Virus Vidalennya nelle finestre del papato. Virus de hovayutsya. Prendiamo i programmi ignoranti dal vantaggio automatico

Quando un computer è infetto, i virus dovrebbero essere in modo tale che, quando il sistema operativo viene invaso, venga invaso anche il fetore o venga invasa la loro parte principale necessaria. Per questa puzza, chiama cambia il registro di Windows.

Caduto a causa della prosunzione dell'autore al virus, può essere implementato in modo diverso. Diamo un'occhiata ai vipades più ampi, dove i virus sono:



1. In un sistema operativo con attivazione automatica

Puoi cambiarlo per un comando aggiuntivo msconfig, lanciato tramite il menu Inizio - Vikonati

A capo della squadra non c'è colpa di elementi sospetti, per esempio C:\Programmi\novirus.exe



Il comando msconfig consente di visualizzare e visualizzare solo i programmi non essenziali con l'abilitazione automatica. ritiro totale successivamente, è necessario pulire le voci di registro (guarda la colonna "Roztashuvannya").

Come comando alternativo msconfigÈ possibile programma vikoristovuvati.

Al ramo "Sistema", vai alla scheda "Inserimento sistema", scorri verso il basso fino alla voce "Inserimento automatico". Inoltre, è importante esaminare contemporaneamente l'elenco dei programmi coinvolti nel sistema operativo e, se necessario, rimuovere quelli non essenziali. Il programma vede le informazioni una volta nel registro di Windows.

Rispetto! Per non vedere l'importante sistemico processo di Windows- verifica in anticipo con i guru del computer o scoprilo in anticipo tramite sistema poshuk Yandex o Google su programmi a te sconosciuti, per esempio RTHDCPL.EXE

Questo modo di catturare il virus è il più semplice. Vin è facilmente individuabile e il virus è visibile. Così hanno fatto i virus 5-10 anni fa.



Dodatkovo:

Come se fossi arrabbiato con uno striscione pornografico, e non ci fosse possibilità di meravigliarsi dell'avanzamento automatico, quindi, essendosi occupato di qualunque cosa disco zavantazhuvalny eliminare tutti i file dalle directory c:\temp, C:\WINDOWS\Temp, C:\Documenti e impostazioni\utente\Impostazioni locali\Temp, perché Ancora più grande è la quantità di entanglement al virus da queste cartelle.

Inoltre, un disco avanzato ti consente di connetterti al registro remoto del sistema operativo (al tuo) - digita ERD, puoi invertire le chiavi di registro, per disabilitare l'auto-abilitazione. Per sala operatoria Sistemi Windows Prezzo XP:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runі

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Esegui

Con la presenza di elementi sospetti in loro, bagna i bastardi! :)

2. Vicedirettore

Questo è il motivo dell'allargamento dei picchi in caso di infezione da virus, soprattutto a causa delle note durante l'installazione di banner porno su sistema operativo. Il virus potrebbe voler provare a sostituire Windows Explorer sostituendo la voce nel registro :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Modifica parametro shell (reg_sz) " explorer.exe essere sostituito da un virus da solo, per esempio C:WINDOWSsystem32h6d8dn.exe o dirò cazzate.

Puoi risolverlo al minor costo, investendo da un avvincente CD-ROM o USB e ricablare il sistema per utilità aggiuntive da Internet del dottore. launcher.exe. Ma solo in quel caso, come nella base dei virus, il Dottore di Internet ha informazioni sul virus.



Più efficace e Modo svedese- zavantazhivayas іz zavantazhuvalnogo disk esegue il programma di modifica del registro con la possibilità di connettersi al registro eliminato. Per chi la piega ERD è l'ideale.

È necessario esaminare la voce nel registro per l'indirizzo HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, correggi la voce "merda" del parametro Shell (reg_sz) su " explorer.exe"E ricorda il modo di conoscere quel nome nel file del virus, in modo che io possa vederlo manualmente.

3. Insieme a userinit.exe o uihost.exe

In qualche modo lo stile di lavoro può essere visualizzato e il computer può funzionare normalmente, oppure può bloccare alcune funzioni del browser a causa della promozione o di tutti i browser, impossibilità di aprire il sito programmi antivirus che dentro.

Userinit.exe - un programma che attiva lo stile di lavoro e attiva le seguenti funzioni Avvio di Windows. Trova il VIN per l'indirizzo C:WINDOWSsystem32userinit.exe. Rozmir file originale magazzino 26,0 KB (26.624 byte), su disco: 28,0 KB (28.672 byte).

I virus attivi possono modificare la voce nel registro di tre parametri (per tutti o solo per alcuni) userinit, UIHostі Guscio, roztashovannyh per l'indirizzo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

I parametri originali della voce nel registro possono essere tali:

Userinit = C:\WINDOWS\system32\userinit.exe
uihost=logonui.exe
shell=explorer.exe

Puoi scrivere il virus per te stesso in questo modo:

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe

A questo culo file gertinw.exe– tse virus al 100%! Obov'yazkovo ricorda la strada per il file del virus e guardalo!



Dopo la rimozione, è necessario sostituire i file userinit.exe, logonui.exe (situata in C:\WINDOWS\sistema32\) і explorer.exe(essere in C:\WINDOWS\) su file simili dal kit di distribuzione di Windows (lo trovi in ​​uno scherzo), perché le eccedenze di chrobak possono essere trovate nei file chiave. Abò.

Quindi è necessario verificare nuovamente il file host(lascia che sia un editor di test) per la presenza di recinzioni sui siti di origine dei programmi antivirus: C:\windows\system32\driver\etc\hosts. Vedi tutto dopo una riga 127.0.0.1 host locale

Inoltre, la recinzione di interesse del sito può essere iscritta all'anagrafe ai seguenti indirizzi:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet (numeri 001 o 002)\Services\Tcpip\Parameters\PersistentRoutes

Vydality vm_st povnistyu krіm riga "Per serrature" con valori non assegnati.

In questo articolo, ti dirò come ripulisci il tuo computer dai virus con una garanzia del 99%, anche se nessun antivirus moderno può garantire una protezione del 100%. Se non vuoi leggere a lungo o avere pietà, puoi guardare il nostro video qui sotto.

Attiva lo stile di lavoro --> fai clic sul pulsante Start --> Pannello di controllo --> seleziona altre icone con la mano destra --> Opzioni cartella --> scheda Visualizza --> abbassa il cursore e deseleziona la casella: Aggiungi protezione file di sistema, allega le estensioni per la registrazione dei tipi di file e metti un segno di spunta davanti a Mostra i file allegati nella cartella --> premi stop poi OK.

Nuovo computer --> disco c --> koristuvachi --> cartella con il nome del tuo koristuvach --> AppData --> Locale --> Temp --> visualizza nuovamente tutti i file e visualizzali --> ruota su Locale cartella, scorri fino in fondo e vedi tutti i file ( le cartelle non sono leggibili si prega di fare attenzione ), la crema è tranquilla ad un certo punto DAT, ini.

Nella pelle, chi raccoglie il virus alla testa, si avvia automaticamente la nutrizione "Come rilevare il virus?". In questo articolo abbiamo bisogno di conoscere le prove di una dieta così grande. Te lo dico una volta, dopo aver letto e capito cosa c'è scritto qui, non puoi vedere con calma se è un virus. Qui è stata introdotta solo una delle principali rovine di base del corpo, che può essere utilizzata nel suo insieme per rimuovere la maggior parte dei virus che compaiono nel sistema operativo Windows.

Che cos'è un virus informatico?

Per la pannocchia, cos'è un virus? Virus informatico - tse programma per computer, Meta come il proprietario di un computer shkodi, o koristuvachevi. A quanto pare, aspetterò, il potere caratteristico di qualsiasi virus è la sua costruzione fino all'espansione della nuova vittima: il computer. Raramente, più di un computer è infetto, i virus prendono di mira molti milioni di computer, come, ad esempio, .

Come si diffondono i virus informatici?

I virus informatici si stanno espandendo in tutto il mondo modi possibili, mediante il quale è possibile invariabilmente trasferire il corpo del virus a un nuovo programma Oskilki tse vittima, tutti i possibili metodi di riproduzione possono essere prescritti per il virus stesso o per qualsiasi altro modulo aggiuntivo. I per garantire la possibilità di riproduzione, il virus o altri organi riproduttivi possono essere inclusi. Il virus non è attivo al momento della malattia. Non per niente il computer viene propagato dal virus prima che arrivi il fahivtsya. Faccio il tifo per te, dopo averti riconquistato dal fatto che un'autorità di governo in più ha un virus, è necessario farlo bene. E come si accende il buti? Non è possibile uccidere fisicamente un virus informatico. Ale, puoi parlarmi di quelli in cui il virus è stato lanciato quando il computer è stato skinnato. Come si può raggiungere? È necessario spiegare il sistema. E per tse vіdpovіdає Tudi e inserire informazioni su quelli, i programmi yakі devono essere sfruttati immediatamente con il sistema operativo. Io stesso lì e varto diffonde battute, se possiamo andare al virus. Il problema è meno complicato dal fatto che ci sono abbastanza modi per registrarsi in Autozavantazhenni.

Dei virus informatici shukati?

Configurazione di sistema

Per aprire le utenze Configurazione di sistema, Devi vedere il menu Vikonati e immetti il ​​comando msconfig. Qui abbiamo una scheda. Nel sistema operativo Windows 8, la scheda è stata spostata in Spedizioniere. Questa scheda contiene informazioni sui programmi, che dovrebbero essere presi insieme al sistema operativo. Mostra le caselle di controllo come campo Notato sarà assegnato dai programmi, che saranno zavantazhuyutsya immediatamente con il sistema operativo. Nello stesso posto puoi trovare informazioni su quelli in cui il programma può trovare altre informazioni correlate.

Registrazione automatica delle cartelle

Apri una cartella in Explorer C:\Utenti\%Nome utente%\AppData\Roaming\Micr osoft\Windows\Menu Start\Programmi\Avvio. Cosa hai Finestre russe, forse alcune cartelle saranno nomi di madre russa, ma navit in inglese ci arriverai cartelle richieste. Questo papato ha scorciatoie per i programmi, come se fossero colpevoli di zavantazhuvatisya allo stesso tempo con il record obliquo del koristuvach selezionato. Sono d'accordo che te ne sei accorto %Nome utente%- cosa può essere sostituito dal nome del koristuvach?

Editore del registro

Vidkrivaєte Editore del Registro di sistema(così come il wiki dal menu Vikonati, allora hai bisogno del comando regedit). Apri la sezione

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Esegui

In questa università ci sono registrazioni di programmi che possono essere lanciati contemporaneamente al sistema operativo. Zavdyaki tsim annoteremo, Puoi prendere tali informazioni sul programma che viene lanciato, come viene chiamato e il luogo è cambiato.

Inoltre, gli Editor del Registro di sistema aprono la sezione

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

In questa università vengono mostrati i programmi, che vengono lanciati immediatamente da un nucleo attivo. Le informazioni disponibili sono le stesse della terza persona.

Krym tsikh due divisioni principali, puoi usare le seguenti parole:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

yakі anche zastosovuyutsya per avtozavantazhennya, solo per un singolo lancio del programma, dopo di che si vede il record.

Anche varto controllare i parametri Userinit, Shell, Sistema, VmApplet, conosci la strada

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

I restanti due parametri possono essere giornalieri, ma per i primi due valori possono esserlo c:\windows\system32\userinit.exeі c:\windows\explorer.exe. Be-yakі inshі znachennya, svidshe per tutto, avvolgimenti del PZ virale.

Servizi Windows

Krіm zvichnyh koristuvachіv dodatkіv, nel sistema operativo Windows è lo stesso e un altro tipo di servizio di programma. La puzza è influenzata da aggiunte significative, che, in sostanza, non possono vincere lo stile di lavoro del coristuvach, e quindi non c'è bisogno di interattività con loro, e su di esse la base del lavoro superbo coristuvach non puoi indovinare. Ma per i virus avanzati, è solo una questione di comodità e, cosa più importante per le nostre statistiche sulla rimozione dei virus, i servizi possono avviarsi automaticamente all'accensione del computer. Naviga di più, tutti i servizi iniziano a programmi più ricchi e più bassi. Ecco perché dobbiamo rivedere tutto servizi di Windows, per conoscere il nostro virus e vederlo in tempo.

Per cui è possibile aprire lo snap-in Servizio (per il quale è necessario premere Vinci+R e premi il comando servizi.msc). Dali z'appare una grande lista di stovptsami Nome, Descrizione, Stan, Tipo di avvio e Entrata nel sistema. Per semplicità, cerca un virus, ordina tutti i servizi io diventerò servizi (basta premere in prima linea) in modo che tutti i servizi alla stazione Vikonuetsya si ubriachino alla bestia. Tse è giusto, vrakhovuuchi quelli che il nostro virus è rafforzato e praticato. Dali necessario per studiare l'intero elenco dei servizi, come iniziare. Qui varto zvertati rispetto per Sono io servizio di yoga Descrizione. Di norma, nei processi virali, un nome è chiaramente visibile e tale descrizione stessa, e spesso non ci sono descrizioni. Krіm tsgogo, vіrusi non è dotato di un moderno pіdtrimkoy, ma significa che con la descrizione di quel nome, quelli russi saranno meno simili a un hacker di un viaggio russo. Ale, il mondo è fantastico (voglio che la Russia sia piuttosto grande), il che significa una possibilità che l'autore del virus non sia la nostra gente, è fantastico e meglio per tutto, virus matime descritto in lingua inglese!

Se hai dei dubbi su che tipo di servizio, premi su di esso i due e vedrai tutto con le autorità aggiuntive del servizio. Lì è necessario dare il massimo rispetto al campo File malvagio servizio, che è improbabile che porti al dodatkiv negligente c:\file di programma o c:\finestre.

All'estremo, prendi il nome del processo e vai su Google Yandex, in modo da poter scoprire un rapporto sul servizio che ti ha catturato. Credimi, conosci subito i servizi legittimi.

Dopo aver rivelato lo shkіdnik della metà dei servizi, premi sul servizio delle ragazze e scegli Digita il lanciatore Vimkneno, e puoi anche Zupiniti il ​​robot di servizio. Inoltre, ricorda la posizione del file corrispondente ed elimina l'intero file dal computer.

planuvdan

E il resto dei luoghi principali per l'acquisizione automatica sono sia programmi legittimi che virus: questo è il pianificatore del giorno. V_dkriti yogo puoi successivamente Pannello di controllo - Amministrazione - Pianificatore dell'impianto. All'incontro del Planner del giorno, recati nella Biblioteca del Planner del giorno e nella parte centrale vedrai tutte le date previste. Deyakі, svidshe per tutto, da loro - legittimo. E tra questi, puoi conoscere tu stesso il malware. Algoritmo fai da te a questo particolare tipo simili ai precedenti: conoscere il nome della descrizione dell'attività, nonché il file dell'icona. Per recuperare queste informazioni, è necessario fare clic una volta sul servizio e conoscere le informazioni inserite dal depositante Zagalniі Dії. Se sapevi di sospettare l'attività, se potevi essere il braccio destro del virus, vedevi l'attività pianificata e premi il pulsante Eliminare(perché il tasto destro del mouse con l'orso e seleziona l'oggetto visualità).

Come rimuovere un virus da un computer?

L'asse è di fronte a te cinque aree principali, nella cui vastità vengono mostrati i programmi, che sono zavantazhuyutsya sia subito da un computer, sia subito da una registrazione obliqua di un coristuvach. A qi cubbyholes, stanno cercando di sostenere i propri virus, che sia. Ora sappiamo come è possibile calcolare e rilevare i virus dagli elenchi.

Calcola il virus questo elenco non è facile farlo a volte. Il fetore è più importante per non vederlo, tobto. E a volte è più pieghevole: i virus vengono mascherati sotto altri programmi, portando via anche i loro nomi. Bene, virahuvati, e poi vedremo virus informatico? Per la prima volta, guarda l'intero perelik. Dai un'occhiata a quei programmi, che sono installati nel tuo sistema e che sono zavantazhuyutsya allo stesso tempo con il sistema operativo o con il core. Ad esempio, non appena Skype viene attivato per te, puoi essere calmo passando all'ultima riga nell'auto-vantaggio. E i baffi sospettavano che gli oggetti dovessero essere venerati.

Dalі, dobbiamo conoscere il posto dei programmi roztashuvannya. Al primo drop, nel menu contestuale di quelli provati, seleziona Mostra file roztashuvannya. In un'altra opzione, puoi entrare potenza yarlika i dіznatisya modi, su yakі in ask. Nelle restanti due opzioni, il percorso del programma è già davanti all'occhio.

Dopo aver riconosciuto la distribuzione dei programmi su un disco rigido, puoi riconoscere maggiori informazioni sul programma stesso. Forse, indovinerai che ho dimenticato l'utilità per molto tempo. Bene, la memoria non si chiarisce, ma riassumi tutto, inserisci una specie di nome da burlone dato file. E sul primo lato, ti chiedo di prendere buone informazioni su questo programma, nonché suggerimenti e raccomandazioni. Credimi, è un virus, sai dietro i titoli, cosa gridare, già nelle prime file di lato.

Vediamo il virus

Otzhe, sei più convinto che il programma per il caricamento automatico sia un virus. Come vedere lo yoga, l'intero virus? Non sono felice di vederti una volta che vedi i file del sospetto programma roztashuvannya. Per la pannocchia è necessario perevirit la tua teoria. Per la prima opzione, deseleziona l'elemento sospetto o trasferisci lo yoga nello stato Vimkneno. Un'altra opzione è spostare il collegamento da questa cartella a qualunque essa sia. Successivamente, riavvia il computer e capovolgi lo yoga. Se non ci sono virus, scopri il modo, che è il modo in cui il programma viene attivato e solo per rimuovere il virus. È anche necessario vedere la scorciatoia o la voce nel depositante Autozavantazhennia. Al momento di un errore, girare lo yarlik sul piatto e fermarsi Notato in un tale grado ti proteggerai da cambiamenti inappropriati.

E l'asse dei record del Registro sarà un po' più pieghevole. Nelle prime due opzioni, potremmo semplicemente disattivare lo zawantage del programma in un clic e accenderlo immediatamente. Qui non abbiamo diritto al perdono. Se ti occupi della milizia, sarà più facile per noi riportare tutto come prima. A Editore del registro possiamo solo vedere la registrazione dell'oggetto sospetto. Ma prima di salvare il tuo nome, significato e tipo, puoi attivare lo yoga sul posto. Dopo aver visto la registrazione, riavviare il computer. Se lo giri, perché il virus è ancora vivo. Allo stesso modo, indovina l'uso improprio del virus e rimuovi lo yoga. Bene, è sfortuna, ricorda parametro di distanza per aiutare a risparmiare denaro e l'oggetto Creare h menù contestuale Editore del registro.

AGGIORNARE: Quindi voglio solo chiarire circa un momento, quale virus vikoristovuyut Dopodiché, se vedi una voce sull'inserimento automatico di questo elemento, il virus, ad esempio, prima che il computer venga chiuso, puoi annullare la presenza del necessario inserimento nell'auto-ingresso. Se il virus non conosce il record, lo aggiungerai. In questo modo, hai rimosso il virus dall'ingresso automatico e reinstallato il computer, e il virus si è manifestato di nuovo, quindi devi invertirlo, che non ha nulla a che fare con il record visto in precedenza sullo spazio anteriore. Come record, solo per aumentare la possibilità che tu conoscessi il virus. I programmi innocenti non si comportano così.

AGGIORNAMENTO2: Quindi vuoi solo aggiungere informazioni sul virus, così puoi vedere il tuo file, ma poi puoi aggiornarlo immediatamente, è meglio aggiornare la cartella. Tali virus sono più spesso residenti e più spesso riacquistano memoria operativa computer, non si può fare nulla contro di esso, il virus docks stesso funziona. È necessario tagliare la radice - virus vygnati dal ripristino automatico - e solo dopo puoi vedere i file del virus.

AGGIORNAMENTO3: I virus Deyaki non danno l'opportunità di vedere i loro file, ma quando ci provi, completa i loro processi, producono più processi dei tuoi virus, dopodiché muoiono. Tse yak іz kazkova Hydra, yakої fa crescere nuove due teste, su quella nebbiosa, battute. Ma è possibile battere tali idro in modo molto più piacevole e allegro: puoi modificare il file che viene lanciato e l'idro non può più produrre nuovi processi. E più a destra, i tecnici: vedi tutti i processi del virus e vedi il corpo del virus.

Per rilevare il virus, che è registrato permanentemente su se stesso nell'auto-avanzamento, è necessario disabilitare il computer nella modalità in cui il virus non è attivo. Sami modo semplice- computer zavantazhit in modalità provvisoria, di cui ho scritto nell'articolo su, che è prescritto per tutti i browser del coristuvach. Nel punto più alto, togli il computer dal tuo vecchio naso.

Bachite, non sei impotente davanti ai virus "onnipotenti" e terribili. Coloro che vincono per i propri scopi, possono diventare uno strumento miracoloso per la loro esistenza. Batti bene lo yoga nemico zbroєyu, tse miracoloso! Lascia che i virus abbiano paura di te, ma perché no Vi їх!

PS Ripeto ancora una volta: non tutti i virus si possono contare in questo modo! In questo modo di base, puoi sapere che puoi vedere più dell'acquisto principale di virus.

Quando un computer è infetto da virus, dovrebbe essere fatto in modo tale che quando il sistema operativo viene invaso, venga catturata anche la puzza o venga catturata la sua parte necessaria. Per che puzza è apportare modifiche al registro di Windows.

Maggese alla luce della "sporgenza" dell'autore al virus, ma può essere implementato in modo diverso. Diamo un'occhiata alle varietà più ampie:

1. In un sistema operativo con attivazione automatica

Puoi cambiarlo per un comando aggiuntivo msconfig, lanciato tramite il menu Inizio - Vikonati

Il comando non è colpevole di elementi sospetti, ad esempio C:\Programmi\novirus.exe

Il comando msconfig permette di visualizzare e includere solo le chiavi dei programmi non essenziali dall'auto-abilitazione, per un accesso completo è necessario pulire le chiavi di registro (div. alla colonna “Roztashuvannya”).

Come comando alternativo msconfig puoi hackerare il programma XPTweaker (scaricalo dal sito ufficiale).

Al ramo "Sistema", vai alla scheda "Inserimento sistema", scorri verso il basso fino alla voce "Inserimento automatico". Inoltre, è importante esaminare contemporaneamente l'elenco dei programmi coinvolti nel sistema operativo e, se necessario, rimuovere quelli non essenziali. Il programma vede le informazioni una volta nel registro di Windows.

Rispetto! Per non vedere visivamente l'importante processo di sistema di Windows, controlla in anticipo con i guru del computer o scopri informazioni tramite il sistema di ricerca Yandex o Google su programmi che ti sono sconosciuti, ad esempio RTHDCPL.EXE

Questo modo di catturare il virus è il più semplice. Vin è facilmente individuabile e il virus è visibile. Così hanno fatto i virus 5-10 anni fa.

2. Vicedirettore

Questo è il motivo dell'allargamento dei picchi in caso di infezione da virus, soprattutto a causa delle osservazioni quando vengono installati banner porno sul sistema operativo. Il virus potrebbe voler provare a sostituire Windows Explorer sostituendo la voce nel registro :

explorer.exe o dirò cazzate.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Il parametro della shell (reg_sz) cambia il valore " explorer.exe» essere sostituito da un virus da solo, per esempio C:WINDOWSsystem32h6d8dn.exe o dirò cazzate.

Puoi aggiustarlo con la minima quantità di denaro, entrandoci da un interessante CD-ROM o USB, puoi cambiare il sistema per un'utilità aggiuntiva come Internet Doctor - launcher.exe. Ma solo in quel caso, come nella base dei virus, il Dottore di Internet ha informazioni sul virus.

Attacco più grande e modo swidky - zavantazhivaniya іz zavantazhuvalnogo disk esegue la modifica del registro del programma con la possibilità di connettersi al registro remoto. Per chi la piega ERD è l'ideale.

È necessario esaminare la voce nel registro per l'indirizzo HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, correggi la voce "merda" del parametro Shell (reg_sz) su " explorer.exe» e ricordo il percorso di conoscenza e il nome del file del virus, in modo che io possa vederlo manualmente.

3. Insieme a userinit.exe o uihost.exe

In qualche modo lo stile di lavoro può essere visualizzato e il computer può funzionare normalmente, oppure può bloccare alcune funzioni del browser per il blocco o tutti i browser, l'impossibilità di aprire il sito di programmi antivirus e altro.

Userinit.exe è un programma che attiva lo stile di lavoro e attiva alcune funzioni dopo l'avvio di Windows. Trova il VIN per l'indirizzo C:WINDOWSsystem32userinit.exe. Espansione del file warehouse originale 26,0 KB (26.624 byte), su disco: 28,0 KB (28.672 byte).

I virus attivi possono modificare la voce nel registro di tre parametri (per tutti o solo per alcuni) userinit, UIHostі Guscio, roztashovannyh per l'indirizzo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

I parametri originali della voce nel registro possono essere i seguenti:

Userinit = C:\WINDOWS\system32\userinit.exe

uihost=logonui.exe

shell=explorer.exe

Puoi prescrivere il virus per te stesso, ad esempio:

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe

Di chi file di domanda gertinw.exe– tse virus al 100%! Obov'yazkovo ricorda la strada per il file del virus e guardalo!

Dopo la rimozione, è necessario sostituire i file userinit.exe, logonui.exe(situata in C:\WINDOWS\sistema32\) Quello explorer.exe(essere in C:\WINDOWS\) su file simili dal kit di distribuzione di Windows (lo trovi in ​​uno scherzo), perché le eccedenze di chrobak possono essere trovate nei file chiave.

Dove conoscere i virus

Quindi è necessario verificare nuovamente il file host(lascia che sia un editor di test) per la presenza di recinzioni sui siti di origine dei programmi antivirus: C:\windows\system32\driver\etc\hosts. Vedi tutto dopo una riga 127.0.0.1 host locale

Inoltre, la recinzione di interesse del sito può essere iscritta all'anagrafe ai seguenti indirizzi:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet (numeri 001 o 002)\Services\Tcpip\Parameters\PersistentRoutes

Vydality vmіst povnіstyu krіm row "For lock" con valori non assegnati.

Se conosci un indulto, sii gentile, guarda un frammento del testo e premi Ctrl+Invio.

Dali ha riconsiderato l'auto-avanzamento per chiedere aiuto sulla scia di Utilità di Windows per i programmi di esecuzione automatica di keruvannya, come vengono chiamati MSConfig, andiamo Inizio->Vikonati, digitiamo msconfig

e l'asse sia una carezza, un elemento sconosciuto da un nome meraviglioso userinit essere in Avtozavantazhenni,

Il file Wicked si trova dietro l'indirizzo

Il nome matadd.exe è stato dato al virus poiché è stato generato dal sistema, non devi preoccuparti, il tuo sarà diverso, ma sai, il virus si chiama Win32/Spy.Shiz.NCF ed è si Troia. Andiamo a cartella qi E proveremo a vederlo, ma è un peccato mentre il virus è attivo, non vediamo nulla, altrimenti puoi vedere il file del virus, vai avanti, ma in un paio di secondi, ti crei di nuovo.
Per l'utilità msconfig, deseleziona la casella dato elemento userinit,

Tobto includere lo yoga in Avtozavantazhennia. È un peccato che la maggior parte di vipadkiv tse non significhi che il virus, quando viene attaccato dal sistema operativo, non sfrutterà di nuovo i suoi file, i frammenti del file del virus dalla cartella C:\Windows\AppPatch non erano visibili a noi.

Per una lotta efficace contro il virus, abbiamo bisogno di un aiuto, come ad esempio:

• Prima di tutto, puoi mostrarci il file del virus, che si trova nel caricatore automatico.
• In un modo diverso, mostraci le modifiche apportate dal virus al registro.

Per aiutarti, è necessario tutto ciò che hai nella tua auto programma speciale Gestore attività AnVir altrimenti, per esempio Corse automatiche secondo Mark Russinovich, insultando la puzza del costo zero, proponendo la velocità dell'utilità AnVir Task Manager, il fatto che ho ricordato da tempo che il koristuvachs-pochatkivtsy sarà migliore. Zavantazhuemo її qui

http://www.anvir.net/ e installalo.

L'ultima descrizione del lavoro con l'utilità può essere letta sull'asse di questo articolo
Un avvertimento, nella parte superiore dell'installazione, NON selezionare installato esternamente, come consigliato, ma scegli Regolazione dei parametri e deseleziona le caselle per tutto ciò che non ti serve, lascia solo un segno di spunta Avvia AnVir Task Manager (consigliato) e aggiungi un'icona sul desktop.

Dopo l'installazione del programma, si avvia e dopo tale immagine, il virus ha apportato cinque cinque modifiche al registro. Deseleziona le caselle di controllo e rimuovi la modifica causata dal virus nel registro non si spegne.

Scopriamo quanto il virus è penetrato nel nostro sistema. Puntando il mouse sul nome della chiave del virus carico, fare clic con il tasto destro del mouse e selezionarlo nel menu Vai->Mostra file in Explorer

L'ho messo immediatamente nella nostra cartella con il file del virus C:\Windows\AppPatch\matadd.exe.

Ci meravigliamo anche della diffusione di voci del virus nel registro. Programma antivirus Bachimo che ha apportato le proprie modifiche alle due parti del registro, meravigliandosi del rapporto e subito visto.
Cliccando con il tasto destro del mouse sulla chiave creata dal virus carico selezionato nel menu Vai->Vіdkriti roztashuvannya nel registro.