Как да премахнете вирус от компютър (безопасност)

Първото писмо. Здравейте, имам проблем с вас, а именно как да премахнете вирус от компютър, изтеглете терминал на един сайт, започнах да отварям файл и вместо Microsoft Office Word започна някаква инсталация. Веднага антивирусна програма издаде предупреждение за открита заплаха, идваща от папката
C: \ Потребители \ Моето потребителско име \ AppData \ Роуминг \ Microsoft \ Windows \ Старт меню \ Програми \ Стартиране.
Както разбирам, папката Start Menu е папката Startup. Въпреки факта, че компютърът започна да се забавя ужасно, влязох в тази папка и видях странен файл, наречен QJFGSXETY, атрибутът на файла е скрит. Опитът за изтриване на файла не бе успешен. Стартира се в безопасен режим, но не може да бъде изтрит там и преименуван (така че да бъде изтрит и след рестартиране). Опитах се да използвам точки за възстановяване, но се появи съобщението „Възстановяване на системата е деактивирано от груповата политика“. На това приключи моето хакерско знание, седя тук без компютър и чета вашите статии. Какво да направите, ако можете стъпка по стъпка. Марина. Суздал

Второто писмо. Просто не мога да премахна вируса от компютъра, той се регистрира при стартиране в началото, не можех сам да го изтрия, дори и в безопасен режим, компютърът се стартира дълго време и се забави по време на работа, взех съветите от статията Как да сканирам компютъра си за вируси безплатно и изтеглих спасителния диск на ESET NOD32 ( Между другото, може да се използва като обикновен компактдиск на живо, удобно нещо, препоръчвам го). Проверих целия компютър за тях, намерих 5 злонамерени програми, изчаках час, рестартирахме и вирусът сякаш изчезна, но се зарадва рано, интернет го няма, жълтият триъгълник е в мрежовите връзки и казва-Мрежовата връзка е ограничена или липсва. Какво да правя, тогава не изтрих вируса докрай? Фьодор.

Как да премахнете вирус от компютър

Забележка: Приятели, тази статия е подходяща за Windows 8, Windows 7 и Windows XP операционни системи. Има и информация за вас: - Ако сте заразили компютъра си с вирус, можете веднага да го проверите с безплатни антивирусни помощни програми Kaspersky Virus Removal Tool или Dr.Web CureIt, в повечето случаи това трябва да помогне. Имаме и цял раздел, който постоянно се актуализира с нови статии, не забравяйте да проверите тук - Всички статии за премахване на вируси и банери тук.

Преди няколко дни получих същите проблеми, един съученик ме помоли да инсталирам няколко безплатни програми и антивирусната програма ESET NOD32, които закупих в офиса. уебсайт. В допълнение към NOD32 инсталирахме безплатна програма, която контролира autoload-AnVir Task Manager, създадохме и системно изображение и диск за възстановяване за всеки случай, той ми благодари и се разделихме.

Ден по-късно приятелят ми се обажда притеснено и говори. Слушайте старец, дойде писмо до пощата на дъщерята в интернет, отворихме го, има картичка, поздравяват го за рождения му ден, въпреки че рожденият му ден вече мина, освен пощенската картичка имаше файл, щракнахме върху него, точно там AnVir Task Manager отвори прозорец , в която той каза, че някаква програма със странно име и икона на системния файл иска да премине към стартиране,

решихме и стартирахме, антивирусната програма постоянно се кълне и показва страхотно предупреждение - Почистването не е възможно, докато компютърът замръзва много и ние го изключих случайно, вероятно сте се запознали с това, помогнете колкото можете.

Идвам при тях, първата мисъл беше - иззета банер за извличане на софтуер, включих компютъра и там е.
NOD32 показва два прозореца на свой ред, в които предупреждава, че в RAM има злонамерен процес, почистването не е възможно! изходяща от папката Startup.

В Windows 7 папката за стартиране се намира на адрес:
C: \ Потребители \ Потребителско име \ AppData \ Роуминг \ Microsoft \ Windows \ Старт меню \ Програми \ Стартиране.
Между другото, в Windows XP папката за стартиране се намира почти също така:
C: \ Документи и настройки \ Администратор \ Главно меню \ Програми \ Стартиране
AnVir Task Manager показва използване на процесора 93%.

Отивам в прозореца за стартиране, програми AnVir Task Manager и виждам файл, вече написан при стартиране, наречен QYSGFXZJ.exe, но вирусът.

Отивам в папката Startup: Start-> All Programs-> Startup

Или в друга папка папката Startup се намира на адрес:

C: \ Потребители \ Потребителско име \ AppData \ Роуминг \ Microsoft \ Windows \ Старт меню \ Програми \ Стартиране.
И ето ни нашето вирусно досие, опитвам се да го изтрия, разбира се безуспешно, защото сега е зает с важен бизнес.

Първото нещо, което трябва да направите в такива случаи, е да стартирате възстановяване на системата и да се опитате да се върнете назад, използвайки предварително създадената точка за възстановяване. Опитвам се да стартирам възстановяването на системата и много дълго време нищо не се случва.
Между другото, понякога вирусът може да прави бизнес в групови политики и няма да можете да започнете възстановяване на системата с съобщението „Възстановяването на системата е забранено чрез групова политика“.
След това трябва да отидете на Group Policy Start-Run-gpedit.msc. добре

Груповата политика се отваря, тук трябва да изберем Конфигурация на компютъра-Административни шаблони-Възстановяване на системата-Система- Ако щракнете двукратно върху левия бутон върху опцията Деактивиране на възстановяването на системата,

такъв прозорец трябва да се появи, за нормалното възстановяване на системата, в него трябва да маркирате елемента "Не е зададено" или "Деактивирано". Всичко ще влезе в сила след рестартиране. Също така трябва да знаете, че във версии на Windows Home няма групова политика.

Все още не можах да стартирам възстановяването на системата и реших да рестартирам компютъра и да вляза в безопасен режим. В безопасен режим можете отново да опитате да изтриете този файл от стартиране, в повечето случаи ще успеете.

Но нищо не работи за мен, явно случаят е специален и злонамереният файл не се изтрива. След това отиваме в регистъра, а именно, гледаме клона:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
В Windows 7 и Windows XP, за всички потребители, програмите, които работят при влизане, оставят ключовете си в тези клонове, но главно в първия старт. Всички непознати ключове трябва да бъдат изтрити, но само непознати, в моя случай при стартиране има ключ от антивирусната програма NOD32 - egui.exe, излишно е да го изтриете:
"C: \ програмни файлове \ ESET \ ESET Smart Security \ egui.exe" / скрий / waitservice

Също така трябва да преминете през Старт-> Изпълнение-> msconfig-> Стартиране и премахнете отметката от всички неизвестни програми. Тук също няма нищо подозрително.

Изтрийте и всички непознати файлове в корена на устройството (C :), ако видите файлове със същото име QYSGFXZJ или подобни там, опитайте да ги изтриете. В корен (C :), между другото, имаме неразбираема папка QYSGFXZJ. Опит за изтриване-изтриване.

И така, как да премахнем вируса от компютъра, дори и в безопасен режим, ние не успяхме, или например не можете да влезете в безопасен режим по някаква причина? Случва се да влезете в безопасен режим, но там ще намерите изненада - например мишката не работи.

Ако не успеете да влезете в безопасен режим, тогава можете да използвате много простия и доказан съвет от нашата друга статия Как да сканирате компютъра си за вируси безплатно с помощта на ESET NOD32 или Dr.Web диска за възстановяване. Между другото, тези дискове могат да се използват като Live CD. Или вече имате CD на живо, опитайте да стартирате от него и направете същото като в безопасен режим - отидете в папката Startup и изтрийте злонамерения файл. Работейки в Live CD, можете да стартирате антивирусен скенер от USB флаш устройство, например Dr. Уеб кюрета.
Лично когато срещам подобен проблем в Windows XP (относно информацията за Windows 7 по-долу), понякога дори не влизам в безопасен режим, но използвам старомодното перфектно оръжие, професионален инструмент за системния администратор ERD Commander 5.0.

Забележка: всички функции на диска за възстановяване на ERD Commander 5.0. описани в нашата статия ERD Commander. С него можете да възстановите системата, да редактирате системния регистър, да промените забравената парола и др. За съвременните компютри и лаптопи е необходим ERD Commander 5.0 с интегрирани драйвери за SATA. Нека стартираме от него и да видим как се случва всичко.

Рестартираме и влизаме в BIOS, там задаваме зареждането от устройството. Зареждане от ERD Commander 5.0. Избираме първата опция да се свържем с Windows XP, тоест можем да работим с вас, например, директно с системния регистър на заразената ни система.

Обикновено CD на живо, това няма да ви даде тази възможност. Между другото, ако изберете втората опция (None), тогава ERD Commander ще работи, без да се свързва към системата, тоест като обикновен Live CD, а след това много функции на ERD, като възстановяване на системата, преглед на стартиращи обекти, регистрационни файлове на системни събития и т.н., няма да ви бъдат достъпни. , Но дори и от него понякога се оказва полза.

Работният плот не е много познат от самото начало, но не е страшно, пак ще кажа, че описанието на всички ERD инструменти е в нашата статия ERD Commander.

Отидете направо към административния инструмент Autoruns.

Гледаме в системния елемент, както и в Администратора и тук е нашият вирус, тук ще го изтрием със сигурност.

Изтриване - изтрийте процеса от стартиране и това е всичко, нашият вирус е изтрит.
Explorer - ви позволява да отидете в процеса на файла.
След това проверяваме отново папката за стартиране и там няма нищо.

C: \ Документи и настройки \ Администратор \ Главно меню \ Програми \ Стартиране
За всеки случай отиваме в главната папка на устройството (C :), там няма нищо подозрително.

Не сме много мързеливи да влезем в системния регистър и да видим кои програми са оставили ключовете си при стартиране:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Е, тук премахнахме вируса от Windows XP, след нормално зареждане, струва си да проверите целия компютър за вируси.
А какво ще кажете за Windows 7 - можете да попитате дали ние грабваме вирус в тази операционна система и не можем да го премахнем в безопасен режим. Първо можете да използвате спасителните дискове (връзка към статията по-горе). Второ, използвайте обикновен CD на живо или, както аз съм професионален инструмент, диска за възстановяване на набор от инструменти за диагностика и възстановяване на Microsoft. Пълната информация за това как да използвате този инструмент, например при изтриване на банер за откуп, е публикувана в статията „Как да премахнете банер“. Тук ще кажа, че това е същият инструмент като ERD Commander, той е създаден предимно за Windows 7. С него можете също да възстановите системата, да промените системния регистър, да извършвате операции с твърдия диск, да промените забравената парола и много други.
Зареждане от този диск MS DaRT 6.5. нашият компютър.

Задайте букви на дисковете по същия начин, както в целевата система - Да, по-добре е да работите.

още

Изберете Explorer

Преминаваме веднага към папката Startup:
C: \ Потребители \ Потребителско име \ AppData \ Роуминг \ Microsoft \ Windows \ Старт меню \ Програми \ Стартиране. Премахваме нашия вирус.

Проверка на системния регистър HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Премахваме всичко подозрително от корена на диска (C :), рестартираме и проверяваме целия компютър за вируси.

Е, най-последната. След премахването на вируса в Windows XP, вашият Интернет може да не функционира, това се дължи на нарушения, които вирусът въвежда в мрежовите настройки. Понякога преинсталирането на драйверите на мрежовата карта може да помогне тук или в повечето случаи помощната програма WinSockFix опита много пъти, което коригира тези параметри. Можете да го изтеглите в офиса. страница на програмата http://www.winsockfix.nl