Hogyan lehet eltávolítani egy vírust a számítógépről (biztonság)

Az első levél. Üdvözlet, nekem probléma merül fel veled, nevezetesen: hogyan lehet eltávolítani egy vírust a számítógépről, egy webhelyre töltöttem be egy cikkírást, elkezdtem megnyitni egy fájlt, és a Microsoft Office Word helyett valamilyen telepítés megkezdődött. Azonnal egy vírusvédelmi program figyelmeztetést adott ki a mappából származó észlelt fenyegetésre
C: \ Felhasználók \ Saját felhasználónév \ AppData \ Barangolás \ Microsoft \ Windows \ Start menü \ Programok \ Indítás.
Amint megértettem, a Start menü mappa az Indító mappa. Annak ellenére, hogy a számítógép rettenetesen lelassult, bementem ebbe a mappába, és láttam egy furcsa fájlt, a QJFGSXETY nevű fájlt, a fájl attribútuma rejtett. A fájl törlésének kísérlete sikertelen. Biztonsági módban indult, de ott nem lehetett törölni és átnevezni (hogy újraindítás után törlődik). Megpróbáltam használni a helyreállítási pontokat, de a "Rendszer-visszaállítás letiltva a csoportházirend által" üzenet jelent meg. Ezzel véget ért a hackelési tudásom, számítógép nélkül ülök és olvastam az Ön cikkeit. Mi a teendő, ha lépésről lépésre tud lépni? Marina. Szuzdal

A második levél. Nem tudom eltávolítani a vírust a számítógépről, először regisztráltam, induláskor nem tudtam törölni, még biztonságos módban sem, a számítógép hosszú ideig elindult és lelassult a munka során, átvettem a cikkből, hogy hogyan kell a számítógépemet ingyen vizsgálni, és letöltöttem az ESET NOD32 mentőlemezt ( Mellesleg, egyszerű Live CD-ként is használható, kényelmes dolog, ajánlom). Megvizsgáltam a teljes számítógépet, találtam 5 rosszindulatú programot, vártam egy órát, újraindítottam és a vírus tűnt eltűnt, de korán örültem, hogy eltűnt az internet, a sárga háromszög van a hálózati kapcsolatokban, és azt mondja: - A hálózati kapcsolat korlátozott vagy hiányzik. Mit tegyek, akkor a végén nem töröltem a vírust? Fedor.

Hogyan lehet eltávolítani egy vírust a számítógépről

Megjegyzés: Barátok, ez a cikk alkalmas Windows 8, Windows 7 és Windows XP operációs rendszerekre. Információk is vannak az Ön számára: - Ha egy számítógépet vírussal fertőzte meg, akkor azonnal ellenőrizheti ingyenes Kaspersky Virus eltávolító eszköz vagy Dr.Web CureIt antivírus-segédprogrammal, a legtöbb esetben ez segíthet. Van egy egész részünk, amelyet folyamatosan frissítünk új cikkekkel, feltétlenül ellenőrizze itt - Itt található a vírusok és bannerek eltávolításáról szóló összes cikk.

Néhány nappal ezelőtt ugyanazok a problémák merültek fel, egy osztálytársam felkért, hogy telepítsek egy pár ingyenes programot és az ESET NOD32 antivírus programot, amelyet az irodában vásároltam. honlapján. Az NOD32 mellett telepítettünk egy ingyenes programot is, amely az autoload-AnVir Task Manager vezérlését végzi, készítettünk egy rendszerképet és helyreállítási lemezt is arra az esetre, megköszönte nekem, és elválasztottuk.

Egy nappal később a barátom aggódva hív és beszél. Figyelj idős ember, levél érkezett a lánya e-mailjére az interneten, kinyitottuk, van képeslap, gratulálunk születésnapjához, bár a születésnapja már régen elmúlt, a képeslapon kívül volt egy fájl, rákattintottunk, pont az AnVir Task Manager nyitott egy ablakot , amelyben azt mondta, hogy egy furcsa névvel és rendszerfájl ikonnal rendelkező program indulni akar,

megoldottuk és elindultunk, az antivírus program folyamatosan esküszik és félelmetes figyelmeztetést jelenít meg - A tisztítás nem lehetséges, míg a számítógép nagyon lefagy, és véletlenül kikapcsoltunk..

Eljövök hozzájuk, az első gondolat az volt - elfoglalták a ransomware szalaghirdetést, bekapcsolom a számítógépet, és ott van.
Az NOD32 két ablakot jelenít meg egymás után, amelyben figyelmezteti, hogy rosszindulatú folyamat van a RAM-ban, a tisztítás nem lehetséges! kimenő az indító mappából.

Windows 7 esetén az indító mappa a következő címen található:
C: \ Felhasználók \ Felhasználónév \ AppData \ Barangolás \ Microsoft \ Windows \ Start menü \ Programok \ Indítás.
Mellesleg, a Windows XP-ben a startup mappa szinte szintén megtalálható:
C: \ Dokumentumok és beállítások \ Rendszergazda \ Főmenü \ Programok \ Indítás
Az AnVir Task Manager a CPU kihasználtságát 93% -kal mutatja.

Megyek a Startup ablakhoz, az AnVir Task Manager programokhoz, és megtekintem a már indításkor megírt fájlt, a QYSGFXZJ.exe nevű fájlt, azonban a vírus.

A Startup mappába megyek: Start-> Minden program-> Startup

Vagy egy másik mappában az Indítási mappa a következő helyen található:

C: \ Felhasználók \ Felhasználónév \ AppData \ Barangolás \ Microsoft \ Windows \ Start menü \ Programok \ Indítás.
És itt ő a vírusos fájl, megpróbálom törölni, természetesen sikertelenül, mert most fontos ügyekkel foglalkozik.

Ilyen esetekben először indítsa el a Rendszer-visszaállítást, és próbálja meg visszatekerni az előzőleg létrehozott helyreállítási ponttal. Megpróbálom elindítani a rendszer helyreállítását, és nagyon hosszú ideig semmi sem történik.
By the way, a vírusok néha üzleti tevékenységet folytatnak a csoportházirendekben, és nem fogja tudni elindítani a rendszer helyreállítását a "Rendszer-helyreállítás letiltva a csoportházirend" üzenettel..
Ezután el kell lépnie a Start-Run-gpedit.msc csoportházirendre. rendben

Megnyílik a csoportházirend, itt ki kell választani a Számítógép konfigurációja - Adminisztrációs sablonok-Rendszer-rendszer-visszaállítás lehetőséget - Ha duplán kattint a bal oldali gombra a Rendszer-visszaállítás letiltása elemnél,

ilyen ablaknak meg kell jelennie, a rendszer normál helyreállítása érdekében meg kell jelölnie a „Nincs beállítva” vagy „Letiltva” elemet. Minden újraindítás után lép hatályba. Azt is tudnia kell, hogy a Windows Home verziókban nincs csoportházirend.

Még mindig nem tudtam elindítani a rendszer helyreállítását, és úgy döntöttem, hogy újraindítom a számítógépet és beléptem biztonságos módba. Biztonsági módban megpróbálhatja újra törölni ezt a fájlt az indításkor, a legtöbb esetben ez sikerrel jár.

De számomra semmi sem működik, látszólag az eset különleges, és a rosszindulatú fájlt nem törli. Aztán megyünk a nyilvántartásba, nevezetesen, nézünk az ágra:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
HKEY_LOCAL_MACHINE \ SZOFTVER \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Windows 7 és Windows XP esetén minden felhasználó számára a bejelentkezéskor futó programok ezekben az ágakban hagyják a kulcsokat, de főleg az első futtatáskor. Az összes ismeretlen kulcsot törölni kell, de csak ismeretlen kulcsot, az én esetemben indításkor van egy NOD32 víruskereső program kulcs - egui.exe, felesleges törölni:
"C: \ Program Files \ ESET \ ESET Smart Security \ egui.exe" / elrejtés / waitservice

A Start-> Futtatás-> msconfig-> Indítás menüponton keresztül kell törölnie az összes ismeretlen programot is. Itt semmi gyanús.

Törölje az összes ismeretlen fájlt is a meghajtó gyökérzetéből (C :). Ha QYSGFXZJ vagy hasonló nevű fájlokat látsz ott, próbálja meg törölni azokat. A gyökérkönyvben (C :), egyébként, érthetetlen QYSGFXZJ mappánk van. Próbálom törölni-törölni.

Tehát, hogyan távolíthatjuk el a vírust a számítógépről, még akkor is, ha biztonságos módban nem sikerült, vagy például valamilyen okból nem tudtunk belépni a biztonságos módba? Előfordul, hogy belép a biztonságos módba, de ott meglepetést fog találni - például az egér nem működik.

Ha nem sikerül belépnie a biztonságos módba, akkor felhasználhatja a "Hogyan kell a számítógépet ingyenesen megvizsgálni a számítógépen vírusokat az ESET NOD32 vagy a Dr.Web helyreállítási lemezen" című cikkünkben szereplő nagyon egyszerű és bevált tanácsokat. Egyébként ezek a lemezek élő CD-ként is felhasználhatók. Vagy már van Live CD-jét, próbáljon meg indulni, és tegye ugyanazt, mint a biztonságos módban - menjen a Startup mappába, és törölje a rosszindulatú fájlt.A Live CD-n dolgozva víruskeresőt futtathat az USB flash meghajtóról, például Dr. Internetes gyógyítás.
Személy szerint, amikor hasonló problémát tapasztalok a Windows XP rendszerben (az alábbiakban a Windows 7 információkról), néha nem is menekülök biztonságos módba, de a régimódi tökéletes fegyvert használom, egy professzionális rendszergazda eszköz ERD Commander 5.0.

Megjegyzés: az ERD Commander 5.0 helyreállítási lemezének minden tulajdonsága. az ERD Commander cikkben leírtuk. Ezzel visszaállíthatja a rendszert, szerkesztheti a nyilvántartást, megváltoztathatja az elfelejtett jelszót és így tovább. A modern számítógépekhez és laptopokhoz az ERD Commander 5.0 szükséges az integrált SATA illesztőprogramokkal. Induljunk be és nézzük meg, hogyan történik minden.

Indítjuk újra a BIOS-t, ott állítjuk be a meghajtót. Indítás az ERD Commander 5.0-tól. Az első lehetőséget választjuk a Windows XP-hez való csatlakozáshoz, azaz például veled tudunk együtt dolgozni, közvetlenül a fertőzött rendszer regisztrációjával.

Egy átlagos Live CD, ez nem fogja adni ezt a lehetőséget. Egyébként, ha a második lehetőséget választja (Nincs), akkor az ERD Commander a rendszerhez való csatlakozás nélkül működik, azaz egyszerű Live CD formátumban, és akkor sok ERD szolgáltatás, például a rendszer helyreállítása, az indítási objektumok megtekintése, a rendszer eseménynaplói stb. Nem lesz elérhető az Ön számára. . De ebből is kiderül, hogy néha előnyös.

Az asztal nem elegendő a kezdetektől, de nem félelmetes, megismétlem, hogy az összes ERD eszköz leírása megtalálható az ERD parancsnoka cikkünkben.

Menjen egyenesen az Autoruns adminisztrációs eszközhöz.

Megvizsgáljuk a Rendszer elemet, valamint az adminisztrátort, és itt van a vírusunk, itt biztosan töröljük.

Törlés - törölje a folyamatot az induláskor, és ennyi, a vírusunkat töröltük.
Explorer - lehetővé teszi a folyamatfájl elérését.
Ezután ismét megvizsgáljuk az indítómappát, és nincs semmi ott.

C: \ Dokumentumok és beállítások \ Rendszergazda \ Főmenü \ Programok \ Indítás
Csak arra az esetre, ha felmegyünk a meghajtó gyökérmappájába (C :), ott nincs semmi gyanús.

Nem vagyunk túl lusták, hogy belépjünk a nyilvántartásba, és megnézhessük, mely programok hagyták kulcsot az indításkor:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Nos, itt eltávolítottuk a vírust a Windows XP-ből, a normál indítás után érdemes ellenőrizni az egész számítógépet vírusok szempontjából.
És mi a helyzet a Windows 7-rel - felteheti azt a kérdést, hogy megragadunk-e egy vírust ebben az operációs rendszerben, és nem tudjuk biztonságos módban eltávolítani. Először használhatja a mentőlemezeket (link a fenti cikkhez). Másodszor, használjon egy egyszerű Live CD-t, vagy mint amilyen profi eszköz vagyok, a Microsoft Diagnostic and Recovery Toolset helyreállítási lemezt. Az eszköz használatával kapcsolatos teljes információ, például egy ransomware szalaghirdetés törlésekor, a "Hogyan lehet eltávolítani a szalaghirdetést" cikkben található. Itt fogom mondani, hogy ez ugyanaz az eszköz, mint az ERD Commander, csak elsősorban a Windows 7 számára lett kifejlesztve. Ezzel visszaállíthatja a rendszert, megváltoztathatja a nyilvántartást, műveleteket végezhet a merevlemezen, megváltoztathatja az elfelejtett jelszót és még sok minden mást..
Indítás erről a lemezről MS DaRT 6.5. a számítógépünk.

Betűket rendeljen a lemezekhez ugyanúgy, mint a célrendszeren. Igen, jobb, ha működik.

további

Válassza az Intézőt

Azonnal megyünk a Startup mappába:
C: \ Felhasználók \ Felhasználónév \ AppData \ Roaming \ Microsoft \ Windows \ Start menü \ Programok \ Indítás. Eltávolítottuk a vírusunkat.

A rendszerleíró adatbázis ellenőrzése HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Mindent eltávolítunk a gyökérről a lemez gyökéréből (C :), indítsuk újra és ellenőrizzük az egész számítógépet vírusok szempontjából.

Nos, az utolsó. Miután eltávolította a vírust a Windows XP rendszerben, előfordulhat, hogy az Internet nem működik, ennek oka a vírusnak a hálózati beállításokban bevezetett megsértése. Néha a hálózati kártya illesztőprogramjainak újratelepítése itt segíthet, vagy a legtöbb esetben a WinSockFix segédprogram sokszor kipróbálta, amely korrigálja ezeket a paramétereket. Az irodában letöltheti. programoldal http://www.winsockfix.nl