúť), výberom položky a stlačením tlačidla s čiernym krížikom sa záznam navždy vymaže (alebo kým sa program sám nezapíše do automatického spustenia).

Vzniká otázka: ako určiť, čo možno zakázať a čo nie? Sú dve riešenia:

Po prvé, existuje zdravý rozum: podľa názvu súboru .exe programu sa môžete rozhodnúť. Napríklad Skype vytvorí záznam počas inštalácie, ktorý sa automaticky spustí pri zapnutí počítača. Ak ho nepotrebujete, zrušte začiarknutie políčka končiace na skype.exe. Mimochodom, veľa programov (vrátane Skype) sa môže samo odstrániť zo spustenia, stačí zrušiť začiarknutie príslušnej položky v nastaveniach samotného programu.

Po druhé, informácie o programe môžete vyhľadať na internete. Na základe prijatých informácií zostáva rozhodnúť, či ho odstrániť z autorun alebo nie. AVZ uľahčuje vyhľadávanie informácií o bodoch: stačí kliknúť pravým tlačidlom myši na položku a vybrať svoj obľúbený vyhľadávač:

Vypnutím nepotrebných programov citeľne urýchlite štart počítača. Je však nežiaduce zakázať všetko v rade - je to spojené so skutočnosťou, že stratíte indikátor rozloženia, deaktivujete antivírus atď.

Zakážte iba tie programy, ktoré určite poznáte - nepotrebujete ich v automatickom spustení.

Výsledok

V podstate to, o čom som písal v článku, je podobné zatĺkaniu klincov mikroskopom - Program AVZ je vhodný na optimalizáciu systému Windows, ale vo všeobecnosti je to komplexný a výkonný nástroj vhodný na výkon rôzne úlohy. Aby ste však mohli naplno využívať AVZ, musíte dôkladne poznať Windows, takže môžete začať v malom – konkrétne tým, čo som opísal vyššie.

Ak máte nejaké otázky alebo pripomienky - pod článkami je blok komentárov, kde mi môžete napísať. Sledujem komentáre a pokúsim sa vám odpovedať čo najskôr.

Súvisiace príspevky:

Páči sa mi to

Páči sa mi to

    Budeme hovoriť o najjednoduchších spôsoboch neutralizácie vírusov, najmä o blokovaní pracovnej plochy Používateľ systému Windows 7 (rodina vírusov Trojan.Winlock). Takéto vírusy sa líšia v tom, že neskrývajú svoju prítomnosť v systéme, ale naopak ju demonštrujú, čím je čo najviac sťažené vykonávanie akýchkoľvek akcií, s výnimkou zadania špeciálneho „kódu na odomknutie“, pre ktorý údajne je potrebné previesť určitú sumu útočníkom zaslaním SMS alebo doplnením účtu mobilného telefónu cez platobný terminál. Cieľ je tu len jeden – prinútiť používateľa zaplatiť a niekedy aj celkom slušné peniaze. Na obrazovke sa zobrazí okno s hrozným varovaním o zablokovaní počítača na používanie nelicencovaného počítača softvér alebo navštevovať nechcené stránky a podobne, zvyčajne na vystrašenie používateľa. Okrem toho vám vírus neumožňuje vykonávať žiadne akcie v pracovnom prostredí Windows - blokuje stlačenie špeciálnych kombinácií kláves na vyvolanie ponuky tlačidla Štart, príkazu Spustiť, správcu úloh atď. Ukazovateľ myši nemožno presunúť mimo vírusové okno. Pri načítavaní systému Windows sa spravidla pozoruje rovnaký obrázok bezpečnostný mód. Situácia sa zdá byť beznádejná, najmä ak neexistuje žiadny iný počítač, možnosť zaviesť systém do iného operačného systému alebo s vymeniteľné médiá(LIVE CD, veliteľ ERD, vírusový skener). Vo veľkej väčšine prípadov však existuje východisko.

    Nové technológie implementované v systéme Windows Vista / Windows 7 značne sťažili infiltráciu škodlivého softvéru a jeho úplnú kontrolu nad systémom a tiež poskytujú používateľom ďalšie možnosti, ako sa ho pomerne jednoducho zbaviť, a to aj bez antivírusového softvéru (softvér ). Hovoríme o možnosti spustiť systém v núdzovom režime s podporou príkazového riadku a spustiť z neho softvérové ​​nástroje kontrolu a obnovu. Je zrejmé, že zo zvyku, vzhľadom na dosť slabú implementáciu tohto režimu v predchádzajúcich verziách rodiny operačných systémov Windows, ho mnohí používatelia jednoducho nepoužívajú. Ale márne. IN príkazový riadok Windows 7 nemá známu pracovnú plochu (ktorá môže byť zablokovaná vírusom), ale je možné spustiť väčšinu programov - editor registra, správca úloh, nástroj na obnovenie systému atď.

Odstránenie vírusu vrátením systému späť do bodu obnovenia

    Vírus je pravidelný program, a aj keď sa nachádza na pevnom disku počítača, ale nemá možnosť automatického spustenia pri štarte systému a registrácii používateľa, potom je rovnako neškodný ako napríklad bežný textový súbor. Ak je problém blokovania automatického spustenia škodlivého programu vyriešený, možno úlohu zbaviť sa škodlivého softvéru považovať za dokončenú. Hlavný spôsob automatického spustenia, ktorý používajú vírusy, je prostredníctvom špeciálne vytvorených položiek registra, ktoré sa vytvoria pri ich vložení do systému. Ak tieto záznamy vymažete, vírus možno považovať za neutralizovaný. Najjednoduchším spôsobom je vykonať obnovenie systému z kontrolného bodu. Kontrolný bod je kópia dôležitých systémových súborov uložených v špeciálnom adresári („System informácie o objeme") a obsahuje okrem iného kópie súborov systémový register Windows. Vykonanie návratu systému do bodu obnovenia, ktorého dátum vytvorenia predchádza vírusovej infekcii, umožňuje získať stav systémového registra bez záznamov zavedeného vírusu a tým vylúčiť jeho automatické spustenie, t. zbaviť sa infekcie aj bez použitia antivírusového softvéru. Týmto spôsobom sa môžete jednoducho a rýchlo zbaviť infekcie systému väčšinou vírusov, vrátane tých, ktoré blokujú pracovnú plochu Windows. Prirodzene, blokujúci vírus využívajúci napríklad modifikáciu zavádzacie sektory Pevný disk (vírus MBRLock) nie je možné týmto spôsobom odstrániť, pretože vrátenie systému do bodu obnovenia neovplyvní zavádzacie záznamy diskov a nebude možné spustiť systém Windows v núdzovom režime s podporou príkazového riadka, pretože vírus sa načíta ešte pred zavádzačom systému Windows. Aby ste sa zbavili takejto infekcie, budete musieť zaviesť systém z iného média a obnoviť infikované zavádzacie záznamy. Takýchto vírusov je však relatívne málo a vo väčšine prípadov sa môžete infekcie zbaviť vrátením systému späť do bodu obnovenia.

1. Na úplnom začiatku sťahovania stlačte tlačidlo F8. Na obrazovke sa zobrazí ponuka zavádzača systému Windows s možnými možnosťami spustenia systému

2. Vyberte možnosť Spustenie systému Windows- "Núdzový režim s podporou príkazového riadka"

Po dokončení sťahovania a registrácii používateľa sa namiesto bežnej pracovnej plochy systému Windows zobrazí okno shellu cmd.exe

3. Spustite nástroj Obnovovanie systému, ktorý musíte zadať do príkazového riadka rstrui.exe a stlačte ENTER.

Prepnite režim na „Vybrať iný bod obnovenia“ a v ďalšom okne začiarknite políčko „Zobraziť ďalšie body obnovenia“

Po výbere bodu obnovenia systému Windows si môžete zobraziť zoznam ovplyvnených programov, keď vrátite systém späť:

Zoznam ovplyvnených programov je zoznam programov, ktoré boli nainštalované po vytvorení bodu obnovenia systému a ktoré možno bude potrebné preinštalovať, pretože v registri nebudú priradené žiadne položky.

Po kliknutí na tlačidlo „Dokončiť“ sa spustí proces obnovy systému. Po dokončení sa systém Windows reštartuje.

Po reštarte sa na obrazovke zobrazí hlásenie o úspešnom alebo neúspešnom vrátení a v prípade úspechu sa systém Windows vráti do stavu, ktorý zodpovedal dátumu vytvorenia bodu obnovenia. Ak sa uzamknutie pracovnej plochy nezastaví, môžete použiť pokročilejšiu metódu uvedenú nižšie.

Odstránenie vírusu bez vrátenia systému do bodu obnovenia

    Je možné, že údaje bodu obnovy v systéme z rôznych dôvodov chýbajú, proces obnovy sa skončil chybou alebo vrátenie neprinieslo pozitívny výsledok. V tomto prípade môžete použiť diagnostickú pomôcku System Configuration MSCONFIG.EXE. Rovnako ako v predchádzajúcom prípade musíte spustiť systém Windows v núdzovom režime s podporou príkazového riadka a v okne tlmočníka príkazového riadku cmd.exe vytočiť msconfig.exe a stlačte ENTER

Na karte Všeobecné môžete vybrať nasledujúce režimy Spustenie systému Windows:

Normálne spustenie - bežné bootovanie systémov.
Diagnostický chod- pri štarte systému sa spustí len minimum nevyhnutných systémových služieb a užívateľských programov.
Selektívne spustenie- umožňuje manuálne nastaviť zoznam systémových služieb a používateľských programov, ktoré sa spustia počas procesu zavádzania.

Na odstránenie vírusu je najjednoduchšie použiť diagnostické spustenie, keď obslužný program sám určí sadu automaticky spúšťaných programov. Ak v tomto režime vírus prestane blokovať pracovnú plochu, musíte prejsť na ďalší krok - určiť, ktorý z programov je vírus. Na tento účel môžete použiť režim selektívneho spustenia, ktorý vám umožňuje zapnúť alebo vypnúť spustenie. jednotlivé programy v manuálnom režime.

Karta „Služby“ umožňuje povoliť alebo zakázať spúšťanie systémových služieb, v nastaveniach ktorých je typ spustenia nastavený na „Automaticky“. Nezačiarknuté políčko pred názvom služby znamená, že sa nespustí počas procesu zavádzania systému. V spodnej časti okna pomôcky MSCONFIG sa nachádza políčko na nastavenie režimu „Nezobrazovať služby Microsoftu“, po povolení sa zobrazia iba služby tretích strán.

Podotýkam, že pravdepodobnosť infikovania systému vírusom, ktorý je nainštalovaný ako systémová služba, so štandardnými nastaveniami zabezpečenia v Prostredie Windows Vista / Windows 7 je veľmi malý a budete musieť hľadať stopy vírusu v zozname automaticky spúšťaných používateľských programov (záložka "Spustenie").

Rovnako ako na karte Služby môžete povoliť alebo zakázať automatické spustenie akéhokoľvek programu, ktorý sa zobrazí v zozname zobrazenom v programe MSCONFIG. Ak je vírus v systéme aktivovaný automatickým spustením pomocou špeciálnych kľúčov databázy Registry alebo obsahu priečinka Po spustení, pomocou msconfig ho môžete nielen neutralizovať, ale aj určiť cestu a názov infikovaného súboru.

Pomôcka msconfig je jednoduchý a pohodlný nástroj na konfiguráciu automatického spúšťania služieb a aplikácií, ktoré sa spúšťajú štandardným spôsobom pre operačné systémy rodiny Windows. Nie je však nezvyčajné, že autori vírusov používajú triky, ktoré umožňujú spustenie malvéru bez použitia štandardných bodov autorun. S najväčšou pravdepodobnosťou sa takého vírusu môžete zbaviť pomocou metódy opísanej vyššie na vrátenie systému do bodu obnovenia. Ak vrátenie nie je možné a použitie msconfig neviedlo k pozitívny výsledok, môžete použiť priamu úpravu registra.

    V procese boja s vírusom nie je nezvyčajné, že používateľ vykoná tvrdý reset resetovaním (Reset) alebo vypnutím napájania. To môže viesť k situácii, keď sa systém normálne spustí, ale nedosiahne registráciu používateľa. Počítač "visí" v dôsledku porušenia logickej štruktúry údajov v niektorých systémových súboroch, ku ktorému dochádza pri nesprávnom vypnutí práce. Ak chcete problém vyriešiť, rovnakým spôsobom ako v predchádzajúcich prípadoch, môžete zaviesť systém do núdzového režimu s podporou príkazového riadka a spustiť príkaz na kontrolu systémového disku

chkdsk C: /F- skontrolujte disk C: s opravou zistených chýb (prepínač /F)

Keďže v čase spustenia chkdsk je systémový disk obsadený systémovými službami a aplikáciami, program chkdsk nemôže k nemu získať výhradný prístup na vykonanie testovania. Používateľovi sa preto pri ďalšom reštarte systému zobrazí varovné hlásenie a žiadosť o vykonanie testu. Po odpovedi Y informácie sa zadajú do registra, aby sa zabezpečilo spustenie kontroly disku pri reštartovaní systému Windows. Po dokončení overenia sa tieto informácie vymažú a vykoná sa bežný reštart systému Windows bez zásahu používateľa.

Eliminujte možnosť spustenia vírusu pomocou editora registra.

    Ak chcete spustiť editor databázy Registry, ako v predchádzajúcom prípade, musíte spustiť systém Windows v núdzovom režime s podporou príkazového riadka, v okne tlmočníka príkazového riadka zadajte regedit.exe a stlačte ENTER    Windows 7 so štandardnými nastaveniami zabezpečenia systému je chránený pred mnohými spôsobmi spúšťania škodlivého softvéru predchádzajúce verzie operačné systémy od spoločnosti Microsoft. Inštalácia ich ovládačov a služieb vírusmi, rekonfigurácia služby WINLOGON s pripojením vlastných spustiteľných modulov, oprava kľúčov registrov súvisiacich so všetkými používateľmi atď. - všetky tieto metódy buď nefungujú v prostredí Windows 7 alebo vyžadujú tak závažné mzdové náklady, ktoré prakticky nespĺňajú. Zmeny v registri, ktoré umožňujú spustenie vírusu, sa zvyčajne vykonávajú iba v kontexte povolení, ktoré existujú pre aktuálneho používateľa, t.j. v sekcii HKEY_CURRENT_USER

Aby ste demonštrovali najjednoduchší mechanizmus uzamykania pracovnej plochy pomocou náhrady používateľského prostredia (shell) a nemožnosť použitia pomôcky MSCONFIG na detekciu a odstránenie vírusu, môžete vykonať nasledujúci experiment - namiesto vírusu môžete nezávisle opraviť údaje registra, aby ste napríklad namiesto pracovnej plochy získali príkazový riadok. Vytvorí sa známa pracovná plocha Prieskumník systému Windows(program Explorer.exe) spustiť ako používateľský shell. Poskytujú to hodnoty parametrov Shell v kľúčoch registra

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon- pre všetkých používateľov.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon- pre aktuálneho používateľa.

Parameter Shell je reťazec s názvom programu, ktorý sa použije ako shell, keď sa používateľ prihlási do systému. V kľúči pre aktuálneho používateľa (HKEY_CURRENT_USER alebo skrátene HKCU) zvyčajne nie je žiadny parameter Shell a použije sa hodnota z kľúča databázy Registry pre všetkých používateľov (HKEY_LOCAL_MACHINE\ alebo skrátene HKLM).

Takto vyzerá kľúč databázy Registry HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogonštandardne Inštalácia systému Windows 7

Ak do tejto sekcie pridáte parameter Shell string, ktorý nadobúda hodnotu „cmd.exe“, potom pri ďalšom prihlásení aktuálneho používateľa do systému namiesto štandardného používateľského prostredia založeného na Prieskumníkovi bude shell cmd.exe sa spustí a namiesto obvyklej pracovnej plochy systému Windows sa zobrazí okno príkazového riadka.

Prirodzene, týmto spôsobom je možné spustiť akýkoľvek škodlivý program a používateľ dostane namiesto pracovnej plochy porno banner, blokovač a iné svinstvo.
Vykonanie zmien v kľúči pre všetkých používateľov (HKLM...) vyžaduje oprávnenia správcu, takže vírusové programy zvyčajne upravujú nastavenia kľúča databázy Registry aktuálneho používateľa (HKCU ...)

Ak v pokračovaní experimentu spustite obslužný program msconfig, potom sa môžete uistiť, že v zoznamoch automaticky spustených programov cmd.exe chýba ako používateľský shell. Vrátenie systému vám, samozrejme, umožní vrátiť pôvodný stav registra a zbaviť sa automatického spustenia vírusu, ale ak to z nejakého dôvodu nie je možné, zostáva priama úprava Registrovať. Ak sa chcete vrátiť na štandardnú pracovnú plochu, stačí odstrániť parameter Shell alebo zmeňte jeho hodnotu z „cmd.exe“ na „explorer.exe“ a vykonajte opätovnú registráciu používateľa (odhláste sa a znova sa prihláste) alebo reštartujte. Registry môžete upraviť spustením editora registra z príkazového riadka regedit.exe alebo použite pomôcku konzoly REG.EXE. Príklad príkazového riadka na odstránenie možnosti Shell:

REG odstrániť "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Vyššie uvedený príklad zmeny používateľského shellu je zďaleka jedným z najbežnejších trikov, ktoré používajú vírusy v prostredí operačného systému Windows 7. Pomerne vysoká úroveň zabezpečenia so štandardnými systémovými nastaveniami neumožňuje malvéru pristupovať ku kľúčom databázy Registry, ktoré boli použité na infikovanie v systéme Windows XP a starších verziách. Aj keď je aktuálny používateľ členom skupiny Administrators, prístup k veľkej väčšine nastavení databázy Registry používaných na infekciu vyžaduje spustenie programu ako správcu. Práve z tohto dôvodu malvér upravuje kľúče registrov, ku ktorým má povolený prístup aktuálny používateľ (časť HKCU . . .). Druhým dôležitým faktorom je náročnosť zápisu programových súborov do systémových adresárov. Práve z tohto dôvodu väčšina vírusov v prostredí Windows 7 využíva spúšťanie spustiteľné súbory(.exe) z adresára dočasných súborov (Temp) aktuálneho používateľa. Pri analýze bodov automatického spúšťania programov v registri musíte v prvom rade venovať pozornosť programom umiestneným v adresári dočasných súborov. Zvyčajne ide o adresár C:\USERS\username\AppData\Local\Temp. Presnú cestu k adresáru dočasných súborov je možné zobraziť cez ovládací panel vo vlastnostiach systému - " Premenné prostredia". Alebo na príkazovom riadku:

nastavená teplota
alebo
echo %temp%

Okrem toho je možné ako dodatočný nástroj na detekciu vírusov použiť vyhľadávanie v registri pre reťazec zodpovedajúci názvu adresára pre dočasné súbory alebo premennú %TEMP%. Legálne programy nikdy sa automaticky nespúšťa z adresára TEMP.

Na získanie úplný zoznam možné body automatické spustenie vhodné na použitie špeciálneho programu autoruns z balíka SysinternalsSuite.

Najjednoduchší spôsob, ako odstrániť blokátory z rodiny MBRLock

Škodlivé programy môžu získať kontrolu nad počítačom nielen infikovaním operačného systému, ale aj úpravou položiek spúšťacieho sektora disku, z ktorého sa spúšťa. Vírus nahradí údaje zavádzacieho sektora aktívneho oddielu svojim programovým kódom, takže namiesto Windowsu sa načíta jednoduchý program, ktorý zobrazí ransomvérovú správu požadujúcu peniaze pre podvodníkov. Keďže vírus preberá kontrolu ešte pred zavedením systému, existuje len jeden spôsob, ako ho obísť - bootovať z iného média (CD / DVD, externý disk atď.) v akomkoľvek operačnom systéme, kde je možné obnoviť programový kód zavádzacie sektory. Najjednoduchším spôsobom je použiť Live CD / Live USB, ktoré používateľom zvyčajne bezplatne poskytuje väčšina antivírusových spoločností (Dr web naživo CD, Kaspersky Rescue Disk, Avast! Záchranný disk atď.) Okrem obnovy zavádzacích sektorov môžu tieto produkty tiež skenovať systém súborov na prítomnosť škodlivého softvéru a odstraňovať alebo dezinfikovať infikované súbory. Ak nie je možné použiť túto metódu, potom si vystačíte s jednoduchým stiahnutím ľubovoľného Verzie systému Windows PE ( inštalačný disk, ERD Commander Rescue Disk), ktorý vám umožňuje obnoviť normálne bootovanie systémov. Zvyčajne stačí aj jednoduchá možnosť prístupu k príkazovému riadku a vykonaniu príkazu:

bootsect /nt60 /mbr písmeno systémovej jednotky:

bootsect /nt60 /mbr E:>- obnoviť zavádzacie sektory jednotky E: Toto by malo obsahovať písmeno jednotky, ktorá sa používa ako spúšťacie zariadenie pre systém poškodený vírusom.

Alebo pre Windows starší ako Windows Vista

bootsect /nt52 /mbr písmeno systémovej jednotky:

Utility bootsect.exe môže byť umiestnený nielen v systémových adresároch, ale aj na akomkoľvek vymeniteľnom médiu, môže byť spustený pod akýmkoľvek operačným systémom rodiny Windows a umožňuje vám obnoviť programový kód zavádzacích sektorov bez ovplyvnenia tabuľky oddielov a systém súborov. Prepínač /mbr zvyčajne nie je potrebný, pretože obnovuje programový kód hlavného zavádzania Záznamy MBR, ktoré vírusy neupravujú (možno - zatiaľ neupravujú).

Šifrovacie vírusy a nové problémy pri ukladaní užívateľských dát.

Okrem blokovania počítača používajú ransomvérové ​​vírusy aj šifrovanie vlastné súbory, ktorej strata môže mať vážne následky a za obnovu ktorej je obeť ochotná zaplatiť. Takéto šifrovacie vírusy spravidla používajú seriózne technológie na šifrovanie údajov, ktoré znemožňujú obnovenie informácií bez šifrovacích kľúčov, ktoré útočníci ponúkajú kúpiť za pomerne nízke náklady. veľké sumy. Je pravda, že neexistujú žiadne záruky. A tu má obeť niekoľko možností – zabudnúť na svoje údaje navždy, zaplatiť vydieračom bez záruky vymáhania alebo kontaktovať odborníkov na obnovu. Údaje môžete obnoviť sami, ak máte dostatok vedomostí a zručností, alebo strata údajov nie je taká významná, ak zlyháte. Úplná obnova všetkého a všetkého nebude fungovať, ale s trochou šťastia je možné vrátiť významnú časť informácií. Niektoré príklady:

Obnova dát z tieňových kópií zväzkov - o tieňových kópiách a možnosti obnovy súborov z tieňových kópií zväzkov.

Recuva – pomocou bezplatného softvéru Recuva od Piriform na obnovu odstránené súbory a súbory z tieňových kópií zväzku.

S príchodom ransomvérových vírusov novej generácie sa problém ochrany používateľských dát stal oveľa naliehavejším. Vírusy nielenže šifrujú dokumenty, archívy, fotografie, videá a ďalšie súbory, ale robia všetko pre to, aby zabránili aspoň čiastočnej obnove dát zo strany používateľa postihnutého infekciou. Vírusy ransomware sa napríklad pokúšajú pomocou príkazu odstrániť tieňové kópie zväzkov vssadmin, ktorá, keď je vypnutá kontrola používateľských účtov (UAC), prebieha neviditeľne a zaručene povedie k nemožnosti obnovenia predchádzajúce kópie súborov alebo pomocou softvéru, ktorý vám umožňuje extrahovať údaje z tieňových kópií (Recuva, štandard Nástroje systému Windows atď.). Vzhľadom na použitie silných šifrovacích algoritmov sa obnova zašifrovaných údajov, dokonca aj čiastočných, stáva veľmi náročnou úlohou, ktorú môžu vykonať iba profesionáli v tejto oblasti. Dnes je snáď jediný spôsob, ako sa ochrániť pred úplnou stratou dát, použiť automatické zálohovanie s kópiami uloženými na mieste neprístupnom pre vírusy alebo použiť softvér stroja času, ktorý vám umožní vytvárať okamžité kópie súborového systému (snímky) a vrátiť ich späť. obsahu v akomkoľvek danom čase. Takýto softvér nepoužíva štandardný súborový systém, má vlastný bootloader a nástroje na správu, ktoré fungujú offline, bez potreby zavádzania systému Windows, čo bráni škodlivému softvéru úplne prevziať kontrolu nad nástrojmi na opravu systému súborov. Okrem toho tento softvér nemá takmer žiadny vplyv na výkon systému Windows. Niektoré príklady takéhoto softvéru sú komerčné produkty Horizon DataSys a zadarmo Comodo Time Machine A Vrátiť späť RX domov

Comodo Time Machine – Samostatný článok o Comodo Time Machine a odkazoch na stiahnutie bezplatnej verzie.

Rollback Rx Home – Samostatný článok o Rollback Rx Home Edition od Horizon DataSys a odkazy na stiahnutie bezplatnej verzie.

Vynikajúci program na odstránenie vírusov a obnovu systému je AVZ (Zaitsev's Antivirus). AVZ si môžete stiahnuť kliknutím na oranžové tlačidlo po vygenerovaní odkazov.A ak vírus blokuje sťahovanie, skúste stiahnuť celý antivírusový balík!

Hlavnými funkciami AVZ sú detekcia a odstránenie vírusov.

Antivírusový nástroj AVZ je určený na detekciu a odstránenie:

• SpyWare a Adware moduly- to je hlavný účel pomôcky
• Dialer (Trojan.Dialer)
• trójske kone
• Moduly BackDoor
• Sieťové a poštové červy
• TrojanSpy, TrojanDownloader, TrojanDropper

Nástroj je priamym analógom programov TrojanHunter a LavaSoft Ad-aware 6. Primárnou úlohou programu je odstrániť SpyWare a trójske kone.

Funkcie pomôcky AVZ (okrem typického skenera podpisov) sú:

• Heuristická kontrola firmvéru systému. Firmvér vyhľadáva známy SpyWare a vírusy podľa nepriamych znakov – na základe analýzy registra, súborov na disku a v pamäti.
• Aktualizovaná databáza bezpečných súborov. Zahŕňa digitálne podpisy desiatok tisíc systémových súborov a súborov známych bezpečných procesov. Základňa je spojená so všetkými Systémy AVZ a funguje na princípe "priateľ / nepriateľ" - bezpečné súbory nie sú v karanténe, blokuje sa im mazanie a varovania, databázu používa anti-rootkit, systém vyhľadávania súborov a rôzne analyzátory. Predovšetkým vstavaný správca procesov farebne zvýrazňuje bezpečné procesy a služby, vyhľadávanie súborov na disku dokáže vylúčiť z vyhľadávania známe súbory (čo je veľmi užitočné pri vyhľadávaní trójskych koní na disku);
• Vstavaný systém detekcie rootkitov. Hľadanie RootKitu prebieha bez použitia podpisov na základe štúdia základných systémových knižníc s cieľom zachytiť ich funkcie. AVZ dokáže nielen detekovať RootKit, ale aj správne blokovať činnosť UserMode RootKit pre jeho proces a KernelMode RootKit na systémovej úrovni. Protiopatrenia RootKit sa vzťahujú na všetky funkcie služby AVZ, výsledkom čoho je, že skener AVZ dokáže odhaliť maskované procesy, systém vyhľadávania registrov „vidí“ maskované kľúče atď. Anti-rootkit je vybavený analyzátorom, ktorý deteguje procesy a služby maskované RootKit. Podľa môjho názoru je jednou z hlavných vlastností protiopatrenia RootKit jeho výkon vo Win9X (rozšírený názor o absencii RootKitov bežiacich na platforme Win9X je hlboko mylný - sú známe stovky trójskych koní, ktoré zachytávajú funkcie API, aby maskovali svoju prítomnosť , skresľovať fungovanie funkcií API alebo monitorovať ich používanie). Ďalšou funkciou je univerzálny systém detekcie a blokovania KernelMode RootKit, ktorý funguje pod Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
• Keylogger a Trojan DLL detektor. Vyhľadávanie Keylogger a Trojan DLL je založené na systémovej analýze bez použitia databázy podpisov, čo umožňuje spoľahlivo odhaliť predtým neznáme Trojan DLL a Keyloggery;
• Neuroanalyzátor. Okrem analyzátora podpisov obsahuje AVZ neuroemulátor, ktorý vám umožňuje analyzovať podozrivé súbory pomocou neurónovej siete. V súčasnosti sa v keyloggerovom detektore používa neurónová sieť.
• Vstavaný analyzátor nastavení Winsock SPI/LSP. Umožňuje analyzovať nastavenia, diagnostikovať možné chyby v nastavení a vykonajte automatické ošetrenie. Možnosť automatickej diagnostiky a liečby je užitočná pre začínajúcich používateľov (v utilitách ako LSPFix nie je automatická liečba). Na manuálne štúdium SPI/LSP má program špeciálny správca nastavení LSP/SPI. Činnosť analyzátora Winsock SPI/LSP je ovplyvnená anti-rootkit;
• Zabudovaný manažér procesov, služieb a ovládačov. Navrhnuté na štúdium bežiacich procesov a načítaných knižníc, spustených služieb a ovládačov. Činnosť správcu procesov je ovplyvnená anti-rootkitom (v dôsledku toho „vidí“ procesy maskované rootkitom). Správca procesov je prepojený s databázou bezpečných súborov AVZ, rozpoznané bezpečné a systémové súbory sú farebne zvýraznené;
• Vstavaný nástroj na vyhľadávanie súborov na disku. Umožňuje vyhľadávať súbor podľa rôznych kritérií, možnosti vyhľadávacieho systému sú lepšie ako možnosti systémového vyhľadávania. Činnosť vyhľadávacieho systému je ovplyvnená anti-rootkitom (v dôsledku toho vyhľadávanie „vidí“ súbory maskované rootkitom a môže ich zmazať), filter umožňuje vylúčiť z výsledkov vyhľadávania súbory identifikované AVZ ako bezpečné. Výsledky vyhľadávania sú dostupné ako textový denník a ako tabuľka, kde môžete označiť skupinu súborov na neskoršie odstránenie alebo karanténu
• Vstavaný nástroj na vyhľadávanie údajov v registri. Umožňuje vyhľadávať kľúče a parametre podľa daného vzoru, výsledky vyhľadávania sú dostupné vo forme textového protokolu a vo forme tabuľky, v ktorej je možné označiť viacero kľúčov na export alebo vymazanie. Činnosť vyhľadávacieho systému je ovplyvnená anti-rootkitom (v dôsledku toho vyhľadávanie „vidí“ kľúče registra maskované rootkitom a môže ich odstrániť)
• Zabudovaný analyzátor otvorených TCP/UDP portov. Ovplyvňuje ho anti-rootkit, vo Windows XP sa pre každý port zobrazuje proces využívajúci port. Analyzátor sa spolieha na aktualizovanú databázu portov známych a známych trójskych koní/programov Backdoor systémové služby. Hľadanie portov trójskych koní je súčasťou hlavného algoritmu kontroly systému – keď sa zistia podozrivé porty, v protokole sa zobrazia varovania, ktoré označujú, ktoré trójske kone majú tendenciu používať tento port
• Vstavaný analyzátor zdieľaných zdrojov, sieťových relácií a súborov otvorených cez sieť. Funguje vo Win9X a Nt/W2K/XP.
• Vstavaný analyzátor Stiahnuté Programové súbory(DPF) - zobrazuje prvky DPF, pripojené ku všetkým systémom AVZ.
• Firmvér na obnovenie systému. Firmvér obnoví nastavenia programu Internet Explorer, možnosti spustenia programu a ďalšie systémové nastavenia poškodené škodlivým softvérom. Obnova sa spustí manuálne, parametre, ktoré sa majú obnoviť, určuje používateľ.
• Heuristické vymazanie súboru. Jeho podstata spočíva v tom, že ak počas liečby boli odstránené škodlivé súbory a táto možnosť je povolená, potom sa vykoná automatické preskúmanie systému, pokrývajúce triedy, rozšírenia BHO, IE a Explorer, všetky typy autorun dostupné pre AVZ, Winlogon, SPI / LSP atď. Všetky nájdené odkazy na vymazaný súbor sa automaticky vymažú a do protokolu sa zapíšu informácie o tom, čo presne bolo vymazané a kde. Na toto čistenie sa aktívne používa motor mikroprogramového ošetrenia systému;
• Kontrola archívov. Od verzie 3.60 AVZ podporuje kontrolu archívov a zložených súborov. V súčasnosti prebieha kontrola archívov. ZIP formát, RAR, CAB, GZIP, TAR; e-maily a súbory MHT; archívy CHM
• Kontrola a spracovanie streamov NTFS. Kontrola streamov NTFS je súčasťou AVZ od verzie 3.75
• Ovládacie skripty. Umožňuje správcovi napísať skript, ktorý vykoná súbor špecifikovaných operácií na počítači používateľa. Skripty umožňujú používať AVZ v podnikovej sieti vrátane jeho spustenia počas bootovania systému.
• Procesný analyzátor. Analyzátor používa neurónové siete a analytický firmvér, je povolený, keď je zapnutá rozšírená analýza maximálna úroveň heuristiky a je určený na vyhľadávanie podozrivých procesov v pamäti.
• Systém AVZGuard. Navrhnutý na boj proti ťažko odstrániteľnému malvéru, okrem AVZ, dokáže chrániť užívateľom špecifikované aplikácie, ako sú iné antispywarové a antivírusové programy.
• Systém priameho prístupu na disk pre prácu s uzamknutými súbormi. Pracuje na FAT16/FAT32/NTFS, je podporovaný na všetkých operačných systémoch radu NT, umožňuje skeneru analyzovať uzamknuté súbory a umiestniť ich do karantény.
• Proces AVZPM a vodič monitorujúci vodiča. Navrhnuté na sledovanie spustenia a zastavenia procesov a načítavania/vykladania ovládačov na vyhľadávanie maskovacích ovládačov a zisťovanie skreslení v štruktúrach popisujúcich procesy a ovládače vytvorené rootkitmi DKOM.
• Ovládač Boot Cleaner. Navrhnuté na vyčistenie systému (odstránenie súborov, ovládačov a služieb, kľúčov registra) z režimu KernelMode. Operáciu čistenia je možné vykonať v procese reštartovania počítača aj počas liečby.

Obnovenie systémových nastavení.

• Oprava spustenia options.exe .com .pif
• Obnovte nastavenia IE
• Obnovenie nastavení pracovnej plochy
• Odstránenie všetkých používateľských obmedzení
• Odstránenie správy vo Winlogon
• Obnovenie nastavení Prieskumníka súborov
• Odstránenie ladiacich programov systémových procesov
• Obnovenie nastavení spustenia v núdzovom režime
• Odomknite Správcu úloh
• Čistenie hostiteľského súboru
• Oprava nastavení SPI/LSP
• Obnovte nastavenia SPI/LSP a TCP/IP
• Odomknutie editora databázy Registry
• Vymazanie kľúčov MountPoints
• Výmena serverov DNS
• Odstránenie nastavenia proxy servera IE/EDGE
• Odstraňujú sa obmedzenia Google

Programové nástroje:

• Manažér procesov
• Správca servisu a ovládačov
• Moduly priestoru jadra
• Interný správca DLL
• vyhľadávanie v registri
• Vyhľadávanie súborov
• Hľadaj podľa cookie
• Startup Manager
  
• Správca rozšírení prehliadača
• Správca apletov ovládacieho panela (cpl)
• Správca rozšírení Prieskumníka súborov
• Správca rozšírení tlače
• Správca plánovača úloh
• Správca protokolov a manipulátorov
• DPF manažér
• Active Setup Manager
• Winsock SPI Manager
• Správca hostiteľských súborov
• Správca portov TCP/UDP
• Správca sieťových zdieľaní a sieťových pripojení
• Sada systémových nástrojov
• Kontrola súboru oproti databáze bezpečných súborov
• Kontrola súboru podľa katalógu zabezpečenia spoločnosti Microsoft
• Výpočet súčtu MD5 súborov
  

Tu je taká pomerne veľká sada na záchranu vášho počítača pred rôznymi infekciami!

Ak sa na vašom počítači objaví textová správa, ktorá hovorí, že vaše súbory sú zašifrované, neponáhľajte sa s panikou. Aké sú príznaky šifrovania súborov? Zvyčajná prípona sa zmení na *.vault, *.xtbl, * [chránený e-mailom] _XO101 atď. Súbory sa nedajú otvoriť - je potrebný kľúč, ktorý je možné zakúpiť zaslaním listu na adresu uvedenú v správe.

Odkiaľ ste získali zašifrované súbory?

Počítač zachytil vírus, ktorý blokoval prístup k informáciám. Antivírusy ich často preskočia, pretože tento program je zvyčajne založený na nejakom neškodnom bezplatná pomôckašifrovanie. Samotný vírus odstránite dostatočne rýchlo, ale s dešifrovaním informácií môžu nastať vážne problémy.

Technická podpora Kaspersky Lab, Dr.Web a ďalších známych spoločností zapojených do vývoja antivírusového softvéru v reakcii na požiadavky používateľov na dešifrovanie údajov uvádza, že to nie je možné urobiť v primeranom čase. Existuje niekoľko programov, ktoré dokážu zachytiť kód, ale dokážu pracovať iba s predtým študovanými vírusmi. Ak sa stretnete s nová úprava, potom sú šance na obnovenie prístupu k informáciám extrémne malé.

Ako sa ransomvérový vírus dostane do počítača?

V 90% prípadov samotní používatelia aktivujú vírus v počítači otváraním neznámych e-mailov. Potom príde e-mail s provokatívnym predmetom – „Predvolanie na súd“, „Dlh z pôžičky“, „Oznámenie daňového inšpektorátu“ atď. Vo vnútri falošného emailu sa nachádza príloha, po stiahnutí ktorej sa ransomvér dostane do počítača a začne postupne blokovať prístup k súborom.

Šifrovanie neprebehne okamžite, takže používatelia majú čas na odstránenie vírusu skôr, ako sú všetky informácie zašifrované. Škodlivý skript môžete zničiť pomocou čistiacich nástrojov Dr.Web CureIt, Kaspersky Internet Bezpečnosť a Malwarebytes Antimalware.

Spôsoby obnovenia súborov

Ak bola v počítači povolená ochrana systému, potom aj po pôsobení vírusu ransomware existuje možnosť vrátiť súbory do normálneho stavu pomocou tieňové kópie súbory. Ransomware sa ich zvyčajne pokúša odstrániť, ale niekedy sa im to nepodarí pre nedostatok oprávnení správcu.

Obnovenie predchádzajúcej verzie:

Ak chcete zachovať predchádzajúce verzie, musí byť povolená ochrana systému.

Dôležité: Pred objavením sa ransomvéru musí byť povolená ochrana systému, potom už to nepomôže.

1. Otvorte vlastnosti "Počítač".
2. V ponuke vľavo vyberte položku „Ochrana systému“.
   
3. Zvýraznite jednotku C a kliknite na „Konfigurovať“.
4. Vyberte, či chcete obnoviť nastavenia a predchádzajúce verzie súborov. Zmeny použite kliknutím na tlačidlo OK.

Ak ste vykonali tieto opatrenia pred objavením sa vírusu, ktorý šifruje súbory, potom po vyčistení počítača od škodlivého kódu budete mať veľkú šancu obnoviť svoje informácie.

Pomocou špeciálnych nástrojov

Spoločnosť Kaspersky Lab pripravila niekoľko nástrojov, ktoré vám pomôžu otvoriť šifrované súbory po odstránení vírusu. Prvý decryptor, ktorý stojí za vyskúšanie, je Kaspersky RectorDecryptor.

1. Stiahnite si aplikáciu z oficiálnej webovej stránky Kaspersky Lab.
2. Potom spustite obslužný program a kliknite na „Spustiť skenovanie“. Zadajte cestu k akémukoľvek šifrovanému súboru.

Ak malvér nezmenil príponu súborov, na ich dešifrovanie ich musíte zhromaždiť v samostatnom priečinku. Ak je nástrojom RectorDecryptor, stiahnite si ďalšie dva programy z oficiálnej webovej stránky Kaspersky - XoristDecryptor a RakhniDecryptor.

Najnovší nástroj od spoločnosti Kaspersky Lab sa nazýva Ransomware Decryptor. Pomáha dešifrovať súbory po víruse CoinVault, ktorý sa zatiaľ v RuNet veľmi nevyskytuje, ale čoskoro môže nahradiť iné trójske kone.

Ďakujeme za pomoc pri príprave materiálu počítačových majstrov servisné stredisko Launch.RF. Od týchto ľudí si môžete objednať opravu notebookov a netbookov v Moskve.

Do operačného systému sú zavedené škodlivé programy osobný počítač spôsobiť značné škody na celom objeme dát. Na tento moment V čase sa programy proti škodcom vytvárajú na rôzne účely, takže ich činnosť je zameraná na opravu rôznych štruktúr operačného systému osobného počítača.

Bežné a zrejmé dôsledky pre používateľa sú problémy s internetom, poruchy prevádzky zariadení pripojených k počítaču.

Aj keď bol škodca zistený a zničený, nevylučuje to stratu informácií a iné problémy, ktoré vzniknú pri následnej práci. Možnosti môžete uvádzať donekonečna, najčastejšie používateľ nájde úplné alebo čiastočné zablokovanie prístupu na World Wide Web, zlyhanie externých zariadení (myš, flash karta), prázdnu plochu atď.

Uvedené dôsledky sú pozorované v dôsledku zmien, ktoré program škodcov vykonal v systémových súboroch osobného počítača. Takéto zmeny nie sú eliminované elimináciou vírusu, musia sa opraviť nezávisle alebo sa uchýliť k pomoci špecialistov. V skutočnosti si tento druh práce nevyžaduje špeciálne školenie a môže ju vykonávať každý pokročilý používateľ po preštudovaní príslušných pokynov.

V praxi organizácie obnovy operačného systému existuje niekoľko prístupov v závislosti od dôvodov, ktoré viedli k zlyhaniu. Zvážme každú z možností podrobne. Jednoduchým spôsobom dostupným pre každého používateľa je vrátiť operačný systém do bodu obnovenia, keď prevádzka osobného počítača spĺňala požiadavky používateľa. Toto riešenie je však veľmi často nevyhovujúce, prípadne ho z objektívnych príčin nemožno realizovať.

Ako obnoviť operačný systém, ak nie je možné prihlásenie do počítača?

Spúšťa sa obnovenie systému nasledujúcim spôsobom. Ponuka Štart \ Ovládací panel \ Obnovenie systému. Autor: uvedenú adresu vyberte bod obnovenia, ktorý potrebujeme, a spustite proces. Po chvíli sa práca dokončí a počítač je pripravený na normálnu prevádzku. Táto technika je celkom použiteľná na odstránenie určitých typov vírusov, pretože zmeny sa vyskytujú aj na úrovni registra. Táto možnosť obnovenia operačného systému sa považuje za najjednoduchšiu a je súčasťou súboru štandardných nástrojov systému Windows. Podrobné pokyny a pomoc s podrobnými komentármi k procesu vám pomôžu zvládnuť metódu obnovenia zdravia vášho počítača, aj keď sa používateľ ako správca počítača necíti úplne sebaisto.

Ďalšou bežnou možnosťou obnovenia operačného systému je spustenie procedúry z externého média. Táto možnosť je komplikované niektorými bodmi, napríklad potrebujete mať obraz systému na flash karte alebo disku a postarať sa o to, aby ste mali takúto kópiu vopred. Okrem toho je často potrebné mať určité zručnosti pri práci so systémom BIOS. Obraz operačného systému je zapnutý externé médiá — najlepšia možnosť v prípade, že obnovenie nie je možné, pretože vírus zablokoval prístup počítača do systému. Sú aj iné možnosti.

využiť štandardné nástroje Windows obnoviť OS nie je možné, ak napríklad nie je možné prihlásenie alebo existujú iné dôvody, ktoré bránia vykonaniu operácie v štandardnom režime. Situácia sa rieši pomocou nástroja ERD Commander (ERDC).

Ako program funguje, budeme situáciu analyzovať postupne. Prvým krokom je stiahnutie programu. Druhým krokom je spustenie nástroja Syst em Restore Wizard, pomocou ktorého sa OS vráti späť do zadanej polohy obnovenia.

Každý nástroj má spravidla na sklade niekoľko kontrolných bodov a v osemdesiatich percentách prípadov dôjde k úplnému oživeniu výkonu osobného počítača.

Používanie nástrojov AVZ Utility Tools

Nižšie uvedený nástroj nevyžaduje žiadne špeciálne zručnosti a schopnosti používateľa. softvér vyvinutý Olegom Zaitsevom a navrhnutý tak, aby našiel a zničil všetky typy vírusov a malvéru. Pomôcka však okrem hlavnej funkcie obnovuje väčšinu systémových nastavení, ktoré boli napadnuté alebo zmenené škodlivými vírusmi.

Aké problémy môže predložený program vyriešiť? Hlavná vec je obnovenie systémových súborov a nastavení, ktoré boli napadnuté vírusmi. Pomôcka sa vyrovná s poškodenými ovládačmi programu, ktoré sa po obnovení odmietnu spustiť. Keď sa vyskytnú problémy s prácou v prehliadačoch alebo v prípade zablokovania prístupu na internet a mnohých ďalších problémov.

Aktivujeme operáciu obnovenia v File \ System Restore a vyberieme operáciu, ktorá je potrebná. Na obrázku je znázornené rozhranie mikroprogramov, s ktorými obslužný program pracuje, uvedieme popis každého z nich.

Ako vidíte, množinu operácií predstavuje 21 položiek a názov každej z nich vysvetľuje jej účel. Všimnite si, že možnosti programu sú dosť rôznorodé a možno ich zvážiť univerzálne nástroje pri resuscitácii nielen samotného systému, ale aj odstraňovania následkov práce vírusov so systémovými údajmi.

Prvý parameter sa používa, ak následky vírusového útoku a postupy obnovy OS odmietnu pracovať s programami potrebnými pre používateľa. Spravidla sa to stane, ak škodca prenikol do súborov a ovládačov programu a vykonal akékoľvek zmeny v zaznamenaných informáciách.

Druhý parameter je potrebný, keď vírusy vykonali nahradenie domén pri ich zadávaní do vyhľadávača prehliadača. Takáto substitúcia je prvou úrovňou úpravy interakcie medzi systémovými súbormi operačného systému a internetom. Takáto funkcia programu spravidla eliminuje vykonané zmeny bez stopy, bez toho, aby sa ich pokúšala zistiť, ale jednoducho úplným formátovaním celého množstva údajov prefixov a protokolov a ich nahradením štandardnými nastaveniami.

Tretí parameter pokračuje v nastavovaní úvodnej stránky internetového prehliadača. Rovnako ako v predchádzajúcom prípade, program predvolene opravuje problémy internetový prehliadač prieskumník.

Štvrtý parameter opravuje prácu vyhľadávač a súpravy štandardný režim práca. Postup sa opäť týka prehliadača nainštalovaný systém Windows predvolená.

V prípade problému súvisiaceho s fungovaním pracovnej plochy (vzhľad bannerov, obrázkov, cudzích záznamov na nej) sa aktivuje piata položka programu. Takéto dôsledky činnosti škodlivých programov boli pred niekoľkými rokmi veľmi populárne a spôsobili používateľom veľa problémov, ale aj teraz môžu takéto špinavé triky preniknúť do operačného systému PC.

Šiesty bod je potrebný, ak malvér obmedzil akcie používateľa pri vykonávaní množstva príkazov. Tieto obmedzenia môžu byť rôzneho charakteru a keďže nastavenia prístupu sú uložené v registri, škodlivé programy najčastejšie využívajú tieto informácie na úpravu práce používateľa s jeho PC.

Ak sa pri zavádzaní OS zobrazí správa tretej strany, to znamená, že malvér bol schopný infiltrovať možnosti spustenia Windows NT. Obnova OS, ktorá zabila vírus, túto správu neodstráni. Ak ho chcete odstrániť, musíte aktivovať siedmy parameter ponuky obslužného programu AVZ.

Ôsma možnosť ponuky, ako už názov napovedá, obnovuje nastavenia Prieskumníka.

Niekedy sa problém prejavuje vo forme prerušení prevádzky systémových komponentov, napríklad pri spustení operačného systému PC zmizne pracovná plocha. AVZ Utility diagnostikuje tieto štruktúry a vykoná potrebné úpravy pomocou položky deväť v ponuke nástrojov.

Problémy so zavádzaním OS v núdzovom režime rieši bod desať. Je ľahké zistiť potrebu aktivácie tejto položky multiprogramu tu uvažovaného nástroja. Zobrazujú sa pri každom pokuse o vykonanie práce v bezpečnostnom režime.

Ak je správca úloh zablokovaný, musí byť aktivovaná jedenásta položka ponuky. Vírusy v mene správcu vykonajú zmeny v aktivácii tejto časti operačného systému a namiesto pracovného okna sa zobrazí hlásenie, že práca so správcom úloh je zablokovaná.

Pomôcka HijackThis ako jedna zo svojich hlavných funkcií využíva ukladanie zoznamu výnimiek do registra. V prípade vírusu stačí preniknúť do databázy pomôcky a zaregistrovať súbory v zozname registrov. Potom sa môže svojpomocne opraviť neobmedzený počet krát. Čistenie registra pomôcky sa vykonáva aktiváciou dvanástej položky ponuky nastavení AVZ.

Ďalší, trinásty bod, umožňuje vymazať súbor Hosts, tento súbor upravený vírusom môže spôsobovať ťažkosti pri práci so sieťou, blokovať niektoré zdroje a zasahovať do aktualizácie databáz antivírusových programov. Práca s týmto súborom bude podrobnejšie popísaná nižšie. Bohužiaľ, takmer všetky vírusové programy sa snažia tento súbor upravovať, čo je v prvom rade spôsobené jednoduchosťou vykonávania takýchto zmien a dôsledky môžu byť viac než významné a po odstránení vírusov môžu byť informácie zapísané do súboru priama brána k prenikaniu nových škodcov a špiónov do OS.

Ak je prístup na internet zablokovaný, znamená to spravidla chyby v nastaveniach SPI. K ich korekcii dôjde, ak v menu aktivujete položku štrnásť. Je dôležité, aby túto položku nastavenia nebolo možné použiť z relácie terminálu.

Podobné funkcie obsahuje pätnásta položka ponuky, ale jej aktivácia je možná iba pri práci v operačných systémoch ako XP, Windows 2003, Vista. Tento multiprogram môžete použiť, ak pokusy o nápravu situácie so vstupom do siete pomocou predchádzajúceho nastavenia nepriniesli požadovaný výsledok.

Možnosti šestnástej položky ponuky sú zamerané na obnovenie kľúčov systémového registra, ktoré sú zodpovedné za spustenie internetového prehliadača.

Ďalším krokom pri obnove nastavení OS po napadnutí vírusom je odomknutie editora databázy Registry. Spravidla vonkajší prejav - nie je možné stiahnuť program na prácu so sieťou.

Nasledujúce štyri body sa odporúčajú iba v prípade, ak je poškodenie operačného systému také katastrofálne, že v podstate nezáleží na tom, či sa odstránia pomocou takýchto metód, alebo v dôsledku toho budete musieť preinštalovať celý systém.

Osemnásty odsek sa teda obnovuje počiatočné nastavenia S.P.I. Devätnásta položka vymaže register Mount Points /2.

Dvadsiata položka odstráni všetky statické trasy. Nakoniec posledná, dvadsiata prvá položka vymaže všetky pripojenia DNS.

Ako vidíte, prezentované možnosti pomôcky pokrývajú takmer všetky oblasti, do ktorých môže škodlivý program preniknúť a zanechať svoju aktívnu stopu, ktorú nie je také ľahké odhaliť.

Keďže antivírusové aplikácie nezaručujú 100% ochranu operačného systému vášho počítača, odporúčame vám mať takýto program vo svojom arzenáli nástrojov na boj proti počítačovým vírusom všetkých druhov a foriem.

V dôsledku liečby OS PC nefungujú zariadenia, ktoré sú k nemu pripojené.

Jeden z populárnymi spôsobmi maskovaním spywaru je inštalácia vlastného vírusového ovládača okrem skutočného softvéru. V tejto situácii je skutočným ovládačom najčastejšie súbor myši alebo klávesnice. V súlade s tým, po zničení vírusu, jeho stopa zostáva v registri, z tohto dôvodu zariadenie, ku ktorému sa mohol škodca pripojiť, prestane fungovať.

Podobná situácia je pozorovaná pre nesprávna práca počas odinštalovania Kaspersky Anti-Virus. S tým súvisí aj špecifikum inštalácie programu, kedy jeho inštalácia na PC využíva pomocný ovládač klmouflt. V situácii s Kaspersky musí byť tento ovládač nájdený a úplne odstránený zo systému osobného počítača v súlade so všetkými pravidlami.

Ak klávesnica a myš odmietnu fungovať v požadovanom režime, prvým krokom je obnovenie kľúčov databázy Registry.

Klávesnica :
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Control\Class\(4D36E 96B-E325-11CE-BF C1-08002BE10318)
UpperFilters=trieda kbd

myš :
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Control\Class\(4D36E 96F-E325-11CE-BF C1-08002BE10318)
UpperFilters=mou class

Problém nedostupných stránok

Dôsledkom útoku škodlivého softvéru môže byť nedostupnosť určitých zdrojov na internete. A tieto dôsledky sú výsledkom zmien, ktoré sa vírusom podarilo vykonať v systéme. Problém je zistený okamžite alebo po určitom čase, ale ak sa v dôsledku činnosti programov škodcov po určitom čase prejavil, nebude ťažké ho odstrániť.

Existujú dve možnosti blokovania a najbežnejšou je aktualizácia súboru hosts. Druhou možnosťou je vytvoriť nepravdu statické trasy. Aj keď je vírus zabitý, zmeny, ktoré vykonal v týchto nástrojoch, sa neodstránia.

Príslušný dokument sa nachádza v systémovom priečinku na disku C. Jeho adresu a umiestnenie nájdete tu: C:\Windows\System 32\drivers\etc\hosts . Pre rýchle vyhľadávanie zvyčajne použite príkazový riadok z ponuky Štart.

Ak súbor nemožno nájsť pomocou zadaného postupu, môže to znamenať, že:

— vírusový program zmenil svoje umiestnenie v registri;

- spisový dokument má parameter "skrytý".

V druhom prípade zmeníme charakteristiky vyhľadávania. Na adrese: Možnosti priečinka / Zobraziť nájdeme riadok „Zobraziť skryté súbory“ a nastavíme štítok oproti, čím sa rozšíri rozsah vyhľadávania.

Súbor hosts obsahuje informácie o prevode doslovného názvu domény lokality na jej IP adresu, takže malvérové ​​programy doň zapisujú úpravy, ktoré môžu používateľa presmerovať na iné zdroje. Ak sa tak stane, po zadaní adresy požadovanej stránky sa otvorí úplne iná. Ak chcete vrátiť tieto zmeny do pôvodného stavu a opraviť ich, musíte nájsť tento súbor a analyzovať jeho obsah. Dokonca neskúsený používateľ Uvidíte, čo presne vírus opravilo, ale ak to spôsobuje určité ťažkosti, môžete obnoviť predvolené nastavenia, čím sa odstránia všetky zmeny vykonané v súbore.

Pokiaľ ide o opravu ciest, princíp činnosti je rovnaký. V procese interakcie medzi operačným systémom PC a internetom však vždy zostáva prioritou súbor hostiteľov, takže jeho obnovenie stačí na vykonanie práce v štandardnom režime.

Ťažkosti nastanú, ak požadovaný súbor nemožno nájsť, pretože vírus mení svoje umiestnenie systémové priečinky. Potom musíte opraviť kľúč databázy Registry.

HKEY_LOCAL_MACHI NE\SYSTEM\CurrentControlSet\serv ices\Tcpip\Parameters\DataBasePa th

Vírusy patriace do skupiny Win32/Vundo sú pri transformácii súborov hostiteľov inteligentnejšie ako väčšina ich škodlivých bratrancov. Zmení samotný názov súboru a vymaže ho latinské písmeno o a nahradenie znaku písmenom cyriliky. Takýto súbor sa už nepodieľa na prevode doménových mien stránok na IP adresy a aj keď používateľ tento súbor obnoví, výsledok práce zostane rovnaký. Ako nájsť skutočný súbor? Ak existujú pochybnosti, že objekt, ktorý potrebujeme, je skutočný, vykonáme nasledujúci postup. Prvým krokom je aktivácia režimu zobrazenia skrytých súborov. Skúmame katalóg, vyzerá to, že je to znázornené na obrázku.

Tu sú dva identické súbory, no keďže OS neumožňuje použitie rovnakých mien, je zrejmé, že máme dočinenia s falošným dokumentom. Je ľahké určiť, ktorý z nich je správny a ktorý nie. Vírus vytvára objemný súbor s početnými úpravami, takže výsledok jeho zničenia na obrázku predstavuje skrytý súbor s veľkosťou 173 KB.

Ak otvoríte súbor dokumentu, informácie v ňom budú obsahovať nasledujúce riadky:

31.214.145.172 vk.com - reťazec, ktorý môže nahradiť IP adresu stránky

127.0.0.1 avast.com je riadok súboru napísaný vírusom, aby zabránil prístupu na stránku antivírusového programu

Vyššie sme už poznamenali, že blokovať jednotlivé zdroje je možné aj vytvorením nesprávnych trás v smerovacej tabuľke. Ako vyriešiť situáciu, zvážte postupnosť akcií.

Ak súbor hostiteľov neobsahuje škodlivé úpravy a nie je možné pracovať so zdrojom, problém spočíva v tabuľke smerovania. Niekoľko slov o podstate interakcie týchto nástrojov. Ak v súbor hostiteľov je zaregistrovaná správna adaptívna adresa domény, potom dôjde k presmerovaniu na túto adresu na existujúci zdroj. Adresa IP spravidla nepatrí do rozsahu adries lokálnej podsiete, preto k presmerovaniu dochádza cez bránu smerovača, ktorá je určená nastavením internetového pripojenia.

Ak upravíte položky trasy pre konkrétnu adresu IP, automatické pripojenie sa uskutoční na základe tejto položky. Za predpokladu, že takáto trasa neexistuje alebo je brána mimo prevádzky, spojenie zlyhá a zdroj zostane nedostupný. Vírus teda môže vymazať záznam v tabuľke smerovania a zablokovať úplne akúkoľvek stránku.

Trasy vytvorené pre konkrétne lokality zostávajú v databáze registra HKLM. Aktualizácia trasy nastáva, keď je aktivovaný príkaz programu route add alebo keď sú údaje manuálne opravené. Ak neexistujú žiadne statické trasy, sekcia tabuľky je prázdna. Pomocou príkazu route print môžete zobraziť zoznam smerovacích údajov. Vykreslí to takto:

Aktívne trasy:

Vyššie uvedená tabuľka je štandardná pre PC s jednou sieťovou kartou a nastaveniami sieťového pripojenia:

IP adresa 192.168.0.0

maska ​​255.255.255.0

predvolená brána 192.168.0.1

Vyššie uvedený záznam obsahuje IP adresu siete s kódom 192.168.0.0 a masku podsiete s kódom 255.255.255.0. Ak tieto údaje dešifrujete, informácie sú nasledovné. Maska zahŕňa celý rozsah uzlov s ekvivalentnou časťou adresy vyššieho rádu. Podľa metrického systému sú prvé tri bajty masky podsiete 1 vo všetkých operačných systémoch PC (výnimky sú desiatkové, kde je hodnota 255 a hexadecimálne, kde je hodnota 0*FF ). Dolný koniec adresy prijatého hostiteľa je hodnota v rozsahu 1-254.

V súlade s vyššie uvedenými informáciami má najnižšia adresa kódovanie - 192.168.0.0, tento kód je sieťová adresa. Adresa vyššieho rádu, kódovaná 192.168.0.255, je charakterizovaná ako vysielacia adresa. A ak prvý kód vylučuje jeho použitie na výmenu údajov, potom je druhý kód určený len na vykonávanie týchto funkcií. Ich uzly si vymieňajú dátové pakety pomocou trás.

Predstavte si nasledujúcu konfiguráciu:

IP adresa - 192.168.0.0

Maska siete - 255.255.255.0

Brána - 192.168.0.3

Rozhranie - 192.168.0.3

Metrika – 1

Informácie sú logicky dekódované nasledovne: v rozsahu adries od 192.168.0.0 - 192.168.0.255 na výmenu informácií ako brána a rozhranie používame kód internetová karta(192.168.0.3). To všetko znamená, že informácie idú priamo k adresátovi.

Keď podmienka koncovej adresy nezodpovedá danému rozsahu 192.168.0.0-192. 168.0.255, nebude možné preniesť informácie priamo. Serverový protokol odošle údaje do smerovača, ktorý ich prepošle do inej siete. Ak nie sú zadané žiadne statické trasy, predvolená adresa smerovača zostane rovnaká ako adresa brány. Informácie sa odosielajú na túto adresu, potom do siete a po trasách uvedených v tabuľke, kým adresát neprijme paket. Vo všeobecnosti proces prenosu údajov vyzerá takto. Predstavme si ilustráciu záznamov v štandardnej tabuľke smerovača. V príklade je len niekoľko záznamov, ale ich počet môže dosiahnuť desiatky alebo stovky riadkov.

Na základe vzorových údajov popíšeme proces presmerovania na adresy internetového zdroja v. Počas kontaktu s adresami internetových zdrojov umiestnenými v špecifikovanom rozsahu od 74.55.40.0 do 74.55.40.255 sa kód smerovača rovná číslu siete 192.168.0.0, a preto ho nemožno použiť v procese výmeny informačných údajov. IP protokol diagnostikuje adresu (74.55.40.226), ktorá nie je zahrnutá v pakete adries jednotlivej lokálnej siete a odkazuje na predpísané statické trasy.

V situácii, keď táto cesta nie je špecifikovaná, sa informačný paket odošle na identifikačnú adresu brány nastavenú v predvolenom príklade.

Keďže trasa zobrazená v príklade má vysokú prioritu, potrebuje špecifickú bránu, nie štandard, ktorý vyhovuje všetkým. Keďže v tabuľke neexistuje žiadna brána, ktorá by uspokojila požiadavku, server so sieťovou adresou 74.55.40.226 zostane mimo dosahu. A za podmienok predpísaných v príklade s kódom masky podsiete budú zablokované všetky adresy v rozsahu 74.55.40.0 - 74.55.40.255. Práve tento rozsah zahŕňa sieťovú cestu k lokalite antivírusového softvéru nainštalovaného na osobnom počítači, ktorý nebude prijímať potrebné aktualizácie vírusové databázy a nebudú správne fungovať.

Čím viac takýchto údajov v tabuľke trasy, tým veľká kvantita zdroje sú zablokované. V praxi špecialistov vírusové programy vytvorili až štyristo riadkov tohto typu, čím zablokovali prácu asi tisícky sieťových zdrojov. Majiteľov vírusov navyše nezaujíma, že v snahe zakázať konkrétny zdroj vylúčia z možného prístupu desiatky iných stránok. Toto je hlavná chyba bezohľadných programátorov, pretože množstvo nedostupných zdrojov odhaľuje samotnú možnosť zablokovania prenosu dát. Ak sú teda napríklad najobľúbenejšie sociálne siete zahrnuté do okruhu vylúčenia a používateľ nemôže vstúpiť na webovú stránku VKontakte alebo Odnoklassniki, vzniká podozrenie na správna prevádzka PC so sieťou.

Náprava situácie nie je náročná, na tento účel sa používa príkaz route a kláves delete. V tabuľke nájdeme falošné záznamy a odinštalujeme. Malá poznámka, všetky operácie sú uskutočniteľné iba v prípade, ak má používateľ administrátorské práva, ale zmeny trasy môže vírus vykonať aj vtedy, ak prenikne do siete cez účet správcu osobného počítača. Uvádzame príklady takýchto úloh.

route delete 74.55.40.0 - záznam, ktorý vymaže prvú verziu reťazca trasy;

route delete 74.55.74.0 – záznam, ktorý vymaže druhú verziu reťazca trasy.

Počet takýchto liniek by mal byť celkovým počtom falošných trás.

Ak je prístup k postupu jednoduchší, potom je potrebné použiť operáciu presmerovania výstupu. Urobíte to zadaním tlače trasy úlohy > C:\routes.txt. Aktivácia príkazu vytvára situáciu, kedy systémový disk vytvorí sa súborový dokument s názvom routes.txt, ktorý obsahuje tabuľku s údajmi o trase.

Zoznam tabuliek obsahuje kódy znakov DOS. Tieto znaky sú nečitateľné a nemajú pre operáciu žiadny význam. Pridaním úlohy vymazania trasy na začiatok každej trasy odstránime každý nesprávny záznam. Tieto vyzerajú takto:

zmazanie trasy 84.50.0.0

zmazať trasu 84.52.233.0

zmazať trasu 84.53.70.0

vymazanie trasy 84.53.201.0

zmazať trasu 84.54.46.0

Ďalej je potrebné zmeniť príponu súboru, možnosti nahradenia takejto prípony sú cmd alebo bat. Nový súbor spustíte dvojitým kliknutím pravého tlačidla myši. Úlohu si môžete zjednodušiť pomocou obľúbeného správcu súborov FAR, ktorý funguje nasledovne. Volaný redaktor funkčný kláves F 4, melír so špeciálnym označením pravá strana záznamy trasy. Pomocou kombinácie kláves CTRL + F 7 sa všetky medzery automaticky vymenia za znak s prázdnou hodnotou a medzera sa naopak nastaví na počiatočnú pozíciu riadku. Nová kombinácia špecifikovaných kláves nastaví úlohu vymazania trasy na miesto, ktoré potrebujeme.

Ak je v tabuľke údajov veľa falošných trás a ich ručná oprava sa zdá byť zdĺhavý a únavný proces, odporúča sa použiť úlohu trasy spolu s klávesom F.

Tento prepínač odstráni všetky neuzlové trasy a tiež úplne odinštaluje trasy s koncovým bodom a adresou vysielania. Prvý a posledný má digitálny kód 255.255.255.255; druhý 127.0.0.0. Inými slovami, všetky nepravdivé informácie zapísané vírusom do tabuľky budú odinštalované. Zároveň sa však zničia záznamy o statických cestách napísaných samotným používateľom a údaje hlavnej brány, takže bude potrebné ich obnoviť, pretože sieť zostane neprístupná. Alebo sledujte proces čistenia tabuľky údajov a zastavte ho, ak máte v úmysle odstrániť záznam, ktorý potrebujeme.

Na úpravu nastavení routera je možné použiť aj antivírusový program AVZ. Špecifický multiprogram zapojený do tohto procesu je dvadsiatou položkou konfigurácie TCP.

Poslednou možnosťou blokovania prístupu používateľov k IP adresám stránok, ktoré používajú vírusové programy, je použitie spoofingu adresy servera DNS. V tomto prípade sa pripojenie k sieti uskutoční prostredníctvom škodlivého servera. Ale takéto situácie sú dosť zriedkavé.

Po vykonaní všetkých prác je potrebné reštartovať osobný počítač.

Ešte raz ďakujem za pomoc pri príprave materiálu majstrom centra počítačových služieb Zapuskay.RF - http://launch.rf/information/territory/Kolomenskaya/, u ktorých si môžete objednať opravy notebookov a netbookov v Moskve.