И снова о вирусах блокирующих компьютер и требующих отправить смс или положить деньги на счет. Принцип действия большинства из них одинаковый: Вирус копирует свой файл в одну из временных директорий и прописывается в реестре для запуска совместно с операционной системой. Т.е. если мы найдем запись вируса в реестре компьютера, то соответственно сможем отменить его запуск и в последствии удалить файл вируса с компьютера.
И так, если вам не помог первый и второй способы указанные в статье , и под рукой не оказалось LiveCD можно попробовать закрыть вирус при помощи диспетчера задач (на двух разных вирусов это действовало). И так, постоянно жмем комбинацию клавиш Ctrl + Shift + Esc если будет видно как мелькает диспетчер задач, то нам надо мышкой нажать кнопку “Снять задачу ” (по опыту знаю, с первого раза получается редко)
Если это получилось, то можно считать что компьютер вы уже почти разблокировали. Осталось немного, нужно выбрать пункт меню “Файл ” далее “Новая задача ” в появившемся окне набрать команду regedit и нажать ОК . Запуститься редактор реестра в котором с левой стороны нужно открыть папки по следующему пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и после этого с права проверить параметры Shell и Userinit которые должны быть равны explorer.exe и C:\WINDOWS\system32\userinit.exe, соответственно.
Если машина заражена вирусом то в одном из этих параметров будет прописан путь к исполняющему файлу вируса, который лучше выписать на бумажку что бы в последствии найти и удалить вирус.
Для восстановление работоспособности компьютера удалите из параметров лишний текст с путем запуска вируса. После перезагрузке компьютер должен работать так же как и раньше.
Если же у вас не получилось закрыть вирус при помощи диспетчера задач, то тогда уже нужна помощь специалиста или LiveCD с утилитой для редактирования реестра. Но смысл действий по удалению вируса блокирующего систему остается тем же.
добавлено 09/01/2011
Еще можно проверить параметры реестра Run, RunOnce, RunOnceEx . Для этого в редакторе реестра выбираем пункт меню “Правка” / “Найти” и задаем следующие параметры поиска
Необходимо оставить только галочки “Искать строку целиком” и “Имена разделов “. После чего нажимаем кнопку “Найти далее “. После поиска с правой стороны будут отражены параметры авто запуска, т.е. те программы которые запускаются в момент старта системы. Если вы не знаете какой либо из них – удаляйте, хуже наверное уже не будет. Искать каждый параметр следует до выхода сообщения о том, что поиск завершен, а начинать поиск необходимо установив курсор на пункте “Мой компьютер “.
При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.
В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:
1. В автозагрузке операционной системы
Проверить это можно с помощью команды msconfig , запущенной через меню Пуск - Выполнить
В столбце "Команда" не должно быть подозрительных элементов, например C:\Program Files\novirus.exe
Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце "Расположение").
Как альтернативe команде msconfig можно использовать программу .
В разделе "Система" перейти на закладку "Загрузка системы", прокрутить скроллом немного вниз до заголовка "Автозагрузка". Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.
Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows - уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE
Данный способ загрузки вируса - самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.
Дополнительно:
Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp , C:\WINDOWS\Temp , C:\Documents and Settings\user\Local Settings\Temp , т.к. существует очень большая вероятность загрузки вируса из этих папок.
Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) - типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
При нахождении в них подозрительных элементов - мочить гадов! :)
2. Вместо проводника
Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:
В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения "explorer.exe
" заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe
или подобную хрень.
Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба - launcher.exe . Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.
Более действенный и быстрый способ - загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.
Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , исправить "хрень" у записи параметра Shell (reg_sz) на "explorer.exe " и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.
3. Вместе с userinit.exe или uihost.exe
В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.
Userinit.exe - программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe . Размер оригинального файла составляет 26,0 КБ (26 624 байт) , на диске: 28,0 КБ (28 672 байт) .
Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit , UIHost и Shell , расположенных по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Оригинальные параметры записи в реестре должны быть следующими
:
Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe
Вирус может прописать себя например так :
Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe
В данном примере файл gertinw.exe - это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!
После удаления нужно заменить файлы userinit.exe , logonui.exe (находятся в C:\WINDOWS\system32\ ) и explorer.exe (находится в C:\WINDOWS\ ) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или .
После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts . Удалить все после строки 127.0.0.1 localhost
Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера 001 или 002}\Services\Tcpip\Parameters \PersistentRoutes
Удалить их содержимое полностью кроме строки "По умолчанию" с неприсвоенным значением.
Вирус и реестр!
Как-то, года три - четыре назад Евгений Касперский сделал такой прогноз, поскольку активность компьютерного преступного мира растет, то в «ближайшем будущем ходить по интернету будет так же опасно, как по тёмным улицам ночью». Медленно, но верно такое время наступает.
Вирусами называют специальные вредоносные программы. Попав на компьютер, в большинстве случаев вирус прописывается в реестре и производит следующие действия: вызывает выключение компьютера, его перезагрузку; тормозит работу операционной системы; портит файлы; производит рассылку по Интернету, что приводит к расходу трафика; и ещё многое другое, ибо нет предела совершенству.
* Запустите HijackThis. Нажмите на кнопку "Do a system scan and save a logfile". Обязательно нужно запускать данные программы с правами администратора.
Для оптимизации и лечения реестра сейчас нет дефицита программ, выбирать можно разные, тестировать, чистить, дефрагментировать. Многие утилиты имеют несколько функций для помощи реестру. У многих утилит очень хороший интерфейс и есть возможности настройки, можно производить запуск по времени, при загрузке компьютера. Вот проверенные временем утилиты: AusLogics Registry Defrag, AusLogics BoostSpeed, Register_DivX, Reg docins, Trash Reg, OneButton Checkup.
При работе с реестром надо быть очень внимательным и делать только то, что понятно, а лучше пригласить специалиста. Он и установит и покажет, как следить за реестром.
Операционная система Windows, стоящая на большинстве компьютеров, достаточно уязвима к вирусному заражению. Если ОС регулярно не обновляется, угроза заражения становится очень большой, так как под любую найденную уязвимость тут же создаются эксплоиты – программные коды, позволяющие заражать операционную систему. То же самое касается другого установленного на компьютере софта – браузеров, проигрывателей и т.д. Любая уязвимость может привести к тому, что ПК будет заражен.
Нередко вредоносные программы попадают на компьютер с зараженными файлами. Многие передаются через флешки, карты памяти, другие носители информации. Чтобы уменьшить вероятность заражения, следует регулярно обновлять ОС, иметь на компьютере хорошую антивирусную систему, не использовать непроверенные файлы.
Как удалить вирус с компьютера
Далеко не всегда деструктивный софт может быть замечен антивирусной программой, нередко его приходится удалять вручную. Если вы видите признаки заражения, откройте «Диспетчер задач», посмотрите список процессов. Опытный пользователь обычно знает, какие процессы запущены в системе, появление незнакомых строчек может свидетельствовать о заражении. Найдя незнакомый процесс, введите его название в поисковике. Это может оказаться легальный процесс какого-то приложения, процесс вредоносного ПО или о нем не будет никакой информации. В последнем случае речь тоже почти наверняка идет о хакерской программе.
Остановите незнакомый процесс, предварительно записав его название. После этого следует удалить файлы вредоносной программы и ключи ее запуска. Откройте «Пуск» - «Поиск», введите название вирусной программы и проведите поиск в системных папках. Все найденные файлы удалите (их может быть несколько).
Следующий шаг - удаление вирусов с компьютера через редактор реестра. Необходимо найти и удалить ключи запуска, которые хакерская программа прописала в системном реестре. Запустите редактор, для этого откройте командную строку, введите команду regedit. Откроется окно программы, нажмите «Правка» - «Найти». Введите название деструктивного процесса, нажмите «Найти далее». Начнется поиск – удалите найденные параметры, затем снова нажмите «Найти далее». Когда поиск будет закончен и все ключи удалены, сохраните изменения и перезагрузите систему. Проверьте, появился ли процесс вируса в «Диспетчере задач». Если нет, вы справились с задачей. Если процесс появился снова, значит, ОС еще содержит файлы вируса и ключи запуска.
Профессиональное удаление вирусов
Далеко не каждый пользователь может самостоятельно справиться с заразившими компьютер вирусами. Многие из них написаны профессионалами, поэтому удалить их может только опытный мастер. Нередко приходится использовать специальный софт, позволяющий контролировать запись в системный реестр – только так удается выяснить, куда записываются ключи автозапуска. Все это требует больших знаний.
Если ваш компьютер заражен и вы не можете сами справиться с проблемой, позвоните нам. Эксперт нашей компании приедет к вам на дом и быстро очистит ваш ПК от вирусов. Опыт наших специалистов позволяет им справляться даже с самыми серьезными случаями. Звоните нам в любое время, вы останетесь довольны качеством наших услуг!
