Oporavak računara nakon virusa. Ovaj firmver vraća postavke radne površine

Danas ću govoriti o tome kako lokalizirati virus ako prodre u vaš računar, kako pobijediti trojance i kako vratiti sistem nakon što ste zaraženi rootkitovima ako je sve otišlo predaleko.

Dakle, ako sumnjate da je vaš računar zaražen, prvo što trebate učiniti je slijediti ove korake:

• isključite računar sa Interneta (izvucite UTP kabl, isključite Wi-Fi);
• isključite sve eksterne uređaje sa računara (spoljne čvrste diskove, fleš diskove, telefone itd.).

Sve ovo mora da se uradi kako bi se zaraženi računar izolovao od spoljašnjeg sveta. Neophodno je isključiti računar iz pristupa vanjskom svijetu putem Interneta i iz lokalne interne mreže, jer će zlonamjerni program sa gotovo 100% vjerovatnoćom pokušati da se proširi na cijeli segment koji mu je dostupan.

Osim toga, ako je zlonamjerni softver dio botnet mreže ili sadrži komponente, tada će biti neaktivan i aktivirat će se u trenutku kada se primi kontrolna komanda sa vanjske mreže. Ovo će nas također osigurati od curenja lokalnih podataka u mrežu, na primjer, putem DNS tunela ili sličnih hakerskih stvari.

Popravka registra

Windows registar, počevši od prvih verzija OS-a, ostaje kritična komponenta sistema, u stvari, to je baza podataka za pohranjivanje različitih parametara i postavki radnog okruženja, instaliranog softvera i samog Windowsa. Logično je da kršenje registra ili njegovo oštećenje prijeti neoperativnom stanju OS-a.

Sam registar, koji se otvara redovnim uslužnim programom regedit, fizički je predstavljen sa nekoliko datoteka pohranjenih u % SystemRoot% \ System32 \ config \ putanji. To su datoteke s nazivima SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT bez ekstenzija i dostupne su samo za sistemske procese NT AUTHORITY \ SYSTEM, LocalSystem. Ali ako otvorite registar putem običnog uređivača, tada će se ove datoteke pojaviti u obliku velikog hijerarhijskog stabla.

Prvo što vam padne na pamet je, naravno, da napravite sigurnosne kopije ovih datoteka i, ako je potrebno, samo pokvarene zamijenite rezervnim kopijama. Ali ispod učitanog OS-a, jednostavno kopiranje neće biti moguće, a izvoz podataka pomoću regedit-a može se pokazati nepotpunim. Stoga ćemo razmotriti alate koji će nam pomoći u ovom pitanju.

Windows standardni alati za vraćanje registra

"Iz kutije" Windows, nažalost, nema poseban alat za pravljenje rezervne kopije registra. Sve što sistem može dati je funkcionalnost zastarjelog NTBackUp-a iz ere Windows XP / 2003 Server ili njegova reinkarnacija u novim Windows 7, 8, 10 operativnim sistemima u obliku "", koji nudi kreiranje cjelokupne slike sistema (cijeli sistem - ne registar!). Stoga, pogledajmo samo mali primjer koraka u Konzoli za oporavak za ručno vraćanje registra. U stvari, ovo su operacije zamjene pokvarenih datoteka na zaraženom sistemu originalnim datotekama registra iz prethodno napravljene sigurnosne kopije.

NTBackUp uslužni interfejs

Nakon pokretanja u Live CD mod sa instalacionog diska ili sa lokalno instalirane Recovery Console (za XP / 2003), morate izvršiti sljedeće komande, koje opisuje sam Microsoft:

// Kreirajte sigurnosne kopije sistemskog registra
md tmp
copy c: \ windows \ system32 \ config \ system c: \ windows \ tmp \ system.bak
copy c: \ windows \ system32 \ config \ software c: \ windows \ tmp \ software.bak
copy c: \ windows \ system32 \ config \ sam c: \ windows \ tmp \ sam.bak
copy c: \ windows \ system32 \ config \ security c: \ windows \ tmp \ security.bak
copy c: \ windows \ system32 \ config \ default c: \ windows \ tmp \ default.bak

// Uklonite pokvarene datoteke iz OS sistemskog direktorija
izbrišite c: \ windows \ system32 \ config \ system
izbrišite c: \ windows \ system32 \ config \ softver
izbriši c: \ windows \ system32 \ config \ sam
izbrišite c: \ windows \ system32 \ config \ security
izbrišite c: \ windows \ system32 \ config \ default

// Kopiraj radne datoteke registra iz sjene kopije
kopija c: \ windows \ popravka \ sistem c: \ windows \ system32 \ config \ system
kopija c: \ windows \ popravka \ softver c: \ windows \ system32 \ config \ softver
copy c: \ windows \ repair \ sam c: \ windows \ system32 \ config \ sam
kopija c: \ windows \ popravka \ sigurnost c: \ windows \ system32 \ config \ sigurnost
kopija c: \ windows \ popravka \ default c: \ windows \ system32 \ config \ default

To je to, restartujemo auto i vidimo rezultat!

Napredne tehnike popravke registra

Kako smo saznali, Windows nema pristojan alat za upravljanje registrom. Stoga, da vidimo šta nam mogu ponuditi proizvođači trećih strana.

TCPView uslužni prozor

Spisak mrežnih usluga i odgovarajućih rezervisanih portova za NT sisteme može se videti u datoteci% SystemRoot% \ system32 \ drajveri \ itd \ usluge - ovo je takođe u suštini tekstualni fajl bez ekstenzije, koji se može videti u bilo kojoj beležnici.

Prozor uslužnog programa Nirsoft CurrPorts

I na kraju, za sve gore opisano što smo uradili svojim rukama, možete koristiti alate, na primjer. Ovaj uslužni program vraća sistemske mrežne postavke ključeve registra sa zadanim vrijednostima. Pored toga, ona takođe:

• provjerava hosts datoteku za ispravnost pokazivača localhost (mora se odnositi na adresu 127.0.0.1);
• kreira rezervnu kopiju trenutnih postavki sistema (na zahtjev korisnika);
• deaktivira sve mrežne adaptere i resetuje njihove parametre.

Prozor uslužnog programa WinSock XP Fix

Izvorni GUI alat o kojem smo pričali radi istu stvar kao naredbe netsh int ip reset i netsh winsock reset. Sličan je alat Reset-TCPIP, koji izvršava sve opisane kombinacije naredbi konzole pod jednim GUI.

Reset-TCPIP uslužni prozor

Još jedan dobar besplatni alat dizajniran je da popravi razne greške povezane s mrežom i internetom u Windows-u. Kratka lista njegovih karakteristika:

• očistite i popravite hosts fajl;
• omogućiti Ethernet i bežične mrežne adaptere;
• resetujte Winsock i TCP / IP;
• obrišite DNS keš, tabele rutiranja, obrišite statičke IP veze;
• ponovo pokrenite NetBIOS.

Prozor NetAdapter Repair Utility

Live CD kao spas

I, nastavljajući našu temu, jednostavno nismo mogli proći pored priče o Live CD sklopovima namijenjenim za oporavak sistema. U početku je Live CD bio pozicioniran kao alat za obavljanje administrativnih zadataka: priprema tvrdog diska, brzo dobijanje pristupa podacima pohranjenim na diskovima, itd. Sada su Live CD-ovi više kao univerzalni spas za reanimaciju sistema u slučaju raznih padova, uključujući i nakon napada virusa. Njihova glavna prednost je što su svi alati sakupljeni pod jednom haubom i mogu raditi paralelno. Ali postoji i nedostatak: da biste se pokrenuli u Live CD modu, morate ponovo pokrenuti mašinu, što je u nekim slučajevima za nas neprihvatljivo.

Svi poznati proizvođači antivirusnih programa imaju besplatne diskove za oporavak sistema za pokretanje sistema. Ukratko ćemo ih pregledati, ali nećemo ulaziti u detalje - dogovorili smo se na početku našeg članka da ćemo koristiti samo one alate koji nisu čisti antivirusni softver.

Moj najbolji prijatelj mi je donio netbook da ga pogledam, na kojem su virusi oštro hodali, i zamolio me da pomognem u čišćenju sistema iz zoološkog vrta. Prvi put sam svojim očima vidio smiješnu granu u razvoju zlonamjernog softvera: ransomware. Takvi programi blokiraju dio funkcija operativnog sistema i zahtijevaju slanje SMS poruke da bi primili kod za otključavanje. Ispostavilo se da tretman nije sasvim trivijalan, pa sam pomislio da bi možda ova priča nekome uštedjela nervnih ćelija. Pokušao sam da obezbedim linkove ka svim sajtovima i uslužnim programima koji su bili potrebni tokom tretmana.

U ovom slučaju, virus se pretvarao da je antivirusni program Internet Security i tražio je da pošalje SMS K207815200 na broj 4460. Na web stranici Kaspersky Lab postoji stranica koja vam omogućava da generišete kodove odgovora za ransomware: support.kaspersky.ru /virusi/deblocker

Ipak, nakon uvođenja koda, funkcije OS-a su ostale blokirane, a pokretanje bilo kojeg antivirusnog programa dovelo je do trenutnog otvaranja virusnog prozora koji je marljivo emulirao rad antivirusa:

Pokušaji pokretanja u sigurnim režimima doveli su do potpuno istog rezultata. Takođe, stvar je zakomplikovala činjenica da su lozinke za sve administratorske naloge bile prazne, kao i politika da se administratori sa praznom lozinkom po defaultu prijavljuju na računar preko mreže.
Morao sam da pokrenem sistem sa USB fleš diska (po definiciji, netbook nema disk drajv). Najlakši način da napravite USB disk za pokretanje:
1. Formatirajte disk u NTFS
2. Učinite particiju aktivnom (diskpart -> odaberite disk x -> odaberite particiju x -> aktivno)
3. Koristimo uslužni program \ boot \ bootsect.exe iz distributivnog kompleta Vista / Windows 2008 / Windows 7: bootsect / nt60 X: / mbr
4. Kopirajte sve datoteke distributivnog kompleta (imao sam pri ruci distributivni komplet za Windows 2008) na usb disk. Sve, možete pokrenuti.

Budući da ne trebamo instalirati OS, već da liječimo viruse, kopiramo skup besplatnih iscjelitelja (AVZ, CureIt) i pomoćnih uslužnih programa na disk (gledajući unaprijed, trebao sam Streams od Marka Russinovicha) i Far. Ponovo pokrećemo netbook, postavljamo pokretanje sa USB-a u BIOS-u.

Program za podešavanje Windows 2008 je učitan, slažemo se sa izborom jezika, Instaliraj odmah i zatim pritisnite Shift + F10. Pojavljuje se prozor komandne linije iz kojeg možemo pokrenuti naše antivirusne alate i potražiti infekciju na sistemskom disku. Ovdje sam naišao na poteškoću, CureIt je ispustio sistem u plavi ekran smrti uz zloupotrebu zbog greške u radu sa NTFS-om, a AVZ, iako je uspio, nije mogao ništa pronaći. Očigledno je virus vrlo, vrlo svjež. Jedini trag je AVZ poruka da je pronašao izvršni kod u dodatnom NTSF toku za jednu od datoteka u Windows direktoriju. Činilo mi se čudno i sumnjivo, budući da se dodatni NTFS streamovi koriste u vrlo specifičnim slučajevima i ništa izvršno ne bi trebalo biti pohranjeno tamo na normalnim mašinama.

Tako da sam morao da preuzmem uslužni program Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) sa Marka i izbrišem ovaj stream. Njegova veličina je bila 126464 bajta, baš kao i dll fajlovi koje je virus stavio na fleš diskove umetnute u sistem.

Nakon toga, koristeći Far, pretražio sam cijeli sistemski disk u potrazi za datotekama iste veličine i pronašao još 5 ili 6 sumnjivih datoteka kreiranih u posljednja 2-3 dana. Uklonjeni su na isti način. Nakon toga, CureIt je uspio riješiti (očito je naišao na dodatne niti) i uspješno je očistio još dva Trojanca :)

Nakon ponovnog pokretanja, sve je radilo, dodatna pokretanja antivirusnih skenera nisu ništa pronašla. Uz pomoć AVZ-a vraćene su politike koje ograničavaju funkcije OS-a. Prijatelju je dat strogi prijedlog koliko je važno koristiti antivirusni softver, pogotovo jer postoji mnogo besplatnih (

Sviđa mi se

Sviđa mi se

Tweet

Postoje programi univerzalni poput švicarskog noža. Junak mog članka je upravo takav "univerzalac". Njegovo ime je AVZ(Zajcevov antivirus). Uz pomoć ovoga besplatno možete uhvatiti antivirus i viruse, optimizirati sistem i riješiti probleme.

AVZ karakteristike

Već sam govorio o tome da je ovo antivirusni program. Rad AVZ-a kao jednokratnog antivirusa (tačnije, anti-rootkita) dobro je opisan u njegovoj pomoći, ali ja ću vam pokazati drugu stranu programa: provjeru i vraćanje postavki.

Šta se može "popraviti" sa AVZ-om:

• Vratite programe za pokretanje (.exe, .com, .pif fajlove)
• Vratite postavke Internet Explorer-a na Standard
• Vrati postavke radne površine
• Uklonite ograničenja prava (na primjer, ako je virus blokirao pokretanje programa)
• Uklonite baner ili prozor koji se pojavljuje prije prijave
• Uklonite viruse koji mogu raditi zajedno s bilo kojim programom
• Deblokirajte Task Manager i Registry Editor (ako ih je virus spriječio da se pokrenu)
• Obriši fajl
• Spriječite automatsko pokretanje programa sa fleš diskova i diskova
• Izbrišite nepotrebne datoteke sa vašeg tvrdog diska
• Popravite probleme sa radnom površinom
• I mnogo više

Možete ga koristiti i za provjeru sigurnosti Windows postavki (radi bolje zaštite od virusa), kao i za optimizaciju sistema čišćenjem pokretanja.

AVZ stranica za preuzimanje se nalazi.

Program je besplatan.

Prvo, osigurajmo naš Windows od neopreznih radnji

AVZ program ima vrlo mnoge funkcije koje utiču na rad Windowsa. to opasno, jer u slučaju greške može doći do problema. Pažljivo pročitajte tekst i pomozite prije nego bilo što učinite. Autor članka nije odgovoran za vaše postupke.

Da bih nakon neopreznog rada sa AVZ-om mogao "sve vratiti kako je bilo", napisao sam ovo poglavlje.

Ovo je obavezan korak, zapravo, stvaranje "rute za bijeg" u slučaju neopreznih radnji - zahvaljujući tački vraćanja, možete vratiti postavke, Windows registar u ranije stanje.

Windows Recovery je obavezna komponenta svih verzija Windowsa, počevši od Windows ME. Šteta što se toga obično ne sjećaju i gube vrijeme na ponovnu instalaciju Windowsa i programa, iako biste mogli samo nekoliko puta kliknuti mišem i izbjeći sve probleme.

Ako je šteta ozbiljna (na primjer, neke od sistemskih datoteka su izbrisane), onda System Restore neće pomoći. U drugim slučajevima - ako ste pogrešno konfigurisali Windows, "škakljivo" sa registratorom, instalirali program iz kojeg se Windows ne pokreće, zloupotrebili AVZ program - "System Restore" bi trebalo da pomogne.

Nakon rada, AVZ kreira podfoldere sa rezervnim kopijama u svom folderu:

/ Backup- tamo se pohranjuju rezervne kopije registra.

/ Inficiran- kopije izbrisanih virusa.

/ Karantin- kopije sumnjivih fajlova.

Ako su nakon rada AVZ-a počeli problemi (na primjer, nepromišljeno ste koristili alat AVZ System Restore i Internet je prestao raditi) i Windows System Restore nije vratio promjene, možete otvoriti sigurnosne kopije registra iz mape Backup.

Kako kreirati tačku vraćanja

Idi Start - Kontrolna tabla - Sistem - Zaštita sistema:

Kliknite na "Zaštita sistema" u prozoru "Sistem".

Pritisnite dugme "Kreiraj".

Proces kreiranja tačke vraćanja može potrajati do deset minuta. Zatim će se pojaviti prozor:

Tačka vraćanja će biti kreirana. Usput, oni se automatski kreiraju kada instalirate programe i drajvere, ali ne uvijek. Stoga je prije opasnih radnji (podešavanje, čišćenje sistema) bolje još jednom stvoriti tačku vraćanja kako biste se pohvalili za svoju razboritost u slučaju problema.

Kako vratiti računar koristeći tačku vraćanja

Postoje dvije opcije za pokretanje System Restore - iz Windowsa i korištenjem instalacionog diska.

Opcija 1 - ako se Windows pokrene

Idi Start - Svi programi - Pribor - Sistemski alati - Vraćanje sistema:

Počeće Odaberite drugu tačku vraćanja i pritisnite Dalje. Otvoriće se lista tačaka vraćanja. Biramo ono što je potrebno:

Računar će se automatski ponovo pokrenuti. Nakon preuzimanja, sve postavke, njegov registar i neke važne datoteke bit će vraćene.

Opcija 2 - ako se Windows ne pokrene

Potreban vam je "instalacioni" disk sa Windows 7 ili Windows 8. Gdje ga nabaviti (ili preuzeti), napisao sam.

Pokrećemo se sa diska (kako da se pokrenemo sa diskova za pokretanje, piše) i biramo:

Odaberite "Vraćanje sistema" umjesto da instalirate Windows

Popravljanje sistema nakon virusa ili nesposobnih radnji sa računarom

Prije bilo kakve radnje, riješite se virusa, na primjer, koristeći. U suprotnom, neće biti smisla - pokrenuti virus će ponovo "razbiti" ispravljene postavke.

Vraćanje startup programa

Ako je virus blokirao pokretanje bilo kojeg programa, AVZ će vam pomoći. Naravno, i dalje morate pokrenuti sam AVZ, ali to je prilično lako:

Prvo idemo na Kontrolna tabla- postavite bilo koju vrstu pogleda, osim za kategoriju - Postavke foldera - Pogled- uklonite potvrdni okvir iz Sakrij ekstenzije za registrovane tipove datoteka - OK. Sada možete vidjeti svaki fajl proširenje- nekoliko znakova iza posljednje tačke u imenu. Za programe je to obično .exe i .com... Da biste pokrenuli AVZ antivirus na računaru na kojem je zabranjeno pokretanje programa, preimenujte ekstenziju u cmd ili pif:

Tada će se pokrenuti AVZ. Zatim u samom prozoru programa kliknite File - :

Treba napomenuti tačke:

1. Vraćanje parametara pokretanja za.exe, .com, .pif datoteke(zapravo, rješava problem pokretanja programa)

6. Uklanjanje svih politika (ograničenja) trenutnog korisnika(u nekim rijetkim slučajevima, ova stavka također pomaže u rješavanju problema pokretanja programa ako je virus uhvaćen vrlo štetan)

9. Uklanjanje sistemskih procesa za otklanjanje grešaka(Vrlo je poželjno označiti ovu tačku, jer čak i da ste provjerili sistem antivirusom, moglo bi nešto ostati od virusa. Pomaže i ako se Desktop ne pojavi kada se sistem pokrene)

, potvrđujemo radnju, pojavljuje se prozor s tekstom "Oporavak sistema je završen". Nakon toga, ostaje ponovo pokrenuti računar - problem sa pokretanjem programa će biti riješen!

Vraćanje pokretanja radne površine

Prilično čest problem je da se radna površina ne pojavljuje kada se sistem pokrene.

Trči Desktop možete učiniti ovo: pritisnite Ctrl + Alt + Del, pokrenite Task Manager, pritisnite tamo Fajl - Novi zadatak (Pokreni ...) - uvesti explorer.exe:

uredu- Radna površina će se pokrenuti. Ali ovo je samo privremeno rješenje problema - sljedeći put kada uključite računar, morat ćete sve ponoviti.

Da to ne biste radili svaki put, morate vratiti ključ za pokretanje programa. istraživač(„Explorer“, koji je odgovoran za standardni prikaz sadržaja foldera i rad radne površine). U AVZ-u pritisnemo File- i označite stavku

Izvršite označene operacije, potvrdite akciju, pritisnite UREDU. Sada, kada pokrenete računar, radna površina će se normalno pokrenuti.

Otključavanje upravitelja zadataka i uređivača registra

Ako je virus blokirao pokretanje dva gore navedena programa, možete ukloniti zabranu kroz prozor AVZ programa. Samo provjerite dvije tačke:

11. Otključavanje upravitelja zadataka

17. Otključajte uređivač registra

I pritisnite Izvršite označene operacije.

Problemi s internetom (Vkontakte, Odnoklassniki i antivirusne stranice se ne otvaraju)

Čišćenje sistema od nepotrebnih fajlova

Programi AVZ zna kako da očisti računar od nepotrebnih fajlova. Ako program za čišćenje tvrdog diska nije instaliran na računaru, onda će AVZ učiniti, jer postoji mnogo mogućnosti:

Više o artiklima:

1. Obrišite sistemsku keš memoriju unaprijed- čišćenje fascikle sa informacijama o tome koje fajlove treba učitati unapred za brzo pokretanje programa. Ova opcija je beskorisna jer sam Windows prilično uspješno prati mapu Prefetch i čisti je po potrebi.
2. Izbrišite Windows log fajlove- možete obrisati razne baze podataka i datoteke koje pohranjuju različite zapise o događajima koji se dešavaju u operativnom sistemu. Ova opcija je korisna ako trebate osloboditi desetak ili dva megabajta prostora na tvrdom disku. Odnosno, korist od korištenja je oskudna, opcija je beskorisna.
3. Izbrišite datoteke s dumpom memorije- kada se pojave kritične greške, Windows prekida svoj rad i prikazuje BSOD (plavi ekran smrti), istovremeno čuvajući informacije o pokrenutim programima i drajverima u datoteku za dalju analizu od strane posebnih programa kako bi se identifikovao krivac kvara. Ova opcija je gotovo beskorisna, jer vam omogućava da osvojite samo deset megabajta slobodnog prostora. Čišćenje datoteka dump memorije ne šteti sistemu.
4. Obrišite listu nedavnih dokumenata- začudo, opcija briše listu nedavnih dokumenata. Ova lista se nalazi na Start meniju. Listu možete izbrisati i ručno tako što ćete desnim klikom na ovu stavku u meniju Start odabrati "Obriši listu nedavnih stavki". Korisna opcija: Primetio sam da brisanje liste nedavnih dokumenata omogućava meniju Start da prikaže svoje menije malo brže. To neće naštetiti sistemu.
5. Brisanje foldera TEMP- Sveti gral za one koji traže uzrok nestanka slobodnog prostora na C: disku. Činjenica je da u fascikli TEMP mnogi programi pohranjuju datoteke za privremenu upotrebu, zaboravljajući kasnije "počistiti za sobom". Tipičan primjer su arhivari. Tamo će raspakovati datoteke i zaboraviti izbrisati. Brisanje TEMP foldera ne šteti sistemu, može osloboditi mnogo prostora (u posebno zanemarenim slučajevima, dobitak slobodnog prostora dostiže pedeset gigabajta!).
6. Adobe Flash Player - čišćenje privremenih datoteka- "Flash Player" može sačuvati datoteke za privremenu upotrebu. Mogu se ukloniti. Ponekad (rijetko) opcija pomaže u borbi protiv grešaka u Flash Playeru. Na primjer, problemi s reprodukcijom videa i zvuka na web stranici Vkontakte. Nema štete od upotrebe.
7. Brisanje predmemorije klijenta terminala- koliko ja znam, ova opcija čisti privremene datoteke Windows komponente pod nazivom "Remote Desktop Connection" (daljinski pristup računarima preko RDP-a). Opcija Čini se da je ne šteti, oslobađa prostor sa desetak megabajta u najboljem slučaju. Nema smisla koristiti ga.
8. IIS - brisanje HTTP dnevnika grešaka- treba dugo da se objasni šta je to. Dozvolite mi samo da kažem da je bolje ne uključiti opciju IIS log flush. U svakom slučaju, nema štete, nema koristi.
9. Macromedia Flash Player- duplikati predmeta "Adobe Flash Player - čišćenje privremenih datoteka", ali utiče na prilično stare verzije Flash Playera.
10. Java - brisanje keša- daje dobit od nekoliko megabajta na vašem tvrdom disku. Ne koristim Java programe, pa nisam proveravao posledice omogućavanja ove opcije. Ne savjetujem vam da ga uključite.
11. Pražnjenje korpe za otpatke- svrha ovog artikla je potpuno jasna iz njegovog naziva.
12. Izbrišite evidencije instalacije sistemskih ažuriranja- Windows vodi evidenciju instaliranih ažuriranja. Omogućavanjem ove opcije brišete evidenciju. Opcija je beskorisna, jer nema dobitka u slobodnom prostoru.
13. Uklonite Windows Update Protocol- slično prethodnoj tački, ali druge datoteke se brišu. Takođe beskorisna opcija.
14. Očistite MountPoints bazu- ako se prilikom povezivanja fleš diska ili čvrstog diska ne kreiraju ikone sa njima u prozoru Računalo, ova opcija može pomoći. Savjetujem vam da ga uključite samo ako imate problema sa povezivanjem fleš diskova i diskova.
15. Internet Explorer - očisti keš memoriju- čisti privremene datoteke Internet Explorer-a. Opcija je sigurna i korisna.
16. Microsoft Office - očisti keš memoriju- čisti privremene datoteke Microsoft Office programa - Word, Excel, PowerPoint i druge. Ne mogu provjeriti sigurnosnu opciju jer nemam Microsoft Office.
17. Brisanje predmemorije sistema za pisanje CD-a je korisna opcija koja vam omogućava da izbrišete datoteke koje ste pripremili za pisanje na diskove.
18. Brisanje sistemske TEMP fascikle- za razliku od korisničkog TEMP foldera (vidi tačku 5), brisanje ovog foldera nije uvijek sigurno i obično se malo prostora oslobađa. Ne savjetujem vam da ga uključite.
19. MSI - brisanje fascikle Config.Msi- ovaj folder sadrži razne datoteke koje su kreirali instalateri programa. Fascikla je velika ako instalacioni programi nisu završili ispravno, pa je brisanje fascikle Config.Msi vredno truda. Ipak, upozoravam vas - može doći do problema s deinstaliranjem programa koji koriste .msi instalatere (na primjer, Microsoft Office).
20. Obrišite zapise planera zadataka- Windows Task Scheduler skladišti dnevnik u koji bilježi informacije o završenim zadacima. Ne preporučujem uključivanje ove stavke, jer nema koristi, ali će dodati probleme - Windows Task Scheduler je prilično greška komponenta.
21. Uklonite Windows instalacijske zapise- osvajanje mjesta je beznačajno, nema smisla brisati.
22. Windows - brisanje keša ikona- korisno ako imate problema sa prečicama. Na primjer, kada se pojavi radna površina, ikone se ne pojavljuju odmah. Omogućavanje ove opcije neće uticati na stabilnost sistema.
23. Google Chrome - očisti keš memoriju je vrlo korisna opcija. Google Chrome pohranjuje kopije stranica u posebnu mapu za brzo otvaranje web lokacija (stranice se učitavaju sa tvrdog diska umjesto preuzimanja preko interneta). Ponekad veličina ovog foldera doseže pola gigabajta. Čišćenje je korisno jer oslobađa prostor na tvrdom disku, ne utiče na stabilnost ni Windowsa ni Google Chrome-a.
24. Mozilla Firefox - brisanje fascikle CrashReports- kad god se pojavi problem sa Firefoxom i on se sruši, generiraju se datoteke izvještaja. Ova opcija briše datoteke izvještaja. Dobitak slobodnog prostora dostiže nekoliko desetina megabajta, odnosno nema smisla od opcije, ali postoji. Stabilnost Windows-a i Mozilla Firefox-a nije ugrožena.

U zavisnosti od instaliranih programa, broj stavki će se razlikovati. Na primjer, ako je Opera pretraživač instaliran, možete očistiti i njegovu keš memoriju.

Čišćenje liste startup programa

Siguran način da se vaš računar uključi i ubrza je da obrišete startup listu. Ako se nepotrebni programi ne pokrenu, računar će se ne samo brže uključiti, već će i raditi brže - zbog oslobođenih resursa, koje programi koji rade u pozadini neće uzeti.

AVZ može vidjeti gotovo sve rupe u Windowsu kroz koje se programi pokreću. Listu automatskog pokretanja možete pogledati u meniju Alati - Upravitelj autorskim pokretanjem:

Običan korisnik nema apsolutno nikakvu potrebu za tako moćnom funkcionalnošću, pa pozivam ne gasi sve... Dovoljno je pogledati samo dve tačke - Fascikle za pokretanje i trči *.

AVZ prikazuje autorun ne samo za vašeg korisnika, već i za sve ostale profile:

U poglavlju trči * bolje je ne onemogućiti programe koji se nalaze u odjeljku HKEY_USERS- ovo može poremetiti druge korisničke profile i sam operativni sistem. U poglavlju Fascikle za pokretanje možete isključiti sve što vam nije potrebno.

Linije koje antivirus prepoznaje kao poznate su označene zelenom bojom. Ovo uključuje i Windows sistemske programe i digitalno potpisane programe trećih strana.

Svi ostali programi su označeni crnom bojom. To ne znači da su takvi programi virusi ili nešto slično, samo nisu svi programi digitalno potpisani.

Ne zaboravite proširiti prvi stupac šire da se prikaže naziv programa. Uobičajeno poništavanje kvačice privremeno će onemogućiti automatsko pokretanje programa (tada možete ponovo označiti polje za potvrdu), isticanjem stavke i pritiskom na dugme sa crnim krstom unos će se izbrisati zauvijek (ili dok se program ponovo ne registruje za automatsko pokretanje).

Postavlja se pitanje: kako odrediti šta se može onemogućiti, a šta ne? Postoje dva rješenja:

Prvo, postoji zdrav razum: možete donijeti odluku prema imenu programske datoteke. Na primjer, tokom instalacije, Skype kreira unos koji će se automatski pokrenuti kada uključite računar. Ako vam ne treba, poništite izbor u polju za potvrdu sa skype.exe. Usput, mnogi programi (i Skype među njima) mogu se sami ukloniti iz pokretanja, dovoljno je poništiti odgovarajuću stavku u postavkama samog programa.

Drugo, možete pretraživati ​​internet za informacije o programu. Na osnovu primljenih informacija, ostaje donijeti odluku: ukloniti ga iz automatskog pokretanja ili ne. AVZ olakšava pronalaženje informacija o stavkama: samo kliknite desnim tasterom miša na stavku i odaberite svoju omiljenu tražilicu:

Onemogućavanjem nepotrebnih programa značajno ćete ubrzati pokretanje računara. Međutim, nepoželjno je onemogućiti sve zaredom - to je ispunjeno činjenicom da ćete izgubiti indikator izgleda, onemogućiti antivirus itd.

Onemogućite samo one programe za koje sigurno znate - ne trebaju vam u automatskom pokretanju.

Ishod

U principu, ono o čemu sam pisao u članku je slično zabijanju eksera mikroskopom - AVZ program je pogodan za optimizaciju Windowsa, ali u stvari je složen i moćan alat pogodan za obavljanje raznih zadataka. Međutim, da biste u potpunosti iskoristili AVZ, morate dobro poznavati Windows, tako da možete početi od malog - naime, sa onim što sam gore opisao.

Ako imate bilo kakvih pitanja ili komentara - ispod članaka se nalazi blok komentara, gdje mi možete pisati. Pratim komentare i pokušat ću vam odgovoriti u najkraćem mogućem roku.

Povezani unosi:

Sviđa mi se

Sviđa mi se

Posvećeno AVZ, Želim podijeliti s vama nešto više znanja o mogućnostima ovog divnog uslužnog programa.

Danas ćemo govoriti o alatima za oporavak sistema, koji često mogu spasiti život vašeg računara nakon zaraze virusima i drugim užasima života, kao i riješiti niz sistemskih problema koji nastaju kao posljedica određenih grešaka.
Svima će biti od koristi.

Uvodno

Prije početka, tradicionalno, želim vam ponuditi dva formata materijala, i to: video ili tekstualni. Video ovdje:

Pa, i tekst ispod. Pogledajte sami koja vam je opcija bliža.

Opšti opis funkcionalnosti programa

Koji su ovi alati za oporavak? Ovo je skup firmvera i skripti koji pomažu da se određene sistemske funkcije vrate u radno stanje. Koje na primjer? Pa, recimo da vratimo ili uređivač registra, obrišemo hosts fajl ili resetujemo IE postavke. Općenito, dajem ga u cijelosti i sa opisom (kako ne bih iznova izmišljao točak):

• 1. Vraćanje parametara pokretanja za.exe, .com, .pif datoteke
  Ovaj firmver vraća sistemski odgovor na exe, com, pif, scr datoteke.
  Indikacije za upotrebu: nakon uklanjanja virusa, programi prestaju da rade.
• 2. Resetovanje postavki prefiksa protokola Internet Explorer na standard
  Ovaj firmver vraća postavke prefiksa protokola u Internet Explorer
  Indikacije za upotrebu: kada unesete adresu kao što je www.yandex.ru, ona se zamjenjuje nečim poput www.seque.com/abcd.php?url=www.yandex.ru
• 3. Vraćanje početne stranice Internet Explorer-a
  Ovaj firmver vraća početnu stranicu u Internet Explorer-u
  Indikacije za upotrebu: zamjena početne stranice
• 4. Vratite postavke pretrage Internet Explorer-a na standardne
  Ovaj firmver vraća postavke pretraživanja Internet Explorera
  Indikacije za upotrebu: Kada kliknete na dugme "Traži" u IE, dolazi do poziva nekog trećeg sajta
• 5. Vraćanje postavki radne površine
  Ovaj firmver vraća postavke radne površine. Oporavak znači uklanjanje svih aktivnih ActiveDesctop elemenata, pozadine, uklanjanje zaključavanja menija koji je odgovoran za postavke radne površine.
  Indikacije za upotrebu: Kartice postavki radne površine u prozoru "Svojstva: ekran" su nestale, na radnoj površini se prikazuju strani natpisi ili crteži
• 6. Uklanjanje svih pravila (ograničenja) trenutnog korisnika.
  Windows pruža mehanizam za ograničavanje radnji korisnika koji se naziva Policies. Ovu tehnologiju koriste mnogi zlonamjerni programi jer su postavke pohranjene u registru i nije ih teško kreirati ili mijenjati.
  Indikacije za upotrebu: Funkcije provodnika ili druge funkcije sistema su blokirane.
• 7. Brisanje poruke prikazane tokom WinLogon-a
  Windows NT i noviji sistemi u NT liniji (2000, XP) omogućavaju vam da postavite poruku koja se prikazuje tokom pokretanja. Brojni zlonamjerni programi to iskorištavaju, a ubijanje zlonamjernog programa ne uništava poruku.
  Indikacije za upotrebu: Prilikom pokretanja sistema pojavljuje se strana poruka.
• 8. Vratite postavke Explorera
  Ovaj firmver resetuje brojne postavke Explorera na standardne (podešavanja koja su promenjena malverom se prvo resetuju).
  Indikacije za upotrebu: Promijenjene postavke provodnika
• 9. Uklanjanje sistemskih procesa za otklanjanje grešaka
  Registrovanje debagera sistemskog procesa omogućit će prikriveno pokretanje aplikacije, što koristi veliki broj zlonamjernih programa.
  Indikacije za upotrebu: AVZ otkriva neprepoznate programe za otklanjanje grešaka sistemskih procesa, postoje problemi s pokretanjem komponenti sistema, posebno nakon ponovnog pokretanja radna površina nestaje.
• 10. Vraćanje postavki pokretanja u SafeMode
  Neki zlonamjerni softver, posebno crv Bagle, kvari postavke pokretanja sistema u zaštićenom načinu rada. Ovaj firmver vraća postavke pokretanja u bezbednom režimu.
  Indikacije za upotrebu: Računar se ne pokreće u SafeModeu. Koristite ovaj firmver samo u slučaju problema sa pokretanjem u zaštićenom režimu.
• 11. Otključavanje upravitelja zadataka
  Zlonamjerni softver koristi blokiranje Task Managera za zaštitu procesa od otkrivanja i brisanja. Shodno tome, izvršenje ovog mikroprograma uklanja zaključavanje.
  Indikacije za upotrebu: Blokiranje upravitelja zadataka, kada pokušate da pozovete upravitelja zadataka, prikazuje se poruka "Upravitelj zadataka je blokiran od strane administratora".
• 12. Brisanje liste ignoriranja uslužnog programa HijackThis
  Uslužni program HijackThis pohranjuje niz svojih postavki u registrator, posebno listu izuzetaka. Stoga, da bi se prikrio od HijackThisa, zlonamjerni program treba samo da registruje svoje izvršne datoteke na listi isključenja. Trenutno je poznato da brojni zlonamjerni programi iskorištavaju ovu ranjivost. AVZ firmver briše listu isključenja uslužnog programa HijackThis
  Indikacija za upotrebu: Sumnja da uslužni program HijackThis ne prikazuje sve informacije o sistemu.
• 13. Čišćenje Hosts datoteke
  Brisanje Hosts datoteke je jednostavno kao pronalaženje Hosts datoteke, uklanjanje svih smislenih linija iz nje i dodavanje standardne linije "127.0.0.1 localhost".
  Indikacija za upotrebu: Sumnja da je fajl Hosts modifikovan od strane zlonamernog programa. Tipični simptomi su blokiranje ažuriranja antivirusnog softvera. Možete kontrolisati sadržaj datoteke Hosts pomoću Hosts upravitelja datoteka ugrađenog u AVZ.
• 14. Automatska korekcija SPl / LSP postavki
  Analizira SPI postavke i, ako se pronađu bilo kakve greške, automatski ispravlja pronađene greške. Ovaj firmver se može ponovo pokrenuti neograničen broj puta. Nakon izvršavanja ovog firmvera, preporučuje se da ponovo pokrenete računar. Bilješka! Ovaj firmver se ne može pokrenuti iz terminalske sesije
  Indikacije za upotrebu: Pristup internetu je izgubljen nakon uklanjanja zlonamjernog softvera.
• 15. Resetujte SPI / LSP i TCP / IP postavke (XP +)
  Ovaj firmver radi samo na XP, Windows 2003 i Vista. Njegov princip rada zasniva se na resetovanju i ponovnom kreiranju SPI/LSP i TCP/IP postavki pomoću standardnog netsh uslužnog programa uključenog u Windows. Više o vraćanju na fabrička podešavanja možete pročitati u Microsoft bazi znanja – Napomena! Trebali biste primijeniti vraćanje na tvorničke postavke samo ako je potrebno ako postoje nepopravljivi problemi s pristupom Internetu nakon uklanjanja zlonamjernog softvera!
  Indikacije za upotrebu: Nakon brisanja zlonamjernog softvera izgubljen je pristup Internetu i izvršavanje firmvera 14. Automatska korekcija SPl / LSP postavki je "neefikasna".
• 16. Oporavak ključa za pokretanje Explorera
  Vraća ključeve sistemskog registra koji su odgovorni za pokretanje Explorera.
  Indikacije za upotrebu: Explorer se ne pokreće tokom pokretanja sistema, ali je moguće ručno pokrenuti explorer.exe.
• 17. Otključajte uređivač registra
  Otključava uređivač registra uklanjanjem politike koja sprečava njegovo pokretanje.
  Indikacije za upotrebu: Nemoguće je pokrenuti uređivač registra, kada pokušate, pojavljuje se poruka da je njegovo pokretanje blokirao administrator.
• 18. Potpuno ponovno kreiranje SPI postavki
  Pravi sigurnosnu kopiju SPI/LSP postavki, zatim ih uništava i kreira prema referenci pohranjenoj u bazi podataka.
  Indikacije za upotrebu: Teško oštećenje SPI postavki, nepopravljivo skriptama 14 i 15. Koristite samo ako je potrebno!
• 19. Očistite osnovne tačke postavljanja
  Briše bazu podataka MountPoints i MountPoints2 u registru.
  Indikacije za upotrebu: Ova operacija često pomaže u slučaju kada se diskovi ne otvore u Exploreru nakon što su zaraženi Flash virusom
• Napomenu:
  Oporavak je beskoristan ako na sistemu radi trojanski konj koji izvodi takve rekonfiguracije - prvo morate ukloniti zlonamjerni softver, a zatim vratiti postavke sistema
  Napomenu:
  Da biste eliminisali tragove većine otmičara, potrebno je da pokrenete tri firmvera - "Vrati postavke pretrage Internet Explorer-a na standardne", "Vrati početnu stranicu Internet Explorer-a", "Vrati postavke prefiksa Internet Explorer protokola na standard"
  Napomenu:
  Bilo koji od firmvera može se izvršiti nekoliko puta zaredom bez uticaja na sistem. Izuzeci su "5. Vraćanje postavki radne površine" (rad ovog firmvera će resetirati sve postavke radne površine i morat ćete ponovo odabrati boju radne površine i pozadinu) i "10. Vraćanje postavki pokretanja u SafeMode" (ovaj firmver ponovo kreira registar tipke odgovorne za učitavanje u siguran način rada).

Korisno, zar ne?
Sada kako ga koristiti.

Početak učitavanja, upotreba

Zapravo, sve je jednostavno.

1. Preuzimanje odavde(ili bilo gdje drugdje) antivirusni program AVZ.
2. Raspakujemo arhivu s njom negdje gdje vam odgovara
3. Idemo u fasciklu u koju smo raspakovali program i tamo pokrećemo avz.exe.
4. U prozoru programa izaberite „File" - "Vraćanje sistema".
5. Označavamo potrebne stavke i pritisnemo dugme " Izvršite označene operacije".
6. Čekamo i uživamo u rezultatu.

Evo stvari.

Pogovor

Moram reći da djeluje uz prasak i eliminira brojne nepotrebne pokrete tijela. Takoreći sve je na dohvat ruke, brzo, jednostavno i efikasno.

Hvala na pažnji;)

Hvala vam na pomoći u pripremi materijala od majstora računarskog servisnog centra Launch.RF. Možete naručiti popravke laptopa i netbooka od ovih momaka u Moskvi.

Zlonamjerni programi se uvode u operativni sistem osobnog računala, uzrokujući značajnu štetu cjelokupnoj količini podataka. U ovom trenutku se stvaraju zlonamjerni programi za različite svrhe, pa su njihove akcije usmjerene na ispravljanje različitih struktura operativnog sistema osobnog računara.

Uobičajene i očigledne posljedice za korisnika su problemi u radu sa Internetom, poremećaji u radu uređaja povezanih na PC.

Čak i ako je štetočina otkrivena i uništena, to ne isključuje gubitak informacija i druge probleme koji se javljaju u naknadnom radu. Opcije možete nabrajati u nedogled, najčešće korisnik otkrije potpunu ili djelomičnu blokadu pristupa World Wide Webu, odbijanje rada vanjskih uređaja (miš, fleš kartica), praznu radnu površinu i tako dalje.

Navedene posljedice se uočavaju zbog izmjena koje je pest program napravio u sistemskim datotekama personalnog računara. Takve promjene se ne eliminiraju eliminacijom virusa, potrebno ih je samostalno ispraviti ili pribjeći pomoći stručnjaka. Zapravo, ovakav rad ne zahtijeva posebnu obuku, a svaki napredni korisnik može ga obaviti nakon što prouči odgovarajuća uputstva.

U praksi organiziranja oporavka operativnog sistema razlikuje se nekoliko pristupa, ovisno o razlozima koji su doveli do kvara. Razmotrimo svaku od opcija detaljno. Jednostavna metoda dostupna svakom korisniku je vraćanje operativnog sistema na tačku vraćanja kada rad personalnog računara ispuni zahtjeve korisnika. Ali vrlo često je ova odluka nezadovoljavajuća, ili je iz objektivnih razloga nemoguće provesti.

Kako vratiti OS ako se PC ne može prijaviti?

Oporavak sistema počinje na sljedeći način. Start Menu \ Control Panel \ System Restore. Na ovoj adresi biramo tačku vraćanja koja nam je potrebna i započinjemo proces. Nakon nekog vremena posao će biti završen i računar je spreman za normalan rad. Tehnika je prilično primjenjiva za eliminaciju nekih vrsta virusa, budući da se promjene dešavaju na razini registra. Ova opcija za vraćanje operativnog sistema smatra se najjednostavnijom i uključena je u skup standardnih Windows alata. Korak po korak uputstva i pomoć sa detaljnim komentarima procesa pomoći će vam da savladate tehniku ​​vraćanja zdravlja i računara, čak i ako se korisnik ne oseća potpuno samopouzdano kao administrator računara.

Još jedna uobičajena opcija oporavka OS-a je pokretanje procedure s vanjskog medija. Ova opcija je komplikovana zbog nekih stvari, na primjer, potrebno je imati sliku sistema na fleš kartici ili disku i unaprijed se pobrinuti za takvu kopiju. Osim toga, često je potrebno imati određene vještine u radu sa BIOS-om. Slika operativnog sistema na eksternom mediju je najbolja opcija ako je oporavak nemoguć, jer je virus blokirao ulazak računara u sistem. Postoje i druge opcije.

Nemoguće je koristiti standardne Windows alate za vraćanje OS-a ako, na primjer, ne možete da se prijavite ili postoje drugi razlozi koji sprečavaju da se operacija izvrši u standardnom režimu. Situacija se može riješiti korištenjem alata ERD Commander (ERDC).

Kako program radi, analizirajmo situaciju uzastopno. Prvi korak je preuzimanje programa. Drugi korak je pokretanje čarobnjaka za vraćanje sistema, uz njegovu pomoć se OS vraća na navedenu poziciju za oporavak.

Po pravilu, svaki alat ima nekoliko kontrolnih tačaka na lageru, a u osamdeset posto slučajeva performanse personalnog računara će biti potpuno reanimirane.

Korištenje alata AVZ Utility Tools

Alat koji se razmatra u nastavku ne zahtijeva nikakve posebne vještine i sposobnosti korisnika u radu. Softverski proizvod je razvio Oleg Zaitsev i dizajniran je za pretraživanje i uništavanje svih vrsta virusa i zlonamjernog softvera. Ali osim glavne funkcije, uslužni program vraća većinu sistemskih postavki koje su napadnute ili izmijenjene od strane zlonamjernih virusa.

Koje probleme može riješiti predstavljeni program? Glavna stvar je vratiti sistemske datoteke i postavke koje su napali virusi. Uslužni program se nosi s oštećenim upravljačkim programima koji odbijaju da se pokrenu nakon oporavka. Kada se pojave problemi u pretraživačima ili u slučaju blokiranja pristupa internetu i mnogih drugih problema.

Aktiviramo operaciju vraćanja u File \ System Restore i odabiremo operaciju koja je potrebna. Slika prikazuje sučelje firmvera koji koristi uslužni program, dat ćemo opis svakog od njih.

Kao što vidite, skup operacija je predstavljen sa 21 stavkom, a naziv svake od njih objašnjava njenu svrhu. Imajte na umu da su mogućnosti programa prilično raznolike i da se može smatrati univerzalnim alatom u reanimaciji ne samo samog sistema, već i eliminacije posljedica virusa sa sistemskim podacima.

Prvi parametar se koristi ako, kao rezultat virusnog napada i procedura oporavka OS, programi koji su potrebni korisniku odbiju raditi. U pravilu, to se događa ako je štetočina prodrla u datoteke i upravljačke programe programa i izvršila bilo kakve promjene u informacijama koje su tamo zabilježene.

Drugi parametar je potreban kada su virusi zamijenili domene kada se unesu u pretraživač pretraživača. Takva zamjena je prvi nivo ispravljanja interakcije sistemskih datoteka operativnog sistema i Interneta. Takva funkcija programa, u pravilu, eliminira promjene napravljene bez traga, bez pokušaja da ih otkrije, već jednostavno podvrgava cjelokupni volumen podataka prefiksa i protokola potpunom formatiranju, zamjenjujući ih standardnim postavkama.

Treći parametar nastavlja konfiguraciju početne stranice internet pretraživača. Kao iu prethodnom slučaju, program podrazumevano ispravlja probleme u pretraživaču Internet Explorer.

Četvrti parametar prilagođava rad pretraživača i postavlja standardni način rada. Opet, procedura se odnosi na podrazumevani pretraživač koji je instalirao Windows.

U slučaju problema u vezi sa funkcionisanjem radne površine (pojava banera, slika, stranih unosa na njoj), aktivira se peta tačka programa. Ovakve posljedice djelovanja zlonamjernih programa bile su vrlo popularne prije nekoliko godina i stvarale su dosta problema korisnicima, ali i sada je moguće da takvi prljavi varalice prodru u operativni sistem PC-a.

Šesta tačka je neophodna ako je program za oštećenje smreke ograničio radnje korisnika pri izvršavanju većeg broja komandi. Ova ograničenja mogu biti različite prirode, a budući da su postavke pristupa pohranjene u registratoru, zlonamjerni programi najčešće koriste ove informacije kako bi prilagodili rad korisnika sa svojim računarom.

Ako se prilikom učitavanja OS-a pojavi poruka treće strane, to znači da je zlonamjerni program uspio infiltrirati Windows NT parametre pokretanja. Oporavak OS-a koji je uništio virus ne briše ovu poruku. Da biste ga uklonili, morate aktivirati sedmi parametar AVZ uslužnog menija.

Osma opcija menija, kao što ime govori, vraća postavke Explorera.

Ponekad se problem manifestira u obliku prekida u radu komponenti sistema, na primjer, tokom pokretanja operativnog sistema osobnog računara, radna površina nestaje. AVZ uslužni program dijagnostikuje ove strukture i vrši potrebna podešavanja koristeći devetu stavku menija alata.

Problemi sa učitavanjem OS-a u sigurnom načinu rada otklanjaju se točkom deset. Lako je otkriti potrebu za aktiviranjem ove stavke multiprograma uslužnog programa koji se ovdje razmatra. Pojavljuju se u svakom pokušaju obavljanja posla u sigurnosnom režimu.

Ako je upravitelj zadataka blokiran, tada morate aktivirati jedanaestu stavku menija. Virusi u ime administratora vrše promjene u aktivaciji ovog dijela operativnog sistema, a umjesto radnog prozora pojavljuje se poruka da je rad sa upraviteljem zadataka blokiran.

Uslužni program HijackThis koristi čuvanje liste izuzetaka u registru kao jednu od svojih glavnih funkcija. Za virus je dovoljno prodreti u uslužnu bazu podataka i registrirati datoteke u listi registratora. Nakon toga, može se samopopravljati neograničen broj puta. Uslužni registar se čisti aktiviranjem dvanaeste stavke menija AVZ postavki.

Sljedeća, trinaesta točka, omogućava vam da izbrišete datoteku Hosts, ova datoteka modificirana virusom može uzrokovati poteškoće pri radu s mrežom, blokirati neke resurse, ometati ažuriranje baza podataka antivirusnih programa. U nastavku će se detaljnije raspravljati o radu s ovom datotekom. Nažalost, gotovo svi virusni programi teže uređivanju ovog fajla, što je prvenstveno zbog jednostavnosti unošenja ovakvih izmjena, a posljedice mogu biti više nego značajne i nakon uklanjanja virusa informacije unesene u datoteku mogu biti direktne kapija za prodiranje novih štetočina i špijuna u OS.

Ako je pristup Internetu blokiran, to obično znači da postoje greške u SPI postavkama. Njihova korekcija će se desiti ako aktivirate četrnaestu stavku menija. Važno je da se ova stavka ne može koristiti iz terminalske sesije.

Slične funkcije su uključene u petnaestu stavku menija, ali je njeno aktiviranje moguće samo uz rad u OS kao što su XP, Windows 2003, Vista. Ovaj multiprogram možete koristiti ako pokušaji ispravljanja situacije s prijavom na mrežu korištenjem prethodne postavke nisu donijeli željeni rezultat.

Mogućnosti šesnaeste stavke menija imaju za cilj vraćanje ključeva sistemskog registra koji su odgovorni za pokretanje internet pretraživača.

Sljedeći korak u vraćanju postavki OS-a nakon virusnog napada je otključavanje uređivača registra. U pravilu, vanjska manifestacija - nemoguće je preuzeti program za rad s Mrežom.

Sljedeće četiri tačke preporučuje se primijeniti samo ako je oštećenje operativnog sistema toliko katastrofalno da, uglavnom, nema razlike da li će biti eliminisane takvim metodama, ili će, kao rezultat toga, biti potrebno ponovo instalirajte ceo sistem.

Dakle, osamnaesta tačka rekreira originalne SPI postavke. Klauzula devetnaest briše registar Points / 2.

Dvadeseti korak uklanja sve statičke rute. Konačno, posljednja, dvadeset prva tačka briše sve DNS veze.

Kao što vidite, mogućnosti uslužnog programa pokrivaju gotovo sva područja u koja program koji oštećuje smreke može prodrijeti i ostaviti svoj aktivni trag, koji nije tako lako otkriti.

Budući da antivirusne aplikacije ne garantuju stopostotnu zaštitu operativnog sistema vašeg računara, preporučujemo vam da takav program imate u arsenalu alata za borbu protiv računarskih virusa svih vrsta i oblika.

Kao rezultat dezinfekcije OS osobnog računala, uređaji povezani s njim ne rade.

Jedan od popularnih načina da se prikrije špijunski softver je instaliranje vlastitog drajvera za viruse pored stvarnog softvera. U ovoj situaciji pravi drajver je najčešće fajl miša ili tastature. Shodno tome, nakon uništenja virusa, njegov trag ostaje u registru, zbog čega uređaj na koji se štetočina mogao priključiti prestaje da radi.

Slična situacija se može uočiti ako proces deinstalacije Kaspersky Anti-Virus ne radi ispravno. Ovo je takođe povezano sa specifičnostima instaliranja programa, kada se za njegovu instalaciju na PC koristi pomoćni drajver klmouflt. U situaciji sa Kasperskyjem, ovaj drajver mora biti pronađen i potpuno uklonjen iz sistema personalnog računara u skladu sa svim pravilima.

Ako tastatura i miš odbijaju da rade u željenom režimu, prvi korak je vraćanje ključeva registratora.

Tastatura :
HKEY_LOCAL_MACHI NE \ SYSTEM \ Current tControlSet \ Cont rol \ Class \ (4D36E 96B-E325-11CE-BF C1-08002BE10318)
Gornji filteri = kbd klasa

Miš :
HKEY_LOCAL_MACHI NE \ SYSTEM \ Current tControlSet \ Cont rol \ Class \ (4D36E 96F-E325-11CE-BF C1-08002BE10318)
UpperFilters = mou klasa

Problem nepristupačnih lokacija

Posljedice napada zlonamjernog softvera mogu biti nedostupnost nekih resursa na Internetu. A ove posljedice su rezultat promjena koje su virusi uspjeli unijeti u sistem. Problem se otkriva odmah ili nakon nekog vremena, međutim, ako se, kao rezultat djelovanja programa za štetočine, manifestira nakon nekog vremena, neće ga biti teško ukloniti.

Postoje dvije opcije blokiranja, a najčešća je ispravljanje hosts datoteke. Druga opcija je stvaranje lažnih statičkih ruta. Čak i ako je virus uništen, promjene koje unese na ove alate neće biti uklonjene.

Predmetni dokument se nalazi u sistemskoj fascikli na disku C. Njegova adresa i lokacija se mogu naći ovde: C: \ Windows \ System 32 \ drajveri \ itd \ hostovi. Za brzu pretragu, po pravilu, koristite komandnu liniju iz menija Start.

Ako se datoteka ne može pronaći pomoću navedenog redoslijeda radnji, to može značiti da:

- virusni program je promijenio svoju lokaciju u registru;

- dokument datoteke ima "skriveni" parametar.

U potonjem slučaju mijenjamo karakteristike pretraživanja. Na adresi: Opcije mape / Prikaz, nalazimo liniju "Prikaži skrivene datoteke" i postavljamo oznaku nasuprot, proširujući raspon pretraživanja.

Datoteka hosts sadrži informacije o pretvaranju abecednog naziva domene stranice u njenu IP adresu, pa programi koji štete smreci propisuju podešavanja u njoj koja mogu preusmjeriti korisnika na druge resurse. Ako se to dogodilo, onda kada unesete adresu željene stranice, otvara se potpuno drugačija. Da biste ove promjene vratili u prvobitno stanje i popravili ih, morate pronaći ovu datoteku i analizirati njen sadržaj. Čak će i neiskusni korisnik vidjeti što je točno virus ispravio, ali ako to uzrokuje određene poteškoće, možete vratiti zadane postavke, čime ćete eliminirati sve promjene napravljene u datoteci.

Što se tiče popravki rute, ovdje je princip isti. Međutim, u procesu interakcije između operativnog sistema računara i Interneta, prioritet uvijek ostaje hosts fajlu, tako da je njegovo vraćanje dovoljno da se posao obavlja u standardnom režimu.

Poteškoća nastaje ako se tražena datoteka ne može pronaći, jer virus mijenja svoju lokaciju u sistemskim mapama. Zatim morate popraviti ključ registratora.

HKEY_LOCAL_MACHI NE \ SYSTEM \ Trenutni tControlSet \ usluge \ Tcpip \ Param eters \ DataBasePath

Virusi koji pripadaju Win32/Vundo grupi su superiorniji od većine svojih zlonamjernih kolega u pameti pretvaranja host datoteka. Mijenjaju naziv samog fajla, brišući latinično slovo o i zamjenjujući znak ćiriličnim slovom. Takav fajl više nije uključen u pretvaranje imena domena sajtova u IP adrese, a čak i ako korisnik vrati ovu datoteku, rezultat rada će ostati isti. Kako da pronađem originalni fajl? Ako postoji sumnja da je predmet koji nam treba stvaran, vršimo sljedeću proceduru. Prvi korak je aktiviranje moda prikaza skrivenih datoteka. Pogledajmo imenik, izgleda kao da je prikazan na slici.

Evo dva identična fajla, ali pošto OS ne dozvoljava upotrebu identičnih naziva, očigledno je da imamo posla sa lažnim dokumentom. Odrediti koji je ispravan, a koji nije je jednostavno. Virus stvara veliki fajl i brojna podešavanja, pa je rezultat njegove sabotaže prikazan na slici kao skriveni fajl od 173 KB.

Ako otvorite datoteku dokumenta, informacije u njoj će sadržavati sljedeće redove:

31.214.145.172 vk.com - niz koji može zamijeniti IP adresu stranice

127.0.0.1 avast.com - linija datoteke koju je napisao virus kako bi se zabranio pristup web mjestu antivirusnog programa

Gore smo već napomenuli da je moguće blokirati pojedinačne resurse kreiranjem pogrešnih ruta u tabeli usmjeravanja. Kako se situacija može riješiti, razmotrite slijed radnji.

Ako hosts datoteka nema zlonamjerna podešavanja, a rad sa resursom je nemoguć, problem leži u tabeli ruta. Nekoliko riječi o suštini interakcije ovih alata. Ako je ispravna adresa adaptivne domene registrirana u datoteci hosts, tada se na ovoj adresi događa preusmjeravanje na postojeći resurs. Po pravilu, IP adresa ne pripada rasponu adresa lokalne podmreže, pa se prosljeđivanje odvija preko gatewaya rutera, što je određeno postavkama internetske veze.

Ako ispravite zapise rute za određenu IP adresu, tada će se automatski povezati na osnovu ovog zapisa. Pod uslovom da ne postoji takva ruta ili gateway ne radi, veza se neće uspostaviti i resurs će ostati nedostupan. Dakle, virus može obrisati unos u tabeli ruta i blokirati apsolutno bilo koju stranicu.

Rute kreirane za određene lokacije ostaju u bazi podataka registra HKLM. Ruta se ažurira kada se aktivira naredba programa za dodavanje rute ili kada se podaci ručno ispravljaju. Kada nema statički ruta, tada je odjeljak tabele prazan. Možete vidjeti listu informacija o usmjeravanju koristeći naredbu za ispis rute. Izgladit će to ovako:

Aktivne rute:

Gornja tabela je standardna za PC sa jednom mrežnom karticom i postavkama mrežne veze:

IP adresa 192.168.0.0

maska ​​255.255.255.0

default gateway 192.168.0.1

Gornji unos uključuje mrežnu IP adresu kodiranu kao 192.168.0.0 i masku podmreže kodiranu kao 255.255.255.0. Ako dešifrujete ove podatke, onda su informacije sljedeće. Maska uključuje cijeli volumen čvorova sa ekvivalentnim gornjim dijelom adrese. Prema metričkom sistemu, prva tri bajta maske podmreže jednaka su 1 u svim operativnim sistemima računara (osim decimalnog, gde je vrednost 255 i heksadecimalnog, gde je vrednost 0 * FF). Najmanje značajan dio primljene adrese hosta je vrijednost u rasponu od 1-254.

Prema gore navedenim informacijama, kodirana je najniža adresa - 192.168.0.0, ovaj kod je mrežna adresa. Adresa visokog reda, kodirana 192.168.0.255, karakterizira se kao adresa emitiranja. A ako prvi kod isključuje njegovu upotrebu za razmjenu podataka, onda je drugi kod samo namijenjen za obavljanje ovih funkcija. Njihovi čvorovi razmjenjuju pakete podataka koristeći rute.

Zamislimo sljedeću konfiguraciju:

IP adresa - 192.168.0.0

Mrežna maska ​​- 255.255.255.0

Gateway - 192.168.0.3

Interfejs - 192.168.0.3

metrika - 1

Informacije se logički dešifriraju na sljedeći način: u rasponu adresa od 192.168.0.0 - 192.168.0.255 za razmjenu informacija kao gateway i interfejs koristimo kod mrežne kartice (192.168.0.3). Sve to znači da informacija ide direktno do samog primaoca.

Kada uslov krajnje adrese ne odgovara specificiranom rasponu 192.168.0.0-192. 168.0.255, nećete moći direktno prenositi informacije. Protokol servera šalje podatke ruteru, koji ih prosljeđuje drugoj mreži. Ako nisu specificirane statičke rute, zadana adresa rutera ostaje ista kao i adresa gatewaya. Informacije se šalju na ovu adresu, zatim u mrežu i duž ruta navedenih u tabeli sve dok primalac ne primi paket. Općenito, proces prijenosa podataka izgleda ovako. Evo ilustracije unosa u standardnoj tabeli rutera. U primjeru postoji samo nekoliko zapisa, ali njihov broj može doseći desetine i stotine redova.

Na osnovu podataka u primjeru opisati ćemo proces prosljeđivanja na adrese internetskog resursa u. Prilikom kontaktiranja adresa Internet resursa u navedenom rasponu od 74.55.40.0 do 74.55.40.255, kod rutera je jednak mrežnom broju 192.168.0.0, te se stoga ne može koristiti u procesu razmjene podataka informacija. IP-protokol dijagnosticira adresu (74.55.40.226) koja nije uključena u paket adresa pojedinačne lokalne mreže i odnosi se na propisane statičke rute.

U situaciji kada ova ruta nije registrovana, paket informacija se šalje na identifikacionu adresu gateway-a, standardno postavljenu u primeru.

Budući da je ruta prikazana u primjeru karakterizirana visokim prioritetom, stoga joj je potreban određeni gateway, a ne standard koji je pogodan za sve. Pošto u tabeli ne postoji gateway koji zadovoljava zahtev, server sa mrežnom adresom 74.55.40.226 će ostati van zone pristupa. A pod uslovima propisanim u primeru sa kodom maske podmreže, sve adrese u opsegu 74.55.40.0 - 74.55.40.255 će biti blokirane. Ovaj raspon uključuje mrežnu putanju do lokacije antivirusnog softvera instaliranog na osobnom računalu, koji neće primati potrebna ažuriranja baze virusa i neće ispravno funkcionisati.

Što je više takvih podataka u tabeli ruta, to je više resursa blokirano. U praksi stručnjaka, virusni programi stvorili su do četiri stotine linija ove vrste, blokirajući na taj način rad oko hiljadu mrežnih resursa. Štoviše, vlasnici virusa nisu posebno zainteresirani za činjenicu da pokušavajući zabraniti određeni resurs, isključuju desetine drugih stranica iz mogućeg pristupa. Ovo je glavna greška beskrupuloznih programera, jer količina nedostupnih resursa otkriva samu vjerovatnoću blokiranja prijenosa podataka. Tako, na primjer, ako su najpopularnije društvene mreže uključene u krug isključenja, a korisnik ne može ući na web stranicu VKontakte ili Odnoklassniki, tada se javlja sumnja u ispravnost rada PC-a s mrežom.

Situaciju nije teško popraviti, u tu svrhu se koriste komanda route i tipka za brisanje. Pronađite lažne unose u tabeli i deinstalirajte. Mala napomena, sve operacije su izvodljive samo ako korisnik ima administratorska prava, ali virus može mijenjati rutu samo ako je ušao u mrežu preko administratorskog naloga osobnog računala. Evo nekoliko primjera takvih zadataka.

brisanje rute 74.55.40.0 - unos koji briše prvu varijantu linije rute;

route delete 74.55.74.0 - unos koji briše drugu varijantu niza rute.

Broj takvih linija trebao bi biti jednak ukupnom broju lažnih ruta.

Ako je lakše pristupiti proceduri, onda je potrebno primijeniti operaciju preusmjeravanja izlaza. Ovo se radi unosom zadatka print print> C: \ routes.txt. Aktivacija naredbe stvara situaciju kada se na sistemskom disku kreira fajl dokument pod nazivom routes.txt, koji sadrži tabelu sa podacima rute.

Lista tabele sadrži DOS znakove. Ovi simboli su nečitljivi i nebitni su za obavljanje posla. Dodavanjem zadatka brisanja rute na početku svake rute uklanjamo svaki lažni unos. Ovi izgledaju otprilike ovako:

brisanje rute 84.50.0.0

ruta brisanje 84.52.233.0

ruta brisanje 84.53.70.0

ruta brisanje 84.53.201.0

ruta brisanje 84.54.46.0

Zatim morate promijeniti ekstenziju datoteke, opcije za zamjenu takve ekstenzije su cmd ili bat. Nova datoteka se pokreće dvostrukim klikom na desnu tipku miša. Da biste pojednostavili zadatak, možete koristiti popularni upravitelj datoteka FAR, koji radi na sljedeći način. Editor, koji se poziva funkcijskom tipkom F 4, ističe desnu stranu zapisa rute posebnom oznakom. Koristeći kombinaciju tipki CTRL + F 7, svi razmaci se automatski pretvaraju u znak sa praznom vrijednošću, a razmak se zauzvrat postavlja na početnu poziciju reda. Nova kombinacija navedenih ključeva postavlja zadatak brisanja rute na mjesto koje nam je potrebno.

Kada u tabeli podataka ima puno lažnih ruta i njihovo ručno ispravljanje se čini kao dug i zamoran proces, preporučuje se da koristite zadatak rute zajedno sa F tasterom.

Ovaj ključ uklanja sve ne-nodalne rute, kao i potpuno deinstalira rute sa krajnjom točkom i adresom emitiranja. Prvi i posljednji imaju digitalni kod 255.255.255.255; drugi je 127.0.0.0. Drugim riječima, sve lažne informacije koje je virus uneo u tabelu će biti deinstalirane. Ali u isto vrijeme, zapisi statičkih ruta koje je sam napisao korisnik i podaci zadanog gatewaya bit će uništeni, pa će ih trebati vratiti, jer će mreža ostati nedostupna. Ili pratite proces brisanja tabele podataka i zaustavite ga ako nameravate da izbrišete zapis koji nam je potreban.

AVZ antivirusni program se također može koristiti za podešavanje postavki rutera. Specifičan multiprogram koji se bavi ovim procesom je dvadeseta stavka TCP konfiguracije.

Posljednja opcija za blokiranje pristupa korisnika IP adresama lokacija koje koriste virusni programi je korištenje lažne adrese DNS servera. U ovom slučaju, povezivanje na mrežu se odvija preko zlonamjernog servera. Ali takve situacije su dovoljno rijetke.

Nakon obavljenog ponašanja potrebno je ponovo pokrenuti personalni računar.

Još jednom zahvaljujemo na pomoći u pripremi materijala majstora računarskog servisnog centra Launch.RF - http: //zapuskay.rf/information/territory/kolomenskaya/, od kojih možete naručiti popravke laptopa i netbooka u Moskvi.