نحوه راه اندازی گوشی های هوشمند و رایانه های شخصی پرتال اطلاعاتی
  • خانه
  • خطاها
  • ما با استفاده از برنامه AVZ تعمیر و بهینه سازی می کنیم. عواقب و بازیابی سیستم پس از ویروس پتیا

ما با استفاده از برنامه AVZ تعمیر و بهینه سازی می کنیم. عواقب و بازیابی سیستم پس از ویروس پتیا

31.07.2019 خطاها

ما در مورد ساده ترین راه های خنثی سازی ویروس ها، به ویژه مسدود کردن ویندوز 7 دسکتاپ کاربر (خانواده ویروس Trojan.Winlock) صحبت خواهیم کرد. چنین ویروس هایی از این جهت متفاوت هستند که حضور خود را در سیستم پنهان نمی کنند، بلکه برعکس، آن را نشان می دهند و انجام هر گونه اقدامی غیر از وارد کردن یک "کد باز کردن قفل" خاص را تا حد امکان دشوار می کنند، که ظاهراً برای آن لازم است مبلغ مشخصی را با ارسال پیامک یا تکمیل حساب تلفن همراه از طریق پایانه پرداخت به مجرمان سایبری منتقل کند. هدف در اینجا یکی است - واداشتن کاربر به پرداخت و گاهی اوقات پول بسیار مناسب. پنجره ای روی صفحه نمایش داده می شود که با یک هشدار مهیب در مورد مسدود کردن رایانه به دلیل استفاده از نرم افزارهای غیرمجاز یا بازدید از سایت های ناخواسته و چیز دیگری از این دست، به عنوان یک قاعده، کاربر را بترساند. علاوه بر این، این ویروس به شما اجازه انجام هیچ گونه عملی را در محیط کاری ویندوز نمی دهد - فشار دادن کلیدهای ترکیبی ویژه برای فراخوانی منوی دکمه Start، دستور Run، Task Manager و غیره را مسدود می کند. نشانگر ماوس را نمی توان به خارج از پنجره ویروس منتقل کرد. به عنوان یک قاعده، هنگام بوت کردن ویندوز در حالت ایمن، همان تصویر مشاهده می شود. این وضعیت ناامید کننده به نظر می رسد، به خصوص اگر رایانه دیگری وجود نداشته باشد، توانایی بوت شدن در یک سیستم عامل دیگر، یا از رسانه های قابل جابجایی (LIVE CD، ERD Commander، اسکنر آنتی ویروس) وجود نداشته باشد. اما، با این وجود، در اکثریت قریب به اتفاق موارد راهی برای خروج وجود دارد.

فناوری‌های جدید پیاده‌سازی شده در ویندوز ویستا/ویندوز ۷، پیاده‌سازی و تحت کنترل کامل سیستم را برای بدافزارها بسیار سخت‌تر کرده و همچنین فرصت‌های بیشتری را در اختیار کاربران قرار می‌دهد تا حتی بدون داشتن نرم‌افزار آنتی‌ویروس (نرم‌افزار) نسبتاً به راحتی از شر آنها خلاص شوند. در مورد قابلیت بوت سیستم در حالت ایمن با پشتیبانی از خط فرمان و اجرای نرم افزار کنترل و بازیابی از آن صحبت می کنیم. بدیهی است که از روی عادت، به دلیل اجرای نسبتا ضعیف این حالت در نسخه های قبلی سیستم عامل های ویندوز، بسیاری از کاربران به سادگی از آن استفاده نمی کنند. اما بیهوده. خط فرمان ویندوز 7 دسکتاپ معمولی را ندارد (که می تواند توسط ویروس مسدود شود)، اما می توان اکثر برنامه ها را راه اندازی کرد - ویرایشگر رجیستری، مدیر وظیفه، ابزار بازیابی سیستم و غیره.

حذف یک ویروس با بازگرداندن سیستم به یک نقطه بازیابی

ویروس یک برنامه معمولی است و حتی اگر روی هارد دیسک رایانه قرار داشته باشد، اما توانایی راه اندازی خودکار هنگام بوت شدن سیستم و ورود کاربر را نداشته باشد، به همان اندازه بی ضرر است که مثلاً ، یک فایل متنی معمولی. اگر مشکل مسدود کردن راه اندازی خودکار یک برنامه مخرب حل شود، می توان کار خلاص شدن از شر بدافزار را تکمیل شده در نظر گرفت. روش اصلی راه‌اندازی خودکار که توسط ویروس‌ها استفاده می‌شود، از طریق ورودی‌های رجیستری ساخته‌شده خاص است که هنگام تزریق به سیستم ایجاد می‌شوند. اگر این ورودی ها را حذف کنید، ویروس را می توان خنثی شده در نظر گرفت. ساده ترین راه این است که بازیابی ایست بازرسی را انجام دهید. چک پوینت یک کپی از فایل های مهم سیستم است که در یک فهرست خاص ("اطلاعات حجم سیستم") ذخیره شده و شامل کپی هایی از فایل های رجیستری ویندوز است. انجام یک بازگشت سیستم به یک نقطه بازیابی، که تاریخ ایجاد آن قبل از عفونت ویروسی است، به شما امکان می دهد تا وضعیت رجیستری سیستم را بدون ورودی هایی که توسط ویروس مهاجم انجام شده است، دریافت کنید و در نتیجه شروع خودکار آن را حذف کنید، یعنی. حتی بدون استفاده از نرم افزار آنتی ویروس از شر عفونت خلاص شوید. به این ترتیب می توانید به سادگی و به سرعت از شر آلودگی سیستم توسط اکثر ویروس ها از جمله ویروس هایی که دسکتاپ ویندوز را مسدود می کنند خلاص شوید. به طور طبیعی، ویروس مسدود کننده ای که برای مثال از اصلاح بخش های بوت دیسک (ویروس MBRLock) استفاده می کند، نمی تواند به این روش حذف شود، زیرا بازگشت سیستم به نقطه بازیابی تأثیری بر سوابق بوت دیسک ها نمی گذارد. و بوت کردن ویندوز در حالت امن با پشتیبانی از خط فرمان امکان پذیر نخواهد بود زیرا ویروس حتی قبل از بوت لودر ویندوز بارگذاری می شود. برای خلاص شدن از شر چنین عفونتی، باید از رسانه دیگری بوت شده و سوابق بوت آلوده را بازیابی کنید. اما تعداد نسبتا کمی از این نوع ویروس ها وجود دارد و در بیشتر موارد، می توانید با برگرداندن سیستم به نقطه بازیابی، از شر عفونت خلاص شوید.

1. در همان ابتدای دانلود، دکمه F8 را فشار دهید. منوی بوت لودر ویندوز با گزینه های احتمالی برای بارگیری سیستم روی صفحه نمایش داده می شود

2. گزینه بوت ویندوز - "Safe Mode with Command Prompt" را انتخاب کنید.

پس از اتمام دانلود و ثبت نام کاربر، به جای دسکتاپ معمول ویندوز، پنجره پردازشگر فرمان cmd.exe نمایش داده می شود.

3. با تایپ rstrui.exe در خط فرمان و فشار دادن ENTER، System Restore را اجرا کنید.

حالت را به "انتخاب یک نقطه بازیابی دیگر" تغییر دهید و در پنجره بعدی کادر "نمایش سایر نقاط بازیابی" را علامت بزنید.

پس از انتخاب یک نقطه بازیابی ویندوز، می‌توانید لیستی از برنامه‌های آسیب‌دیده را هنگامی که سیستم به عقب بازگردانده می‌شود، مشاهده کنید:

لیست برنامه‌های تحت تأثیر فهرستی از برنامه‌هایی است که پس از ایجاد نقطه بازیابی سیستم نصب شده‌اند و ممکن است نیاز به نصب مجدد داشته باشند زیرا هیچ ورودی رجیستری مرتبط با آنها وجود نخواهد داشت.

پس از کلیک بر روی دکمه "پایان"، فرآیند بازیابی سیستم آغاز می شود. پس از اتمام، ویندوز دوباره راه اندازی می شود.

پس از راه اندازی مجدد، پیامی در مورد نتیجه موفقیت آمیز یا ناموفق بازگشت مجدد روی صفحه نمایش داده می شود و در صورت موفقیت آمیز بودن، ویندوز به حالتی برمی گردد که مطابق با تاریخ ایجاد نقطه بازیابی است. اگر دسکتاپ شما قفل نمی شود، می توانید از روش پیشرفته تر زیر استفاده کنید.

حذف یک ویروس بدون بازگرداندن سیستم به نقطه بازیابی

این امکان وجود دارد که سیستم به دلایل مختلف حاوی داده های نقاط بازیابی نباشد، روند بازیابی با خطا به پایان رسیده باشد یا بازگشت به عقب نتیجه مثبتی نداشته باشد. در این مورد، می توانید از System Configuration Diagnostic Tool MSCONFIG.EXE استفاده کنید. مانند مورد قبلی، باید ویندوز را در حالت امن با پشتیبانی از خط فرمان بوت کنید و msconfig.exe را در پنجره مترجم خط فرمان cmd.exe تایپ کنید و ENTER را فشار دهید.

در تب General، می توانید حالت های راه اندازی ویندوز زیر را انتخاب کنید:

هنگامی که سیستم بوت می شود، تنها حداقل خدمات سیستم مورد نیاز و برنامه های کاربر شروع می شود.
راه اندازی انتخابی- به شما امکان می دهد به صورت دستی لیستی از خدمات سیستم و برنامه های کاربری را که در طول فرآیند بوت راه اندازی می شوند تنظیم کنید.

برای از بین بردن ویروس، ساده ترین راه استفاده از راه اندازی تشخیصی است، زمانی که خود برنامه مجموعه ای از برنامه های شروع خودکار را شناسایی می کند. اگر در این حالت مسدود شدن دسکتاپ توسط ویروس متوقف شود، باید به مرحله بعدی بروید - تعیین کنید کدام یک از برنامه ها ویروس است. برای انجام این کار، می توانید از حالت راه اندازی انتخابی استفاده کنید که به شما امکان می دهد راه اندازی برنامه های فردی را در حالت دستی فعال یا غیرفعال کنید.

تب "سرویس ها" به شما امکان می دهد راه اندازی سرویس های سیستم را فعال یا غیرفعال کنید که در تنظیمات آن نوع راه اندازی روی "خودکار" تنظیم شده است. چک باکس بدون علامت جلوی نام سرویس به این معنی است که در طول فرآیند بوت سیستم راه اندازی نمی شود. در پایین پنجره ابزار MSCONFIG یک فیلد برای تنظیم حالت "خدمات مایکروسافت نمایش داده نشود" وجود دارد، هنگامی که فعال باشد، فقط خدمات شخص ثالث نمایش داده می شود.

توجه داشته باشید که احتمال آلوده شدن سیستم به ویروسی که به عنوان سرویس سیستم نصب شده است، با تنظیمات امنیتی استاندارد در ویندوز ویستا / ویندوز 7 بسیار کم است و باید در لیست خودکار به دنبال ردپای ویروس بگردید. برنامه های کاربر راه اندازی شده (برگه Startup).

درست مانند برگه «سرویس‌ها»، می‌توانید راه‌اندازی خودکار هر برنامه‌ای را که در لیست نمایش داده شده توسط MSCONFIG وجود دارد، فعال یا غیرفعال کنید. اگر ویروسی با راه اندازی خودکار با استفاده از کلیدهای رجیستری خاص یا محتویات پوشه "Startup" در سیستم فعال شود، با استفاده از msconfig نه تنها می توانید آن را خنثی کنید، بلکه مسیر و نام فایل آلوده را نیز تعیین کنید.

ابزار msconfig ابزاری ساده و راحت برای پیکربندی شروع خودکار سرویس ها و برنامه هایی است که به روشی استاندارد برای سیستم عامل های خانواده ویندوز شروع می شوند. با این حال، نویسندگان ویروس اغلب از ترفندهایی استفاده می کنند که به برنامه های مخرب اجازه می دهد بدون استفاده از نقاط راه اندازی استاندارد اجرا شوند. برای خلاص شدن از شر چنین ویروسی با درجه احتمال بالا، می توانید از روشی که در بالا توضیح داده شد برای بازگرداندن سیستم به نقطه بازیابی استفاده کنید. اگر بازگشت مجدد امکان پذیر نیست و استفاده از msconfig منجر به نتیجه مثبت نشد، می توانید از ویرایش مستقیم رجیستری استفاده کنید.

در فرآیند مبارزه با ویروس، کاربر اغلب مجبور است با ریست کردن (Reset) یا خاموش کردن برق، راه اندازی مجدد سخت را انجام دهد. این می تواند منجر به وضعیتی شود که بوت سیستم به طور معمول شروع می شود، اما به ثبت نام کاربر نمی رسد. رایانه به دلیل نقض ساختار داده های منطقی در برخی از فایل های سیستم، که در هنگام خاموش شدن نادرست رخ می دهد، "هنگ می کند". برای حل مشکل، مانند موارد قبلی، می توانید با پشتیبانی از خط فرمان به حالت امن راه اندازی شده و دستور بررسی دیسک سیستم را اجرا کنید.

chkdsk C: / F - درایو C: را با تصحیح هر گونه خطای یافت شده بررسی کنید (سوئیچ / F)

از آنجایی که در زمان شروع chkdsk، دیسک سیستم توسط سرویس ها و برنامه های کاربردی سیستم اشغال می شود، برنامه chkdsk نمی تواند برای آزمایش به آن دسترسی انحصاری داشته باشد. بنابراین، از کاربر یک پیام اخطار و یک اعلان برای انجام آزمایش در دفعه بعد که سیستم دوباره راه اندازی می شود، خواسته می شود. پس از پاسخ دادن به Y، اطلاعات وارد رجیستری می شود و اطمینان حاصل می شود که هنگام راه اندازی مجدد ویندوز، بررسی دیسک شروع می شود. پس از بررسی، این اطلاعات حذف شده و بدون دخالت کاربر یک ریستارت معمولی ویندوز انجام می شود.

امکان راه اندازی ویروس با استفاده از ویرایشگر رجیستری را از بین ببرید.

برای شروع ویرایشگر رجیستری، مانند مورد قبلی، باید ویندوز را در حالت امن با پشتیبانی از خط فرمان بوت کنید، regedit.exe را در پنجره مترجم خط فرمان تایپ کنید و ENTER را فشار دهید ویندوز 7، با تنظیمات امنیتی استاندارد سیستم، محافظت شده است. بسیاری از روش های راه اندازی برنامه های مخرب مورد استفاده برای نسخه های قبلی سیستم عامل های مایکروسافت. نصب درایورها و سرویس های خود توسط ویروس ها، پیکربندی مجدد سرویس WINLOGON با اتصال ماژول های اجرایی خود، رفع کلیدهای رجیستری مربوط به همه کاربران و غیره - همه این روش ها یا در محیط ویندوز 7 کار نمی کنند یا به کار جدی نیاز دارند که عملاً آنها را انجام می دهند. ملاقات نمی کنند. به عنوان یک قاعده، تغییرات در رجیستری که به ویروس اجازه اجرا می دهد فقط در زمینه مجوزهایی که برای کاربر فعلی وجود دارد، یعنی. تحت HKEY_CURRENT_USER

به منظور نشان دادن ساده ترین مکانیسم برای قفل کردن دسکتاپ با استفاده از جایگزینی پوسته کاربر (پوسته) و عدم امکان استفاده از ابزار MSCONFIG برای شناسایی و حذف ویروس، می توانید آزمایش زیر را انجام دهید - به جای ویروس، می توانید خودتان داده های رجیستری را تنظیم کنید تا مثلاً به جای دسکتاپ یک خط فرمان دریافت کنید ... دسکتاپ آشنا توسط Windows Explorer (Explorer.exe) ایجاد می شود که به عنوان پوسته کاربر راه اندازی شده است. این توسط مقادیر پارامتر Shell در کلیدهای رجیستری ارائه می شود.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon- برای همه کاربران
- برای کاربر فعلی

پارامتر Shell رشته ای با نام برنامه است که هنگام ورود کاربر به سیستم به عنوان پوسته استفاده می شود. معمولاً پارامتر Shell در کلید کاربر فعلی (HKEY_CURRENT_USER یا HKCU) وجود ندارد و از مقدار کلید رجیستری برای همه کاربران (HKEY_LOCAL_MACHINE \ یا HKLM به صورت اختصاری) استفاده می شود.

این همان چیزی است که کلید رجیستری به نظر می رسد HKEY_CURRENT_USER \ نرم افزار \ Microsoft \ Windows NT \ CurrentVersion \ Winlogonبا نصب استاندارد ویندوز 7

اگر پارامتر رشته Shell را به این بخش اضافه کنید که مقدار cmd.exe را می گیرد، دفعه بعد که کاربر فعلی به سیستم وارد می شود، به جای پوسته کاربر استاندارد مبتنی بر Explorer، پوسته cmd.exe این کار را انجام می دهد. راه اندازی می شود و به جای دسکتاپ معمول ویندوز، یک پنجره خط فرمان نمایش داده می شود ...

طبیعتاً هر برنامه مخربی را می توان از این طریق راه اندازی کرد و کاربر به جای دسکتاپ یک بنر پورن، یک مسدود کننده و سایر موارد زشت دریافت می کند.
برای ایجاد تغییرات در کلید برای همه کاربران (HKLM ...

اگر در حین آزمایش، ابزار msconfig را اجرا کنید، می‌توانید مطمئن شوید که cmd.exe به عنوان پوسته کاربر در لیست برنامه‌های راه‌اندازی خودکار وجود ندارد. البته بازگشت سیستم به شما امکان می دهد وضعیت اصلی رجیستری را بازیابی کنید و از شر شروع خودکار ویروس خلاص شوید، اما اگر به دلایلی غیرممکن باشد، تنها ویرایش مستقیم رجیستری باقی می ماند. برای بازگشت به دسکتاپ استاندارد، کافی است پارامتر Shell را حذف کنید یا مقدار آن را از "cmd.exe" به "explorer.exe" تغییر دهید و کاربر را دوباره ثبت کنید (از سیستم خارج شوید و دوباره وارد شوید) یا راه اندازی مجدد کنید. می توانید با اجرای ویرایشگر رجیستری regedit.exe از خط فرمان یا با استفاده از ابزار کنسول REG.EXE، رجیستری را ویرایش کنید. مثال خط فرمان برای حذف پارامتر Shell:

REG حذف "HKCU \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / v Shell

مثال داده شده از تغییر پوسته کاربر امروزه یکی از رایج ترین تکنیک هایی است که توسط ویروس ها در سیستم عامل ویندوز 7 استفاده می شود. سطح نسبتاً بالایی از امنیت با تنظیمات استاندارد سیستم مانع از دسترسی برنامه های مخرب به کلیدهای رجیستری می شود که برای آلوده کردن ویندوز XP و نسخه های قبلی استفاده می شد. حتی اگر کاربر فعلی یکی از اعضای گروه Administrators باشد، دسترسی به اکثریت قریب به اتفاق تنظیمات رجیستری که برای آلودگی استفاده می‌شوند، مستلزم اجرای برنامه به عنوان سرپرست است. به همین دلیل است که بدافزار کلیدهای رجیستری را تغییر می دهد که کاربر فعلی اجازه دسترسی به آن ها را دارد (کلید HKCU...) دومین عامل مهم دشواری نوشتن فایل های برنامه در کاتالوگ های سیستم است. به همین دلیل است که اکثر ویروس‌ها در ویندوز 7 از راه‌اندازی فایل‌های اجرایی (.exe) از فهرست فایل‌های موقت (Temp) کاربر فعلی استفاده می‌کنند. هنگام تجزیه و تحلیل نقاط راه اندازی خودکار برنامه ها در رجیستری، اول از همه، باید به برنامه های موجود در فهرست فایل های موقت توجه کنید. این معمولا یک دایرکتوری است ج: \ USERS \ نام کاربری \ AppData \ Local \ Temp... مسیر دقیق دایرکتوری فایل های موقت را می توان از طریق کنترل پنل در ویژگی های سیستم - "متغیرهای محیطی" مشاهده کرد. یا در خط فرمان:

تنظیم دما
یا
پژواک% دمای%

علاوه بر این، جستجوی رجیستری برای نام دایرکتوری مناسب برای فایل های موقت یا متغیر% TEMP% می تواند به عنوان ابزار اضافی برای شناسایی ویروس ها استفاده شود. برنامه های قانونی هرگز به طور خودکار از دایرکتوری TEMP اجرا نمی شوند.

استفاده از برنامه ویژه Autoruns از بسته SysinternalsSuite برای دریافت لیست کاملی از نقاط راه اندازی خودکار احتمالی راحت است.

ساده ترین راه برای حذف مسدود کننده ها از خانواده MBRLock

برنامه های مخرب نه تنها با آلوده کردن سیستم عامل، بلکه با تغییر سوابق بخش بوت دیسکی که از آن بوت می شود، می توانند کنترل رایانه را در دست بگیرند. این ویروس داده‌های بخش بوت پارتیشن فعال را با کد برنامه خود جایگزین می‌کند تا به جای ویندوز یک برنامه ساده را بارگیری کند که پیام باج‌افزاری را نشان می‌دهد که برای کلاهبرداران درخواست پول می‌کند. از آنجایی که ویروس حتی قبل از بوت شدن سیستم کنترل می شود، تنها یک راه برای دور زدن آن وجود دارد - بوت شدن از یک رسانه دیگر (CD / DVD، درایو خارجی و غیره) در هر سیستم عاملی که امکان بازیابی کد برنامه وجود دارد. بخش های بوت ساده ترین راه استفاده از Live CD / Live USB است که معمولاً توسط اکثر شرکت های آنتی ویروس به صورت رایگان ارائه می شود (Dr Web Live CD، Kaspersky Rescue Disk، Avast! Rescue Disk، و غیره) و اسکن سیستم فایل برای بدافزار، حذف یا ضد عفونی کردن آلوده. فایل ها. اگر امکان استفاده از این روش وجود ندارد، می توانید با یک بوت ساده از هر نسخه ویندوز PE (دیسک نصب، دیسک نجات فرمانده ERD)، که به شما امکان می دهد بوت عادی سیستم را بازیابی کنید. معمولاً حتی یک توانایی ساده برای دسترسی به خط فرمان و اجرای دستور کافی است:

bootsect / nt60 / mbr<буква системного диска:>

bootsect / nt60 / mbr E:> - بازیابی بخش های بوت درایو E: حرف باید در اینجا برای درایوی استفاده شود که به عنوان دستگاه بوت سیستم آسیب دیده توسط ویروس استفاده می شود.

یا برای ویندوزهای زودتر از ویندوز ویستا

bootsect / nt52 / mbr<буква системного диска:>

ابزار bootsect.exe را می توان نه تنها در کاتالوگ های سیستم، بلکه در هر رسانه قابل جابجایی قرار داد، می توان آن را در محیط هر سیستم عامل خانواده ویندوز اجرا کرد و به شما امکان می دهد کد برنامه بخش های بوت را بدون بازیابی کنید. بر جدول پارتیشن و سیستم فایل تاثیر می گذارد. به عنوان یک قاعده، سوئیچ / mbr مورد نیاز نیست، زیرا کد برنامه MBR را بازیابی می کند، که ویروس ها آن را تغییر نمی دهند (شاید هنوز اصلاح نکرده اند).

بهترین دوستم برایم یک نت بوک آورد تا ببینم، که ویروس ها به سختی روی آن راه رفته بودند، و از من خواست کمک کنم تا سیستم را از باغ وحش پاک کنم. برای اولین بار با چشمان خودم یک شاخه خنده دار در توسعه بدافزار دیدم: باج افزار. چنین برنامه هایی بخشی از عملکردهای سیستم عامل را مسدود می کنند و برای دریافت کد بازگشایی نیاز به ارسال پیامک دارند. معلوم شد که درمان کاملاً پیش پا افتاده نیست، و من فکر کردم که شاید این داستان بتواند برخی از سلول های عصبی را نجات دهد. من سعی کردم پیوندهایی را به تمام سایت ها و ابزارهایی که در طول درمان مورد نیاز بودند ارائه دهم.

در این مورد، ویروس وانمود کرد که یک برنامه آنتی ویروس اینترنت سکیوریتی است و درخواست ارسال SMS K207815200 به شماره 4460 را داشت. صفحه ای در وب سایت آزمایشگاه کسپرسکی وجود دارد که به شما امکان می دهد کدهای پاسخ را برای باج افزار تولید کنید: support.kaspersky.ru. /viruses/deblocker

با این وجود، پس از معرفی کد، عملکردهای سیستم عامل مسدود ماندند و راه اندازی هر برنامه آنتی ویروس منجر به باز شدن فوری یک پنجره ویروس شد که با پشتکار کار آنتی ویروس را شبیه سازی می کرد:

تلاش برای بوت شدن در حالت های ایمن دقیقاً به همین نتیجه منجر شد. همچنین، موضوع به دلیل خالی بودن گذرواژه‌های همه حساب‌های سرپرست و سیاست مدیران با رمز عبور خالی برای ورود به رایانه از طریق شبکه به طور پیش‌فرض پیچیده شد.
من مجبور شدم از درایو فلش USB بوت کنم (طبق تعریف، نت بوک درایو دیسک ندارد). ساده ترین راه برای ساخت درایو USB قابل بوت:
1. دیسک را به NTFS فرمت کنید
2. پارتیشن را فعال کنید (diskpart -> انتخاب دیسک x -> انتخاب پارتیشن x -> فعال)
3. ما از ابزار \ boot \ bootsect.exe از کیت توزیع Vista / Windows 2008 / Windows 7 استفاده می کنیم: bootsect / nt60 X: / mbr
4. تمام فایل های کیت توزیع (من کیت توزیع ویندوز 2008 را در دست داشتم) روی یک دیسک usb کپی کنید. همه چیز، شما می توانید بوت کنید.

از آنجایی که ما نیازی به نصب سیستم عامل نداریم، اما برای درمان ویروس ها، مجموعه ای از شفادهنده های رایگان (AVZ، CureI) و ابزار کمکی را روی دیسک کپی می کنیم (با نگاهی به آینده، من به Streams از Mark Russinovich نیاز داشتم) و Far. ما نت بوک را راه اندازی مجدد می کنیم، بوت را از USB در BIOS تنظیم می کنیم.

برنامه راه اندازی ویندوز 2008 بارگذاری شده است، ما با انتخاب زبان موافقیم، اکنون نصب کنید و سپس Shift + F10 را فشار دهید. یک پنجره خط فرمان ظاهر می شود که از آن می توانیم ابزارهای آنتی ویروس خود را راه اندازی کنیم و به دنبال عفونت در درایو سیستم باشیم. سپس به مشکل برخوردم، CureI به دلیل خطا در کار با NTFS، سیستم را در صفحه آبی مرگ با سوء استفاده رها کرد، و AVZ، اگرچه درست شد، اما چیزی پیدا نکرد. ظاهراً ویروس بسیار بسیار تازه است. تنها سرنخ پیام AVZ است که کدهای اجرایی را در یک جریان NTSF اضافی برای یکی از فایل های دایرکتوری ویندوز پیدا کرده است. این برای من عجیب و مشکوک به نظر می رسید، زیرا جریان های اضافی NTFS در موارد بسیار خاص استفاده می شوند و هیچ چیز اجرایی نباید در ماشین های معمولی در آنجا ذخیره شود.

بنابراین مجبور شدم ابزار Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) را از مارک دانلود کنم و این استریم را حذف کنم. اندازه آن 126464 بایت بود، درست مانند فایل های dll که ویروس بر روی درایوهای فلش وارد سیستم می کرد.

پس از آن، با استفاده از Far، کل دیسک سیستم را برای فایل هایی با همان اندازه جستجو کردم و 5 یا 6 فایل مشکوک دیگر را پیدا کردم که طی 2-3 روز گذشته ایجاد شده است. به همین ترتیب حذف شدند. پس از آن، CureIt توانست کار کند (ظاهراً او به موضوعات اضافی برخورد کرده است) و دو تروجان دیگر را با موفقیت پاکسازی کرد :)

پس از راه اندازی مجدد، همه چیز کار کرد، اجراهای اضافی اسکنرهای آنتی ویروس چیزی پیدا نکردند. با کمک AVZ، سیاست های محدود کننده عملکرد سیستم عامل بازیابی شدند. یک پیشنهاد جدی به یکی از دوستان در مورد اهمیت استفاده از نرم افزارهای آنتی ویروس ارائه شد، به خصوص که تعداد زیادی از نرم افزارهای رایگان وجود دارد (

یک هفته از خشک شدن پتیا در اوکراین می گذرد. به طور کلی، بیش از پنجاه کشور در سراسر جهان از این ویروس باج افزار آسیب دیده اند، اما 75 درصد از حملات سایبری گسترده به اوکراین وارد شده است. دولت و موسسات مالی در سراسر کشور تحت تأثیر قرار گرفتند و Ukrenergo و Kyivenergo جزو اولین کسانی بودند که گزارش دادند سیستم های آنها هک شده است. برای نفوذ و مسدود کردن ویروس Petya.A از برنامه حسابداری M.E.Doc استفاده کرد. این نرم افزار بین انواع موسسات در اوکراین بسیار محبوب است که مرگبار شد. در نتیجه، برخی از شرکت ها مدت زیادی طول کشید تا از ویروس پتیا بهبود یابند. برخی از آنها تنها دیروز، 6 روز پس از انتشار ویروس باج افزار، توانستند کار خود را از سر بگیرند.

هدف از ویروس پتیا

هدف بیشتر ویروس های باج افزار اخاذی است. آنها اطلاعات را روی رایانه شخصی قربانی رمزگذاری می کنند و از او پول می خواهند تا کلیدی را به دست آورند که دسترسی به داده های رمزگذاری شده را از سر بگیرد. اما کلاهبرداران همیشه به قول خود عمل نمی کنند. برخی از باج افزارها به سادگی برای رمزگشایی طراحی نشده اند و ویروس Petya یکی از آنهاست.

این خبر ناراحت کننده توسط متخصصان آزمایشگاه کسپرسکی گزارش شده است. برای بازیابی اطلاعات پس از یک ویروس باج افزار، یک شناسه نصب ویروس منحصر به فرد مورد نیاز است. اما در شرایطی که یک ویروس جدید وجود دارد، به هیچ وجه شناسه تولید نمی کند، یعنی سازندگان بدافزار حتی گزینه بازیابی رایانه شخصی را پس از ویروس Petya در نظر نگرفتند.

اما در همان زمان، قربانیان پیامی دریافت کردند که در آن آدرس محل انتقال 300 دلار بیت کوین به منظور بازیابی سیستم فراخوانی شده بود. در چنین مواردی، کارشناسان کمک به هکرها را توصیه نمی کنند، اما با این وجود، سازندگان «پتیت» توانستند در عرض 2 روز پس از حمله سایبری گسترده، بیش از 10000 دلار درآمد کسب کنند. اما کارشناسان مطمئن هستند که اخاذی وظیفه اصلی آنها نبوده است، زیرا این مکانیسم بر خلاف سایر مکانیسم های ویروس، ضعیف طراحی شده است. از این رو می توان فرض کرد که هدف ویروس پتیا بی ثبات کردن عملیات شرکت های جهانی بوده است. همچنین کاملاً ممکن است که هکرها عجله داشته باشند و بخشی از به دست آوردن پول را نادیده گرفته باشند.

بازیابی کامپیوتر پس از ویروس Petya

متأسفانه، پس از عفونت کامل با Petya، داده های رایانه قابل بازیابی نیستند. با این وجود، اگر باج افزار زمان رمزگذاری کامل داده ها را نداشت، راهی برای باز کردن قفل رایانه شما پس از ویروس Petya وجود دارد. در تاریخ 2 ژوئیه در وب سایت رسمی پلیس سایبری منتشر شد.

سه گزینه برای عفونت پتیا وجود دارد

- تمام اطلاعات رایانه شخصی کاملاً رمزگذاری شده است ، یک پنجره با اخاذی روی صفحه نمایش داده می شود.
- داده های رایانه شخصی تا حدی رمزگذاری شده است. فرآیند رمزگذاری توسط عوامل خارجی (از جمله منبع تغذیه) قطع شد.
- رایانه شخصی آلوده است، اما فرآیند رمزگذاری برای MFT آغاز نشده است.

در مورد اول، همه چیز بد است - سیستم قابل بازیابی نیست... حداقل فعلا.
در دو گزینه آخر، وضعیت قابل حل است.
برای بازیابی اطلاعاتی که تا حدی رمزگذاری شده اند، توصیه می شود دیسک نصب ویندوز را بارگیری کنید:

اگر هارد دیسک توسط ویروس رمزگذاری آسیب ندیده باشد، سیستم عامل بوت فایل ها را می بیند و شروع به بازیابی MBR می کند:

این فرآیند برای هر نسخه از ویندوز تفاوت های ظریف خاص خود را دارد.

ویندوز XP

پس از بارگیری دیسک نصب، پنجره "Windows XP Professional Settings" روی صفحه ظاهر می شود، در آنجا باید "برای بازیابی ویندوز XP با استفاده از کنسول بازیابی، R را فشار دهید" را انتخاب کنید. پس از فشار دادن R، کنسول بازیابی شروع به بارگیری می کند.

اگر دستگاه‌ها یک سیستم عامل نصب کرده باشند و در درایو C قرار داشته باشد، یک اعلان ظاهر می‌شود:
"1: C: \ WINDOWS برای ورود به سیستم از کدام نسخه ویندوز استفاده کنم؟" بر این اساس، لازم است کلید "1" و "Enter" را فشار دهید.
سپس خواهید دید: "رمز عبور مدیر را وارد کنید." رمز عبور را وارد کرده و "Enter" را فشار دهید (اگر رمز عبور وجود ندارد، "Enter" را فشار دهید).
باید از شما به سیستم خواسته شود: C: \ WINDOWS>، fixmbr را وارد کنید.

سپس "WARNING" ظاهر می شود.
برای تایید رکورد جدید MBR، "y" را فشار دهید.
سپس اعلان "A new MBR is in progress on thephysical disk \ Device \ Harddisk0 \ Partition0."
و: "رکورد جدید Master Boot با موفقیت انجام شد."

ویندوز ویستا:

اینجا وضعیت ساده تر است. سیستم عامل را بوت کنید، زبان و طرح صفحه کلید خود را انتخاب کنید. سپس روی صفحه نمایش "Restore your computer to work" منویی ظاهر می شود که در آن باید "Next" را انتخاب کنید. پنجره ای با پارامترهای سیستم بازیابی ظاهر می شود، جایی که باید روی خط فرمان کلیک کنید، که در آن باید bootrec / FixMbr را وارد کنید.
پس از آن، باید منتظر بمانید تا فرآیند تکمیل شود، اگر همه چیز به خوبی پیش رفت، یک پیام تأیید ظاهر می شود - "Enter" را فشار دهید و کامپیوتر شروع به راه اندازی مجدد می کند. همه چیز.

ویندوز 7:

روند بازیابی مشابه ویستا است. پس از انتخاب زبان و طرح صفحه کلید، سیستم عامل را انتخاب کنید و سپس روی "بعدی" کلیک کنید. در پنجره جدید مورد "استفاده از ابزارهای بازیابی که می توانند به حل مشکلات مربوط به راه اندازی ویندوز کمک کنند" را انتخاب کنید.
تمام مراحل دیگر مشابه ویستا هستند.

ویندوز 8 و 10:

سیستم عامل را بوت کنید، در پنجره ای که ظاهر می شود، مورد Repair your computer> troubleshooting را انتخاب کنید، در آنجا با کلیک بر روی خط فرمان، bootrec / FixMbr را وارد کنید. پس از اتمام فرآیند، "Enter" را فشار دهید و دستگاه را مجددا راه اندازی کنید.

پس از اینکه فرآیند بازیابی MBR با موفقیت به پایان رسید (صرف نظر از نسخه ویندوز)، باید دیسک را با یک آنتی ویروس اسکن کنید.
اگر فرآیند رمزگذاری توسط ویروس شروع شده باشد، می توانید از نرم افزارهای بازیابی فایل مانند Rstudio استفاده کنید. پس از کپی کردن آنها در رسانه قابل جابجایی، باید سیستم را دوباره نصب کنید.
در صورتی که از نرم افزار بازیابی اطلاعات نوشته شده در بخش بوت استفاده می کنید، به عنوان مثال Acronis True Image، می توانید مطمئن باشید که "Petya" این بخش را تحت تاثیر قرار نداده است. این بدان معناست که می توانید بدون نصب مجدد، سیستم را به حالت کار بازگردانید.

اگر خطایی پیدا کردید، لطفاً یک متن را انتخاب کنید و فشار دهید Ctrl + Enter.

:: معرفی

پس از حذف ویروس ها، ممکن است سیستم دچار مشکل شود (یا اصلاً بوت نشود)، دسترسی به اینترنت یا سایت های خاص ممکن است از بین برود، بنابراین پس از گزارش آنتی ویروس " همه ویروس ها نابود شدند"کاربر با یک سیستم معیوب تنها می ماند. همچنین، مشکلات می تواند ناشی از خطاهای برنامه یا ناسازگاری آنها با سیستم شما باشد. بیایید گزینه هایی را برای حل مشکلات در نظر بگیریم.

:: اینترنت کار نمی کند

علت مشکلات شبکه می تواند هم نتیجه ویروس باشد و هم کار یک نرم افزار کج. چندین راه حل برای این مشکل وجود دارد. در اینجا ما یکی را در نظر خواهیم گرفت - ابزار AntiSMS.

به عنوان یک ادمین اجرا کنید و تنظیمات شبکه را به طور کامل بازیابی کنید. کار این ابزار ساده است: با یک کلیک ماوس و کار شما تمام شد.

:: بازیابی سیستم استاندارد ویندوز

اگر System Restore در سیستم غیرفعال نشده است، از این عملکرد استاندارد ویندوز برای حل مشکلات استفاده کنید. همچنین این روش بازیابی سیستم در صورتی موثر است که آسیب به سیستم در اثر عملکرد کاربران بی تجربه یا خطاهای برنامه ایجاد شود.

ویندوز XP: شروع کنید -> همه برنامه ها -> استاندارد -> سرویس -> بازگرداندن سیستم... و چند روز قبل از ظاهر شدن مشکلات، یک نقطه بازیابی را انتخاب کنید.
: بازیابی سیستم را با کلیک بر روی دکمه Start باز کنید. در کادر جستجو عبارت system restore را تایپ کنید و سپس از لیست نتایج System Restore را انتخاب کنید. رمز عبور مدیر را وارد کنید یا در صورت درخواست رمز عبور را تأیید کنید. برای انتخاب یک نقطه بازیابی و بازیابی رایانه خود، دستورالعمل های موجود در ویزارد را دنبال کنید.

اگر کامپیوتر بوت نمی شود، سپس سعی کنید به حالت ایمن ویندوز... برای انتخاب آن، باید به منوی سرویس بروید - برای تماس با آن، چندین کلید را فشار دهید F8(یا F5) بلافاصله پس از روشن کردن کامپیوتر. در حالت ایمن، از " شروع کنید"برای بازیابی سیستم همانطور که در بالا توضیح داده شد.

خوب است بدانید: در Windows "7، Recovery را می توان با استفاده از آیتم "عیب یابی رایانه" فراخوانی کرد.

منوی گزینه های بوت پیشرفته ویندوز XP:

منوی گزینه های بوت پیشرفته ویندوز 7:

اگر حالت ایمن هم کار نمی کند، سپس سعی کنید به حالت ایمن با پشتیبانی از خط فرمان... در این حالت، دکمه "شروع" دیگر وجود نخواهد داشت، بنابراین باید بازیابی سیستم را از طریق خط فرمان فراخوانی کنید، برای این کار، در خط فرمان، خط را تایپ کنید:

% SystemRoot% \ system32 \ restore \ rstrui.exe

و کلید را فشار دهید وارد... این برای ویندوز "XP!

برای نسخه های ویندوز Vista / 7/8، فقط دستور را وارد کنید rstrui.exeو فشار دهید وارد.

اگر کار نکرد و دیسک بوت ویندوز دارید، سپس می توانید از آن بوت کنید و سعی کنید سیستم را بازیابی کنید. بیایید به عنوان مثال به Windows "7" نگاهی بیندازیم:

دیسک بوت را در رایانه خود قرار دهید و از آن بوت کنید.

انتخاب کنید " بازگرداندن سیستم".

پنجره ای با گزینه های عمل باز می شود.

انتخاب مورد " بازیابی را راه اندازی کنید"، سپس سعی کنید به روش معمول بوت شوید. اگر کمکی نکرد، انتخاب کنید" بازگرداندن سیستم"(این یک آنالوگ از بازیابی سیستم است که در بالا توضیح داده شد) و یک نقطه بازیابی را در زمان عملکرد عادی سیستم انتخاب کنید. سعی کنید به روش معمول بوت شوید. اگر این کار کمکی نکرد، سپس انتخاب کنید." خط فرمان"و در خط فرمان تایپ کنید chkdsk c: / f / rو فشار دهید وارد- بررسی خطاهای هارد دیسک راه اندازی می شود، شاید این بررسی نتیجه مثبتی بدهد.

:: فایل های سیستم را با دستور sfc بازیابی کنید

اگر بعد از ضد عفونی کردن ویندوز خراب می شود، پس شروع -> اجرا، دستور را وارد کنید:

sfc / scannow

و فشار دهید وارد- ویندوز یکپارچگی فایل های محافظت شده را در رایانه شما بررسی می کند. ممکن است برای بازیابی به دیسک نصب سیستم عامل نیاز داشته باشید.

اگر دکمه "Run" را پیدا نکردید، می توانید با میانبر صفحه کلید [ پیروزی] + [آر]. اگر سیستم به طور معمول بوت نمی شود، از آن استفاده کنید حالت امن.

در مرحله بعد، تعدادی از برنامه های شخص ثالث را برای بازیابی سیستم پس از یک ویروس تجزیه و تحلیل خواهیم کرد. توصیهاز آنها در حالت ایمن ویندوز استفاده کنید. حقوق مدیر را فراموش نکنید.

:: بازیابی با استفاده از Windows Repair (All In One)

تعمیر ویندوز (همه در یک)ابزاری است که به شما کمک می کند تا خطاهای موجود در رجیستری سیستم را برطرف کنید، تنظیمات اصلی را که در هنگام آلوده شدن یا نصب برنامه های رایانه ای تغییر کرده اند، بازیابی عملکرد پایدار مرورگر اینترنت اکسپلورر، سرویس Windows Update، فایروال ویندوز و سایر خدمات سیستم عامل بازیابی کنید. و اجزاء

آرشیو دانلود شده را از حالت فشرده خارج کنید، سپس برنامه را اجرا کنید. لزوماآن را به روز کنید: فایل -> به روز رسانی پایگاه داده.

اجرا کن " عیب یابی ویزارد" (در منو " فایل").

کلیک " شروع کنید". اگر AVZ مشکلی پیدا کرد، کادرها را علامت بزنید و کلیک کنید" رفع مشکلات گزارش شده".

سپس در منو " فایل"انتخاب کنید" بازگرداندن سیستم". کادرهای همه موارد را علامت بزنید، بعلاوهاینها:

  • تصحیح خودکار تنظیمات SPl / LSP؛
  • بازنشانی تنظیمات SPI / LSP و TCP / IP (XP +)؛
  • ایجاد مجدد کامل تنظیمات SPI؛
  • DNS همه اتصالات را با Google DNS جایگزین کنید

سپس " را فشار دهید انجام عملیات علامت گذاری شده"، کمی صبر کنید، برنامه را ببندید و کامپیوتر خود را مجددا راه اندازی کنید.

اگر پس از آلوده شدن رایانه مشکلاتی در دسترسی به برخی از سایت ها به وجود آمد، به عنوان مثال، شبکه های اجتماعی به اشتباه مسدود شدن را گزارش کردند یا نوعی تبلیغات چپ ظاهر شد، در این صورت امکان جایگزینی DNS برای مخرب وجود دارد - در این صورت می توانید از آن استفاده کنید. مورد " DNS همه اتصالات را با Google DNS جایگزین کنید". اما این باید فقط پس از بررسی رایانه با اسکنرهای آنتی ویروس انجام شود (اگر آنها کمکی نکردند). همچنین اگر نمی توانید اینترنت را پس از آلوده شدن دوباره بازیابی کنید، می توانید این مورد را امتحان کنید.

پاراگراف " تصحیح خودکار تنظیمات SPl / LSP"در صورت قطع دسترسی به اینترنت پس از ویروس (کامپیوتر را پس از برنامه راه اندازی مجدد) می توان استفاده کرد. بازنشانی تنظیمات SPI / LSP و TCP / IP (XP +)"همچنین برای بازگرداندن دسترسی به شبکه در نظر گرفته شده است، اما این مورد فقط در صورتی قابل استفاده است که هیچ چیز دیگری کمکی نکند (کامپیوتر را پس از استفاده مجدد راه اندازی کنید). اگر هر دو نقطه بالا به بازگشت اینترنت کمک نکردند، یک مورد دیگر وجود دارد. " ایجاد مجدد کامل تنظیمات SPI"- فقط در صورتی که هیچ کمکی به شما نمی کند، اعمال کنید. به این سه نکته توجه کنید که ما در مورد آن صحبت می کنیم که اصلاً دسترسی به شبکه وجود ندارد.

:: بررسی هارد دیسک (chkdsk)

این یک برنامه استاندارد ویندوز برای بررسی هارد دیسک برای خطا است. باز کن " کامپیوتر من"(در ویندوز" 7 فقط " کامپیوتر") در دسکتاپیا از طریق منو " شروع کنید". پارتیشن یا دیسک مورد نظر را انتخاب کنید، روی آن کلیک راست کنید، فشار دهید" خواص"، برگه را انتخاب کنید" سرویس"و فشار دهید" بررسی"، کادرهای روشن را علامت بزنید" رفع خودکار خطاهای سیستم"و" بخش های خراب را بررسی و تعمیر کنیداگر پارتیشن سیستم را بررسی می کنید، باید اسکن را برای راه اندازی بعدی برنامه ریزی کنید (برای بررسی باید کامپیوتر را مجددا راه اندازی کنید).

نمونه ای از راه اندازی از طریق خط فرمان: chkdsk c: / f / r

:: ویندوز در هیچ حالتی بوت نمی شود

اگر رجیستری یا فایل های سیستم آسیب ببینند، ویندوز ممکن است از کار بیفتد. ما باید از LiveCD استفاده کنیم - این یک دیسک یا فلش درایو است که سیستم نصب شده روی رایانه را دور می زند. شما باید تصویر (فایل با پسوند iso) را در یک رایانه سالم بارگیری کنید و آن را روی دیسک یا فلش درایو و سپس از آن نصب کنید.

ما استفاده خواهیم کرد آنتی اس ام اس LiveCD: صفحه دانلود دانلود. در صفحه دانلود برنامه خاصی برای نوشتن روی فلش مموری وجود دارد.

پس از بوت شدن از LiveCD در رایانه مشکل دار، یک دسکتاپ معمولی خواهید دید. روی میانبر کلیک کنید " آنتی اس ام اسپس از اینکه برنامه AntiSMS گزارش داد که همه چیز خوب است، LiveCD را حذف کرده و به روش معمول راه اندازی کنید. ابزار AntiSMS برخی از شاخه های رجیستری و فایل های سیستمی را که برای عملکرد صحیح ویندوز ضروری هستند بازیابی می کند - شاید این برای بازیابی کافی باشد. سیستم.

اگر کمکی نکرد، سعی کنید رجیستری را از یک نسخه پشتیبان بازیابی کنید:

برای ویندوز 7 : از AntiSMS LiveCD بوت شده و Total Commander را که در این LiveCD ارائه شده است راه اندازی کنید. به پوشه بروید Windows \ System32 \ Config(این پوشه ویندوز نصب شده بر روی کامپیوتر مشکل است). فایل ها سیستمو نرم افزارتغییر نام به SYSTEM.بدو SOFTWARE.بدبر این اساس. سپس فایل ها را از پوشه کپی کنید سیستمو نرم افزاربه پوشه Windows \ System32 \ Configاین باید کمک کند، سعی کنید کامپیوتر خود را به روش معمول بوت کنید.

برای ویندوز "XP : به پوشه بروید windows \ system32 \ config، فایل ها سیستمو نرم افزارتغییر نام به سیستم.بدو نرم افزار.بدبر این اساس. در مرحله بعد فایل ها را کپی کنید سیستمو نرم افزاراز پوشه ویندوز \ تعمیربه پوشه windows \ system32 \ config

برای مرجع:در پوشه Windows \ System32 \ Config \ RegBackبک آپ های ذخیره شده از کندوهای رجیستری ایجاد می شوند وظیفه زمانبندیهر ده روز

ویروس نوعی نرم افزار مخرب است که به مناطق حافظه سیستم، کد برنامه های دیگر و بخش های بوت نفوذ می کند. قابلیت حذف اطلاعات مهم از هارد دیسک، درایو USB یا کارت حافظه را دارد.

اکثر کاربران نمی دانند چگونه فایل ها را پس از حمله ویروس بازیابی کنند. در این مقاله می خواهیم به شما بگوییم که چگونه این کار را سریع و آسان انجام دهید. امیدواریم این اطلاعات برای شما مفید باشد. دو روش اصلی وجود دارد که می توانید برای حذف آسان ویروس و بازیابی اطلاعات حذف شده پس از حمله ویروس استفاده کنید.

ویروس را با استفاده از خط فرمان حذف کنید

1) روی دکمه "شروع" کلیک کنید. CMD را در نوار جستجو وارد کنید. "Command Prompt" را در بالای پنجره پاپ آپ مشاهده خواهید کرد. Enter را فشار دهید.

2) Command prompt را اجرا کنید و تایپ کنید: “attrib –h –r –s / s / d driver_name \ *. *”


پس از این مرحله، ویندوز شروع به بازیابی هارد، کارت حافظه یا USB آلوده به ویروس می کند. مدتی طول می کشد تا فرآیند تکمیل شود.

برای شروع بازیابی ویندوز، روی دکمه "شروع" کلیک کنید. در نوار جستجو عبارت Restore را تایپ کنید. در پنجره بعدی روی "Start System Restore" → "Next" کلیک کنید و نقطه بازیابی مورد نظر را انتخاب کنید.


نوع دیگری از مسیر "کنترل پنل" → "سیستم" → "محافظت سیستم" است. یک پنجره آماده سازی بازیابی ظاهر می شود. سپس رایانه راه اندازی مجدد می شود و پیامی ظاهر می شود که "بازیابی سیستم با موفقیت انجام شد". اگر مشکل شما را حل نکرد، سعی کنید به نقطه بازیابی دیگری برگردید. این همه چیز در مورد روش دوم است.

بازیابی پارتیشن جادویی: بازیابی فایل ها و پوشه های از دست رفته پس از حمله ویروس

برای بازیابی مطمئن فایل های پاک شده توسط ویروس ها، از Magic Partition Recovery استفاده کنید. این برنامه بر اساس دسترسی مستقیم سطح پایین به دیسک است. بنابراین، مسدود کردن ویروس را دور می‌زند و همه فایل‌های شما را می‌خواند.

برنامه را دانلود و نصب کنید، سپس دیسک، فلش مموری یا کارت حافظه را آنالیز کنید. پس از تجزیه و تحلیل، برنامه لیست پوشه ها را روی دیسک انتخاب شده نمایش می دهد. با انتخاب پوشه لازم در سمت چپ، می توانید آن را در قسمت سمت راست مشاهده کنید.


بنابراین، این برنامه توانایی مشاهده محتویات دیسک را به همان روشی که با ویندوز اکسپلورر استاندارد ارائه می دهد را فراهم می کند. علاوه بر فایل های موجود، فایل ها و پوشه های حذف شده نیز نمایش داده می شوند. آنها با یک صلیب قرمز ویژه مشخص می شوند و بازیابی فایل های حذف شده را بسیار آسان تر می کند.

اگر فایل های خود را پس از حمله ویروس از دست داده اید، Magic Partition Recovery به شما کمک می کند تا همه چیز را بدون تلاش زیاد بازیابی کنید.

مقالات مرتبط برتر

حرکت های مختلف ماوس به صورت عمودی و افقی
حرکت های مختلف ماوس به صورت عمودی و افقی
نحوه فشرده سازی بافت ها در fallout 4
نحوه فشرده سازی بافت ها در fallout 4
تنها برای درک سطح مورد نیاز باقی مانده است
تنها برای درک سطح مورد نیاز باقی مانده است
دسته بندی ها:
© 2021 bumotors.ru. نحوه راه اندازی گوشی های هوشمند و رایانه های شخصی پرتال اطلاعاتی