Cum de a elimina efectele anumitor atacuri de viruși icq, proxy, Brutus, Dedik, exploateaza
Cum de a elimina efectele unor atac de virus?
Și a spus viruși scriitor virus: „Creșteți și înmulțiți. “.
Virușii devin tot mai sofisticate - ele sunt acum, de exemplu, nu numai strica nici un fișier special, dar, de asemenea, pentru a modifica setările de sistem, etc. etc. Prin urmare, chiar și după tratamentul calculatorului infectat sunt tot felul de probleme, de exemplu, nu o unitate flash nu se deschide (sau o unitate locală), nu se deschide nici un fișier care nu funcționează corect, unele programe ...
Din păcate, software-ul anti-virus, PC vindecat, nu se poate repara setările de software antivirus și de sistem sparte.
Metoda Radical - sistemul de operare unitate de formatare hard și a reinstalării - nu întotdeauna acceptabil pentru diverse motive.
În astfel de cazuri, există o cale de ieșire - pentru a restabili manual totul.
1. Dacă nu puteți rula Task Manager, consultați. Ce ar trebui să fac în cazul în care mesajul „Task Manager dezactivat de către administratorul dvs.“?.
2. Dacă dosarul element de meniu este disponibil, vezi. Ce se întâmplă dacă este disponibil element de meniu „Folder Options“?.
4. Dacă nu puteți accesa unitatea flash USB, a se vedea. Ce se întâmplă dacă după tratamentul de viruși care nu flash card deschis?.
5. Dacă nu puteți rula Windows Explorer (ca regulă, în acest caz - chiar dacă sistemul de operare pornire - mesaj de eroare care nu poate fi găsit nici un fișier), acest lucru înseamnă că virusul „a înregistrat“ ei înșiși în loc de Explorer.exe.
- Găsiți secțiunea [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon];
- Corectați parametrul șir Explorer.exe Shell
6. Dacă nu poate rula orice executabil (exefile), găsiți cheia de registry [HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command] și corectați valoarea șirului implicit la parametrul "% 1" % *
7. Dacă nu puteți rula com-fișiere, localizați cheia de registry [HKEY_CLASSES_ROOT \ comfile \ shell \ open \ command] și corectați valoarea șirului implicit la parametrul "% 1" % *
8. Dacă nu puteți rula un liliac-fișiere, localizați cheia de registry [HKEY_CLASSES_ROOT \ batfile \ shell \ open \ command] și corectați valoarea șirului implicit la parametrul „% 1“% *
9. Dacă nu puteți rula CMD-fișiere, localizați cheia de registry [HKEY_CLASSES_ROOT \ cmdfile \ shell \ open \ command] și corectați valoarea șirului implicit la parametrul "% 1" % *
10. Dacă nu puteți rula piffile, localizați cheia de registry [HKEY_CLASSES_ROOT \ piffile \ shell \ open \ command] și corectați valoarea șirului implicit la parametrul "% 1" % *
11. Dacă nu puteți porni Internet Explorer, localizați registru cheie [HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ Applications \ i explore.exe \ shell \ open \ command] și corectați valoarea șirului implicit „C: \ Program Files \ Internet Explorer \ iexplore.exe „% 1
Virușii de multe ori „ciocan“ pentru fișierele de sistem, cum ar fi iexplore.exe în loc să primească 1explore.exe fișier infectat.
12. Dacă nu puteți rula txt-fișiere, localizați cheia de registry [HKEY_CLASSES_ROOT \ txtfile \ shell \ \ deschis de comandă] și corectați valoarea implicită Extensible String pe% SystemRoot% \ system32 \ notepad.exe% 1
13. Dacă nu puteți rula reg-fișiere, localizați cheia de registry [HKEY_CLASSES_ROOT \ regfile \ shell \ open \ command] și corectați valoarea șirului implicit parametrul regedit.exe „% 1“
14. Dacă ați început cu instalarea de probleme de software, găsiți cheia de registry [HKEY_CLASSES_ROOT \ Msi.Package \ shell \ Deschideți \ comanda] și corecta o setare implicită valoare șir expandabil în „% SystemRoot% \ System32 \ Msiexec.exe“ / i "% 1" % *
15. Dacă ați avut dificultăți cu uninstallyatsiey (indepartarea) a programelor, găsiți cheia de registry [HKEY_CLASSES_ROOT \ Msi.Package \ shell \ Uninstall \ comm și] și corecta o setare implicită valoare șir expandabil în „% SystemRoot% \ System32 \ msiexec. exe "/ x" % 1 „% *
2. Amintiți-vă că avertizează mai ușor decât vindecarea! Utilizați un software antivirus firewall și de încredere (a se vedea. Cum sa alegi un antivirus?) La regulat (cel puțin o dată pe săptămână!) Actualizat baze.
Simptomele de infecție: computerul nu se poate descărca - de fiecare dată când vine vorba de „bun venit“ și PC „frunze“ la repornirea - și așa mai departe - într-un cerc.
Puteți elimina unitatea hard disk și conectați-l la un alt PC cu un antivirus de încredere. Dar, după ce a tratat astfel încât unitatea hard disk, performanța PC-ului, noi nu restabili, deoarece virusul va înregistra în Registrul pentru Windows.
Prin urmare, vom folosi un disc bootabil de recuperare de urgență, tastați Windows miniPE sau ERD Commander:
- Introduceți ERD Commander CD-ROM-ul în tavă, apoi reporniți PC-ul;
- la repornire apăsați Delete pentru a intra în Setup Utility CMOS;
- Set de boot PC cu CD-ROM-ul, apăsați F10, autorizează modificările vor începe o repornire;
- Windows XP Recovery Wizard meniu, selectați Descărcare ERD Commander pop-up -> Enter;
- apare în bara de stare inferioară de pornire Winternals ERD Commander;
- în caseta Bun venit ERD Commander selectați sistemul de operare -> OK;
- atunci când este încărcată desktop, faceți dublu clic pe pictograma My Computer;
- în fereastra ERD Commander Explorer, extindeți unitatea unde este instalat sistemul de operare (de obicei, C: \);
- Găsiți și ștergeți următoarele fișiere (de obicei, au atribute ascunse, sistem, numai citire):
• fișierul PwdServ.exe în \ WINDOWS \ System32 \ (Kaspersky Anti-Virus identifică acest malware-ului ca nu-o-virus: PSWTool.Win32.RAS). Acest fișier blochează boot PC-ul în modul de siguranță prin setarea parolelor;
• fișier ntos.exe în directorul \ WINDOWS \ System32 \;
• Toate fișierele hhxw *** exe în folderul \ WINDOWS \ System32 \ (de exemplu, hhxw265.exe) .;
• winlogon.exe fișier (42,0KB) în folderul \ WINDOWS \. Kaspersky Anti-Virus identifică virusul ca Trojan.Win32.Pakes.jmb. Acest pseudo-winlogon.exe este încărcat în locul Winlogon.exe fișier (programul de intrare la Windows, 507KB), amplasat în folderul \ WINDOWS \ System32 \;
- închide fereastra ERD Commander Explorer;
- Faceți clic pe Start -> Instrumente de administrare -> Autorun;
- în fereastra ERD Commander Computer Management, extindeți (stânga) Autorun (Sistem, <имя_пользователя>, Administrator);
- Eliminați (dacă este cazul) și a înregistra fișiere care încep cu sistemul de operare: WINDOWS \ winlogon.exe; \ WINDOWS \ System32 \ hhxw265.exe; \ WINDOWS \ System32 \ ntos.exe; \ WINDOWS \ System32 \ PwdServ.exe. Pentru a elimina evidențierea ei, făcând clic pe butonul mouse-ului dreapta (pe dreapta), din meniul contextual selectați Ștergere;
- închide fereastra ERD Commander Computer de Management;
- Faceți clic pe Start -> Instrumente de administrare -> RegEdit;
- în fereastra ERD Commander Registry Editor, localizați secțiunea [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon];
- corecta valoarea string Userinit REG_SZ-parametru pe C: \ WINDOWS \ system32 \ userinit.exe, (virusul setează valoarea acestui parametru, de exemplu, C: \ WINDOWS \ system32 \ userinit.exe, C: \ WINDOWS \ System 32 \ ntos. exe,);
- Găsiți secțiunea [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon];
- Corectați șirul Shell REG_SZ-parametru la Explorer.exe (virusul setează valoarea acestui parametru, de exemplu, Explorer.exe, C: \ WINDOWS \ winlogon.exe);
- închide fereastra ERD Commander Registry Editor;
- Faceți clic pe Start -> Log Off -> Restart -> OK;
- la repornire apăsați Delete pentru a intra în Setup Utility CMOS;
- Setați PC-ul de boot de pe hard disk, apăsați F10, autorizează modificările vor începe o repornire;
- în mod normal de încărcare Windows.
De aici concluzia: protejați-vă.
Deși unii utilizatori reușesc să ridica o „gonoree digitală“, chiar și atunci când a stabilit (și în sus!) Firewall și antivirus (cu baze de date proaspete!) ...
Valery Sidorov
netler.ru