Budeme hovoriť o najjednoduchších spôsoboch neutralizácie vírusov, najmä o blokovaní pracovnej plochy Používateľ systému Windows 7 (rodina vírusov Trojan.Winlock). Takéto vírusy sa líšia v tom, že neskrývajú svoju prítomnosť v systéme, ale naopak ju demonštrujú, čím je čo najviac sťažené vykonávanie akýchkoľvek akcií, s výnimkou zadania špeciálneho „kódu na odomknutie“, pre ktorý údajne je potrebné previesť určitú čiastku útočníkom zaslaním SMS alebo dobitím účtu mobilného telefónu platobný terminál. Cieľ je tu len jeden – prinútiť používateľa zaplatiť a niekedy aj celkom slušné peniaze. Zobrazí sa okno s hrozným varovaním o zablokovaní počítača kvôli používaniu nelicencovaného softvéru alebo návšteve nechcených stránok a podobne, zvyčajne na vystrašenie používateľa. Okrem toho vám vírus neumožňuje vykonávať žiadne akcie v pracovnom prostredí Windows - blokuje stlačenie špeciálne kombinácie kláves na vyvolanie ponuky tlačidla Štart, príkazu Spustiť, Správcu úloh atď. Ukazovateľ myši nemožno presunúť mimo vírusové okno. Pri načítavaní systému Windows v núdzovom režime sa spravidla pozoruje rovnaký obrázok. Situácia sa zdá byť beznádejná, najmä ak neexistuje žiadny iný počítač, možnosť zaviesť systém do iného operačného systému alebo s vymeniteľné médiá(LIVE CD, veliteľ ERD, vírusový skener). Vo veľkej väčšine prípadov však existuje východisko.

    Nové technológie implementované v systéme Windows Vista / Windows 7 značne sťažili implementáciu a podriadenie systému plnú kontrolu malvér, a tiež poskytli používateľom ďalšie možnosti, ako sa ich pomerne jednoducho zbaviť, a to aj bez antivírusového softvéru (softvéru). Je to o o možnosti zaviesť systém v núdzovom režime s podporou príkazového riadku a spustiť z neho softvérové ​​nástroje kontrolu a obnovu. Je zrejmé, že zo zvyku, kvôli pomerne zlej implementácii tohto režimu v predchádzajúcich verziách operačných systémov Rodiny Windows, mnohí používatelia ho jednoducho nepoužívajú. Ale márne. V príkaze Linka Windows 7, neexistuje známa pracovná plocha (ktorá môže byť zablokovaná vírusom), ale je možné spustiť väčšinu programov - editor registra, správca úloh, nástroj na obnovenie systému atď.

Odstránenie vírusu vrátením systému späť do bodu obnovenia

    Vírus je pravidelný program, a aj keď sa nachádza na pevnom disku počítača, ale nemá možnosť automatického spustenia pri spustení systému a registrácii používateľa, potom je rovnako neškodný ako napr. textový súbor. Ak vyriešite problém s blokovaním automatický štart malvéru, potom možno považovať úlohu zbaviť sa malvéru za splnenú. Hlavný spôsob automatického spustenia, ktorý používajú vírusy, je prostredníctvom špeciálne vytvorených položiek registra, ktoré sa vytvoria pri ich vložení do systému. Ak tieto záznamy vymažete, vírus možno považovať za neutralizovaný. Najjednoduchším spôsobom je vykonať obnovenie systému z kontrolného bodu. Kontrolný bod je kópia dôležitých systémových súborov uložených v špeciálnom adresári (" Systémová hlasitosť Informácie) a obsahuje okrem iného kópie súborov systémový register Windows. Vykonanie návratu systému do bodu obnovenia, ktorého dátum vytvorenia predchádza vírusová infekcia, umožňuje získať stav systémového registra bez záznamov vykonaných zavlečeným vírusom a tým vylúčiť jeho automatické spustenie, t.j. zbaviť sa infekcie aj bez použitia antivírusového softvéru. Týmto spôsobom sa môžete jednoducho a rýchlo zbaviť systémovej infekcie väčšinou vírusov, vrátane tých, ktoré blokujú pracovnú plochu. Pracovná plocha systému Windows. Prirodzene, blokujúci vírus využívajúci napríklad modifikáciu zavádzacie sektory pevný disk(MBRLock virus) nie je možné týmto spôsobom odstrániť, pretože vrátenie systému do bodu obnovenia neovplyvní zavádzacie záznamy diskov a nebude možné zaviesť systém Windows v núdzovom režime s podporou príkazového riadka, pretože vírus sa načíta ešte predtým bootloader systému Windows. Aby ste sa zbavili takejto infekcie, budete musieť zaviesť systém z iného média a obnoviť infikované zavádzacie záznamy. Takýchto vírusov je však relatívne málo a vo väčšine prípadov sa môžete infekcie zbaviť vrátením systému späť do bodu obnovenia.

1. Na úplnom začiatku sťahovania stlačte tlačidlo F8. Na obrazovke sa zobrazí ponuka zavádzača systému Windows. možné možnosti spustenie systému

2. Vyberte možnosť Spustenie systému Windows- "Núdzový režim s podporou príkazového riadka"

Po dokončení sťahovania a registrácii používateľa sa namiesto bežnej pracovnej plochy systému Windows zobrazí okno shellu cmd.exe

3. Spustite nástroj Obnovovanie systému, ktorý musíte zadať do príkazového riadka rstrui.exe a stlačte ENTER.

Prepnite režim na „Vybrať iný bod obnovenia“ a zapnite ďalšie okno začiarknite políčko „Zobraziť ďalšie body obnovenia“

Po výbere bodu Obnova systému Windows, po vrátení systému si môžete pozrieť zoznam ovplyvnených programov:

Zoznam ovplyvnených programov je zoznam programov, ktoré boli nainštalované po vytvorení bodu obnovenia systému a ktoré možno bude potrebné preinštalovať, pretože v registri nebudú priradené žiadne položky.

Po kliknutí na tlačidlo „Dokončiť“ sa spustí proces obnovy systému. Po dokončení bude reštartujte Windows.

Po reštarte sa na obrazovke zobrazí hlásenie o úspešnom alebo neúspešnom vrátení a v prípade úspechu sa systém Windows vráti do stavu, ktorý zodpovedal dátumu vytvorenia bodu obnovenia. Ak sa uzamknutie pracovnej plochy nezastaví, môžete použiť pokročilejšiu metódu uvedenú nižšie.

Odstránenie vírusu bez vrátenia systému do bodu obnovenia

    rôzne dôvody, údaje bodu obnovenia, procedúra obnovenia zlyhala alebo vrátenie nefungovalo. V tomto prípade môžete použiť diagnostickú pomôcku System Configuration MSCONFIG.EXE. Rovnako ako v predchádzajúcom prípade musíte spustiť systém Windows v núdzovom režime s podporou príkazového riadka a v okne tlmočníka príkazového riadku cmd.exe vytočiť msconfig.exe a stlačte ENTER

Na karte Všeobecné môžete vybrať nasledujúce režimy spúšťania systému Windows:

Normálne spustenie- normálne spustenie systému.
Diagnostický chod- pri štarte systému sa spustí len minimum nevyhnutných systémových služieb a užívateľských programov.
Selektívne spustenie- umožňuje nastaviť manuálny mód zoznam systémových služieb a používateľských programov, ktoré sa spustia počas procesu zavádzania.

Na odstránenie vírusu je najjednoduchšie použiť diagnostické spustenie, keď obslužný program sám určí sadu automaticky spúšťaných programov. Ak v tomto režime vírus prestane blokovať pracovnú plochu, musíte prejsť na ďalší krok - určiť, ktorý z programov je vírus. Na tento účel môžete použiť režim selektívneho spustenia, ktorý vám umožňuje zapnúť alebo vypnúť spustenie. jednotlivé programy v manuálnom režime.

Karta „Služby“ umožňuje povoliť alebo zakázať spúšťanie systémových služieb, v nastaveniach ktorých je typ spustenia nastavený na „Automaticky“. Nezačiarknuté políčko pred názvom služby znamená, že sa nespustí počas procesu zavádzania systému. V spodnej časti okna pomôcky MSCONFIG sa nachádza políčko na nastavenie režimu „Nezobrazovať služby Microsoftu“, po povolení sa zobrazia iba služby tretích strán.

Podotýkam, že pravdepodobnosť infikovania systému vírusom, ktorý je nainštalovaný ako systémová služba, keď predvolené nastavenia bezpečnosť v Prostredie Windows Vista / Windows 7 je veľmi malý a budete musieť hľadať stopy vírusu v zozname automaticky spúšťaných používateľských programov (záložka "Spustenie").

Rovnako ako na karte Služby môžete povoliť alebo zakázať automatické spustenie akéhokoľvek programu, ktorý sa zobrazí v zozname zobrazenom v programe MSCONFIG. Ak je v systéme aktivovaný vírus automatickým spustením pomocou špeciálnych kľúčov databázy Registry alebo obsahu priečinka Po spustení, pomocou msconfig ho môžete nielen neutralizovať, ale aj určiť cestu a názov infikovaného súboru.

Pomôcka msconfig je jednoduchý a pohodlný nástroj na konfiguráciu automatického spúšťania služieb a aplikácií, ktoré sa spúšťajú štandardným spôsobom pre operačné systémy rodiny Windows. Autori vírusov však na spustenie často používajú triky malvér bez použitia štandardných bodov automatického spustenia. S najväčšou pravdepodobnosťou sa takého vírusu môžete zbaviť pomocou metódy opísanej vyššie na vrátenie systému do bodu obnovenia. Ak návrat nie je možný a pomocou msconfig neviedlo k pozitívny výsledok, môžete použiť priamu úpravu registra.

    V procese boja s vírusom nie je nezvyčajné, že používateľ vykoná tvrdý reset resetovaním (Reset) alebo vypnutím napájania. To môže viesť k situácii, keď sa systém normálne spustí, ale nedosiahne registráciu používateľa. Počítač „visí“ z dôvodu porušenia logická štruktúraúdaje v niektorých systémové súbory, ku ktorému dochádza pri nesprávnom vypnutí. Ak chcete problém vyriešiť, rovnakým spôsobom ako v predchádzajúcich prípadoch, môžete zaviesť systém do núdzového režimu s podporou príkazového riadka a spustiť príkaz na kontrolu systémového disku

chkdsk C: /F- skontrolujte disk C: s opravou zistených chýb (prepínač /F)

Pretože momentálne spustiť chkdsk systémový disk zaneprázdnený systémové služby a aplikácie program chkdsk nemôže k nemu získať výhradný prístup na vykonanie testovania. Používateľovi sa preto pri ďalšom reštarte systému zobrazí varovné hlásenie a žiadosť o vykonanie testu. Po odpovedi Y informácie sa zadajú do registra, aby sa zabezpečilo spustenie kontroly disku pri reštartovaní systému Windows. Po dokončení overenia sa tieto informácie vymažú a vykoná sa bežný reštart systému Windows bez zásahu používateľa.

Eliminujte možnosť spustenia vírusu pomocou editora registra.

    Ak chcete spustiť editor databázy Registry, ako v predchádzajúcom prípade, musíte spustiť systém Windows v núdzovom režime s podporou príkazového riadka, v okne tlmočníka príkazového riadka zadajte regedit.exe a stlačte ENTER    Windows 7 so štandardnými nastaveniami zabezpečenia systému je chránený pred mnohými spôsobmi spúšťania škodlivého softvéru predchádzajúce verzie operačné systémy od spoločnosti Microsoft. Inštalácia ich ovládačov a služieb vírusmi, rekonfigurácia služby WINLOGON s pripojením vlastných spustiteľných modulov, oprava kľúčov registrov súvisiacich so všetkými používateľmi atď. - všetky tieto metódy buď nefungujú v prostredí Windows 7 alebo vyžadujú tak závažné mzdové náklady, ktoré prakticky nespĺňajú. Zmeny databázy Registry, ktoré umožňujú spustenie vírusu, sa zvyčajne vykonávajú iba v kontexte povolení, ktoré existujú súčasný užívateľ, t.j. v sekcii HKEY_CURRENT_USER

Aby ste demonštrovali najjednoduchší mechanizmus uzamykania pracovnej plochy pomocou nahradenia používateľského shellu (shell) a nemožnosti použitia pomôcky MSCONFIG na detekciu a odstránenie vírusu, môžete vykonať nasledujúci experiment - namiesto vírusu môžete opraviť údaje registra sami, aby ste napríklad namiesto pracovnej plochy získali príkazový riadok. Vytvorí sa známa pracovná plocha Prieskumník systému Windows(program Explorer.exe) spustiť ako používateľský shell. Poskytujú to hodnoty parametrov Shell v kľúčoch registra

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon- pre všetkých používateľov.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon- pre aktuálneho používateľa.

Parameter Shell je reťazec s názvom programu, ktorý sa použije ako shell, keď sa používateľ prihlási do systému. V kľúči pre aktuálneho používateľa (HKEY_CURRENT_USER alebo skrátene HKCU) zvyčajne nie je žiadny parameter Shell a použije sa hodnota z kľúča databázy Registry pre všetkých používateľov (HKEY_LOCAL_MACHINE\ alebo skrátene HKLM).

Takto vyzerá kľúč databázy Registry HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogonštandardne Inštalácia systému Windows 7

Ak v túto sekciu pridajte parameter Shell string s hodnotou „cmd.exe“, potom pri ďalšom prihlásení aktuálneho používateľa sa namiesto štandardného používateľského prostredia založeného na prieskumníkovi spustí shell cmd.exe a namiesto toho sa zobrazí okno príkazového riadka bežnej pracovnej plochy systému Windows.

Prirodzene, týmto spôsobom je možné spustiť akýkoľvek škodlivý program a používateľ dostane namiesto pracovnej plochy porno banner, blokovač a iné svinstvo.
Vykonanie zmien kľúča pre všetkých používateľov (HKLM...) vyžaduje oprávnenia správcu, takže vírusové programy zvyčajne upravujú nastavenia kľúča databázy Registry aktuálneho používateľa (HKCU ...)

Ak v pokračovaní experimentu spustite obslužný program msconfig, potom sa môžete uistiť, že v zoznamoch automaticky spustených programov cmd.exe chýba ako používateľský shell. Rollback systému vám samozrejme umožní vrátiť sa späť počiatočný stav registra a zbaviť sa automatického spustenia vírusu, no ak je to z nejakého dôvodu nemožné, ostáva jediné priama úprava Registrovať. Ak sa chcete vrátiť na štandardnú pracovnú plochu, stačí odstrániť parameter Shell alebo zmeňte jeho hodnotu z „cmd.exe“ na „explorer.exe“ a vykonajte opätovnú registráciu používateľa (odhláste sa a znova sa prihláste) alebo reštartujte. Registry môžete upraviť spustením editora registra z príkazového riadka regedit.exe alebo použiť konzolový nástroj REG.EXE. Príklad príkazového riadka na odstránenie možnosti Shell:

REG odstrániť "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Vyššie uvedený príklad zmeny používateľského prostredia je zďaleka jedným z najbežnejších trikov, ktoré používajú vírusy v prostredí operačného systému Windows 7. Dosť vysoký stupeň Zabezpečenie pri štandardných systémových nastaveniach zabraňuje malvéru získať prístup ku kľúčom databázy Registry, ktoré boli použité na infikovanie v systéme Windows XP a ďalších skoré verzie. Aj keď je aktuálny používateľ členom skupiny Administrators, prístup k veľkej väčšine nastavení databázy Registry používaných na infekciu vyžaduje spustenie programu ako správcu. Práve z tohto dôvodu malvér upravuje kľúče registra, ku ktorým má povolený prístup aktuálny používateľ (časť HKCU . . .). Druhým dôležitým faktorom je náročnosť zápisu programových súborov do systémových adresárov. Práve z tohto dôvodu väčšina vírusov v prostredí Windows 7 využíva spúšťanie spustiteľné súbory(.exe) z adresára dočasných súborov (Temp) aktuálneho používateľa. Pri analýze bodov automatického spúšťania programov v registri musíte v prvom rade venovať pozornosť programom umiestneným v adresári dočasných súborov. Zvyčajne ide o adresár C:\USERS\username\AppData\Local\Temp. Presnú cestu k adresáru dočasných súborov je možné zobraziť cez ovládací panel vo vlastnostiach systému - " Premenné prostredia". Alebo na príkazovom riadku:

nastavená teplota
alebo
echo %temp%

Okrem toho, vyhľadávanie v registri pre reťazec zodpovedajúci názvu adresára pre dočasné súbory alebo premennú %TEMP% možno použiť ako dodatočné finančné prostriedky na detekciu vírusov. Legálne programy nikdy sa automaticky nespúšťa z adresára TEMP.

Na získanie úplný zoznam možné body automatické spustenie je pohodlné na použitie špeciálny program autoruns z balíka SysinternalsSuite.

Najjednoduchší spôsob, ako odstrániť blokátory z rodiny MBRLock

Škodlivé programy môžu získať kontrolu nad počítačom nielen infikovaním operačného systému, ale aj úpravou položiek spúšťacieho sektora disku, z ktorého sa spúšťa. Vírus vykonáva spoofing údajov zavádzacieho sektora aktívny oddiel s ich programovým kódom tak, že namiesto Windowsu sa načíta jednoduchý program, ktorý by zobrazil správu o ransomvéri požadujúcu peniaze pre podvodníkov. Keďže vírus prevezme kontrolu ešte pred zavedením systému, existuje len jeden spôsob, ako ho obísť - spustiť systém z iného média (CD / DVD, externý disk, atď.) v akomkoľvek operačnom systéme, kde je možné obnoviť programový kód zavádzacích sektorov. Najjednoduchším spôsobom je použiť Live CD / Živé USB, ktorý zvyčajne bezplatne poskytuje používateľom väčšina antivírusových spoločností (Dr web naživo CD, Kaspersky Záchranný disk, Avast! Záchranný disk atď.) Okrem obnovy zavádzacích sektorov môžu tieto produkty tiež skenovať systém súborov na prítomnosť škodlivého softvéru a odstraňovať alebo dezinfikovať infikované súbory. Ak nie je možné použiť tadiaľto, potom si vystačíte s jednoduchým stiahnutím akejkoľvek verzie Windows PE ( inštalačný disk, disk zotavenie po havárii veliteľ ERD) obnoviť normálne bootovanie systémov. Zvyčajne stačí aj jednoduchá možnosť prístupu k príkazovému riadku a vykonaniu príkazu:

bootsect /nt60 /mbr písmeno systémovej jednotky:

bootsect /nt60 /mbr E:>- obnoviť zavádzacie sektory jednotky E: Malo by to byť písmeno jednotky, ktorá sa používa ako spúšťacie zariadenie poškodené vírusom systémov.

Alebo pre Windows starší ako Windows Vista

bootsect /nt52 /mbr písmeno systémovej jednotky:

Utility bootsect.exe môžu byť umiestnené nielen v systémových adresároch, ale aj na ľubovoľných vymeniteľné médiá, možno spustiť v prostredí ľubovoľného operačného systému rodiny Windows a umožňuje obnoviť programový kód zavádzacích sektorov bez ovplyvnenia tabuľky oddielov a systém súborov. Prepínač /mbr zvyčajne nie je potrebný, pretože obnovuje programový kód hlavného zavádzací záznam MBR, ktoré vírusy neupravujú (možno ešte neupravené).

Šifrovacie vírusy a nové problémy pri ukladaní užívateľských dát.

Okrem blokovania počítača používajú ransomvérové ​​vírusy aj šifrovanie vlastné súbory, ktorej strata môže mať vážne následky a za obnovu ktorej je obeť ochotná zaplatiť. Takéto šifrovacie vírusy spravidla používajú seriózne technológie na šifrovanie údajov, ktoré znemožňujú obnovenie informácií bez šifrovacích kľúčov, ktoré útočníci ponúkajú kúpiť za pomerne nízke náklady. veľké sumy. Je pravda, že neexistujú žiadne záruky. A tu má obeť niekoľko možností – zabudnúť na svoje údaje navždy, zaplatiť vydieračom bez záruky vymáhania alebo kontaktovať odborníkov na obnovu. Údaje môžete obnoviť sami, ak máte dostatok vedomostí a zručností, alebo strata údajov nie je taká významná, ak zlyháte. Úplné zotavenie všetko a všetko nebude fungovať, ale s trochou šťastia sa dá vrátiť významná časť informácií. Niektoré príklady:

Obnova dát z tieňových kópií zväzkov - o tieňových kópiách a možnosti obnovy súborov z tieňové kópie zväzkov.

Recuva - použitie voľný program Recuva od Piriform na zotavenie odstránené súbory a súbory z tieňových kópií zväzku.

S príchodom ransomvérových vírusov novej generácie sa problém ochrany používateľských dát stal oveľa naliehavejším. Vírusy nielenže šifrujú dokumenty, archívy, fotografie, videá a ďalšie súbory, ale robia všetko pre to, aby zabránili aspoň čiastočnej obnove dát zo strany používateľa postihnutého infekciou. Vírusy ransomware sa napríklad pokúšajú pomocou príkazu odstrániť tieňové kópie zväzkov vssadmin, ktorá, keď je vypnutá kontrola používateľských účtov (UAC), prebieha neviditeľne a zaručene povedie k nemožnosti obnovenia predchádzajúce kópie súborov alebo pomocou softvéru, ktorý vám umožňuje extrahovať údaje z tieňových kópií (Recuva, štandardné prostriedky Windows atď.). Vzhľadom na použitie silných šifrovacích algoritmov sa obnova zašifrovaných údajov, dokonca aj čiastočných, stáva veľmi náročnou úlohou, ktorú môžu vykonať iba profesionáli v tejto oblasti. Dnes existuje možno jediná cesta chrániť sa pred úplnou stratou údajov je použiť automatické zálohovanie s kópiami uloženými na mieste neprístupnom pre vírusy alebo použiť softvér stroja času, ktorý vám umožní vytvárať okamžité kópie súborového systému (snímky) a kedykoľvek sa vrátiť k ich obsahu. Takéto softvér nepoužíva štandardný súborový systém, má vlastný bootloader a nástroje na správu, ktoré fungujú offline, bez nutnosti spúšťania Windowsu, čo neumožňuje malvéru úplne prevziať kontrolu nad nástrojmi na opravu súborového systému. Okrem toho tento softvér nemá prakticky žiadny vplyv na Výkon systému Windows. Niektoré príklady takéhoto softvéru sú komerčné produkty Horizon DataSys a zadarmo Comodo Stroj času A Vrátiť späť RX domov

Comodo Time Machine – Samostatný článok o Comodo Time Machine a odkazoch na stiahnutie bezplatnej verzie.

Rollback Rx Home - samostatný článok o Rollback Rx Domáce vydanie Horizon DataSys a odkazy na stiahnutie bezplatnej verzie.

Operačný systém Windows, ktorý je nainštalovaný na väčšine počítačov, je pomerne náchylný na vírusovú infekciu. Ak operačný systém nie je pravidelne aktualizovaný, hrozba infekcie je veľmi vysoká, pretože pre každú nájdenú zraniteľnosť sa okamžite vytvoria exploity - programovacie kódy umožňujúce infikovať operačný systém. To isté platí pre ďalší softvér nainštalovaný v počítači – prehliadače, prehrávače atď. Akákoľvek zraniteľnosť môže viesť k infikovaniu počítača.

Nie je nezvyčajné, že sa malvér dostane do počítača s infikovanými súbormi. Mnohé sa prenášajú prostredníctvom flash diskov, pamäťových kariet a iných pamäťových médií. Aby ste znížili pravdepodobnosť infekcie, mali by ste pravidelne aktualizovať OS, mať v počítači dobrý počítač. antivírusový systém, nepoužívajte neoverené súbory.

Ako odstrániť vírus z počítača

Zďaleka nie vždy je možné deštruktívny softvér odhaliť pomocou antivírusového programu a často je potrebné ho odstrániť manuálne. Ak vidíte príznaky infekcie, otvorte „Správcu úloh“ a pozrite si zoznam procesov. Pokročilý používateľ zvyčajne vie, aké procesy v systéme bežia, výskyt neznámych čiar môže naznačovať infekciu. Po nájdení neznámeho procesu zadajte jeho názov do vyhľadávača. Môže to byť legitímny proces niektorej aplikácie, proces škodlivého softvéru alebo o ňom nebudú žiadne informácie. V druhom prípade tiež takmer určite hovoríme o hackerskom programe.

Zastavte neznámy proces tak, že si najprv zapíšete jeho názov. Potom by ste mali odstrániť súbory škodlivého programu a jeho spúšťacie kľúče. Otvorte "Štart" - "Hľadať", zadajte názov vírusový program a hľadať v systémové priečinky. Odstráňte všetky nájdené súbory (môže ich byť niekoľko).

Ďalším krokom je odstránenie vírusov z počítača pomocou editora databázy Registry. Musíte nájsť a odstrániť spúšťacie kľúče, ktoré hackerský program zaregistrovaný v systémovom registri. Spustite editor, ak to chcete urobiť, otvorte príkazový riadok, zadajte príkaz regedit. Otvorí sa okno programu, kliknite na "Upraviť" - "Nájsť". Zadajte názov deštruktívneho procesu a kliknite na „Nájsť ďalej“. Spustí sa vyhľadávanie – vymažte nájdené parametre a potom znova kliknite na „Nájsť ďalej“. Po dokončení vyhľadávania a odstránení všetkých kľúčov uložte zmeny a reštartujte systém. Skontrolujte, či sa vírusový proces objavil v "Správcovi úloh". Ak nie, urobili ste svoju prácu. Ak sa proces znova objavil, operačný systém stále obsahuje vírusové súbory a spúšťacie kľúče.

Profesionálne odstránenie vírusov

Nie každý používateľ sa dokáže samostatne vyrovnať s vírusmi, ktoré infikovali počítač. Mnohé z nich sú napísané profesionálmi, takže ich môže odstrániť iba skúsený majster. Často treba použiť špeciálny softvér, ktorý umožňuje kontrolovať položky v systémovom registri – len tak zistíte, kde sú zapísané kľúče automatického spustenia. To všetko si vyžaduje veľké znalosti.

Ak je váš počítač infikovaný a nemôžete problém vyriešiť sami, zavolajte nám. Odborník z našej spoločnosti príde k Vám domov a rýchlo vyčistí Váš PC od vírusov. Skúsenosti našich špecialistov im umožňujú zvládnuť aj tie najzávažnejšie prípady. Zavolajte nám kedykoľvek, s kvalitou našich služieb budete spokojní!

Vírus a register!

Asi pred tromi alebo štyrmi rokmi urobil Evgeny Kaspersky takúto predpoveď, pretože aktivita počítačového zločineckého sveta rastie, potom bude v blízkej budúcnosti rovnako nebezpečné surfovať po internete ako prechádzať sa tmavými ulicami. noc. Pomaly, ale isto ten čas prichádza.

Vírusy sa nazývajú špeciálne škodlivé programy. Keď sa vírus dostane do počítača, vo väčšine prípadov sa zaregistruje v registri a vytvorí nasledujúce akcie: spôsobí, že sa počítač vypne, reštartuje; spomaľuje operačný systém; poškodzuje súbory posiela maily cez internet, čo vedie k spotrebe prevádzky; a oveľa viac, pretože dokonalosť nemá žiadne hranice.

* Spustite HijackThis. Kliknite na tlačidlo „Vykonať kontrolu systému a uložiť súbor denníka“. Uistite sa, že tieto programy spúšťate s právami správcu.

Nechýbajú programy na optimalizáciu a ošetrenie registra, môžete si vybrať rôzne, testovať, čistiť, defragmentovať. Mnoho nástrojov má niekoľko funkcií, ktoré pomáhajú registru. Mnohé inžinierske siete majú veľmi dobré rozhranie a tam sú nastavenia, môžete začať časom, keď sa počítač spustí. Tu sú časom overené nástroje: Register AusLogics defragmentovať, AusLogics BoostSpeed, Register_DivX, Reg docins, Trash Reg, OneButton Checkup.

Pri práci s registrom musíte byť veľmi opatrní a robiť len to, čo je jasné, ale je lepšie pozvať špecialistu. Nainštaluje a ukáže, ako monitorovať register.

08.05.2012

Ako odstrániť vírus bez antivírusového programu.

Ak počítač nie je stabilný, potom mohol byť váš počítač infikovaný vírusom. Na odstránenie vírusov sa najčastejšie používajú antivírusové programy, ale čo ak ste sa vopred nestarali o bezpečnosť a neinštalovali antivírus. Existuje niekoľko spôsobov, ako nájsť a odstrániť vírusy po infikovaní počítača. Postupujte podľa našich rád a odstránenie vírusov bude pre vás hračkou.

1. Môžete tiež vyskúšať nahrať dočasné resp bezplatný antivírus zo stránok vývojárov. Ak to chcete urobiť, musíte prejsť na webovú stránku Dr Web, Kaspersky alebo Avira a stiahnuť si bezplatný antivírus.
2. Ak nie je možné stiahnuť antivírus z dôvodu nedostatku prístupu na internet, môžete to skúsiť identifikovať a odstrániť vírus spustením správcu úloh. Po spustení správcu úloh prejdite na kartu Procesy a starostlivo vyhľadajte neznáme spustené procesy. Ak nájdete proces, ktorý nepoznáte, môžete ho ukončiť kliknutím naň kliknite pravým tlačidlom myši„ukončiť proces“. Na tejto akcii nie je nič zlé, pretože aj keď zatvoríte požadovaný proces, potom sa po reštarte všetko obnoví. Pred ukončením procesu by ste si mali zapísať názov procesu a pokúsiť sa ho nájsť v počítači pomocou „hľadania“.
3. Je to možné vírus je nabitý spustenie okien . Ak chcete vírus identifikovať a odstrániť, musíte stlačiť kombináciu klávesov win + R a do zobrazeného okna napísať „msconfig“. Ďalej prejdite na kartu „spustenie“ a zistite, či sa nespustia nejaké nezrozumiteľné súbory. Identifikátor spustenia vírusu môže byť spustenie súboru z priečinka C:\Users\používateľské meno\AppData. Po vypnutí reštartujte počítač. Ak nie sú žiadne výsledky, vždy môžete povoliť spustenie programov späť.
4. Vírus je možné načítať cez položku registra. Aby bolo možné skontrolovať, či tam extra záznamy v registri musíte stlačiť kombináciu klávesov win + R a v zobrazenom okne zadať „regedit“. Potom pomocou priečinkov na ľavej strane obrazovky prejdite do pobočiek registra HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows / CurrentVersion / Run, HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows / CurrentVersion / RunOnce, HKEY_CURRENT_USER / SOFTWARE / Microsoft / Windows / CurrentVersion/Run,HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce.

V týchto pobočkách nájdete programy, ktoré sa spustia kedy spustenie okien, ktorú však neuvidíte, ak prejdete na "msconfig".

Ak váš počítač vírus infikovaný banner, potom ho potrebujete odstrániť zavádzací disk alebo flash disk Live CD. Live CD si môžete stiahnuť z webových stránok antivírusové programy alebo z torrentov. Na odstránenie vírusu bannerov budete potrebovať editor databázy Registry systému Windows. Ak chcete upraviť register okná pracovnej plochy použite programy ERD Commander. Windows XP vyžaduje verziu programu 5. Pre editácia windows register operačného systému windows vista a sedem používa verziu programu 6.5. Komu odstrániť vírus z registra musíte otvoriť vetvu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon a nájsť tam „userinit“ a „shell“. Skontrolujte ich hodnoty. Mali by obsahovať nasledujúce položky: "userinit= c:\Windows\system32\userinit.exe", "shell = Explorer.exe". Ak sa hodnoty líšia od vyššie uvedených, mali by sa predtým zmeniť, pričom treba pamätať na cestu a názov vírusové súbory. Ďalej by ste mali odstrániť vírus z pevného disku počítača.

Pomocou týchto jednoduchých krokov objavte a odstrániť vírus z vášho počítača. Ak sa vírus nepodarilo zistiť a odstrániť, vyhľadajte pomoc odborníkov.

Internet je obrovská platforma, kde je nevyčísliteľné množstvo rôznorodého obsahu. A nie vždy stránky a dokumenty prinášajú používateľom pozitívny obsah. IN V poslednej dobe prípady šírenia vírusov vo forme bannerov sú čoraz častejšie. Útočníci tak od používateľov vymáhajú peniaze tým, že im ponúkajú zaslanie SMS správy a na oplátku dostanú odblokovací kód. V tomto článku zvážime, ako odstrániť banner prostredníctvom registra. Umožní vám rýchlo a efektívne sa zbaviť vírusu.

Školenie

Odstrániť banner cez Registry systému Windows 7 (ako v iných Verzie systému Windows) je možné vykonať iba pri načítaní operačného systému. Bannery spravidla blokujú vykonávanie manipulácií, keď normálne bootovanie. Pomôže nám núdzový režim. Keď sa počítač zapne, musíte stlačiť kláves F8. objaví sa extra menu, v ktorom musíte zvoliť spustenie operačného systému v núdzovom režime (prvý ponúkaný). Ďalej sa systém spustí bez bannera. ukladá určité obmedzenia na prevádzku PC. Použije sa napríklad grafika nízkej kvality, takže sa nezľaknite. Teraz by ste mali odstrániť banner prostredníctvom registra podľa pokynov, ktoré budú popísané nižšie. Ale to stojí za zmienku tento vírus môže dostať do bezpečnostný mód potom budete musieť použiť iné možnosti.

Poučenie

Takže, ak sa vám podarilo spustiť operačný systém, môžete začať odstraňovať banner prostredníctvom registra. Dodržujte všetky kroky pokynov.

1. Najprv musíte prejsť do editora registra. Ak to chcete urobiť, otvorte "Štart" a nájdite položku "Spustiť". V systéme Windows 7 je in štandardné programy. Do riadku napíšte „regedit“.
2. Po zadaní názvu programu sa otvorí nové okno. Na ľavej strane tohto nástroja je navigačná lišta. V ňom musíte prejsť na adresu "HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows NT / CurrentVersion / Winlogon".
3. Na pravej strane programu uvidíte veľa možností. Najčastejšie banner upravuje parametre Userinit a Shell. Práve oni sú zodpovední za spúšťanie programov. Nastavenie Userinit musí byť nastavené na "C:\WINDOWS\system32\userinit.exe". A v Shell - "Explorer.exe".
4. Upravte tieto parametre, ak sa, samozrejme, ich hodnoty líšia od predtým uvedených. Zmena sa vykoná, keď dvojité kliknutieľavé tlačidlo myši. V niektorých prípadoch nemusia byť parametre vôbec prítomné. Potom ich budete musieť znova vytvoriť. Ak to chcete urobiť, kliknite pravým tlačidlom myši na prázdnu oblasť programu a vyberte možnosť „Vytvoriť“. Zadajte názov chýbajúceho parametra a jeho hodnotu.

Ďalšie informácie

Odstránenie bannerov cez register nie je zďaleka jediný spôsob, ako sa zbaviť vírusu. Vždy sa môžete uchýliť k používaniu antivírusových programov. Ale ak nemôžete stiahnuť normálny režim systému a nebudete môcť nainštalovať žiadny softvér. Potom je možné použiť heslá. Na rôznych portáloch používatelia zverejňujú kľúče, ktoré môžu deaktivovať banner. Heslo sa zadá do bannera a automaticky sa ukončí. Stojí za zmienku, že táto metóda nie vždy funguje, pretože niekedy nie je možné nájsť požadovaný kľúč.

Konečne

Otázka, ako odstrániť banner prostredníctvom registra, je jednou z najčastejšie kladených otázok. Dúfame, že vám tento článok pomohol vyriešiť problém.