Как да премахнете Win32 / Spy.Shiz.NCF Trojan

  • Нещо ми се случва с компютър, изтеглих филм в интернет, който току-що излезе в кината, дълбоко в себе си разбрах, че тук нещо не е наред, но наистина исках да видя новостта. Дори не обърнах внимание на факта, че изтегленият видео файл тежи много малко - 137 KB, когато се опитвам да гледам филм, компютърът ми замръзва. Антивирусът, инсталиран в системата, започна да показва съобщение, посочващо това в папката C: \ Windows \ AppPatch е открит вирус и предлага да го премахнете, съгласен съм, след известно време отново се появява същото съобщение. Опитах се да изтрия тази странна папка C: \ Windows \ AppPatch напълно, но нищо не работи и, интересното е, че дори в безопасен режим не се изтрива, всичко завършва с грешка. В същото време системата започна да се зарежда от много дълго време, аз също не мога да влизам в някои сайтове, например съученици - казват грешно потребителско име или парола, разчитам на вашата помощ.
  • Писмо № 2 Здравейте, моля, кажете ми как да бъда, днес сутрин на доста странен сайт изтеглих книга, която все пак е необходима за проучванията ми, която сега се продава в книжарниците за доста скъпа цена и се опитах да я отворя. Изведнъж антивирусът ми се закле в папка C: \ Windows \ AppPatch и изтрихте нещо там, сега при зареждане на операционната система Windows 7 се появява съобщение: Windows не можа да намери C: \ Windows \ AppPatch \ hsgpxjt.exe. Операционната система се забавя и замръзва, изпращам ви екранна снимка на екрана с тази грешка в пощата. В интернет открих информация, че тази папка съдържа вируси и трябва да бъде изтрита, но не може да бъде изтрита дори в безопасен режим, възниква грешка. И на вашия сайт казват, че не можете да изтриете тази папка, тъй като тя принадлежи на операционната система, моля обяснете всичко.  

Как да премахнете Win32 / Spy.Shiz.NCF Trojan


Съдържанието на статията:
  • Как да премахнете C: \ Windows \ AppPatch от системната папка вирусът или троянска програма, която носи името си според класификацията на антивирусната компания ESET - Win32 / Spy.Shiz.NCF, която краде пароли и информация от вашия компютър, между другото, че името на вирусен файл се генерира на случаен принцип в операционната система и може да бъде така: hsgpxjt.exe или Пример е matadd.exe и т.н. Самата папка AppPatch е системна папка и не е необходимо да я изтривате. 
  • Как вирусът стига до нашия компютър.

Точно вчера един мой приятел ме помоли да му помогна да реши подобен проблем. Първият ботуш за Windows 7 на моя приятел се зарежда от дълго време и второ, той работи със сериозни замръзвания, инсталираният антивирус не се актуализира от една година, тъй като моят приятел е твърде мързелив, за да поднови абонамента. Последната причина моят приятел се обърна към мен беше, че съпругата му не можа да стигне до съученици.
Така че приятели, на първо място, в случай на подобни проблеми можете да приложите System Restore или да заредите компютър от антивирусен диск и да сканирате цялата си система за вируси, за това как да изтеглите такъв диск, да го запишете на празен и да премахнете вируси от Windows, имаме няколко стъпка по стъпка статии : Как да сканирате компютъра си за вируси безплатно с антивирусни устройства от три различни производители.
Ще се опитаме да премахнем вируса ръчно, по-интересно е. Включваме компютъра на моя приятел, операционната система всъщност отнема доста време, запомни първото правило на вируса да влезе в Startup и след това да извърши разрушителните си действия, мисля, че той успя.
Първо проверете папката Startup, но в нея няма нищо
  C: \ Потребители \ Потребителско име \ AppData \ Роуминг \ Microsoft \ Windows \ Старт меню \ Програми \ Стартиране 

След това проверяваме стартирането с помощта на вградената програма за Windows за управление на стартиращи програми, наречени MSConfig, да вървим начало->тичам, набираме Msconfig

и ето ви непознат елемент със странно име Userinit намиращи се в стартиране,

изпълним файл се намира в

C: \ Windows \ AppPatch \ matadd.exe.

Това име на вируса matadd.exe се генерира на случаен принцип от системата, не можете да се съсредоточите върху него, във вашия случай ще бъде различно, но знаете, вирусът всъщност се нарича Win32 / Spy.Shiz.NCF и е троянски. Нека отидем в тази папка и се опитаме да я изтрием, но за съжаление, докато вирусът е активен, няма да успеем или можете да изтриете вирусен файл, но той ще се пресъздаде отново след няколко секунди.
В прозореца на помощната програма msconfig премахнете отметката от този елемент Userinit,

тоест ще го изключим от Startup. За съжаление в повечето случаи това няма да означава, че вирусът няма да зареди файловете си отново при следващото зареждане на операционната система, тъй като не успяхме да изтрием файла с вируса от папката C: \ Windows \ AppPatch.

За да се преборим успешно с вируса, се нуждаем от помощник, който:

  • Първо, можем да покажем вирусен файл при стартиране
  • Второ, тя ще ни покаже промените, направени от вируса в регистъра
За да видите всичко, което се случва при стартиране, се нуждаете от специална програма AnVir Task Manager или друго, например AutoRuns от Марк Русинович, и двамата са безплатни, предлагам да използвате помощната програма AnVir Task Manager, тъй като отдавна забелязах начинаещите потребители повече за това. Изтеглете го тук http://www.anvir.net/ и инсталирайте.

Пълно описание на работата с помощната програма можете да намерите в тази статия в нашата статия Стартиране на програми в Windows 7 
Единственото предупреждение в самото начало на инсталацията НЕ избирайте пълната инсталация, както е препоръчано, а изберете Настройка на параметъра и премахнете отметката от всичко, което не ви трябва, оставете само на Стартирайте AnVir Task Manager (препоръчително) и добавете икона на работния плот.

След като инсталираме програмата, я стартираме и виждаме такава картина, тъй като в регистъра с вируса се правят пет промени. Премахнете отметката и по този начин премахнете промените, направени от вируса в системния регистър, не работи.

Нека да разберем колко вирусът е проникнал в нашата система. Наведете мишката върху името на вирусния ключ натоварване, щракнете с десния бутон и изберете Go-> Show File in Explorer от менюто

 и веднага влезте в нашата папка с вирусен файл C: \ Windows \ AppPatch \ matadd.exe.

Разглеждаме и местоположението на вирусните записи в системния регистър. Виждаме, че вирусната програма е направила промените си в два раздела на системния регистър, разглеждаме подробно и веднага изтриваме.
Щракнете с десния бутон върху ключа, създаден от вируса. натоварване и изберете в менюто Go-> Отваряне на местоположението на записа в системния регистър. 


раздел
HKEY_CURRENT_USER \ Софтуер \ Microsoft \ Windows \ CurrentVersion \ Windows
Добавени са два клавиша, изтрийте ги
Заредете REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Изпълнете REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe 


Щракнете с десния бутон върху ключа, създаден от вируса. Userinit и изберете в менюто Go-> Отваряне на местоположението на записа в системния регистър 


раздел
HKEY_CURRENT_USER \ Софтуер \ Microsoft \ Windows \ CurrentVersion \ Run
 Ключът е добавен, просто го изтрийте
userinit REG_SZ C: \ Windows \ apppatch \ matadd.exe

Когато изтриете ключовете на системния регистър, създадени от програмата за вируси, вирусът веднага ще се опита да ги създаде, за което нашият AnVir Task Manager веднага ще ни предупреди с този прозорец, щракнете Изтриванеи защита на регистъра.

Ако нямахме AnVir или други подобни, нямаше да можем да предотвратим създаването на нови вирусни ключове в системния регистър.
След като изтриете тези записи в регистъра, обърнете внимание на това как изглежда нашето стартиране, в него няма нищо, освен нашата програма AnVir Task Manager.

Но това не са всички приятели, сега трябва да проверим целия регистър за името на нашия вирус matadd.exe, кликваме върху ключа на системния регистър, който все още не сме разгледали HKEY_LOCAL_MACHINE с десния бутон на мишката и избираме Find, въведете полето за търсене на името на нашия вирус matadd.exe и щракнете върху Find next

и такива ключове са в ключа на системния регистър, отговарящ за опциите за зареждане на операционната система - Winlogon
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
  • Забележка: Вирусът е променил ключовете, отговорни за зареждането на системата, но ключовете са напълно система и Userinit невъзможно е да изтриете от регистъра, както в предишните случаи, от тях трябва да изтриете неправилни параметри:
Система REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,C: \ WINDOWS \ apppatch \ matadd.exe 

 


Сигурно е така
Система REG_SZ
 Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,

 изтрийте останалите и нашите две настройки на регистъра трябва да изглеждат така. 

След почистване на системния регистър ние сме сигурни, че рестартираме и просто изтриваме вирусен файл matadd.exe от папката C: \ WINDOWS \ apppatch.

Разглеждаме и папките на временните файлове, откъдето вирусите често се изпълняват от изпълними файлове..

C: \ USERS \ username \ AppData \ Local \ Temp, между другото, изтрийте всичко от папката Temp.

Обикновено коренът на системното устройство (C :). И разбира се, трябва да проверите цялата система с вашия антивирус. Или изтеглете антивирусната програма Dr.Web CureIt или антивирусните програми на Microsoft. 

Сега можем да кажем, че сме спасили нашата операционна система от вируса, без дори да прибягваме до безопасен режим. Ако не можете да изтриете вирусен файл от папката C: \ Windows \ AppPatch, значи не сте почистили напълно системния регистър, пропуснали сте нещо.
Можете също така да направите всичко по-просто., премахнете вируса от папката C: \ Windows \ AppPatch, като стартирате от всеки CD на живо, и след това почистете системния регистър.
Всичко това е добре, но много потребители ще зададат въпрос: Как вирусът попадна в папката C: \ Windows \ AppPatch?
Приятели почти всички вируси идват при нас от интернет, така че когато изтегляте каквото и да било, бъдете много внимателни, за да не изключите някога главата си. Вземете например две писма, съдържанието на които цитирах в началото на статията, нашите читатели бяха почти сигурни, че не изтеглят необходимото, но все пак доведоха въпроса докрай и хванаха вируса. Безплатно сирене само в мишка.
Ако имате нужда от някоя книга за изучаване, помислете за нейния автор, защото за да го напише за вас, писателят е отделил време от себе си и семейството си и все още може да го купи. 
Е, в крайна сметка няколко пожелания. Никога не изключвайте възстановяването на системата. Второ, винаги имайте нормална антивирусна програма на вашия компютър, разбира се с най-новите актуализации на антивирусни бази данни. Периодично създавайте архиви на операционната система. Не работете под акаунта на компютърен администратор; създайте си акаунт с ограничени права.