Hogyan lehet eltávolítani a Win32 / Spy.Shiz.NCF trójai fájlt (biztonság)

Valami történik velem egy számítógéppel, letöltöttem egy filmet az internetről, amely csak a moziban jelent meg, mélyen megértettem, hogy itt valami nincs rendben, de nagyon szerettem volna látni az újdonságot. Még arra sem figyeltem, hogy a letöltött videofájl nagyon kis súlyú - 137 KB, amikor filmet próbálok nézni, a számítógép lefagy. A rendszerbe telepített víruskereső üzenet jelenik meg a mappában C: \ Windows \ AppPatch egy vírust találtak, és felajánlja annak eltávolítását, egyetértek azzal, hogy egy idő után ugyanaz az üzenet újra megjelenik. Megpróbáltam teljes mértékben törölni ezt a furcsa C: \ Windows \ AppPatch mappát, de semmi sem működik, és érdekes módon, még biztonságos módban sem, nem törlődik, minden hibával végződik. Ugyanakkor a rendszer nagyon hosszú időre elkezdődött a töltés, nem tudok bejelentkezni egyes webhelyekre, például osztálytársakra - rossz felhasználónevet vagy jelszót mondnak, számítotok a segítségedre.
2. levél Üdvözlet, kérlek mondd meg nekem, hogyan lehet, ma reggel egy meglehetősen furcsa webhelyen letöltöttem egy tanulmányomhoz szükséges könyvet, amelyet most könyvesboltokban adnak el meglehetősen drága áron, és megpróbáltam megnyitni. Hirtelen antivírusom esküszött egy mappára C: \ Windows \ AppPatch és törölt valamit ott, a Windows 7 operációs rendszer betöltésekor egy üzenet jelenik meg: A Windows nem találta a C: \ Windows \ AppPatch \ hsgpxjt.exe fájlt. Az operációs rendszer lelassul és lefagy. Küldöm egy képernyőképet a képernyőről, ezzel a hibaüzenettel. Információkat találtam az interneten, hogy ez a mappa vírusokat tartalmaz, és törölni kell őket, ám még biztonságos módban sem lehet törölni, hiba történik. És a webhelyén azt mondják, hogy ezt a mappát nem törölheti, mivel az operációs rendszerhez tartozik, kérjük, mindent magyarázjon.

Hogyan lehet eltávolítani a Win32 / Spy.Shiz.NCF trójai fájlt

A cikk tartalma:

Hogyan lehet eltávolítani a C: \ Windows \ AppPatch fájlt a rendszermappából a vírus vagy egy trójai program, amelynek neve az ESET víruskereső cég besorolása szerint - Win32 / Spy.Shiz.NCF, amely jelszavakat és információkat lop el a számítógépről, azáltal, hogy a vírusfájl nevét véletlenszerűen állítják elő az operációs rendszerben, és így lehet: hsgpxjt.exe vagy Példa erre a matadd.exe és így tovább. Maga az AppPatch mappa egy rendszermappa, és nem kell törölnie.
Hogyan jut a vírus a számítógépünkre.

Tegnap egy barátom felkért, hogy segítsek neki egy hasonló probléma megoldásában. A barátom Windows 7-én először hosszú ideig elindul, másodszor pedig súlyos befagyásokkal működik, a telepített vírusölőt egy évig nem frissítették, mivel a barátom túl lusta ahhoz, hogy megújítsam előfizetésemet. Az utolsó ok, amiért a barátom felém fordult, az volt, hogy a felesége nem volt képes eljutni osztálytársaihoz.
Tehát a barátok, mindenekelőtt ilyen problémák esetén alkalmazhatják a Rendszer-visszaállítást, vagy indíthatnak egy számítógépet egy vírusvédelmi lemeztől, és megvizsgálhatják a teljes rendszert vírusok szempontjából, arról, hogyan lehet letölteni egy ilyen lemezt, egy üres lemezen megírni és a vírusokat eltávolítani a Windows-ból, számos lépésről lépésre található cikkünk : Hogyan lehet háromféle gyártó víruskeresőjével ingyen keresni a számítógépet vírusok ellen.
Megpróbáljuk a vírust manuálisan eltávolítani, ez sokkal érdekesebb. Bekapcsoljuk a barátom számítógépét, az operációs rendszernek valójában sok időbe telik a betöltés, emlékezzünk a vírus első szabályára, hogy bekapcsoljon az Indítóba, majd elvégezze a pusztító műveleteket, azt hiszem, hogy sikerült.
Először ellenőrizze az Indító mappát, de ebben nincs semmi
C: \ Felhasználók \ Felhasználónév \ AppData \ Barangolás \ Microsoft \ Windows \ Start menü \ Programok \ Indítás

Ezután a beépített Windows segédprogrammal ellenőrizzük az indítást az úgynevezett indítási programok kezelésére MSConfig, menjünk kezdet->futás, toborozunk msconfig

és itt egy ismeretlen elem vagy furcsa névvel Userinit található az indításkor,

a futtatható fájl itt található:

C: \ Windows \ AppPatch \ matadd.exe.

A matadd.exe vírus nevét véletlenszerűen generálja a rendszer, nem tud rá összpontosítani, az esetedben más lesz, de tudod, a vírus valójában Win32 / Spy.Shiz.NCF neve, és trójai. Menjünk ebbe a mappába, és próbáljuk meg törölni, de sajnos, amíg a vírus aktív, nem sikerül, vagy törölheti a vírusfájlt, de pár másodperc alatt újra létrehozza önmagát..
Az msconfig segédprogram ablakában törölje a jelet Userinit,

vagyis kizárjuk a Startupból. Sajnos a legtöbb esetben ez nem azt jelenti, hogy a vírus nem tölti be újra fájljait az operációs rendszer következő indításakor, mivel a vírusfájlt nem tudtuk törölni a C: \ Windows \ AppPatch mappából..

A vírus sikeres leküzdéséhez olyan asszisztensre van szükségünk, aki:

Először is megmutathatjuk a vírusfájlt indításkor
Másodszor, megmutatja nekünk a vírus által a rendszerleíró adatbázisban végrehajtott változtatásokat

Ahhoz, hogy mindent megnézhessen az indításkor, szükség van egy speciális programra AnVir Task Manager vagy más, például Autoruns Mark Russinovichtól, mindkettő ingyenes, azt javaslom az AnVir Task Manager segédprogram használatához, mivel már a régóta észrevettem a kezdő felhasználók számára, hogy kedvelik ezt. Töltse le itt http://www.anvir.net/ és telepítse.

A segédprogrammal való teljes körű leírás megtalálható ebben a cikkben, a Programok indítása a Windows 7-ben című cikkben
Az egyetlen figyelmeztetés, a telepítés legelején, NE válassza a teljes telepítést, az ajánlás szerint, hanem válassza Paraméter beállítása és törölje az összes jelölést, amire nincs szüksége, csak hagyja be Indítsa el az AnVir Task Manager alkalmazást (ajánlott), és adjon hozzá egy ikont az asztalra.

A program telepítése után elindítottuk és megnézünk egy ilyen képet, amelyben ötféle változtatást hajtunk végre a rendszerleíró adatbázisban a vírussal. Törölje a jelölést, és ezzel eltávolítsa a vírus által a rendszerleíró adatbázisban végrehajtott módosításokat, és nem működik.

Nézzük meg, hogy a vírus mennyire behatolt a rendszerünkbe. Vidd az egeret a víruskulcs nevére terhelés, kattintson a jobb gombbal, és válassza a menü Ugrás-> Fájl megjelenítése az Intézőben menüpontját

és azonnal bekerül a mappába a C: \ Windows \ AppPatch \ matadd.exe vírusfájllal.

Megvizsgáljuk a vírus bejegyzések helyét a nyilvántartásban. Látjuk, hogy a vírusprogram a beállításjegyzék két részében megváltoztatta a részleteket, részletesen megvizsgáljuk és azonnal töröljük.
Kattintson a jobb gombbal a vírus által létrehozott kulcsra. terhelés és válassza a Go-> Nyissa meg a bejegyzés helyét a beállításjegyzékben.

rész
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Windows
Két kulcs hozzáadva, törölje őket
Töltse REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Futtassa a REG_SZ-t C: \ WINDOWS \ apppatch \ matadd.exe

Kattintson a jobb gombbal a vírus által létrehozott kulcsra. Userinit és válassza a Go-> Nyissa meg a bejegyzés helyét a beállításjegyzékben

rész
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
A kulcs hozzáadva, csak törölje
userinit REG_SZ C: \ Windows \ apppatch \ matadd.exe

A vírusprogram által létrehozott rendszerleíró kulcsok törlésekor a vírus azonnal megpróbálja újra létrehozni azokat, amelyet az AnVir Feladatkezelő azonnal figyelmeztet bennünket az ablak megnyitásával. Törlésés védi a nyilvántartást.

Ha nem lenne AnVir vagy hasonló, akkor nem tudnánk megakadályozni az új víruskulcsok létrehozását a rendszerleíró adatbázisban.
Miután törölte ezeket a beállításjegyzék-bejegyzéseket, ügyeljen arra, hogy hogyan néz ki az Indítópult, nincs benne más, csak az AnVir Task Manager program.

De ez nem minden barát, most ellenőriznünk kell a teljes nyilvántartást a vírusunk nevét illetően matadd.exe, rákattintunk a jobb egérgombbal még nem átnézett HKEY_LOCAL_MACHINE regisztrációs kulcsra, és kiválasztjuk a Keresés lehetőséget, illesszük be a matadd.exe vírusunk nevét a keresési mezőbe, majd kattintson a Következő keresés elemre.

és ezek a kulcsok az operációs rendszer indítási opciókért felelős beállításkulcsban vannak - Winlogon
HKEY_LOCAL_MACHINE \ SZOFTVER \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Megjegyzés: A vírus megváltoztatta a rendszer betöltéséért felelős kulcsokat, de a kulcsok teljes mértékben megvannak rendszer és Userinit lehetetlen törölni a nyilvántartásból, mint az előző esetekben is, törölni kell a helytelen paramétereket:

REG_SZ rendszer C: \ WINDOWS \ apppatch \ matadd.exe
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,C: \ WINDOWS \ apppatch \ matadd.exe

Ennek ilyennek kell lennie
REG_SZ rendszer
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,
törölje a többit, és a két regisztrációs beállításunknak így kell kinéznie.

A rendszerleíró adatbázis tisztítása után biztosan újraindítjuk és egyszerűen töröljük a matadd.exe vírusfájlt a C mappából: \ WINDOWS \ apppatch.

Megvizsgáljuk az ideiglenes fájlok mappáit is, ahonnan a vírusokat gyakran futtatható fájlok futtatják..

C: \ USERS \ felhasználónév \ AppData \ Local \ Temp, egyébként töröljön mindent a Temp mappából.

A rendszermeghajtó gyökere, általában (C :). És természetesen ellenőriznie kell a teljes rendszert a víruskeresővel. Vagy töltse le a Dr.Web CureIt antivírus segédprogramot vagy a Microsoft antivírus segédprogramot.

Most azt mondhatjuk, hogy megmentettük az operációs rendszert a vírustól, anélkül, hogy a biztonságos módra kellett volna fordulnunk. Ha nem tudja törölni a vírusfájlt a C: \ Windows \ AppPatch mappából, akkor még nem tisztította meg teljesen a rendszerleíró adatbázist, hiányzott valami.
Mindent egyszerűbbé is tehet., távolítsa el a vírust a C: \ Windows \ AppPatch mappából, bármilyen élő CD-ről indítva, majd tisztítsa meg a nyilvántartást.
Mindez jó, de sok felhasználó felteszi a kérdést: Hogyan került a vírus a C: \ Windows \ AppPatch mappába??
A barátok szinte az összes vírus az internetről érkeznek hozzánk, ezért bármi letöltéskor vigyázzon, hogy soha ne kapcsolja ki a fejét. Vegyünk például két levelet, amelyeknek tartalmát a cikk elején idéztem, az olvasóink szinte biztosak voltak abban, hogy nem töltik le a szükséges anyagot, ám a kérdést a végére vitték és elfogták a vírust. Ingyenes sajt csak egérfogóban.
Ha bármilyen könyvre van szüksége tanulmányozásához, gondolja át a szerzőjét, mert ahhoz, hogy neked írhassa, az író időt vett magától és családjától, és továbbra is meg tudja vásárolni.
Nos, végül néhány kívánság. Soha ne kapcsolja ki a rendszer helyreállítását. Másodszor, mindig rendelkezzen normál víruskereső programmal a számítógépen, természetesen a legfrissebb vírusölő adatbázis-frissítésekkel. Rendszeres időközönként készítsen biztonsági másolatot az operációs rendszerről. Ne dolgozzon a számítógép-rendszergazdai fiók alatt, hanem hozzon létre egy korlátozott jogokkal rendelkező fiókot.