Видалення вірусів у папці windows. Де ховаються віруси. Забираємо незрозумілі програми з автозавантаження

При зараженні комп'ютера віруси надходять таким чином, щоб при завантаженні операційної системи вони теж завантажувалися, або завантажувалася їх основна необхідна частина. Для цього вони зазвичай вносять зміни до реєстру Windows.

Залежно від просунутості автора вірусу це може бути реалізовано по-різному. Розглянемо найпоширеніші випадки, де ховаються віруси:



1. В автозавантаженні операційної системи

Перевірити це можна за допомогою команди msconfig, запущеної через меню Пуск - Виконати

У стовпці Команда не повинно бути підозрілих елементів, наприклад C:\Program Files\novirus.exe



Команда msconfig дозволяє тільки відображати та вимикати непотрібні програми з автозавантаження. повного видаленняслідів необхідно почистити відповідні гілки реєстру (подивитися в стовпці "Розташування").

Як альтернатива команді msconfigможна використовувати програму.

У розділі "Система" перейти на закладку "Завантаження системи", прокрутити скроллом трохи вниз до заголовка "Автозавантаження". Також переглянути уважно список програм, що завантажуються разом з операційною системою, і при необхідності видалити непотрібні. Програма видаляє інформацію одразу й у реєстрі Windows.

Увага!Для того, щоб випадково не видалити важливий системний процес Windows- уточніть попередньо у комп'ютерних гуру або знайдіть відповідь через пошукову систему Яндексабо Гуглпро невідомі вам завантажені програми, наприклад RTHDCPL.EXE

Цей спосіб завантаження вірусу - найпростіший. Він легко виявляється, і вірус видаляється. Так діяли віруси 5-10-річної давності.



Додатково:

Якщо ви зловили порно-банер, і немає можливості подивитися автозавантаження, то завантажившись з будь-якого завантажувального дискавидаліть усі файли з директорій C:\Temp, C:\WINDOWS\Temp, C:\Documents and Settings\user\Local Settings\Temp, т.к. Існує дуже велика ймовірність завантаження вірусу з цих папок.

Якщо завантажувальний диск дозволяє підключитися до віддаленого реєстру операційної системи (до вашої) - типу ERD, можна перевірити ключі реєстру, відповідальні за автозавантаження. Для операційної системи Windows XP це:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runі

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

При знаходженні в них підозрілих елементів мочити гадів! :)

2. Замість провідника

Це дуже поширений випадок при зараженні вірусами, особливо часто він був помічений під час встановлення порно-банерів на операційну систему. Вірус у цьому випадку вантажиться замість провідника Windows, замінивши запис у реєстрі :

У гілці HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) замість значення " explorer.exeзамінюється вірусом на свій, наприклад C:WINDOWSsystem32h6d8dn.exeчи подібну хрень.

Виправити це з найменшими втратами можна, завантажившись із завантажувального CD-ROM або USB, перевірити систему за допомогою утиліти від Доктора Веба. launcher.exe. Але тільки в тому випадку, якщо в основі вірусів Лікаря Інтернету є інформація про цей вірус.



Більш дієвий та швидкий спосіб- завантажившись із завантажувального диска запустити програму редагування реєстру з можливістю підключення до віддаленого реєстру. Для цього ідеально підходить збірка ERD.

Потрібно переглянути запис у реєстрі за адресою HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, виправити "хрень" у запису параметра Shell (reg_sz) на " explorer.exeі запам'ятати шлях знаходження та ім'я файлу вірусу, щоб видалити його вручну.

3. Разом з userinit.exe або uihost.exe

У цьому випадку робочий стіл може відображатися і комп'ютер може начебто нормально працювати, але можуть бути заблоковані деякі функції браузера за промовчанням або всіх браузерів, неможливість відкрити сайти антивірусних програмта ін.

Userinit.exe - програма, яка відкриває Робочий стіл та активує мережеві функції після запуску Windows. Знаходиться він за адресою C:\WINDOWS\system32\userinit.exe. Розмір оригінального файлускладає 26,0 КБ (26 624 байт), на диску: 28,0 КБ (28 672 байт).

Деякі віруси можуть змінити запис у реєстрі трьох параметрів (у всіх або тільки деяких) Userinit, UIHostі Shell, розташованих за адресою:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригінальні параметри запису в реєстрі мають бути такими:

Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe

Вірус може прописати себе наприклад так:

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe

У даному прикладіфайл gertinw.exe– це 100% вірус! Обов'язково запам'ятати шлях до файлу вірусу та видалити його!



Після видалення потрібно замінити файли userinit.exe, logonui.exe (знаходяться в C:\WINDOWS\system32\) і explorer.exe(знаходиться в C:\WINDOWS\) на аналогічні файли з дистрибутива виндовса (знайдете пошуком), т.к. залишки хробака можуть перебувати у файлах ключів. Або.

Після цього потрібно перевірити файл hosts(відкрити будь-яким тестовим редактором) на наявність заборон на відомі сайти антивірусних програм: C:\windows\system32\drivers\etc\hosts. Видалити все після рядка 127.0.0.1 localhost

Також заборона завантаження сайтів може бути прописана в реєстрі за наступними адресами:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet (номери 001 або 002)\Services\Tcpip\Parameters \PersistentRoutes

Видалити вміст повністю крім рядка "За замовчуванням" з неприсвоєним значенням.

У цій статті я розповім вам як очистити ваш комп'ютер від вірусівз 99% гарантією, адже не один сучасний антивірус не може забезпечити 100% захист. Якщо не хочете довго читати або помилитися, можете подивитися наше відео внизу.

Включаємо робочий стіл --> натискаємо кнопку пуск --> панель управління --> вгорі праворуч дрібні значки --> параметри папок --> вкладка вид --> опускаємо бігунок вниз і прибираємо галочки: Приховувати захищені системні файли, приховувати розширення для зареєстрованих типів файлів і ставимо крапку напроти Показувати приховані файли та папки --> натискаємо застосувати потім ОК.

Знову мій комп'ютер --> диск ц --> користувачі --> папка з ім'ям вашого користувача --> AppData --> Local --> Temp --> знову виділяємо всі файли і видаляємо їх --> повертаємося до папки Local опускаємо в самий низ і видаляємо всі файли ( папки не чіпаємо будьте уважні ), крім тих у яких закінчення DAT, ini.

У кожного, хто підхопить вірус у голові, автоматично починає крутитися питання «Як видалити вірус?». У цій статті намагатимемося знайти відповідь на таке широке питання. Скажу відразу, що прочитавши і зрозумівши, що тут написано, Ви не зможете спокійно видалити будь-який вірус. Тут наведені лише одні з основних, базових рухів тіла, яких цілком може вистачити щоб видалити більшу частину з вірусів, що зустрічаються в операційній системі Windows.

Що таке комп'ютерний вірус?

Для початку, що таке вірус? Комп'ютерний вірус - це комп'ютерна програма, Мета якої завдати шкоди комп'ютеру, або користувачеві. Як каже, з чим я погоджуся, характерною властивістю будь-якого вірусу є їх здатність до поширення на нові жертви - комп'ютери. Дуже рідко заражається лише один комп'ютер, віруси націлені на багато мільйонів комп'ютерів, як наприклад .

Як розповсюджуються комп'ютерні віруси?

Розповсюджуються комп'ютерні віруси всіма можливими способами, якими можна непомітно передати тіло вірусу на нову жертву Оскільки це програма, всі можливі методи його розмноження мають бути прописані або у самому тілі вірусу, або у будь-яких інших додаткових модулях. І щоб забезпечити можливість розмноження, вірус чи його репродуктивні органи мають бути включені. Адже у вимкненому стані вірус не активний. Недарма ж пропонується вимикати комп'ютер із вірусом до приходу фахівця. Сподіваюся я переконав Вас у тому, що ще однією відмінною властивістю вірусу є їхнє прагнення завжди бути включеним. А як завжди бути включеним? Фізично увімкнути комп'ютер вірус не зможе. Але він може подбати про те, щоб вірус запускався при кожному увімкненні комп'ютера. Як цього досягти? Потрібно пояснити це системі. А за це відповідає Туди і вноситься інформація про те, які додатки потрібно завантажувати разом з операційною системою. І саме там і варто розпочинати пошуки, після чого зможемо перейти до видалення вірусу. Проблема лише ускладнюється тим, що способів прописатися в Автозавантаженні достатньо.

Де шукати комп'ютерні віруси?

Конфігурація системи

Для того, щоб відкрити вікно утиліти Конфігурація системиВам потрібно відкрити меню Виконатита ввести команду msconfig. Тут нас цікавитиме вкладка. В операційній системі Windows 8 цю вкладку перенесено в Диспетчер завдань. Ця вкладка містить інформацію про програми, які слід завантажувати разом з операційною системою. Наявністю галочки чи полем Увімкненобудуть відзначені програми, які завантажуються разом з операційною системою. Там же Ви можете знайти інформацію про те, де ця програма знаходиться та іншу супутню інформацію.

Папка Автозавантаження

Відкрийте у Провіднику папку C:\Users\%Username%\AppData\Roaming\Micr osoft\Windows\Start Menu\Programs\Startup. Якщо у вас російська Windows, можливо деякі папки будуть мати російські назви, але навіть англійською Ви дістанетеся до потрібної папки. Ця папка містить ярлики програм, які потрібно завантажити разом з обліковим записом вибраного користувача. Сподіваюся Ви збагнули, що %Username%— чи має бути замінено на ім'я користувача?

Редактор реєстру

Відкриваєте Редактор Реєстру(якщо викликати з меню Виконати, то Вам знадобиться команда regedit). Розкрийте розділ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

У цьому вузлі знаходяться записи про програми, які також мають бути запущені разом з операційною системою. Завдяки цим записам, Ви можете отримати такі відомості про програму, що запускається, як його ім'я і місце перебування.

У тому ж Редакторі реєстру розкрийте розділ

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

У цьому вузлі вказані програми, які запускаються разом із активним користувачем. Доступна інформація та сама, що й у третьому випадку.

Крім цих двох основних розділів, можуть бути використані такі гілки:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

які також застосовуються для автозавантаження, тільки для одиничного запуску програми, після чого запис видаляється.

Також варто перевірити параметри Userinit, Shell, System, VmApplet, які знаходяться на шляху

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon

Останні два параметри можуть бути відсутніми, але для перших двох значення мають бути c:\windows\system32\userinit.exeі c:\windows\explorer.exe. Будь-які інші значення, швидше за все, витівки вірусного ПЗ.

Служби Windows

Крім звичних користувачів додатків, в операційній системі Windows існують так само і інший вид програм - служби. Вони відрізняються від звичайних додатків тим, що, в основному, не можуть використовувати робочий стіл користувача, а значить з ними немає жодної інтерактивності, і про їх існування та роботу звичайний користувачможе навіть не здогадуватись. Але для багатьох вірусів такі обмеження тільки на руку, а так само, що важливіше для нашої статті з видалення вірусів, служби можуть автоматично запускатися після включення комп'ютера. Навіть більше, всі служби стартують набагато швидше, ніж звичні нам програми. Тому нам потрібно перевірити і все служби Windowsзнайти наш вірус і видалити згодом.

Для цього відкриваємо оснастку Служби (для цього натисніть Win+Rта виконайте команду services.msc). Далі з'явиться досить великий список зі стовпцями Ім'я, Опис, Стан, Тип запуску та Вхід до системи. Для простоти пошуку вірусу, відсортуйте всі служби стануслужби(просто натисніть на відповідний рядок) так, щоб зверху опинилися всі служби у стані Виконується. Це справедливо з огляду на те, що наш вірус включений і працює. Далі необхідно проштудувати весь список служб, які виконуються. Тут вам варто звертати увагу на Ім'яслужби та його Опис. Як правило у вірусних процесів різко виділяється назва і такий самий опис, а часто описи зовсім немає. Крім цього, віруси не оснащують мовною підтримкою, а це означає, що з описом та назвою російською будуть віруси лише від хакера російського походження. Але світ великий (хоча і Росія немаленька), а значить шанс, що автор вірусу не наша людина дуже великий і, швидше за все, вірус матиме опис англійською мовою!

Якщо у вас є якісь сумніви щодо якоїсь служби, натисніть на неї двічі і у вас з'явиться вікно з додатковими властивостями цієї служби. Там необхідно найбільшу увагу приділити на полі Виконуваний файлслужби, який навряд чи у безпечних додатків вестиме кудись крім c:\program filesабо c:\windows.

На крайній випадок берете назву процесу і йдете гуглити яндекс, щоб дізнатися докладніше про службу, що зацікавила вас. Повірте, про легітимні служби ви дізнаєтесь одразу.

Виявивши шкідника серед служб, натисніть на службу двічі та виберіть Тип запуску Вимкнено, а також можете зупинити роботу служби. Також запам'ятайте місце виконуваного файлу і видаліть цей файл з комп'ютера.

Планувальник завдань

І останнє з основних місць для автозавантаження як легітимних програм, так і вірусів – це планувальник завдань. Відкрити його ви можете послідовно відкривши Панель управління - Адміністрація - Планувальник завдань. У вікні Планувальника завдань перейдіть до папки Бібліотека планувальника завдань і в центральній частині ви побачите всі заплановані завдання. Деякі, швидше за все, з них — легітимні. Але серед них так само можна знайти і зловреда. Алгоритм дій у даному випадкусхожий з попередніми діями: знайомтеся з назвою та описом завдання, а також з виконуваним файлом. Для отримання цієї інформації вам необхідно один раз натиснути на службу та ознайомитися з наведеною інформацією у вкладці Загальніі Дії. Якщо ви знайшли підозріле завдання, яке може бути справою рук вірусу, виділіть це заплановане завдання та натисніть кнопку Delete(або правий клік мишкою та виберіть пункт вилучити).

Як видалити вірус із комп'ютера?

Ось перед Вами п'ять основних місць, на просторах яких вказані програми, які завантажуються або разом із комп'ютером, або разом із обліковим записом користувача. У ці закутки то й намагаються пропхати свої віруси будь - який . Тепер, дізнаємося як можна обчислити та видалити віруси з наведених списків.

Обчислити вірус з даного спискуіноді досить просто. Вони переважно не мають видавця, тобто . А іноді буває складніше: віруси маскуються під якісь інші програми, забираючи собі їхні імена тощо. Так як же вирахувати, а потім і видалити комп'ютерний вірус? Для початку перегляньте весь список. Відсійте ті програми, які у Вас дійсно встановлені та які дійсно завантажуються разом із операційною системою або разом із користувачем. Наприклад, якщо одразу після завантаження у Вас активується Skype, то можна бути спокійним по відношенню до відповідного рядка автозавантаження. А усі підозрілі об'єкти необхідно перевірити.

Далі, нам потрібно дізнатися місце розташування програми. У першому випадку, в контекстному меню випробуваних виберіть Показати розташування файлу.У другому варіанті, Ви можете влізти в Властивостіярлика і дізнатися шлях, на які він посилається. В останніх двох варіантах, шлях програми вже перед очима.

Дізнавшись про розташування програми на жорсткому диску, можна з'ясувати більше інформаціїпро саму програму. Можливо, Ви згадаєте про якусь давно забуту утиліту. Якщо ж пам'ять не прояснюється, а сумніви все зростають, введіть у будь-який пошуковик ім'я даного файлу. І на першій же сторінці пошуку Ви отримаєте хорошу інформацію про дану програму, а також відгуки та рекомендації. Повірте, якщо це вірус, Ви дізнаєтеся це за заголовками, що кричать, вже на перших рядках сторінки.

Видаляємо вірус

Отже, Ви більш ніж впевнені, що програма з автозавантаження - це вірус. Як його видалити, цей вірус? Я не раджу Вам одразу видаляти файли з розташування підозрілої програми. Для початку потрібно перевірити Вашу теорію. У першому варіанті просто скиньте галочку з підозрілого пункту, або переведіть його в стан Вимкнено. У другому варіанті, перенесіть ярлик з цієї папки до будь-якої іншої. Після цього перезавантажте комп'ютер і перевірте його. Якщо вірусу немає, то дізнайтеся шлях, яким прописана відключена програма і тільки тоді видаліть вірус. Також необхідно видалити ярлик або запис у вкладці Автозавантаження. У разі промаху, поверніть ярлик на місце, а стан у Увімкнено,таким чином Ви захистите себе від непотрібних змін.

А ось із записами з Реєстру буде трохи складніше. У перших двох варіантах ми могли в один клік просто вимкнути завантаження програми і в разі промаху тут же включити. Тут ми не маємо права на помилку. Принаймні при помилці нам буде складніше повернути все, як було. У Редактор реєструми можемо просто видалити запис про підозрілий об'єкт. Але перед цим збережіть його ім'я, значення та тип - тоді Ви зможете повернути його на місце. Видаливши запис, перезавантажте комп'ютер. Після чого перевірте, чи живий ще вірус. Якщо ні, згадайте місце знаходження вірусу та видаліть його. Якщо ж невдача, відновіть віддалений параметрза допомогою збережених даних та пункту Створитиз контекстного меню Редактор реєстру.

UPDATE: Так само хочеться уточнити про один момент, який використовують віруси Після того, як Ви видалите запис про автозавантаження якогось елемента, вірус, наприклад перед вимкненням комп'ютера, може перевірити наявність необхідного йому запису в автозавантаженні. Якщо вірус не знаходить цей запис, він додає його. Таким чином, навіть якщо Ви видалили вірус з автозавантаження і перезавантажили комп'ютера, але вірус знову проявив себе, то варто перевірити, чи немає раніше віддаленого запису на попередньому місці. Якщо запис є, це тільки збільшить можливість того, що Ви знайшли вірус. Безневинні програми так не поводяться.

UPDATE2:Також хочеться додати про віруси, які дозволяють видаляти свій виконуваний файл, але відразу його відновлюють, варто лише оновити папку. Такі віруси повністю резиденти і повністю перебувають у оперативної пам'ятікомп'ютера, тому їм не можна нічого протиставити, доки сам вірус працює. Необхідно обрізати коріння – вигнати вірус з автозавантаження – і лише після цього видаляти файли вірусів.

UPDATE3:Деякі віруси не дають можливості видалити свої файли, а при спробі завершити їх процеси, плодять ще кілька своїх вірусних процесів, після чого відмирають. Це як із казковою Гідрою, у якої виростають нові дві голови, на місце однієї, убитої. Але бити таких гідр можна дуже вміло і весело - варто перейменувати файл, що запускається, і гідра вже не зможе плодити нові процеси. А далі справа техніки – відрубуєте всі вірусні процеси та видаляєте тіло вірусу.

Щоб видалити вірус, який постійно прописує себе в автозавантаження, необхідно завантажити комп'ютер у режимі, в якому вірус не був би активний. Самий легкий спосіб— завантажити комп'ютер у Безпечному режимі, про який я писав у статті про , що прописується у всіх браузерах користувача. У найгіршому випадку, завантажувати комп'ютер із зовнішнього носія.

Бачите, Ви не зовсім безсилі перед «всесильними» та страшними вірусами. Те, що віруси використовують у своїх цілях, може стати чудовим інструментом для їхнього знищення. Бити ворога його ж зброєю, це чудово! Нехай віруси боятимуться Вас, а не Ви їх!

P.S. Ще раз повторюся: не всі віруси можна визначити цим способом! Таким базовим способом можна знайти та видалити лише основну купку вірусів.

При зараженні комп'ютера віруси надходять таким чином, щоб при завантаженні операційної системи вони теж завантажувалися або завантажувалася їх необхідна частина. Для цього вони вносять зміни до реєстру Windows.

Залежно від «просунутості» автора вірусу, це може бути реалізовано по-різному. Розглянемо найпоширеніші випадки:

1. В автозавантаженні операційної системи

Перевірити це можна за допомогою команди msconfig, запущеної через меню Пуск - Виконати

У стовпці Команда не повинно бути підозрілих елементів, наприклад C:\Program Files\novirus.exe

Команда msconfig дозволяє лише відображати та відключати непотрібні програми з автозавантаження, для повного видалення слідів необхідно почистити відповідні гілки реєстру (див. у стовпці «Розташування»).

Як альтернатива команді msconfigможна використовувати програму XPTweaker (завантажте з офіційного сайту).

У розділі "Система" перейти на закладку "Завантаження системи", прокрутити скроллом трохи вниз до заголовка "Автозавантаження". Також переглянути уважно список програм, що завантажуються разом з операційною системою, і при необхідності видалити непотрібні. Програма видаляє інформацію одразу й у реєстрі Windows.

Увага!Для того, щоб випадково не видалити важливий системний процес Windows - уточніть попередньо у комп'ютерних гуру або знайдіть відповідь через пошукову систему Яндекс або Google про невідомі вам завантажені програми, наприклад RTHDCPL.EXE

Цей спосіб завантаження вірусу - найпростіший. Він легко виявляється, і вірус видаляється. Так діяли віруси 5-10-річної давності.

2. Замість провідника

Це дуже поширений випадок при зараженні вірусами, особливо часто він був помічений при встановленні порно-банерів на операційну систему. Вірус у цьому випадку вантажиться замість провідника Windows, замінивши запис у реєстрі :

explorer.exeчи подібну хрень.

У гілці HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметр Shell (reg_sz) замість значення « explorer.exe» замінюється вірусом на свій, наприклад C:WINDOWSsystem32h6d8dn.exeчи подібну хрень.

Виправити це з найменшими втратами можна, завантажившись із завантажувального CD-ROM або USB, перевірити систему за допомогою утиліти від Доктора Інтернету - launcher.exe . Але тільки в тому випадку, якщо в основі вірусів Лікаря Інтернету є інформація про цей вірус.

Більш дієвий та швидкий спосіб – завантажившись із завантажувального диска запустити програму редагування реєстру з можливістю підключення до віддаленого реєстру. Для цього ідеально підходить збірка ERD.

Потрібно переглянути запис у реєстрі за адресою HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, виправити "хрень" у запису параметра Shell (reg_sz) на " explorer.exe» та запам'ятати шлях знаходження та ім'я файлу вірусу, щоб видалити його вручну.

3. Разом з userinit.exe або uihost.exe

У цьому випадку робочий стіл може відображатися і комп'ютер може начебто нормально працювати, але можуть бути заблоковані деякі функції браузера за промовчанням або всіх браузерів, неможливість відкрити сайти антивірусних програм та ін.

Userinit.exe – програма, яка відкриває Робочий стіл та активує мережеві функції після запуску Windows. Знаходиться він за адресою C:\WINDOWS\system32\userinit.exe. Розмір оригінального файлу складає 26,0 КБ (26 624 байт), на диску: 28,0 КБ (28 672 байт).

Деякі віруси можуть змінити запис у реєстрі трьох параметрів (у всіх або тільки деяких) Userinit, UIHostі Shell, розташованих за адресою:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригінальні параметри запису в реєстрі мають бути такими:

Userinit = C:\WINDOWS\system32\userinit.exe

UIHost = logonui.exe

Shell = explorer.exe

Вірус може прописати себе наприклад так:

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe

У цьому прикладі файл gertinw.exe– це 100% вірус! Обов'язково запам'ятати шлях до файлу вірусу та видалити його!

Після видалення потрібно замінити файли userinit.exe, logonui.exe(знаходяться в C:\WINDOWS\system32\) та explorer.exe(знаходиться в C:\WINDOWS\) на аналогічні файли з дистрибутива виндовса (знайдете пошуком), т.к. залишки хробака можуть перебувати у файлах ключів.

Де знаходяться віруси

Після цього потрібно перевірити файл hosts(відкрити будь-яким тестовим редактором) на наявність заборон на відомі сайти антивірусних програм: C:\windows\system32\drivers\etc\hosts. Видалити все після рядка 127.0.0.1 localhost

Також заборона завантаження сайтів може бути прописана в реєстрі за наступними адресами:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet (номери 001 або 002)\Services\Tcpip\Parameters \PersistentRoutes

Видалити вміст повністю крім рядка «За замовчуванням» з неприсвоєним значенням.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.

Далі перевіряємо автозавантаження за допомогою вбудованого в Windows утилітидля керування автозапускається програмами, яка називається MSConfig, йдемо Пуск->Виконати, набираємо msconfig

і ось будь ласка невідомий елемент із дивною назвою userinitзнаходиться в Автозавантаженні,

Виконуваний файл знаходиться за адресою

Дана назва вірусу matadd.exe випадково згенерована системою, можете не загострювати на ньому увагу, у вашому випадку вона буде обов'язково іншою, але знайте, називається вірус насправді Win32/Spy.Shiz.NCF і являє собою троянську програму. Пройдемо в цю папкуі спробуємо його видалити, але на жаль поки що вірус активний у нас нічого не вийде або вірусний файл вам видалити вдасться, але він через пару секунд відтворить себе знову.
У вікні утиліти msconfig знімемо галочку з даного елемента userinit,

Тобто виключимо його з автозавантаження. На жаль, у більшості випадків це не позначатиме те, що вірус при наступному завантаженні операційної системи не завантажить свої файли знову, оскільки вірусний файл з папки C:\Windows\AppPatch нам видалити не вдалося.

Для успішної боротьби з вірусом нам потрібен помічник, який:

• По-перше, зможе нам показати файл вірусу, що знаходиться в автозавантаженні.
• По-друге, покаже нам зміни, внесені вірусом до реєстру.

Для того щоб побачити все що у вас відбувається в Автозавантаженні потрібна спеціальна програма AnVir Task Managerабо інша, наприклад AutoRunsвід Марка Руссиновича, обидві вони безкоштовні, пропоную скористатися утилітою AnVir Task Manager, тому що я давно помітив користувачам-початківцям вона подобається більше. Завантажуємо її тут

http://www.anvir.net/ та встановлюємо.

Повний опис роботи з утилітою можна прочитати ось у цій статті
Єдине застереження, на самому початку установки НЕ вибирайте повне встановлення, як рекомендується, а виберіть Налаштування параметрівта зніміть галочки з усього, що вам не потрібно, залиште тільки на пункті Запустити AnVir Task Manager (рекомендується) та Додати іконку на робочий стіл.

Після встановлення програми запускаємо її та бачимо таку картину, вірусом до реєстру внесено цілих п'ять змін. Зняти галочки і тим самим видалити зміни, зроблені вірусом, у реєстрі не виходить.

Давайте дізнаємось наскільки вірус проник у нашу систему. Наводимо мишу на ім'я вірусного ключа Load, клацаємо правою мишею та вибираємо в меню Перейти->Показати файл у провіднику

І відразу потрапляємо в нашу папку з вірусним файлом C:\Windows\AppPatch\matadd.exe.

Також дивимося розташування записів вірусу в реєстрі. Бачимо вірусна програма внесла свої зміни до двох розділів реєстру, дивимося докладно і відразу видаляємо.
Клацаємо правою мишею на створеному вірусом ключі Loadта вибираємо в меню Перейти->Відкрити розташування запису в реєстрі.