Jak odstranit trojan Win32 / Spy.Shiz.NCF (Bezpečnost)

Něco se mi děje s počítačem, stáhl jsem si film na internetu, který právě vyšel v kinech, hluboko jsem pochopil, že se tady něco děje, ale opravdu jsem chtěl vidět tu novinu. Ani jsem nevěnoval pozornost skutečnosti, že stažený video soubor váží velmi málo - 137 KB, když se snažím dívat na film, můj počítač zamrzne. Antivirus nainstalovaný v systému začal zobrazovat zprávu uvádějící, že ve složce C: \ Windows \ AppPatch virus byl nalezen a nabízí jeho odstranění, souhlasím, po chvíli se stejná zpráva objeví znovu. Tuto podivnou složku C: \ Windows \ AppPatch jsem se pokusil smazat úplně, ale nic nefunguje a zajímavé je, že ani v nouzovém režimu není odstraněn, vše končí chybou. Současně se systém začal načítat velmi dlouhou dobu, nemohu se také přihlásit na některé weby, například spolužáky - říkají špatné uživatelské jméno nebo heslo, počítám s vaší pomocí.
Dopis č. 2 Dobrý den, řekněte mi, jak mám být, dnes ráno na poněkud podivném webu jsem si stáhl knihu, která je nezbytná pro mé studium, která se nyní prodává v knihkupectvích za poměrně drahou cenu a pokusila se ji otevřít. Najednou můj antivirus zaklel ve složce C: \ Windows \ AppPatch a tam něco smazali, nyní se při načítání operačního systému Windows 7 objeví zpráva: Windows nemohly najít C: \ Windows \ AppPatch \ hsgpxjt.exe. Operační systém se zpomalí a zamrzne, pošlu vám snímek obrazovky s touto chybou v e-mailu. Na internetu jsem našel informaci, že tato složka obsahuje viry a musí být odstraněna, ale nelze ji odstranit ani v nouzovém režimu, dojde k chybě. A na vašem webu říkají, že tuto složku nemůžete smazat, protože patří do operačního systému, vysvětlete prosím vše.

Jak odstranit trojan Win32 / Spy.Shiz.NCF

Obsah článku:

Jak odebrat C: \ Windows \ AppPatch ze systémové složky virus nebo trojan, který má své jméno podle klasifikace antivirové společnosti ESET - Win32 / Spy.Shiz.NCF, která ukládá hesla a informace z vašeho počítače, a to tak, že název virového souboru je v operačním systému náhodně generován a může to vypadat takto: hsgpxjt.exe nebo Příkladem je matadd.exe atd. Samotná složka AppPatch je systémová složka a není nutné ji odstraňovat.
Jak se virus dostane do našeho počítače.

Právě včera mě můj přítel požádal, abych mu pomohl vyřešit podobný problém. Windows 7 mého přítele se poprvé spouští po dlouhou dobu a zadruhé to funguje se silným zamrznutím, nainstalovaný antivirus nebyl aktualizován rok, protože můj přítel je příliš líný na obnovení předplatného. Posledním důvodem, proč se ke mně kamarád obrátil, bylo to, že se jeho žena nemohla dostat ke spolužákům.
Takže přátelé, v první řadě, v případě takových problémů, můžete použít Obnovení systému nebo zavést počítač z antivirového disku a prohledat celý systém na přítomnost virů, o tom, jak stáhnout takový disk, vypálit ho na prázdné místo a odstranit viry ze systému Windows, máme několik podrobných článků : Jak zdarma prohledat počítač na přítomnost virů pomocí antivirových jednotek od tří různých výrobců.
Pokusíme se virus odstranit ručně, je to zajímavější. Zapneme počítač mého přítele, operační systém trvá opravdu dlouho, než se načte, pamatujeme si první pravidlo viru, které se dostane do Startupu, a poté provedeme jeho ničivé akce, myslím, že uspěl.
Nejprve zkontrolujte složku Po spuštění, ale nic v ní není
C: \ Users \ Username \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup

Dále zkontrolujeme spuštění pomocí vestavěného obslužného programu Windows pro správu spouštěcích programů s názvem Msconfig, pojďme Začněte->Běh, rekrutujeme msconfig

a tady jste neznámý prvek se zvláštním jménem userinit nachází se při spuštění,

spustitelný soubor je umístěn na

C: \ Windows \ AppPatch \ matadd.exe.

Toto jméno viru matadd.exe je generováno náhodně systémem, nemůžete se na něj soustředit, ve vašem případě to bude jiné, ale víte, že virus se ve skutečnosti nazývá Win32 / Spy.Shiz.NCF a je trojan. Pojďme do této složky a zkusíme ji smazat, ale bohužel, dokud je virus aktivní, nepodaří se nám to, nebo se vám podaří smazat virový soubor, ale za pár sekund se znovu vytvoří..
V okně nástroje msconfig zrušte zaškrtnutí této položky userinit,

to znamená, že ji vyloučíme ze spuštění. Bohužel to ve většině případů neznamená, že virus při příštím spuštění operačního systému načte své soubory znovu, protože jsme nemohli odstranit virový soubor ze složky C: \ Windows \ AppPatch..

K úspěšnému boji s virem potřebujeme asistenta, který:

Nejprve můžeme ukázat virový soubor při spuštění
Za druhé, ukáže nám změny provedené virem v registru

Abyste mohli vidět vše, co se děje při spuštění, potřebujete speciální program AnVir Task Manager nebo jiné Automatické spuštění od Marka Russinoviče, oba jsou zdarma, doporučuji použít nástroj AnVir Task Manager, protože jsem o něm začátečníky už dávno věděl víc. Stáhněte si ji zde http://www.anvir.net/ a nainstalujte.

Úplný popis práce s obslužným programem naleznete v tomto článku v našem článku Spouštění programů v systému Windows 7
Jedinou výzvou, na samém začátku instalace, NELZE vybrat úplnou instalaci podle doporučení, ale vyberte Nastavení parametrů a zrušte zaškrtnutí všeho, co nepotřebujete, ponechte pouze na Spusťte AnVir Task Manager (doporučeno) a přidejte ikonu na plochu.

Po instalaci programu ji spustíme a uvidíme takový obrázek, až pět změn se provede v registru s virem. Zrušte zaškrtnutí a tím odstraňte změny provedené virem v registru.

Pojďme zjistit, kolik viru proniklo do našeho systému. Umístěte kurzor na název virového klíče Načíst, klepněte pravým tlačítkem myši az nabídky vyberte příkaz Přejít-> Zobrazit soubor v Průzkumníku

a okamžitě se dostat do naší složky pomocí virového souboru C: \ Windows \ AppPatch \ matadd.exe.

Také se podíváme na umístění virových položek v registru. Vidíme, že virový program provedl své změny ve dvou částech registru, podrobně se podíváme a okamžitě odstraníme.
Klepněte pravým tlačítkem myši na klíč vytvořený virem. Načíst a vyberte v nabídce Přejít-> Otevřete umístění položky v registru.

Sekce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Windows
Přidány dva klíče, smažte je
Načíst REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Spustit REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe

Klepněte pravým tlačítkem myši na klíč vytvořený virem. userinit a vyberte v nabídce Přejít-> Otevřete umístění položky v registru

Sekce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Klíč je přidán, jednoduše jej smažte
userinit REG_SZ C: \ Windows \ apppatch \ matadd.exe

Když odstraníte klíče registru vytvořené virovým programem, virus se okamžitě pokusí je znovu vytvořit, což nás náš AnVir Task Manager okamžitě upozorní v tomto okně, klikněte na Odstranita chránit registr.

Kdybychom neměli AnVir nebo podobně, nemohli bychom zabránit vytváření nových virových klíčů v registru.
Po odstranění těchto položek registru věnujte pozornost tomu, jak vypadá náš Startup, v něm není nic kromě našeho programu AnVir Task Manager.

Ale to nejsou všichni přátelé, nyní musíme zkontrolovat v celém registru název našeho viru matadd.exe, klikneme na klíč registru, na který jsme se dosud nedívali HKEY_LOCAL_MACHINE pravým tlačítkem myši a vyberte Najít, vložte vyhledávací pole pro název našeho viru matadd.exe a klikněte na Najít další

a takové klíče jsou v klíči registru zodpovědném za možnosti spuštění operačního systému - Winlogon
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Poznámka: Virus změnil klíče zodpovědné za zavedení systému, ale klíče jsou úplně systému a userinit není možné vymazat z registru jako v předchozích případech, z nich je třeba odstranit nesprávné parametry:

Systém REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,C: \ WINDOWS \ apppatch \ matadd.exe

Musí to tak být
Systém REG_SZ
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,
smažte zbytek a naše dvě nastavení registru by mělo vypadat takto.

Po vyčištění registru jsme si jisti, že restartujete a jednoduše odstraníte virový soubor matadd.exe ze složky C: \ WINDOWS \ apppatch.

Také se podíváme na složky dočasných souborů, odkud jsou viry často spouštěny spustitelnými soubory..

C: \ USERS \ username \ AppData \ Local \ Temp, mimochodem, odstranit vše ze složky Temp.

Kořen systémové jednotky, obvykle (C :). A samozřejmě musíte zkontrolovat celý systém pomocí antiviru. Nebo si stáhněte antivirový program Dr.Web CureIt nebo antivirové nástroje společnosti Microsoft.

Nyní můžeme říci, že jsme zachránili náš operační systém před virem, aniž bychom se uchýlili k nouzovému režimu. Pokud nemůžete odstranit virový soubor ze složky C: \ Windows \ AppPatch, pak jste nevyčistili registr úplně, něco jste zmeškali.
Můžete také vše zjednodušit., odeberte virus ze složky C: \ Windows \ AppPatch spuštěním z jakéhokoli Live CD, a poté vyčistěte registr.
To vše je dobré, ale mnoho uživatelů se zeptá: Jak se virus dostal do složky C: \ Windows \ AppPatch?
Přátelé téměř všechny viry k nám přicházejí z Internetu, takže když stahujete cokoli, buďte velmi opatrní, abyste nikdy nevypnuli hlavu. Vezměme si například dvě písmena, jejichž obsah jsem citoval na začátku článku. Naši čtenáři si byli téměř jisti, že nestahují to, co je potřeba, ale stále tuto záležitost ukončili a chytili virus. Zdarma sýr pouze v past na myši.
Pokud potřebujete nějakou knihu ke studiu, přemýšlejte o jejím autorovi, protože aby vám ji mohl napsat, vzal si spisovatel čas od sebe a své rodiny a stále si ji může koupit.
Nakonec pár přání. Nikdy nevypínejte obnovu systému. Za druhé, vždy máte v počítači běžný antivirový program, samozřejmě s nejnovějšími aktualizacemi antivirové databáze. Pravidelně vytvářejte zálohy operačního systému. Nepracujte pod účtem správce počítače, vytvořte si účet s omezenými právy.