Oporavite svoje računalo nakon virusa. Ovaj firmver vraća postavke radne površine

Danas ću govoriti o tome kako lokalizirati virus ako ipak prodre u vaše računalo, kako pobijediti trojance i kako vratiti sustav nakon infekcije rootkitom ako je sve otišlo predaleko.

Dakle, ako sumnjate da je vaše računalo zaraženo, prvo što biste trebali učiniti je slijediti ove korake:

• odspojite računalo s interneta (isključite UTP kabel, isključite Wi-Fi);
• odspojite sve vanjske uređaje s računala ( vanjski tvrdi diskovi, flash diskovi, telefoni itd.).

Sve ovo mora biti učinjeno kako bi se zaraženo računalo izoliralo od vanjskog svijeta. Potrebno je isključiti računalo iz pristupa vanjskom svijetu putem interneta i iz lokalnog interna mreža, budući da će se malware gotovo sigurno pokušati proširiti na cijeli segment koji mu je dostupan.

Osim toga, ako je malware dio botnet mreže ili sadrži komponente, bit će neaktivan i aktivirat će se čim stigne. upravljački tim iz vanjska mreža. To će nas također osigurati od curenja lokalnih podataka u mrežu, na primjer, kroz DNS tuneliranje ili slične hakerske stvari.

Obnova registra

Windows registar, počevši od prvih verzija OS-a, ostaje kritična komponenta sustava, u biti predstavlja bazu podataka za pohranu raznih parametara i postavke radnog okruženja, instaliranog softvera i samog Windowsa. Logično je da prekid registra ili njegovo oštećenje prijeti da OS postane neoperativan.

Sam registar, koji se otvara standardnim uslužnim programom regedit, fizički je predstavljen s nekoliko datoteka pohranjenih na putu %SystemRoot%\System32\config\. To su datoteke s nazivima SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT bez ekstenzija i dostupne samo za procesi sustava NT AUTORITET\SUSTAV, lokalni sustav. Ali ako registar otvorite putem običnog uređivača, te će se datoteke pojaviti u obliku velikog hijerarhijskog stabla.

Prva stvar koja pada na pamet je, naravno, napraviti sigurnosne kopije tih datoteka i, ako je potrebno, jednostavno zamijeniti pokvarene sigurnosnom kopijom. No pod učitanim OS-om jednostavno kopiranje neće biti moguće, a izvoz podataka pomoću regedita može se pokazati nepotpunim. Stoga, pogledajmo alate koji će nam pomoći u ovom pitanju.

Standardni Windows alati za popravak registra

Iz kutije, Windows, nažalost, nema odvojeni alat, koji vam omogućuje izradu sigurnosnih kopija registra. Sve što sustav može pružiti je funkcionalnost zastarjelog NTBackUp-a izvorno iz ere Windows XP / 2003 Server ili u novim operativnim sustavima Windows 7, 8, 10 njegova reinkarnacija u obliku “”, koji nudi stvaranje cijele slika sustava (cijelog sustava - ne registra! ). Stoga ćemo razmotriti samo mali primjer radnji u konzoli za oporavak koje vam omogućuju ručno vraćanje registra. U suštini, radi se o operacijama zamjene pokvarenih datoteka na zaraženom sustavu originalnim datotekama registra iz prethodno napravljene sigurnosne kopije.

Sučelje uslužnog programa NTBacUp

Nakon podizanja u Live CD načinu rada s instalacijskog diska ili s lokalno instalirane konzole za oporavak (za XP/2003), morate pokrenuti sljedeće naredbe, koje je opisao sam Microsoft:

// Stvorite sigurnosne kopije registra sustava
md tmp
kopiraj c:\windows\system32\config\system c:\windows\tmp\system.bak
kopiraj c:\windows\system32\config\software c:\windows\tmp\software.bak
kopiraj c:\windows\system32\config\sam c:\windows\tmp\sam.bak
kopiraj c:\windows\system32\config\security c:\windows\tmp\security.bak
kopiraj c:\windows\system32\config\default c:\windows\tmp\default.bak

// Ukloni pokvarene datoteke iz imenika OS sustava
izbrišite c:\windows\system32\config\system
izbrišite c:\windows\system32\config\software
izbrišite c:\windows\system32\config\sam
izbrišite c:\windows\system32\config\security
izbrišite c:\windows\system32\config\default

// Kopiraj radne datoteke registra iz kopija u sjeni
kopiraj c:\windows\repair\system c:\windows\system32\config\system
kopiraj c:\windows\repair\software c:\windows\system32\config\software
kopiraj c:\windows\repair\sam c:\windows\system32\config\sam
kopiraj c:\windows\repair\security c:\windows\system32\config\security
kopiraj c:\windows\repair\default c:\windows\system32\config\default

To je to, ponovno pokrenite stroj i pogledajte rezultat!

Napredne metode popravka registra

Kako smo saznali, Windows nema pristojan alat za upravljanje registrom. Stoga, pogledajmo što nam mogu ponuditi proizvođači trećih strana.

Prozor uslužnog programa TCPView

Popis mrežne usluge a odgovarajući rezervirani portovi za NT sustave mogu se vidjeti u datoteci %SystemRoot%\system32\drivers\etc\services - ovo je također u biti tekstualna datoteka bez ekstenzije, koja se može pregledavati bilo kojom bilježnicom.

Prozor uslužnog programa Nirsoft CurrPorts

I na kraju, za sve gore opisano što smo radili ručno, možete koristiti alate, npr. Ovaj uslužni program vraća ključeve registra mrežne postavke sustava sa zadanim vrijednostima. Osim toga, ona također:

• provjerava hosts datoteku za ispravnost localhost pokazivača (mora se odnositi na adresu 127.0.0.1);
• stvara sigurnosnu kopiju struje Postavke sustava(na zahtjev korisnika);
• onemogućuje sve mrežne adaptere i poništava njihove postavke.

Prozor uslužnog programa WinSock XP Fix

Izvorni GUI alat o kojem smo govorili radi isto što i netsh naredbe int ip reset i netsh resetirati winsock. Sličan mu je alat Reset-TCPIP koji izvršava sve opisane kombinacije konzolnih naredbi pod jednim GUI-jem.

Prozor uslužnog programa Reset-TCPIP

Još jedan dobar besplatni alat dizajniran je za ispravljanje raznih pogrešaka povezanih s radom mreže i interneta u sustavu Windows. Kratak popis njegovih karakteristika:

• očistite i popravite host datoteku;
• omogućiti Ethernet i bežični adapteri mreže;
• resetirati Winsock i TCP/IP protokol;
• očisti DNS predmemoriju, tablice usmjeravanja, očisti statičke IP veze;
• ponovno pokrenite NetBIOS.

Prozor uslužnog programa za popravak NetAdapter

Live CD kao slamka spasa

I, nastavljajući našu temu, jednostavno nismo mogli zanemariti priču o Live CD sklopovima dizajniranim za vraćanje sustava. U početku je Live CD pozicioniran kao alat za obavljanje administrativnih zadataka: priprema tvrdog diska, brzo dobivanje pristupa podacima pohranjenim na diskovima i tako dalje. Sada su Live CD-ovi više poput univerzalnog pojasa za spašavanje za oživljavanje sustava u slučaju raznih padova, uključujući i nakon napad virusa. Njihova glavna prednost je što su svi alati skupljeni pod jednom haubom i mogu raditi paralelno. Ali postoji i nedostatak: da biste pokrenuli Live CD način rada, morate ponovno pokrenuti stroj, što je u nekim slučajevima za nas neprihvatljivo.

Svi poznati antivirusni programeri imaju besplatne diskete za oporavak sustava za podizanje sustava. Ukratko ćemo ih pregledati, ali nećemo ulaziti u detalje - složili smo se na početku našeg materijala da ćemo koristiti samo one alate koji nisu antivirusni softver u svom čistom obliku.

Moj najbolji prijatelj Donio mi je da pogledam netbook koji je bio ozbiljno zaražen virusima i zamolio me da pomognem očistiti sustav iz zoološkog vrta. Prvi put sam svojim očima vidio smiješnu granu u razvoju zlonamjernog softvera: “ransomware”. Takvi programi blokiraju neke od funkcija operativnog sustava i zahtijevaju da pošaljete SMS poruka za primanje koda za otključavanje. Pokazalo se da liječenje nije sasvim beznačajno i pomislio sam da bi možda ova priča nekome spasila živčane stanice. Pokušao sam pružiti poveznice na sve stranice i pomoćne programe koji su bili potrebni tijekom liječenja.

U ovom slučaju, virus se predstavljao kao antivirusni program sigurnost na internetu i zahtijeva slanje SMS-a K207815200 na broj 4460. Na web stranici Kaspersky Laba postoji stranica koja vam omogućuje generiranje kodova odgovora na ransomware: support.kaspersky.ru/viruses/deblocker

Međutim, nakon unosa koda, funkcije OS-a ostale su blokirane, a pokretanje bilo kojeg antivirusnog programa dovelo je do trenutnog otvaranja prozora za virus koji pažljivo emulira rad antivirusa:

Pokušaji dizanja u sigurnim načinima rada doveli su do potpuno istog rezultata. Stvar je bila komplicirana i činjenicom da su lozinke za sve administratorske račune bile prazne, a prijava na računalo preko mreže za administratore s praznom lozinkom bila je pravilom standardno blokirana.
Morao sam se pokrenuti s USB Flash pogona (netbook, po definiciji, nema diskovni pogon). Najlakši način za izradu USB pogona za podizanje sustava:
1. Formatirajte disk u NTFS
2. Učinite particiju aktivnom (diskpart -> odaberite disk x -> odaberite particiju x -> aktivno)
3. Upotrijebite uslužni program \boot\bootsect.exe iz distribucije sustava Vista/Windows 2008/Windows 7: bootsect /nt60 X: /mbr
4. Kopirajte sve distribucijske datoteke (imao sam distribuciju Windows 2008 pri ruci) u usb disk. To je to, možete pokrenuti.

Budući da ne trebamo instalirati OS, već liječiti viruse, kopiramo na disk skup besplatnih tretmana (AVZ, CureIt) i pomoćnih uslužnih programa (gledajući unaprijed, trebali su mi Streamovi od Marka Russinovicha) i Far. Ponovno pokrećemo netbook, postavljamo BIOS da se pokreće s USB-a.

Program se učitava Windows instalacije 2008, složite se s izborom jezika, Instalirajte sada i zatim pritisnite Shift+F10. Pojavljuje se prozor naredbenog retka iz kojeg možemo pokrenuti naš antivirusna sredstva i potražite infekciju na sistemski disk. Ovdje sam naišao na poteškoću, CureIt je ispustio sustav plavi ekran death with abuse at error rada s NTFS-om, a AVZ, iako je radio, nije uspio pronaći ništa. Navodno je virus vrlo, vrlo svjež. Jedini trag je poruka AVZ-a da je izvršni kod otkriven u dodatnom NTSF streamu za jednu od datoteka u Windows imenik. Ovo mi se činilo čudno i sumnjivo, budući da je dodatno NTFS tokovi koriste se u vrlo specifičnim slučajevima i ništa izvršno tamo ne bi trebalo biti pohranjeno na normalnim strojevima.

Stoga sam morao preuzeti uslužni program Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) od Marka i izbrisati ovaj stream. Njegova veličina bila je 126.464 bajta, baš kao i dll datoteke koje je virus postavio na flash diskove umetnute u sustav.

Nakon toga ja pomoć Far Pretražio sam cijeli sistemski disk tražeći datoteke iste veličine i pronašao još 5 ili 6 sumnjivih datoteka stvorenih u posljednja 2-3 dana. Izbrisani su na isti način. Nakon toga, CureIt je mogao raditi (navodno je naletio na dodatne niti) i uspješno očistio još dva Trojana :)

Nakon ponovnog pokretanja sve je radilo, dodatna pokretanja antivirusni skeneri ništa nije našao. Uz pomoć AVZ-a vraćene su politike koje su ograničavale funkcije OS-a. Prijatelj je dobio striktne upute koliko je važno koristiti antiviruse, pogotovo jer ih ima mnogo besplatnih (

Kao

Kao

Cvrkut

Postoje programi koji su univerzalni poput švicarskog nožića. Junak mog članka je upravo takav "karavan". Njegovo ime je AVZ(Zaitsev Antivirus). Uz pomoć ovoga besplatno Antivirus i virusi se mogu uhvatiti, sustav se može optimizirati, a problemi se mogu popraviti.

AVZ mogućnosti

Već sam govorio o činjenici da je ovo antivirusni program u. O radu AVZ-a kao jednokratni antivirus(točnije, anti-rootkit) je dobro opisan u pomoći za njega, ali ja ću vam pokazati drugu stranu programa: provjeru i vraćanje postavki.

Što se može "popraviti" s AVZ-om:

• Vraćanje pokretanja programa (.exe, .com, .pif datoteke)
• Resetiraj Internet postavke Explorer prema standardu
• Vratite postavke radne površine
• Uklonite ograničenja prava (na primjer, ako je virus blokirao pokretanje programa)
• Uklonite banner ili prozor koji se pojavi prije nego što se prijavite
• Uklonite viruse koji se mogu pokrenuti uz bilo koji program
• Deblokirajte upravitelj zadataka i uređivač registra (ako ih je virus spriječio u pokretanju)
• Obriši datoteku
• Zabranite automatsko pokretanje programa s flash pogona i diskova
• Uklonite nepotrebne datoteke s tvrdog diska
• Riješite probleme sa radnom površinom
• I mnogo više

Također ga možete koristiti za provjeru sigurnosti Windows postavke(kako bi se bolje zaštitili od virusa), a također optimizirajte sustav čišćenjem pokretanja.

Nalazi se stranica za preuzimanje AVZ-a.

Program je besplatan.

Prvo, zaštitimo vaš Windows od neopreznih radnji.

Program AVZ ima Vrlo mnoge funkcije koje utječu na rad sustava Windows. Ovaj opasno, jer ako se pogriješi, može se dogoditi katastrofa. Pažljivo pročitajte tekst i pomozite prije nego bilo što učinite. Autor članka ne odgovara za vaše postupke.

Kako bih mogao “vratiti sve kako je bilo” nakon nepažljivog rada s AVZ-om, napisao sam ovo poglavlje.

Ovo je obavezan korak, koji u biti stvara "put za bijeg" u slučaju neopreznih radnji - zahvaljujući točki vraćanja, bit će moguće vratiti postavke, Windows registar u ranije stanje.

Windows Recovery System obavezna je komponenta svih Windows verzije, počevši od Windows ME. Šteta je što se obično toga ne sjete i gube vrijeme na ponovnu instalaciju Windowsa i programa, iako možete kliknuti samo nekoliko puta i izbjeći sve probleme.

Ako je oštećenje ozbiljno (na primjer, dio sistemske datoteke), tada Vraćanje sustava neće pomoći. U drugim slučajevima - ako ste krivo konfigurirali Windows, petljali s registrom, instalirali program koji sprječava pokretanje Windowsa ili ste pogrešno koristili AVZ program - System Restore bi trebao pomoći.

Nakon rada, AVZ stvara podmape sa sigurnosnim kopijama u svojoj mapi:

/Sigurnosna kopija- tamo se pohranjuju sigurnosne kopije registra.

/Zaražen- kopije izbrisanih virusa.

/Karantena- kopije sumnjivih datoteka.

Ako su se nakon korištenja AVZ-a pojavili problemi (na primjer, nepromišljeno ste koristili AVZ alat "Vraćanje sustava" i internet je prestao raditi) i oporavak Windows sustavi nije vratio napravljene promjene, možete otvoriti sigurnosne kopije registra iz mape Sigurnosna kopija.

Kako stvoriti točku vraćanja

Idemo Start - Upravljačka ploča - Sustav - Zaštita sustava:

Kliknite "Zaštita sustava" u prozoru "Sustav".

Pritisnite gumb "Stvori".

Proces stvaranja točke vraćanja može trajati deset minuta. Zatim će se pojaviti prozor:

Stvorit će se točka vraćanja. Usput, automatski se stvaraju prilikom instaliranja programa i upravljačkih programa, ali ne uvijek. Stoga je prije opasnih radnji (postavljanje, čišćenje sustava) bolje ponovno stvoriti točku vraćanja, tako da se u slučaju problema možete pohvaliti za svoju dalekovidnost.

Kako vratiti svoje računalo pomoću točke vraćanja

Postoje dvije opcije za pokretanje System Restore - odozdo pokrenuti Windows i pomoću instalacijskog diska.

Opcija 1 - ako se Windows pokrene

Idemo Start - Svi programi - Pribor - Alati sustava - Vraćanje sustava:

Početi će Odaberite drugu točku vraćanja i pritisnite Unaprijediti. Otvorit će se popis točaka vraćanja. Odaberite ono što vam je potrebno:

Računalo će se automatski ponovno pokrenuti. Nakon preuzimanja, sve postavke, njegov registar i neke važne datoteke bit će vraćene.

Opcija 2 - ako se Windows ne pokrene

Treba vam “instalacijski” disk sa Windows 7 ili Windows 8. Napisao sam gdje ga možete nabaviti (ili preuzeti).

Dizanje s diska (kako se dignuti s diskovi za pokretanje, napisano) i odaberite:

Odaberite "Vraćanje sustava" umjesto instaliranja sustava Windows

Popravak sustava nakon virusa ili nevještih radnji s računalom

Prije svih radnji, riješite se virusa, na primjer, koristeći. U suprotnom, neće biti smisla - pokrenuti virus ponovno će "slomiti" ispravljene postavke.

Vraćanje pokretanja programa

Ako je virus blokirao pokretanje bilo kojeg programa, tada će vam AVZ pomoći. Naravno, i dalje morate pokrenuti sam AVZ, ali to je prilično jednostavno:

Prvo idemo na Upravljačka ploča- postavite bilo koju vrstu gledanja, osim kategorije - Postavke mapa - Pogled- odznačiti Sakrij ekstenzije za registrirane vrste datoteka - OK. Sada možete vidjeti za svaku datoteku proširenje- nekoliko znakova nakon zadnja točka u ime. To je obično slučaj s programima. .exe I .com. Za pokretanje AVZ antivirusa na računalu na kojem je pokretanje programa zabranjeno, preimenujte proširenje u cmd ili pif:

Tada će se pokrenuti AVZ. Zatim u samom prozoru programa kliknite Datoteka - :

Napomene:

1. Vraćanje parametara pokretanja .exe, .com, .pif datoteka(zapravo, rješava problem pokretanja programa)

6. Uklanjanje svih pravila (ograničenja) trenutni korisnik (u nekim rijetkim slučajevima, ova stavka također pomaže riješiti problem pokretanja programa ako je virus vrlo štetan)

9. Uklanjanje programa za ispravljanje pogrešaka procesa sustava(vrlo je preporučljivo zabilježiti ovu točku, jer čak i ako ste provjerili sustav antivirusom, nešto bi moglo ostati od virusa. Također pomaže ako se radna površina ne pojavi kada se sustav pokrene)

, potvrdite radnju, pojavit će se prozor s tekstom "Vraćanje sustava dovršeno." Nakon toga preostaje samo ponovno pokrenuti računalo - problem s pokretanjem programa bit će riješen!

Vraćanje pokretanja radne površine

Dovoljno čest problem- Kada se sustav pokrene, radna površina se ne pojavljuje.

Pokreni Radna površina možete učiniti ovo: pritisnite Ctrl+Alt+Del, pokrenite Task Manager, tamo pritisnite Datoteka - Novi zadatak (Pokreni...) - Unesi explorer.exe:

u redu- Radna površina će se pokrenuti. Ali ovo je samo privremeno rješenje problema - sljedeći put kada uključite računalo morat ćete sve ponoviti iznova.

Kako biste to izbjegli svaki put, morate vratiti tipku za pokretanje programa istraživač("Explorer", koji je odgovoran za standardni pregled sadržaja mapa i rad radne površine). U AVZ kliknite Datoteka- i označite stavku

Izvršite označene operacije, potvrdite radnju, pritisnite U REDU. Sada kada pokrenete računalo, radna površina će se normalno pokrenuti.

Otključavanje upravitelja zadataka i uređivača registra

Ako je virus blokirao pokretanje dva gore navedena programa, zabranu možete ukloniti kroz prozor programa AVZ. Samo provjerite dvije točke:

11. Otključajte upravitelja zadataka

17. Otključavanje uređivača registra

I pritisnite Izvedite označene radnje.

Problemi s internetom (VKontakte, Odnoklassniki i antivirusne stranice se ne otvaraju)

Čišćenje sustava od nepotrebnih datoteka

Programi AVZ zna kako očistiti vaše računalo nepotrebne datoteke. Ako na računalu nemate instaliran program za čišćenje tvrdog diska, AVZ će poslužiti jer postoji mnogo mogućnosti:

Više detalja o točkama:

1. Očisti predmemoriju sustava Prefetch- čišćenje mape s informacijama o tome koje datoteke učitati unaprijed za brzo pokretanje programa. Opcija je beskorisna, jer sam Windows prilično uspješno prati Mapa unaprijed dohvati i po potrebi ga čisti.
2. Obriši datoteke Dnevnici sustava Windows - možete očistiti razne baze podataka i datoteke koje sadrže razni unosi o događajima koji se događaju u operativnom sustavu. Opcija je korisna ako trebate osloboditi desetak ili dva megabajta prostora na tvrdom disku. Odnosno, korist od korištenja je zanemariva, opcija je beskorisna.
3. Izbrišite datoteke ispisa memorije- u slučaju kritičnog stanja Windows greške prekida svoj rad i prikazuje BSOD (plavi ekran smrti), istovremeno spremajući podatke o pokrenutim programima i upravljačkim programima u datoteku za kasniju analizu posebni programi identificirati krivca neuspjeha. Opcija je gotovo beskorisna, jer vam omogućuje da osvojite samo deset megabajta slobodnog prostora. Brisanje datoteka ispisa memorije ne šteti sustavu.
4. Brisanje popisa nedavnih dokumenata- Začudo, opcija briše popis nedavnih dokumenata. Ovaj popis nalazi se u izborniku Start. Popis možete izbrisati i ručno tako da desnom tipkom miša kliknete ovu stavku u izborniku Start i odaberete “Očisti popis posljednji elementi" Opcija je korisna: primijetio sam da brisanje popisa nedavnih dokumenata omogućuje izborniku Start malo brže prikazivanje izbornika. Neće naštetiti sustavu.
5. Brisanje mape TEMP- Sveti gral za one koji traže razlog nestanka slobodnog prostora na disku C:. Činjenica je da mnogi programi pohranjuju datoteke u mapu TEMP za privremenu upotrebu, zaboravljajući kasnije "počistiti za sobom". Tipičan primjer su arhivari. Tamo će raspakirati datoteke i zaboraviti ih izbrisati. Brisanje mape TEMP ne šteti sustavu, može osloboditi puno prostora (u posebno naprednim slučajevima dobitak u slobodnom prostoru doseže pedeset gigabajta!).
6. Adobe Flash Player- čišćenje privremenih datoteka- "flash player" može spremati datoteke za privremenu upotrebu. Mogu se ukloniti. Ponekad (rijetko) ova opcija pomaže u rješavanju problema Flash Playera. Na primjer, s problemima pri reprodukciji videa i zvuka na web stranici VKontakte. Nema štete od upotrebe.
7. Brisanje predmemorije klijenta terminala- koliko ja znam, ova opcija briše privremene datoteke Windows komponenta pod nazivom “Remote Desktop Connection” (daljinski pristup računalima putem RDP-a). Opcija čini se ne šteti, u najboljem slučaju oslobađa desetak megabajta prostora. Nema smisla koristiti ga.
8. IIS - dnevnik brisanja HTTP pogreške - dugo se objašnjava što je to. Samo ću reći da je bolje ne omogućiti IIS opciju brisanja dnevnika. U svakom slučaju, nema nikakve štete, a niti koristi.
9. Macromedia Flash Player- duplikati predmeta "Adobe Flash Player - brisanje privremenih datoteka", ali utječe na prilično stare verzije Flash Playera.
10. Java - brisanje predmemorije- daje vam dobitak od nekoliko megabajta na vašem tvrdom disku. Ne koristim Java programe, pa nisam provjerio posljedice uključivanja opcije. Ne preporučujem da ga uključite.
11. Pražnjenje smeća- svrha ovog artikla je potpuno jasna iz njegovog naziva.
12. Uklonite zapisnike instalacije ažuriranja sustava- Windows vodi dnevnik instaliranih ažuriranja. Omogućavanjem ove opcije briše se zapisnik. Opcija je beskorisna jer nema dobitka u slobodnom prostoru.
13. Izbriši protokol Windows Update - slično prethodnoj točki, ali ostale datoteke se brišu. Također beskorisna opcija.
14. Obrišite bazu podataka MountPoints- ako kada spojite flash pogon ili tvrdi disk, ikone s njima nisu stvorene u prozoru računala, ova opcija može pomoći. Savjetujem vam da ga omogućite samo ako imate problema s povezivanjem flash pogona i diskova.
15. Internet Explorer- brisanje predmemorije- čisti privremene datoteke Internet Explorera. Opcija je sigurna i korisna.
16. Microsoft Office- brisanje predmemorije- čisti privremene datoteke Microsoft programi Office - Word, Excel, PowerPoint i drugi. Ne mogu provjeriti sigurnosne opcije jer nemam Microsoft Office.
17. Brisanje predmemorije sustava za snimanje CD-a- korisna opcija koja vam omogućuje brisanje datoteka koje ste pripremili za snimanje na diskove.
18. Čišćenje mape TEMP sustava- za razliku od korisničke mape TEMP (vidi točku 5), čišćenje ove mape nije uvijek sigurno i obično oslobađa malo prostora. Ne preporučujem da ga uključite.
19. MSI - čišćenje mape Config.Msi- Ova mapa pohranjuje razne datoteke koje su izradili instalateri programa. Mapa je velika ako instalateri nisu ispravno dovršili svoj posao, pa je čišćenje mape Config.Msi opravdano. Međutim, upozoravam vas - može doći do problema s deinstalacijom programa koji koriste .msi instalacijske programe (na primjer, Microsoft Office).
20. Očisti zapisnike planera zadataka- Windows Task Scheduler vodi dnevnik u koji bilježi podatke o dovršenim zadacima. Ne preporučujem da omogućite ovu stavku, jer nema koristi, ali će dodati probleme - Windows Task Scheduler prilično je bugova komponenta.
21. Uklonite zapisnike postavljanja sustava Windows- osvojiti mjesto je beznačajno, nema smisla brisati.
22. Windows - brisanje predmemorije ikona- korisno ako imate problema s prečacima. Na primjer, kada se pojavi radna površina, ikone se ne pojavljuju odmah. Omogućavanje ove opcije neće utjecati na stabilnost sustava.
23. Google Chrome- brisanje predmemorije- vrlo korisna opcija. Google Chrome pohranjuje kopije stranica u određenu mapu radi bržeg otvaranja stranica (stranice se učitavaju s vašeg tvrdog diska umjesto da se preuzimaju preko interneta). Ponekad veličina ove mape doseže pola gigabajta. Čišćenje je korisno jer oslobađa prostor na vašem tvrdom disku; ne utječe na stabilnost ni Windowsa ni Google Chromea.
24. Mozilla Firefox- čišćenje mape CrashReports- svaki put kada se pojavi problem s Firefox preglednikom i on se sruši, kreiraju se datoteke izvješća. Ova opcija briše datoteke izvješća. Dobitak u slobodnom prostoru doseže nekoliko desetaka megabajta, odnosno opcija je malo korisna, ali postoji. Ne utječe na stabilnost sustava Windows i Mozilla Firefox.

Ovisno o instaliranih programa, broj stavki će varirati. Na primjer, ako je instaliran preglednik Opera, možete očistiti i njegovu predmemoriju.

Čišćenje popisa programa za pokretanje

Siguran način da ubrzate pokretanje i brzinu računala je čišćenje popisa za pokretanje. Ako nepotrebnih programa neće pokrenuti, tada će se računalo ne samo brže uključiti, već će i brže raditi - zbog oslobođenih resursa, koje neće zauzeti programi koji rade u pozadini.

AVZ može vidjeti gotovo sve rupe u sustavu Windows kroz koje se pokreću programi. Popis za automatsko pokretanje možete pogledati u izborniku Alati - Upravitelj automatskog pokretanja:

Prosječan korisnik nema apsolutno nikakvu potrebu za tako moćnom funkcionalnošću, stoga pozivam nemoj sve gasiti. Dovoljno je pogledati samo dvije točke - Automatsko pokretanje mapa I Trčanje*.

AVZ prikazuje automatsko pokretanje ne samo za vašeg korisnika, već i za sve ostale profile:

U poglavlju Trčanje* Bolje je ne onemogućiti programe koji se nalaze u odjeljku HKEY_USERS- ovo može poremetiti rad drugih korisničkih profila i samog operativnog sustava. U poglavlju Automatsko pokretanje mapa možete isključiti sve što vam ne treba.

Linije koje antivirus identificira kao poznate označene su zelenom bojom. Ovo uključuje oba sustava Windows programi, dakle programi trećih strana s digitalnim potpisom.

Svi ostali programi su označeni crnom bojom. To ne znači da su takvi programi virusi ili nešto slično, samo da nisu svi programi digitalno potpisani.

Ne zaboravite proširiti prvi stupac tako da se vidi naziv programa. Jednostavnim poništavanjem potvrdnog okvira privremeno će se onemogućiti automatsko pokretanje programa (tada možete ponovno označiti okvir), označavanjem stavke i pritiskom na gumb s crnim križićem zauvijek će se izbrisati unos (ili dok se program ponovno ne registrira u automatskom pokretanju).

Postavlja se pitanje: kako odrediti što se može isključiti, a što ne? Postoje dva rješenja:

Prvo, postoji zdrav razum: možete donijeti odluku na temelju naziva .exe datoteke programa. Na primjer, Skype program nakon instalacije stvara unos za automatsko pokretanje kada uključite računalo. Ako vam ovo nije potrebno, poništite okvir koji završava sa skype.exe. Usput, mnogi programi (uključujući Skype) mogu se sami ukloniti iz pokretanja; samo poništite odgovarajuću stavku u postavkama samog programa.

Drugo, na internetu možete pretraživati ​​informacije o programu. Na temelju primljenih informacija, ostaje donijeti odluku: ukloniti ga iz automatskog pokretanja ili ne. AVZ olakšava pronalaženje informacija o stavkama: samo kliknite desnom tipkom miša na stavku i odaberite svoju omiljenu tražilicu:

Isključivanjem nepotrebnih programa značajno ćete ubrzati pokretanje računala. Međutim, nije preporučljivo sve onemogućiti - time riskirate gubitak indikatora izgleda, onemogućavanje antivirusa itd.

Onemogućite samo one programe za koje sigurno znate - ne trebaju vam pri pokretanju.

Poanta

U principu, ono o čemu sam pisao u članku je slično zakucavanju čavala mikroskopom - program AVZ je prikladan za optimizaciju Windowsa, ali općenito je složen i moćan alat, pogodan za većinu različite zadatke. Međutim, da biste koristili AVZ u potpunosti, morate temeljito poznavati Windows, tako da možete početi s malim - naime, ono što sam gore opisao.

Ako imate pitanja ili komentara, ispod članaka postoji odjeljak za komentare gdje mi možete pisati. Pratim komentare i pokušat ću vam odgovoriti što je prije moguće.

Povezane objave:

Kao

Kao

Posvećen AVZ, želim s vama podijeliti još malo znanja o mogućnostima ovog prekrasnog uslužnog programa.

Danas ćemo govoriti o alatima za oporavak sustava, koji često mogu spasiti život vašem računalu nakon što je zaraženo virusima i drugim užasima života, kao i riješiti brojne sistemske probleme koji nastaju kao posljedica određenih grešaka.
Svima će biti od koristi.

Uvodni

Prije nego što počnemo, tradicionalno, želim vam ponuditi dva formata materijala, naime: video format ili tekst. Evo videa:

Pa tekst ispod. Uvjerite se sami koja vam je opcija bliža.

Opći opis funkcionalnosti programa

Kakva su to sredstva za oporavak? Ovo je skup firmvera i skripti koje pomažu u povratku radni uvjeti određene funkcije sustava. Koji na primjer? Pa, recimo, vratite uređivač registra, obrišite host datoteku ili resetirajte IE postavke. Općenito, dajem ga u cijelosti i s opisom (kako ne bih izmišljao kotač):

• 1. Vraćanje parametara pokretanja .exe, .com, .pif datoteka
  Ovaj firmware vraća odgovor sustava na exe, com, pif, scr datoteke.
  Indikacije za uporabu: nakon uklanjanja virusa programi prestaju raditi.
• 2. Ponovno postavite postavke prefiksa internetski protokoli Explorer prema standardu
  Ovaj firmver vraća postavke prefiksa protokola u Internet Exploreru
  Indikacije za upotrebu: kada unesete adresu poput www.yandex.ru, ona se zamjenjuje nečim poput www.seque.com/abcd.php?url=www.yandex.ru
• 3. Vraćanje početka internetske stranice Istraživač
  Ovaj firmver vraća početnu stranicu u Internet Exploreru
  Indikacije za uporabu: zamjena početne stranice
• 4. Vratite postavke pretraživanja Internet Explorera na zadane
  Ovaj firmver vraća postavke pretraživanja u Internet Exploreru
  Indikacije za uporabu: Kada kliknete gumb "Traži" u IE-u, pristupate web stranici treće strane
• 5. Vratite postavke radne površine
  Ovaj firmver vraća postavke radne površine. Vraćanje uključuje brisanje svih aktivnih ActiveDesctop elemenata, pozadine i deblokiranje izbornika odgovornog za postavke radne površine.
  Indikacije za upotrebu: Kartice postavki radne površine u prozoru "Svojstva: Zaslon" su nestale, na radnoj površini prikazani su strani natpisi ili slike
• 6. Uklanjanje svih pravila (ograničenja) trenutni korisnik.
  Windows nudi mehanizam za ograničavanje korisničkih radnji koji se naziva Pravila. Mnogi zlonamjerni softver koristi ovu tehnologiju jer su postavke pohranjene u registru i lako ih je izraditi ili izmijeniti.
  Indikacije za uporabu: Funkcije vodiča ili druge funkcije sustava su blokirane.
• 7. Uklanjanje poruke prikazane tijekom WinLogona
  Windows NT i kasniji sustavi u liniji NT (2000, XP) omogućuju vam da postavite poruku koja se prikazuje tijekom pokretanja. Brojni maliciozni programi to iskorištavaju, a uništavanje zlonamjernog programa ne dovodi do uništavanja ove poruke.
  Indikacije za uporabu: Tijekom pokretanja sustava unosi se suvišna poruka.
• 8. Vratite postavke File Explorera
  Ovaj firmver vraća niz postavki Explorera na standardne (prvo se vraćaju postavke koje je promijenio zlonamjerni softver).
  Indikacije za uporabu: Promijenjene postavke vodiča
• 9. Uklanjanje programa za ispravljanje pogrešaka procesa sustava
  Registriranje alata za otklanjanje pogrešaka procesa sustava omogućit će vam pokretanje skrivene aplikacije, a to je ono što koriste brojni zloćudni programi
  Indikacije za upotrebu: AVZ otkriva neidentificirane programe za ispravljanje pogrešaka procesa sustava, javljaju se problemi s pokretanjem komponenti sustava, posebno radna površina nestaje nakon ponovnog pokretanja.
• 10. Vraćanje postavki pokretanja u SafeMode
  Neki zlonamjerni softver, posebice crv Bagle, kvari postavke pokretanja sustava u zaštićenom načinu rada. Ovaj firmver vraća postavke pokretanja u zaštićenom načinu rada.
  Indikacije za uporabu: Računalo se ne pokreće u SafeMode. Koristite ovaj firmware samo ako imate problema s pokretanjem u zaštićenom načinu rada.
• 11. Otključajte upravitelja zadataka
  Zlonamjerni softver koristi blokiranje upravitelja zadataka za zaštitu procesa od otkrivanja i uklanjanja. Sukladno tome, izvršavanje ovog mikroprograma uklanja zaključavanje.
  Indikacije za uporabu: Blokiranje upravitelja zadataka, kada pokušate pozvati upravitelja zadataka, prikazuje se poruka "Upravitelj zadataka je blokiran od strane administratora".
• 12. Brisanje liste zanemarivanja uslužnog programa HijackThis
  Uslužni program HijackThis pohranjuje niz svojih postavki u registar, posebice popis iznimaka. Stoga, da bi se kamuflirao od HijackThis-a, zlonamjerni program treba samo registrirati svoje izvršne datoteke na popisu izuzetaka. U trenutno Poznato je nekoliko zlonamjernih programa koji iskorištavaju ovu ranjivost. AVZ firmware briše popis izuzetaka uslužnog programa HijackThis
  Indikacije za uporabu: Sumnje da uslužni program HijackThis ne prikazuje sve informacije o sustavu.
• 13. Čišćenje datoteke Hosts
  Čišćenje datoteke Hosts uključuje pronalaženje datoteke Hosts, uklanjanje svih značajnih redaka iz nje i dodavanje standardnog retka "127.0.0.1 localhost".
  Indikacije za uporabu: Sumnja da je datoteka Hosts modificirana zlonamjernim programom. Tipični simptomi su blokiranje ažuriranja antivirusnih programa. Sadržaj datoteke Hosts možete kontrolirati pomoću upravitelja datoteka Hosts ugrađenog u AVZ.
• 14. Automatska korekcija SPl/LSP postavke
  Obavlja analizu SPI postavki i, ako se otkriju pogreške, automatski ispravlja pronađene pogreške. Ovaj firmware se može ponovno pokretati neograničeni broj puta. Nakon pokretanja ovog firmvera, preporuča se ponovno pokrenuti računalo. Bilješka! Ovaj firmware se ne može pokrenuti iz sesije terminala
  Indikacije za uporabu: Nakon uklanjanja zlonamjernog programa izgubljen je pristup Internetu.
• 15. Reset SPI/LSP i TCP/IP postavki (XP+)
  Ovaj firmware radi samo na XP, Windows 2003 i Vista. Njegovo načelo rada temelji se na resetiranju i ponovnom stvaranju SPI/LSP i TCP/IP postavki pomoću standardnog uslužnog programa netsh uključenog u Windows. Više o resetiranju postavki možete pročitati u bazi podataka Microsoft znanje- Bilješka! Vraćanje na tvorničke postavke trebali biste koristiti samo ako je potrebno ako imate nepopravljivih problema s pristupom internetu nakon uklanjanja zlonamjernog softvera!
  Indikacije za uporabu: Nakon uklanjanja zlonamjernog programa izgubljen je pristup Internetu i pokretanje firmvera "14. Automatsko ispravljanje SPl/LSP postavki" ne daje rezultate.
• 16. Oporavak ključa za pokretanje Explorera
  Vraća ključeve registra sustava odgovorne za pokretanje Explorera.
  Indikacije za uporabu: Tijekom pokretanja sustava, Explorer se ne pokreće, ali je moguće ručno pokretanje explorer.exe.
• 17. Otključavanje uređivača registra
  Deblokira uređivač registra uklanjanjem pravila koja sprječavaju njegovo pokretanje.
  Indikacije za uporabu: Nije moguće pokrenuti uređivač registra, kada pokušate, prikazuje se poruka da je njegovo pokretanje blokirao administrator.
• 18. Potpuno ponovno stvaranje SPI postavki
  Izvodi sigurnosna kopija SPI/LSP postavke, nakon čega ih uništava i kreira prema standardu koji se pohranjuje u bazi.
  Indikacije za uporabu: Teško oštećenje SPI postavki koje se ne mogu popraviti skriptama 14 i 15. Koristite samo ako je potrebno!
• 19. Očistite bazu podataka MountPoints
  Čisti bazu podataka MountPoints i MountPoints2 u registru.
  Indikacije za upotrebu: Ova operacijačesto pomaže u slučajevima kada se nakon infekcije Flash virusom diskovi ne otvaraju u Exploreru
• Na bilješku:
  Vraćanje je beskorisno ako sustav radi trojanski konj, koji izvodi takve rekonfiguracije - prvo morate ukloniti zlonamjerni program, a zatim vratiti postavke sustava
  Na bilješku:
  Da biste uklonili tragove većine otmičara, trebate pokrenuti tri firmvera - "Vrati postavke pretraživanja Internet Explorera na standardne", "Vrati početnu stranicu Internet Explorera", "Vrati postavke prefiksa protokola Internet Explorera na standardne"
  Na bilješku:
  Bilo koji firmware može se izvršiti nekoliko puta zaredom bez oštećenja sustava. Iznimke su "5. Vraćanje postavki radne površine" (ovaj firmver će poništiti sve postavke radne površine i morat ćete ponovno odabrati boju i pozadinu radne površine) i "10. Vraćanje postavki pokretanja u SafeMode" (ovaj firmver ponovno stvara odgovorne ključeve registra za pokretanje u sigurnom načinu rada).

Korisno, zar ne?
Sada o tome kako ga koristiti.

Učitavanje, pokretanje, korištenje

Zapravo, sve je jednostavno.

1. preuzimanje datoteka odavde(ili s nekog drugog mjesta) antivirusni uslužni program AVZ.
2. Raspakirajte arhivu s njom na mjesto koje vam odgovara
3. Idite u mapu u koju smo raspakirali program i tamo ga pokrenite avz.exe.
4. U prozoru programa odaberite "Datoteka" - "Vraćanje sustava".
5. Označite kućice potrebne točke i pritisnite gumb " Izvršite označene operacije".
6. Čekamo i uživamo u rezultatu.

Tako stvari stoje.

Pogovor

Moram reći da djeluje kao šarm i eliminira niz nepotrebnih pokreta. Tako reći, sve je pri ruci, brzo, jednostavno i učinkovito.

Hvala na pažnji;)

Hvala vam na pomoći u pripremi materijala za računalne majstore. servisni centar Pokreni.RF. Možete naručiti popravke laptopa i netbooka od ovih momaka u Moskvi.

Zlonamjerni programi se uvode u operativni sustav osobnog računala i uzrokuju značajnu štetu cjelokupnoj količini podataka. Na ovaj trenutak Tijekom vremena programi štetočine nastaju za različite namjene, pa je njihovo djelovanje usmjereno na prilagodbu različitih struktura operacijskog sustava osobnog računala.

Problemi s internetom i kvarovi u radu uređaja spojenih na računalo su česti, a posljedice su očite korisniku.

Čak i ako je štetočina otkrivena i uništena, to ne isključuje gubitak informacija i druge probleme koji nastaju u naknadnom radu. Mogućnosti se mogu nabrajati beskonačno; najčešće korisnik otkrije potpunu ili djelomično blokiranje pristup World Wide Webu, neuspjeh u radu vanjski uređaji(miš, flash kartica), prazna radna površina itd.

Navedene posljedice promatraju se zbog promjena koje je program štetnik napravio u sistemskim datotekama osobnog računala. Takve se promjene ne uklanjaju uklanjanjem virusa, potrebno ih je ispraviti samostalno ili uz pomoć stručnjaka. Zapravo, rad ove vrste ne zahtijeva posebnu obuku, a svaki napredni korisnik može ga izvesti nakon proučavanja odgovarajućih uputa.

U praksi organiziranja oporavka operativnog sustava razlikuje se nekoliko pristupa, ovisno o razlozima koji su doveli do kvara. Razmotrimo svaku od opcija u detalje. Jednostavna metoda dostupna svakom korisniku je vraćanje OS-a na točku vraćanja kada je rad osobnog računala zadovoljio zahtjeve korisnika. No vrlo često to rješenje nije zadovoljavajuće ili se iz objektivnih razloga ne može provesti.

Kako vratiti OS ako je prijava na računalo nemoguća?

Pokretanje System Restore nastavlja se na sljedeći način. Izbornik Start\Upravljačka ploča\Vraćanje sustava. Na ovoj adresi odabiremo točku oporavka koja nam je potrebna i pokrećemo postupak. Nakon nekog vremena posao će biti završen i računalo je spremno za normalan rad. Tehnika je sasvim primjenjiva za uklanjanje nekih vrsta virusa, budući da se promjene događaju i na razini registra. Ova opcija za vraćanje operativnog sustava smatra se najjednostavnijom i uključena je u skup standardnih Windows alata. Upute korak po korak i pomoć s detaljnim komentarima o procesu pomoći će vam da ovladate tehnikom vraćanja funkcionalnosti vašeg računala, čak i ako se korisnik ne osjeća potpuno sigurnim kao PC administrator.

Još jedna uobičajena opcija oporavka OS-a je pokretanje postupka s vanjskog medija. Ova je opcija komplicirana nekim problemima, na primjer, trebate imati sliku sustava na flash kartici ili disku i pobrinite se da imate takvu kopiju unaprijed. Osim toga, često je potrebno imati određene vještine u radu s BIOS sustavom. Slika operativnog sustava uključena vanjski mediji — najbolja opcija u slučaju da je oporavak nemoguć jer je virus blokirao prijavu na računalo. Postoje i druge mogućnosti.

Koristite standard Windows alati nemoguće je vratiti OS ako je, na primjer, prijava nemoguća ili postoje drugi razlozi koji sprječavaju izvođenje operacije u standardnom načinu rada. Situacija se može riješiti pomoću alata ERD Commander (ERDC).

Pogledajmo situaciju korak po korak da vidimo kako program radi. Prvi korak je preuzimanje programa. Drugi korak je pokretanje alata System em Restore Wizard, uz njegovu pomoć se OS vraća na određeni položaj za oporavak.

U pravilu, svaki alat ima nekoliko kontrolnih točaka u rezervi, au osamdeset posto slučajeva performanse osobnog računala bit će potpuno obnovljene.

Korištenje uslužnih alata AVZ

Alat o kojem se govori u nastavku ne zahtijeva nikakve posebne korisničke vještine za rad. Softver razvio Oleg Zaitsev i dizajniran za pretraživanje i uništavanje svih vrsta virusa i malwarea. Ali osim glavne funkcije, uslužni program vraća većinu Postavke sustava koji su napadnuti ili modificirani štetnim virusima.

Koje probleme može riješiti predstavljeni program? Glavna stvar je vratiti sistemske datoteke i postavke koje su napali virusi. Uslužni program se nosi s oštećeni vozači programe koji se odbijaju pokrenuti nakon oporavka. Kada se pojave problemi u preglednicima ili kada je pristup internetu blokiran i mnoge druge nevolje.

Aktiviramo operaciju oporavka na File\System Restore i odabiremo operaciju koja je potrebna. Slika prikazuje sučelje mikroprograma kojima uslužni program upravlja; mi ćemo dati opis svakog od njih.

Kao što vidite, skup operacija predstavljen je s 21 stavkom, a naziv svake od njih objašnjava njezinu svrhu. Imajte na umu da su mogućnosti programa prilično raznolike i može se smatrati univerzalnim alatom za oživljavanje ne samo samog sustava, već i za uklanjanje posljedica virusa koji rade s podacima sustava.

Prvi parametar koristi se ako, kao rezultat napada virusa i postupka oporavka OS-a, programi potrebni korisniku odbiju raditi. U pravilu se to događa ako je štetočina prodrla u programske datoteke i upravljačke programe i izvršila bilo kakve promjene u podacima koji su tamo zabilježeni.

Drugi parametar je neophodan kada virusi zamijene domene prilikom unosa u tražilicu preglednika. Ova zamjena je prva razina prilagodbe interakcije između sistemskih datoteka operativnog sustava i Interneta. Takva programska funkcija, u pravilu, eliminira promjene napravljene bez traga, bez pokušaja otkrivanja, već jednostavno izlaže potpuno oblikovanje cijeli volumen podataka prefiksa i protokola, zamjenjujući ih standardnim postavkama.

Treća opcija nastavlja postavljanje početne stranice internetskog preglednika. Kao iu prethodnom slučaju, prema zadanim postavkama program ispravlja probleme Internet preglednik Istraživač.

Četvrti parametar ispravlja rad pretraživač i instalira standardni način rada raditi. Opet, postupak se odnosi na zadani Windows preglednik.

Ako postoji problem vezan uz rad radne površine (pojava natpisa, slika, suvišnih unosa na njoj), aktivirajte petu točku programa. Takve posljedice djelovanja zlonamjernog softvera bile su vrlo popularne prije nekoliko godina i stvarale su dosta problema korisnicima, ali čak i sada je moguće da takvi prljavi trikovi prodru u operativni sustav računala.

Šesta točka je neophodna ako je zlonamjerni program ograničio radnje korisnika prilikom izvršavanja niza naredbi. Ta ograničenja mogu biti različite prirode, a budući da su postavke pristupa pohranjene u registru, zlonamjerni softver najčešće koristi te podatke kako bi korigirao rad korisnika na računalu.

Ako se prilikom učitavanja OS-a pojavi poruka treće strane, to znači da se zlonamjerni program uspio infiltrirati u postavke Pokretanje sustava Windows N.T. Vraćanje OS-a koji je uništio virus ne briše ovu poruku. Da biste ga uklonili, morate aktivirati sedmi parametar izbornika uslužnog programa AVZ.

Osma opcija izbornika, kao što ime sugerira, vraća postavke Explorera.

Ponekad se problem manifestira u obliku prekida u radu komponente sustava, na primjer, prilikom pokretanja OS-a osobnog računala radna površina nestaje. AVZ uslužni program provodi dijagnostiku ovih struktura i vrši potrebne prilagodbe pomoću stavke devet izbornika alata.

Problemi s učitavanjem OS-a u sigurnom načinu rada mogu se riješiti u koraku deset. Otkrijte potrebu za aktivacijom ovog paragrafa Multiprogrami uslužnog programa koji se ovdje raspravlja su jednostavni. Pojavljuju se tijekom pokušaja rada u sigurnosnom načinu rada.

Ako je upravitelj zadataka blokiran, morate aktivirati stavku izbornika jedanaest. Virusi u ime administratora mijenjaju aktivaciju ovog odjeljka operativnog sustava, a umjesto radnog prozora pojavljuje se poruka da je rad s upraviteljem zadataka blokiran.

Uslužni program HijackThis koristi pohranu popisa iznimaka u registru kao jednu od svojih glavnih funkcija. Za virus je dovoljno prodrijeti u bazu podataka uslužnog programa i registrirati datoteke na popisu registra. Nakon toga se može samostalno oporavljati neograničen broj puta. Registar uslužnog programa čisti se aktiviranjem dvanaeste stavke u izborniku postavki AVZ-a.

Sljedeća, trinaesta točka, omogućuje brisanje datoteke Hosts; ova datoteka, modificirana virusom, može uzrokovati poteškoće pri radu s mrežom, blokirati neke resurse i ometati ažuriranje baza podataka antivirusnog programa. Rad s ovom datotekom bit će detaljnije objašnjen u nastavku. Nažalost, gotovo svi virusni programi pokušavaju urediti ovu datoteku, što je prvenstveno zbog lakoće unošenja takvih izmjena, a posljedice mogu biti više nego značajne, a nakon uklanjanja virusa podaci uneseni u datoteku mogu biti izravan pristupnik za prodor u OS novih štetnika i špijunskog softvera.

Ako je pristup Internetu blokiran, to obično znači da postoje pogreške u SPI postavkama. Oni će biti ispravljeni ako aktivirate stavku izbornika četrnaest. Važno je da se ova stavka postavki ne može koristiti iz sesije terminala.

Slične funkcije uključene su u petnaestu stavku izbornika, ali je njezina aktivacija moguća samo kada radite u operativnim sustavima kao što su XP, Windows 2003, Vista. Možete koristiti ovaj multi-program ako pokušaji ispravljanja situacije s prijavom na mrežu pomoću prethodne postavke nisu donijeli željeni rezultat.

Mogućnosti šesnaeste stavke izbornika usmjerene su na vraćanje ključeva registra sustava koji su odgovorni za pokretanje internetskog preglednika.

Sljedeći korak u vraćanju postavki OS-a nakon napada virusa je otključavanje uređivača registra. U pravilu, vanjska manifestacija je da je nemoguće učitati program za rad s Mrežom.

Sljedeće četiri točke preporučuju se samo ako je šteta na operativnom sustavu toliko katastrofalna da je, uglavnom, svejedno mogu li se eliminirati takvim metodama ili će zbog toga biti potrebno ponovno instalirati cijeli sustav.

Dakle, osamnaesta stavka ponovno stvara izvorne SPI postavke. Devetnaesta stavka briše registar Mount Points /2.

Dvadeseta točka uklanja sve statične rute. Konačno, posljednja, dvadeset prva točka briše sve DNS veze.

Kao što možete vidjeti, mogućnosti uslužnog programa pokrivaju gotovo sva područja u koja zlonamjerni program smreke može prodrijeti i ostaviti svoj aktivni trag, što nije tako lako otkriti.

Jer antivirusne aplikacije ne jamče 100% zaštitu operativnog sustava vašeg računala, preporučujemo da imate takav program u svom arsenalu alata za borbu protiv računalnih virusa svih vrsta i oblika.

Kao rezultat dezinfekcije OS-a osobnog računala, uređaji povezani s njim ne rade.

Jedan od popularnih načina za prikrivanje špijunskog softvera je uspostavljanje vašeg vozač virusa uz stvarni softver. U ovoj situaciji, stvarni upravljački program najčešće je datoteka miša ili tipkovnice. Sukladno tome, nakon uništenja virusa, njegov trag ostaje u registru, zbog čega uređaj na koji se štetnik uspio zakačiti prestaje raditi.

Slična situacija se opaža kada neispravan rad u procesu deinstalacije Kaspersky Anti-Virus programa. To je također zbog specifičnosti instaliranja programa, kada njegova instalacija na računalu koristi pomoćni upravljački program klmouflt. U situaciji s Kasperskyjem, ovaj se upravljački program mora pronaći i potpuno ukloniti iz sustava osobnog računala u skladu sa svim pravilima.

Ako tipkovnica i miš odbiju funkcionirati željeni način rada, prije svega morate vratiti ključeve registra.

Tipkovnica :
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Cont rol\Class\(4D36E 96B-E325-11CE-BF C1-08002BE10318)
UpperFilters=kbd klasa

Miš :
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Cont rol\Class\(4D36E 96F-E325-11CE-BF C1-08002BE10318)
UpperFilters=mou klasa

Problem nedostupnih stranica

Posljedice napada zlonamjernim softverom mogu biti nedostupnost nekih resursa na Internetu. A te su posljedice rezultat promjena koje su virusi uspjeli napraviti u sustavu. Problem se otkriva odmah ili nakon nekog vremena, ali ako se kao rezultat djelovanja programa štetnika pojavi nakon nekog vremena, neće ga biti teško ukloniti.

Postoje dvije opcije za blokiranje, a najčešća je podešavanje host datoteke. Druga opcija je stvaranje lažnih statičkih ruta. Čak i ako se virus uništi, promjene koje je napravio na ovim alatima neće biti eliminirane.

Dotični dokument nalazi se u sistemskoj mapi na disku C. Njegova adresa i lokacija mogu se pronaći ovdje: C:\Windows\System 32\drivers\etc\hosts. Za brzo pretraživanje obično koristite naredbeni redak iz izbornika Start.

Ako se datoteka ne može pronaći navedenim postupkom, to može značiti sljedeće:

— virusni program promijenio je mjesto u registru;

— dokument datoteke ima parametar "skriveno".

U potonjem slučaju mijenjamo karakteristike pretraživanja. Na: Mogućnosti mape / Pogled nalazimo redak "Prikaži skrivene datoteke" i označite okvir nasuprot, proširujući raspon pretraživanja.

Datoteka hosts sadrži informacije koje pretvaraju slovo naziva domene web-mjesta u njezinu IP adresu, tako da zlonamjerni programi u nju upisuju prilagodbe koje mogu preusmjeriti korisnika na druge resurse. Ako se to dogodi, tada kada unesete adresu željene stranice, otvara se potpuno drugačija. Kako biste te promjene vratili u prvobitno stanje i ispravili, morate pronaći ovu datoteku i analizirati njegov sadržaj. Čak neiskusan korisnik bit će jasno što je točno virus promijenio, ali ako to uzrokuje određene poteškoće, možete vratiti zadane postavke i time eliminirati sve promjene napravljene na datoteci.

Što se tiče ispravljanja ruta, princip djelovanja je isti. Međutim, u procesu interakcije između operativnog sustava osobnog računala i Interneta, prioritet uvijek ostaje datoteka domaćina, tako da je njeno vraćanje dovoljno da se rad izvede u standardnom načinu rada.

Poteškoća nastaje ako potrebna datoteka nemoguće pronaći, jer virus mijenja svoju lokaciju sistemske mape. Zatim morate ispraviti ključ registra.

HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\serv ices\Tcpip\Param eters\DataBasePa th

Virusi koji pripadaju grupi Win32/Vundo su superiorniji od većine svojih zlonamjernih pandana u svojoj domišljatosti u transformaciji host datoteka. Mijenjaju sam naziv datoteke, brišući latinično slovo o i zamjenjujući znak ćiriličnim slovom. Takva datoteka više ne pretvara nazive domena web stranica u IP adrese, a čak i ako korisnik vrati ovu datoteku, rezultat rada ostat će isti. Kako pronaći originalnu datoteku? Ukoliko postoji bilo kakva sumnja da je predmet koji nam treba pravi, izvodimo sljedeći postupak. Prvi korak je aktiviranje načina prikaza skrivenih datoteka. Pogledajmo katalog, izgleda kao na slici.

Evo dva identične datoteke, no budući da OS ne dopušta korištenje identičnih imena, očito je da imamo posla s lažnim dokumentom. Lako je odrediti koji je točan, a koji pogrešan. Virus stvara voluminoznu datoteku i podvrgava se brojnim prilagodbama, pa je rezultat njegove sabotaže prikazan na slici skrivena datoteka volumen 173 KB.

Ako otvorite datoteku dokumenta, informacije u njoj sadržavat će sljedeće retke:

31.214.145.172 vk.com - niz koji može zamijeniti IP adresu stranice

127.0.0.1 avast.com - linija datoteke koju je napisao virus kako bi zabranio pristup web stranici antivirusnog programa

Već smo gore napomenuli da možete također blokirati pojedinačne resurse stvaranjem netočnih ruta u tablici usmjeravanja. Pogledajmo slijed radnji da vidimo kako se situacija može riješiti.

Ako datoteka hosts nema zlonamjerne prilagodbe, a rad s resursom je nemoguć, problem leži u tablici rute. Nekoliko riječi o suštini interakcije ovih alata. Ako u datoteka domaćina Ako je navedena točna adresa adaptivne domene, tada se na ovu adresu događa preusmjeravanje na postojeći resurs. U pravilu, IP adresa ne pripada rasponu adresa lokalne podmreže, pa se preusmjeravanje odvija preko pristupnika usmjerivača, što je određeno postavkama internetske veze.

Ako prilagodite unose rute za određenu IP adresu, automatski će se povezati na temelju ovog unosa. Pod uvjetom da ne postoji takva ruta ili pristupnik ne radi, veza se neće uspostaviti i resurs će ostati nedostupan. Dakle, virus može izbrisati unos u tablici ruta i blokirati apsolutno bilo koje web mjesto.

Rute stvorene za određene stranice ostaju u bazi podataka HKLM registra. Ruta se ažurira kada se aktivira softverska naredba za dodavanje rute ili se podaci ručno podešavaju. Kada nema statičkih ruta, odjeljak tablice je prazan. Možete vidjeti popis podataka o usmjeravanju pomoću naredbe za ispis rute. Izgledat će ovako:

Aktivne rute:

Gornja tablica standardna je za računalo s jednom mrežnom karticom i postavkama mrežne veze:

IP adresa 192.168.0.0

maska ​​255.255.255.0

zadani pristupnik 192.168.0.1

Gornji unos uključuje mrežnu IP adresu s kodiranjem 192.168.0.0 i maskom podmreže s kodiranjem 255.255.255.0. Ako dešifrirate ove podatke, informacije su sljedeće. Maska uključuje cijeli volumen čvorova s ​​ekvivalentnim visokim dijelom adrese. U metričkom sustavu, prva tri bajta maske podmreže su 1 na svim PC operativnim sustavima (osim za decimalni, gdje je vrijednost 255, i heksadecimalni, gdje je vrijednost 0*FF). Niži dio adrese primljenih čvorova je vrijednost u rasponu 1-254.

U skladu s gore navedenim informacijama, niska adresa je kodirana - 192.168.0.0, ovaj kod je mrežna adresa. Najviša adresa s kodiranjem 192.168.0.255 karakterizira se kao adresa emitiranja. I ako prvi kod isključuje njegovu upotrebu za razmjenu podataka, onda je drugi kod namijenjen upravo za obavljanje tih funkcija. Njihovi čvorovi razmjenjuju pakete podataka koristeći rute.

Zamislimo sljedeću konfiguraciju:

IP adresa - 192.168.0.0

Mrežna maska ​​- 255.255.255.0

Pristupnik - 192.168.0.3

Sučelje - 192.168.0.3

metrika - 1

Informacije se logično dekriptiraju na sljedeći način: u rasponu adresa od 192.168.0.0 - 192.168.0.255 koristimo kod kao pristupnik i sučelje za razmjenu informacija Mrežna kartica(192.168.0.3). Sve to znači da se informacije prenose izravno do samog primatelja.

Kada uvjet krajnje adrese ne odgovara navedenom rasponu 192.168.0.0-192. 168.0.255, neće biti moguće izravno prenijeti informacije. Protokol poslužitelja šalje podatke usmjerivaču koji ih prosljeđuje drugoj mreži. Ako statičke rute nisu navedene, zadana adresa usmjerivača ostaje ista kao i adresa pristupnika. Informacije se šalju na ovu adresu, zatim u mrežu i duž ruta navedenih u tablici, sve dok primatelj ne primi paket. U opći nacrt Proces prijenosa podataka izgleda točno ovako. Predstavimo ilustraciju zapisa standardni stol ruter. U primjeru postoji samo nekoliko zapisa, ali njihov broj može doseći desetke ili stotine redaka.

Na temelju primjera podataka opisat ćemo proces preusmjeravanja na adrese internetskih izvora. Tijekom kontakta s adresama internetskih izvora koji se nalaze u navedenom rasponu od 74.55.40.0 do 74.55.40.255, kod usmjerivača jednak je mrežnom broju 192.168.0.0, te se stoga ne može koristiti u procesu razmjene informacijskih podataka. IP protokol dijagnosticira adresu (74.55.40.226) koja nije uključena u pojedinačni adresni paket lokalna mreža i pristupa registriranim statičkim rutama.

U situaciji kada ova ruta nije registrirana, informacijski paket se šalje na identifikacijsku adresu pristupnika postavljenu prema zadanim postavkama u primjeru.

Budući da je ruta prikazana u primjeru ruta visokog prioriteta, zahtijeva određeni pristupnik, a ne standard koji odgovara svima. Budući da ne postoji pristupnik koji zadovoljava zahtjev u tablici, poslužitelj sa Internet adresa 74.55.40.226 ostat će nedostupan. I pod uvjetima navedenim u primjeru s kodom maske podmreže, sve adrese u rasponu 74.55.40.0 - 74.55.40.255 bit će blokirane. Upravo taj raspon uključuje mrežni put do antivirusnog web mjesta softver instaliran na osobno računalo koje neće primiti potrebna ažuriranja baze podataka o virusima i neće ispravno funkcionirati.

Što je više takvih podataka u tablici rute, to je više resursa blokirano. U praksi stručnjaka virusni programi stvorili su do četiri stotine redaka ove vrste, blokirajući tako rad oko tisuću mrežnih resursa. Štoviše, vlasnike virusa ne zanima posebno činjenica da u nastojanju da zabrane neki određeni resurs, isključuju moguć pristup deseci drugih stranica. Ovo je glavna pogreška beskrupuloznih programera, budući da broj nedostupni resursi detektira samu mogućnost blokade prijenosa podataka. Tako, na primjer, ako krug isključenja uključuje najpopularnije društveni mediji, a korisnik se ne može prijaviti na web mjesto VKontakte ili Odnoklassniki, tada se javlja sumnja u vezi pravilan rad PC s mrežom.

Ispraviti situaciju nije teško, u tu se svrhu koriste naredba route i tipka za brisanje. Pronalazimo lažne unose u tablici i deinstaliramo ih. Mala napomena: sve operacije su izvedive samo ako korisnik ima administratorska prava, ali virus može mijenjati rutu samo ako je infiltrirao mrežu preko administratorskog računa osobnog računala. Navedimo primjere takvih zadataka.

route delete 74.55.40.0 - unos koji briše prvu opciju linije route;

route delete 74.55.74.0 - unos koji briše drugu opciju retka rute.

Broj takvih linija mora biti ukupan broj lažnih ruta.

Ako zauzmete jednostavniji pristup postupku, tada morate koristiti operaciju preusmjeravanja izlaza. To se radi unosom zadatka route print > C:\routes.txt. Aktiviranje naredbe stvara situaciju u kojoj se na disku sustava stvara dokument datoteke pod nazivom routes.txt koji sadrži tablicu s podacima o ruti.

Popis tablice sadrži DOS kodove znakova. Ovi znakovi su nečitljivi i nemaju nikakvog značaja za operaciju. Dodavanjem zadatka brisanja rute na početku svake rute brišemo svaki lažni unos. Ovi izgledaju otprilike ovako:

ruta izbrisati 84.50.0.0

ruta izbrisati 84.52.233.0

ruta izbrisati 84.53.70.0

ruta izbrisati 84.53.201.0

ruta izbrisati 84.54.46.0

Zatim trebate promijeniti ekstenziju datoteke; opcije za zamjenu takve ekstenzije su cmd ili bat. Dvostrukim klikom pokreće se nova datoteka desni gumb miševi. Zadatak možete pojednostaviti pomoću popularnog upravitelja datoteka FAR, koji radi na sljedeći način. Poziva se urednik funkcijska tipka F 4, označava desnu stranu zapisa rute posebnim oznakama. Kombinacijom tipki CTRL +F 7 svi se razmaci automatski zamjenjuju znakom s praznom vrijednošću, a razmak se postavlja na početnu poziciju retka. Nova kombinacija navedenih tipki postavlja zadatak brisanja rute na mjesto koje nam je potrebno.

Kada u podatkovnoj tablici postoji mnogo lažnih ruta i njihovo ručno ispravljanje se čini dugotrajnim i zamornim procesom, preporučuje se korištenje zadatka rute zajedno s tipkom F.

Ovaj ključ uklanja sve ne-hop rute, a također potpuno deinstalira rute s krajnjom točkom i adresom emitiranja. Prvi i zadnji imaju digitalni kod 255.255.255.255; drugi 127.0.0.0. Drugim riječima, sve lažne informacije koje je virus registrirao u tablici bit će deinstaliran. No istovremeno će biti uništeni zapisi o statičkim rutama i korisnički podaci o zadanom pristupniku, pa će ih trebati vratiti, jer će mreža ostati nedostupna. Ili možemo pratiti proces čišćenja podatkovne tablice i zaustaviti ga kada namjeravamo izbrisati zapis koji nam je potreban.

Antivirusni program AVZ također se može koristiti za podešavanje postavki usmjerivača. Specifični multiprogram koji se bavi ovim procesom je dvadeseta stavka TCP konfiguracije.

Posljednja opcija za blokiranje korisničkog pristupa IP adresama stranica koje koriste virusni programi je lažiranje adresa DNS poslužitelj. U ovoj se opciji povezivanje s mrežom odvija preko zlonamjernog poslužitelja. Ali takve situacije su prilično rijetke.

Nakon završetka svih radova potrebno je ponovno pokrenuti osobno računalo.

Još jednom zahvaljujem majstorima računalnog servisnog centra Zapuskay.RF - http://zapuskay.rf/information/territory/Kolomenskaya/ na pomoći u pripremi materijala, od kojih možete naručiti popravke prijenosnih i netbook računala u Moskvi.