Jak odebrat virus z počítače (Bezpečnost)

První dopis. Dobrý den, mám s vámi problém, jmenovitě způsob, jak odstranit virus z počítače, stáhnout termínový papír na jednom webu, otevřít soubor a místo aplikace Microsoft Office Word se začala instalace. Antivirový program okamžitě vydal varování o detekované hrozbě pocházející ze složky
C: \ Users \ My Username \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
Jak to chápu, složka Start Menu je složka Startup. Přestože se počítač začal hrozně zpomalit, šel jsem do této složky a viděl podivný soubor s názvem QJFGSXETY, atribut souboru je skrytý. Pokus o smazání souboru selhal. Zaváděla se v nouzovém režimu, ale nemohla se tam smazat a přejmenovat (aby se po restartu smazala). Pokusil jsem se použít body obnovy, ale objevila se zpráva „Obnovení systému zakázáno zásadami skupiny“. Když to skončilo, moje hackerská znalost skončila, sedím tady bez počítače a čtu vaše články. Co dělat, když můžete krok za krokem. Marina Suzdal

Druhé písmeno. Virus nemůžu z počítače odstranit, zaregistroval jsem se při spuštění, sám jsem jej nemohl odstranit, a to ani v nouzovém režimu, počítač se nabootoval dlouho a zpomalil během práce, vzal jsem radu z článku Jak bezplatně vyhledávat viry a stáhnout záchranný disk ESET NOD32 ( Mimochodem, může být použit jako jednoduché Live CD, výhodná věc, doporučuji). Zkontroloval jsem pro ně celý počítač, našel 5 škodlivých programů, čekal hodinu, restartoval se a zdálo se, že virus zmizel, ale byl brzy potěšen, internet byl pryč, žlutý trojúhelník je v síťovém připojení a říká: - Síťové připojení je omezené nebo chybí. Co dělat, pak jsem virus do konce neodstranil? Fedore.

Jak odebrat virus z počítače

Poznámka: Přátelé, tento článek je vhodný pro operační systémy Windows 8, Windows 7 a Windows XP. Jsou zde také informace: - Pokud jste infikovali svůj počítač virem, můžete jej okamžitě zkontrolovat pomocí bezplatných antivirových nástrojů Kaspersky Virus Removal Tool nebo Dr.Web CureIt, ve většině případů by to mělo pomoci. Máme také celou sekci, která je neustále aktualizována o nové články. Nezapomeňte to zkontrolovat zde - všechny články o odstraňování virů a bannerů zde.

Stejné problémy jsem dostal před několika dny, spolužák mě požádal o instalaci několika bezplatných programů a antivirového programu ESET NOD32, který jsem si koupil v kanceláři. web. Kromě NOD32 jsme nainstalovali bezplatný program, který ovládá autoload-AnVir Task Manager, také jsme vytvořili obraz systému a disk pro obnovu pro případ, že mi poděkoval, a rozloučili jsme se.

O den později, můj přítel volá strach a mluví. Poslouchejte staříka, dopis dorazil na dceřinu poštu na internetu, otevřeli jsme ji, existuje pohlednice, blahopřejí mu k narozeninám, ačkoli jeho narozeniny už dávno uplynuly, kromě pohlednice tam byl soubor, klikli jsme na něj, právě tam AnVir Task Manager otevřel okno , ve kterém řekl, že nějaký program s podivným názvem a ikonou systémového souboru chce jít ke spuštění,

vyřešili jsme a spustili, antivirový program neustále přísahá a zobrazuje impozantní varování - Čištění není možné, zatímco počítač velmi zamrzne a omylem jsme ho vypnuli, pravděpodobně jste se s ním setkali, pomohli co nejvíce.

Přicházím k nim, první myšlenka byla - banner s ransomwarem byl zabaven, zapnu počítač a tam je.
NOD32 zobrazí postupně dvě okna, ve kterých varuje, že v RAM je škodlivý proces, čištění není možné! odchozí ze spouštěcí složky.

V systému Windows 7 je spouštěcí složka umístěna na adrese:
C: \ Users \ Username \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
Mimochodem, v systému Windows XP je spouštěcí složka umístěna téměř také:
C: \ Documents and Settings \ Administrator \ Main menu \ Programs \ Startup
AnVir Task Manager ukazuje využití CPU 93%.

Jdu do spouštěcího okna, AnVir Task Manager programuje a vidím soubor již napsaný v startu s názvem QYSGFXZJ.exe, avšak virus.

Přejdu do složky Po spuštění: Start-> Všechny programy-> Po spuštění

Nebo v jiné složce je spouštěcí složka umístěna na adrese:

C: \ Users \ Username \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
A tady je náš virový soubor, snažím se ho odstranit, samozřejmě neúspěšně, protože je nyní zaneprázdněn důležitým obchodem.

První věcí, kterou musíte v takových případech udělat, je spuštění nástroje Obnovení systému a pokusit se vrátit zpět pomocí dříve vytvořeného bodu obnovení. Snažím se zahájit obnovu systému a po velmi dlouhou dobu se nic neděje.
Virus mimochodem může někdy podnikat ve skupinových zásadách a nebudete moci zahájit obnovu systému pomocí zprávy „Obnovení systému je zakázáno skupinovými zásadami“.
Potom musíte přejít na Start-Run-gpedit.msc Zásady skupiny. Dobře

Otevře se Zásady skupiny, zde musíme vybrat Konfigurace počítače - Šablony pro správu - Obnovení systému - Pokud poklepete na levé tlačítko na možnost Zakázat obnovení systému,

takové okno by se mělo objevit, pro normální obnovení systému, v něm byste měli označit položku „Nenastaveno“ nebo „Zakázáno“. Vše se projeví po restartu. Musíte také vědět, že ve verzích systému Windows Home neexistují žádné zásady skupiny.

Obnovení systému jsem stále nemohl spustit a rozhodl jsem se restartovat počítač a vstoupit do nouzového režimu. V nouzovém režimu se můžete znovu pokusit odstranit tento soubor ze spuštění, ve většině případů se vám to podaří.

Ale nic pro mě nefunguje, zjevně je to zvláštní případ a škodlivý soubor není smazán. Pak jdeme do registru, konkrétně se podíváme na větev:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
V systémech Windows 7 a Windows XP nechávají programy spuštěné při přihlášení všechny klíče v těchto větvích, ale hlavně v prvním spuštění, pro všechny uživatele. Všechny neznámé klíče je třeba smazat, ale pouze neznámé, v mém případě při startu je klíč antivirového programu NOD32 - egui.exe, není nutné jej mazat:
"C: \ Program Files \ ESET \ ESET Smart Security \ egui.exe" / hide / waitservice

Musíte také projít Start-> Spustit-> msconfig-> Spuštění a zrušit zaškrtnutí všech neznámých programů. Tady není nic podezřelého.

Vymažte také všechny neznámé soubory v kořenovém adresáři jednotky (C :), pokud tam vidíte soubory se stejným názvem QYSGFXZJ nebo podobné, zkuste je odstranit. V kořenovém adresáři (C :), mimochodem, máme nepochopitelnou složku QYSGFXZJ. Pokouší se odstranit-smazat.

Jak tedy odstranit virus z počítače, i když v nouzovém režimu, se nám to nepodařilo, nebo například z nějakého důvodu nemohli do nouzového režimu vstoupit? Stává se, že vstoupíte do nouzového režimu, ale tam najdete překvapení - například myš nefunguje.

Pokud se nepodaří vstoupit do nouzového režimu, můžete použít velmi jednoduché a osvědčené rady z našeho dalšího článku Jak bezplatně prohledat počítač, zda neobsahuje viry, pomocí záchranného disku ESET NOD32 nebo Dr.Web. Mimochodem, tyto disky lze použít jako živé CD. Nebo již máte živé CD, pokuste se z něj zavést systém a proveďte totéž jako v nouzovém režimu - přejděte do složky Po spuštění a odstraňte škodlivý soubor. Na Live CD můžete spustit antivirový skener z USB flash disku, například Dr. Webový lék.
Osobně, když narazím na podobný problém v systému Windows XP (informace o systému Windows 7 níže), někdy se dokonce nedostanu do nouzového režimu, ale používám perfektní zbraň starým způsobem - profesionální nástroj správce systému ERD Commander 5.0.

Poznámka: všechny funkce obnovovacího disku ERD Commander 5.0. popsané v našem článku ERD Commander. S ním můžete obnovit systém, upravit registr, změnit zapomenuté heslo a další. U moderních počítačů a notebooků je nutná aplikace ERD Commander 5.0 s integrovanými ovladači SATA. Pojďme na to a uvidíme, jak se všechno děje.

Restartujeme a jdeme do BIOSu, tam nastavíme boot z jednotky. Zavedení z ERD Commander 5.0. Vybrali jsme první možnost připojení k systému Windows XP, to znamená, že můžeme s vámi spolupracovat, například přímo s registrem našeho infikovaného systému.

Běžný živý disk CD vám tuto příležitost nedá. Mimochodem, pokud zvolíte druhou možnost (Žádná), pak bude ERD Commander fungovat bez připojení k systému, to znamená, jako jednoduché Live CD, a pak nebude k dispozici mnoho funkcí ERD, jako je obnova systému, prohlížení spouštěcích objektů, protokoly systémových událostí atd.. . Ale i z toho se někdy ukázalo, že je to prospěšné.

Desktop není od začátku moc známý, ale není to děsivé, řeknu znovu, že popis všech nástrojů ERD je v našem článku ERD Commander.

Přejděte přímo do administrativního nástroje Autoruns.

Díváme se na položku System, stejně jako na administrátora, a tady je náš virus, zde jej určitě odstraníme.

Smazat - odstranit proces ze spuštění a to je vše, náš virus byl odstraněn.
Průzkumník - umožňuje přejít do procesního souboru.
Potom znovu zkontrolujeme spouštěcí složku a nic tam není.

C: \ Documents and Settings \ Administrator \ Main menu \ Programs \ Startup
Pro případ, že jdeme do kořenové složky disku (C :), není tam nic podezřelého.

Nejsme příliš líní, abychom se dostali do registru a zjistili, které programy nechaly při spuštění klíče:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Zde jsme virus odstranili ze systému Windows XP, po normálním spuštění se vyplatí zkontrolovat viry v celém počítači.
A co systém Windows 7 - můžete se zeptat, zda v tomto operačním systému chytíme virus a nemůžeme jej v bezpečném režimu odebrat. Nejprve můžete použít záchranné disky (odkaz na článek výše). Za druhé, použijte jednoduchý Live CD nebo, jako jsem profesionální nástroj, disk pro obnovení sady Microsoft Diagnostic and Recovery Toolset. Úplné informace o tom, jak používat tento nástroj, například při odstraňování banneru ransomware, jsou uvedeny v článku „Jak odstranit banner“. Zde řeknu, že je to stejný nástroj jako ERD Commander, byl vytvořen primárně pro Windows 7. Pomocí něj můžete také obnovit systém, změnit registr, provádět operace s pevným diskem, změnit zapomenuté heslo a mnohem více.
Spuštění z tohoto disku MS DaRT 6.5. náš počítač.

Přiřazujte písmena na disky stejným způsobem jako v cílovém systému - Ano, je lepší pracovat.

Další

Zvolte Průzkumník

Okamžitě přejdeme do složky Po spuštění:
C: \ Users \ Username \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup. Odstraňujeme náš virus.

Kontrola registru HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Odstraníme vše podezřelé z kořenového adresáře disku (C :), restartujeme počítač a zkontrolujeme viry v celém počítači.

No, úplně poslední. Po odstranění viru v systému Windows XP nemusí váš internet fungovat, je to způsobeno porušením, které virus zavádí do nastavení sítě. Někdy zde může pomoci přeinstalace ovladačů síťových karet, nebo ve většině případů se nástroj WinSockFix mnohokrát pokusil o opravu těchto parametrů. Můžete si ji stáhnout v kanceláři. programová stránka http://www.winsockfix.nl