Как да се премахнат последиците на някои вирусни атаки ICQ, пълномощник, Брут, Dedik, експлойти

Как да се избегнат ефектите от някои вирусна атака?

И той каза вирус писател вируси: "плодете се и множете. ".


Вирусите са все по-сложни - сега те са, например, не само развалят някакви специфични файлове, но също така и да се променят настройките на системата и т.н. и т.н. Ето защо, дори и след лечение на заразения компютър, са най-различни проблеми, например, не се отваря флаш устройство (или локален диск), не отваряйте никакви файлове, които не работят правилно, някои програми ...


За съжаление, антивирусен софтуер, PC излекуван, не може да се определи счупени антивирусен софтуер и системни настройки.

Радикалната метод - операционната система, форматиране на твърдия диск и преинсталиране - не винаги е приемливо за различни причини.

В такива случаи, има един изход - да се възстанови всичко ръчно.


1. Ако не можете да стартирате диспечера на задачите, вижте. Какво трябва да направя, ако съобщението "Task Manager е деактивиран от администратора си"?.


2. Ако папката на елемент от менюто не е на разположение, вижте. Какво става, ако на разположение елемент от менюто "Опции за папките"?.


4. Ако не можете да получите достъп до USB флаш памет, вижте. Какво става, ако след лечението на вируси не са отворени флаш карта?.


5. Ако не можете да стартирате Windows Explorer (като правило, в този случай - дори и ако при стартиране OS - съобщение за грешка, че не може да се намери някой файл), това означава, че вирусът "се е регистрирал" себе си, вместо да Explorer.exe.

- Намерете секция [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon];

- правилно параметър низ Explorer.exe Shell


6. Ако не можете да пуснете някой изпълним (exefile), да намерите ключа на системния регистър [HKEY_CLASSES_ROOT \ exefile \ черупка \ отворен \ команда] и коригиране на низовата стойност по подразбиране на параметъра "% 1"% *


7. Ако не можете да стартирате COM-файлове, намерете ключа на системния регистър [HKEY_CLASSES_ROOT \ comfile \ черупка \ отворен \ команда] и коригиране на низовата стойност по подразбиране на параметъра "% 1"% *


8. Ако не можете да стартирате прилеп-файлове, намерете ключа на системния регистър [HKEY_CLASSES_ROOT \ batfile \ черупка \ отворен \ команда] и коригиране на низовата стойност по подразбиране на параметъра "% 1"% *


9. Ако не можете да стартирате CMD-файлове, намерете ключа на системния регистър [HKEY_CLASSES_ROOT \ cmdfile \ плащам \ отворен \ команда] и коригиране на низовата стойност по подразбиране на параметъра "% 1"% *


10. Ако не можете да стартирате piffile, намерете ключа на системния регистър [HKEY_CLASSES_ROOT \ piffile \ черупка \ отворен \ команда] и коригиране на низовата стойност по подразбиране на параметъра "% 1"% *


11. Ако не можете да стартирате Internet Explorer, намерете регистър ключ [HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ Applications \ аз explore.exe \ черупка \ отворен \ команда] и коригиране на низовата стойност по подразбиране "C: \ Program Files \ Internet Explorer \ iexplore.exe "% 1

Вирусите често "чук" за системни файлове, като iexplore.exe вместо това може да получите заразения файл 1explore.exe.


12. Ако не можете да изпълните TXT-файлове, намерете ключа на системния регистър [HKEY_CLASSES_ROOT \ txtfile \ плащам \ отворен \ команда] и коригира стойността на неизпълнението Extensible String на SystemRoot% на% \ system32 \ notepad.exe% 1


13. Ако не можете да стартирате рег-файлове, намерете ключа на системния регистър [HKEY_CLASSES_ROOT \ regfile \ черупка \ отворен \ команда] и коригира стойността на низ по подразбиране параметър regedit.exe "% 1" на


14. Ако сте започнали с инсталирането на софтуерни проблеми, да намерите ключа на системния регистър [HKEY_CLASSES_ROOT \ Msi.Package \ черупка \ Open \ команда] и правилната настройка на разгъваща низ стойност по подразбиране в "% SystemRoot% \ System32 \ msiexec.exe" / I "% 1"% *


15. Ако сте имали проблеми с uninstallyatsiey (отстраняване) на програмите, да намерите ключа на системния регистър [HKEY_CLASSES_ROOT \ Msi.Package \ черупка \ Uninstall \ комитет и] и правилната настройка на разгъваща низ стойност по подразбиране в "% SystemRoot% \ System32 \ Msiexec. Търсейки "/ х"% 1 "% *

2. Не забравяйте, че по-лесно, отколкото лечение предупреди! Използване на защитна стена и надежден антивирусен софтуер (вж. Как да изберем антивирусна?) Да редовно (поне веднъж седмично!) Обновено бази.

Симптомите на инфекцията: компютърът не могат да изтеглят - всеки път, когато става дума за "добре дошъл" и PC "листа" на рестарта - и така - в кръг.

Можете да премахнете твърдия диск и да го свържете към друг компютър с надеждна антивирусна. Но, след като са обработени на твърдия диск, компютърна производителност, ние не се възстанови, тъй като вирус ще запише в регистъра на Windows.


Ето защо, ние използваме стартиращ диск аварийно възстановяване, въведете Windows miniPE или ERD Commander:

- Поставете ERD Commander компактдиска в тавата, след което рестартирайте компютъра;

- При повторно натиснете Delete, за да влезе в помощната програма за настройка CMOS;

- комплект обувка PC с CD-ROM, натиснете F10, разрешава промените ще започне рестартиране;

- изскачащи прозорци Wizard XP Recovery меню изберете Изтегляне на командващия ERD -> Enter;

- се появява в лентата на дъното статус започне Winternals ERD Commander;

- в кутия Добре дошли в ERD Commander изберете вашия OS -> OK;

- когато е натоварено Desktop, кликнете два пъти върху иконата на My Computer;

- в прозореца ERD Commander Explorer, разширяване на устройството, където е инсталирана операционната система (обикновено, C: \);


- Намерете и изтрийте следните файлове (обикновено са атрибути като скрити, само за четене):

• PwdServ.exe файл в \ Windows \ System32 \ (Kaspersky Anti-Virus идентифицира този зловреден софтуер като не-а-вирус: PSWTool.Win32.RAS). Този файл заключва компютъра си обувка в безопасен режим, като задаване на паролите им;

• ntos.exe файл в папката \ Windows \ System32 \;

• Всички файлове hhxw *** Търсейки в папката \ Windows \ System32 \ (например hhxw265.exe) .;

• winlogon.exe файл (42,0KB) в папката \ Windows \. Kaspersky Anti-Virus идентифицира вируса като Trojan.Win32.Pakes.jmb. Тази псевдо-winlogon.exe се зарежда вместо winlogon.exe файла (вход програма за Windows, 507KB), който се намира в папката \ Windows \ System32 \;

- затворете прозореца на ERD Commander Explorer;


- Щракнете върху Start -> Administrative Tools -> Autoruns;

- в прозореца ERD Commander Computer Management, разширяване (вляво) Autoruns (System, <имя_пользователя>, Администратор);

- Премахване (ако има такива) и запис на файлове, които започват с операционната система: Windows \ winlogon.exe; \ Windows \ System32 \ hhxw265.exe; \ Windows \ System32 \ ntos.exe; \ Windows \ System32 \ PwdServ.exe. За да премахнете ги Гвоздеят, като кликнете с десния бутон на мишката (вдясно), от контекстното меню изберете Изтриване;

- затворете прозореца ERD Commander Управление на компютъра на;


- Щракнете върху Start -> Administrative Tools -> регентство;

- в прозореца ERD Commander Registry Editor, намерете раздел [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon];

- коригиране на стойност низ Userinit REG_SZ-параметър на C: \ Windows \ System32 \ userinit.exe, (вирусът определя стойността на този параметър, например, C: \ Windows \ System32 \ userinit.exe, C: \ Windows \ System 32 \ на NTO. Търсейки,);

- Намерете секция [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon];

- Корекция на низ Shell REG_SZ-параметър за Explorer.exe (вируса определя стойността на този параметър, например, Explorer.exe, C: \ WINDOWS \ winlogon.exe);

- затворете прозореца на ERD Commander Registry Editor;


- Щракнете върху Start -> Излизане -> Restart -> OK;

- При повторно натиснете Delete, за да влезе в помощната програма за настройка CMOS;

- Задайте вашия компютър зареждане от твърдия диск, натиснете F10, разрешава промените ще започне рестартиране;

- за начално зареждане на Windows нормално.

Оттук и изводът: защитят себе си.

Въпреки, че някои потребители успяват да вземете "цифров гонорея", дори когато установена (и нагоре!) Firewall и антивирусна (с пресни бази данни!) ...

Валери Сидоров
netler.ru