Dinalhan ako ng aking matalik na kaibigan ng netbook upang tingnan, na malubhang nahawaan ng mga virus, at hiniling sa akin na tumulong sa paglilinis ng system mula sa zoo. Sa unang pagkakataon nakita ko sa sarili kong mga mata ang isang nakakatawang sangay sa pagbuo ng malware: "ransomware". Ang mga naturang programa ay hinaharangan ang ilan sa mga function ng operating system at hinihiling sa iyong magpadala ng isang SMS na mensahe upang makatanggap ng isang unlock code. Ang paggamot ay lumabas na hindi lubos na walang kabuluhan, at naisip ko na marahil ang kuwentong ito ay magliligtas sa isang tao ng ilang mga nerve cell. Sinubukan kong magbigay ng mga link sa lahat ng mga site at utility na kailangan sa panahon ng paggamot.
Sa kasong ito, ang virus ay nagpanggap bilang isang Internet Security antivirus program at kinakailangang magpadala ng SMS K207815200 sa numerong 4460. Sa website ng Kaspersky Lab mayroong isang pahina na nagbibigay-daan sa iyo na bumuo ng mga response code para sa "ransomware": support.kaspersky.ru/viruses /deblocker
Gayunpaman, pagkatapos ipasok ang code, ang mga function ng OS ay nanatiling naka-block, at ang paglulunsad ng anumang antivirus program ay humantong sa agarang pagbubukas ng isang window ng virus na maingat na tinularan ang pagpapatakbo ng antivirus:
Ang mga pagtatangkang mag-boot sa mga safe mode ay humantong sa eksaktong parehong resulta. Ang bagay ay kumplikado din sa katotohanan na ang mga password para sa lahat ng mga account ng administrator ay walang laman, at ang pag-login sa computer sa network para sa mga administrator na may walang laman na password ay na-block bilang default sa pamamagitan ng patakaran.
Kinailangan kong mag-boot mula sa isang USB Flash drive (isang netbook, ayon sa kahulugan, ay walang disk drive). Ang pinakamadaling paraan upang gumawa ng bootable USB drive:
1. I-format ang disk sa NTFS
2. Gawing aktibo ang partition (diskpart -> piliin ang disk x -> piliin ang partition x -> aktibo)
3. Gamitin ang utility na \boot\bootsect.exe mula sa pamamahagi ng Vista/Windows 2008/Windows 7: bootsect /nt60 X: /mbr
4. Kopyahin ang lahat ng mga file ng pamamahagi (mayroon akong pamamahagi ng Windows 2008 sa kamay) sa isang usb disk. Iyon lang, maaari kang mag-boot.
Dahil hindi namin kailangang i-install ang OS, ngunit tinatrato ang mga virus, kinokopya namin sa disk ang isang hanay ng mga libreng paggamot (AVZ, CureIt) at mga auxiliary utilities (sa hinaharap, kailangan ko ng Mga Stream mula kay Mark Russinovich) at Far. I-reboot namin ang netbook, itakda ang BIOS sa boot mula sa USB.
Ang programa ng pag-install ng Windows 2008 ay na-load, sumasang-ayon sa pagpili ng wika, I-install ngayon at pagkatapos ay pindutin ang Shift+F10. May lalabas na command line window, kung saan maaari naming ilunsad ang aming mga antivirus tool at maghanap ng impeksyon sa system drive. Dito nakatagpo ako ng kahirapan, ibinagsak ng CureIt ang system sa asul na screen ng kamatayan na may mga sumpa tungkol sa isang error sa pagtatrabaho sa NTFS, at ang AVZ, bagaman ito ay nagtrabaho, ay walang mahanap na anuman. Tila ang virus ay napaka-sariwa. Ang tanging palatandaan ay isang mensahe mula sa AVZ na ang executable code ay nakita sa isang karagdagang stream ng NTSF para sa isa sa mga file sa direktoryo ng Windows. Ito ay tila kakaiba at kahina-hinala sa akin, dahil ang mga karagdagang stream ng NTFS ay ginagamit sa mga partikular na kaso at walang maipapatupad doon ang dapat na nakaimbak sa mga normal na makina.
Samakatuwid, kinailangan kong i-download ang Streams utility (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) mula kay Mark at tanggalin ang stream na ito. Ang laki nito ay 126,464 bytes, tulad ng mga dll file na inilatag ng virus sa mga flash drive na ipinasok sa system.
Pagkatapos noon, ginamit ko ang Far upang maghanap sa buong disk ng system para sa mga file na may parehong laki at nakakita ng isa pang 5 o 6 na kahina-hinalang mga file na nilikha sa nakalipas na 2-3 araw. Ang mga ito ay tinanggal sa parehong paraan. Pagkatapos noon, nagawang gumana ng CureIt (tila natitisod ito sa mga karagdagang thread) at matagumpay na nalinis ang dalawa pang Trojan :)
Pagkatapos ng pag-reboot, ang lahat ay gumana; Sa tulong ng AVZ, naibalik ang mga patakarang naglilimita sa mga function ng OS. Ang isang kaibigan ay binigyan ng mahigpit na tagubilin tungkol sa kung gaano kahalaga ang paggamit ng mga antivirus, lalo na dahil maraming libre (
Isang linggo na ang lumipas mula nang mapunta si Petya sa Ukraine. Sa pangkalahatan, mahigit limampung bansa sa buong mundo ang naapektuhan ng encryption virus na ito, ngunit 75% ng napakalaking cyber attack ang tumama sa Ukraine. Ang mga institusyon ng gobyerno at pampinansyal sa buong bansa ay naapektuhan; Para tumagos at harangan, ginamit ng Petya.A virus ang accounting program na M.E.Doc. Ang software na ito ay napakapopular sa iba't ibang mga institusyon sa Ukraine, na naging nakamamatay. Bilang isang resulta, para sa ilang mga kumpanya ay tumagal ng mahabang panahon upang maibalik ang kanilang sistema pagkatapos ng Petya virus. Ang ilan ay nakapagpatuloy sa trabaho kahapon lamang, 6 na araw pagkatapos ng ransomware virus.
Ang layunin ng Petya virus
Ang layunin ng karamihan sa mga virus ng ransomware ay pangingikil. Ine-encrypt nila ang impormasyon sa PC ng biktima at humihingi ng pera mula sa kanya para makakuha ng susi na magpapanumbalik ng access sa naka-encrypt na data. Ngunit hindi palaging tinutupad ng mga scammer ang kanilang salita. Ang ilang ransomware ay simpleng hindi idinisenyo upang ma-decrypt, at ang Petya virus ay isa sa mga ito.
Ang malungkot na balitang ito ay iniulat ng mga espesyalista mula sa Kaspersky Lab. Upang mabawi ang data pagkatapos ng ransomware virus, kailangan mo ng natatanging identifier ng pag-install ng virus. Ngunit sa sitwasyon na may bagong virus, hindi ito bumubuo ng isang identifier, iyon ay, ang mga tagalikha ng malware ay hindi man lang isinasaalang-alang ang opsyon na ibalik ang isang PC pagkatapos ng Petya virus.
Ngunit sa parehong oras, ang mga biktima ay nakatanggap ng isang mensahe kung saan pinangalanan nila ang address kung saan maglilipat ng $300 sa bitcoins upang maibalik ang system. Sa ganitong mga kaso, hindi inirerekomenda ng mga eksperto ang pagtulong sa mga hacker, ngunit gayunpaman, ang mga tagalikha ng Petya ay nakakuha ng higit sa $10,000 sa loob ng 2 araw pagkatapos ng isang napakalaking pag-atake sa cyber. Ngunit ang mga eksperto ay tiwala na ang pangingikil ay hindi ang kanilang pangunahing layunin, dahil ang mekanismong ito ay hindi maganda ang pag-iisip, hindi tulad ng iba pang mga mekanismo ng virus. Mula dito maaari itong ipagpalagay na ang layunin ng Petya virus ay upang destabilize ang gawain ng mga pandaigdigang negosyo. Posible rin na ang mga hacker ay nagmamadali lang at hindi pinag-isipan nang mabuti ang bahagi ng pagkuha ng pera.
Pagpapanumbalik ng PC pagkatapos ng Petya virus
Sa kasamaang palad, kapag ang Petya ay ganap na nahawahan, ang data sa iyong computer ay hindi na maibabalik. Ngunit gayunpaman, mayroong isang paraan upang i-unlock ang isang computer pagkatapos ng Petya virus kung ang ransomware ay walang oras upang ganap na i-encrypt ang data. Nai-publish ito sa opisyal na website ng Cyber Police noong Hulyo 2.
Mayroong tatlong mga opsyon para sa impeksyon sa Petya virus
— ang lahat ng impormasyon sa PC ay ganap na naka-encrypt, ang isang window na may pangingikil ng pera ay ipinapakita sa screen;
— Ang data ng PC ay bahagyang naka-encrypt. Ang proseso ng pag-encrypt ay naantala ng mga panlabas na kadahilanan (kabilang ang power supply);
— Ang PC ay nahawaan, ngunit ang proseso ng pag-encrypt ng mga talahanayan ng MFT ay hindi pa nasisimulan.
Sa unang kaso, ang lahat ay masama - hindi na maibabalik ang system. Sa ngayon man lang.
Sa huling dalawang opsyon, naaayos ang sitwasyon.
Upang mabawi ang data na bahagyang na-encrypt, inirerekumenda na i-download ang disk sa pag-install ng Windows:
Kung ang hard drive ay hindi nasira ng isang ransomware virus, makikita ng boot OS ang mga file at sisimulan ang pagbawi ng MBR:
Para sa bawat bersyon ng Windows, ang prosesong ito ay may sariling mga nuances.
Windows XP
Pagkatapos i-load ang disk sa pag-install, ang window ng "Windows XP Professional Settings" ay lilitaw sa screen, kung saan kailangan mong piliin ang "upang ibalik ang Windows XP gamit ang recovery console, pindutin ang R." Pagkatapos pindutin ang R, magsisimulang mag-load ang recovery console.
Kung ang mga device ay may isang operating system na naka-install at ito ay matatagpuan sa drive C, may lalabas na notification:
"1: C:\WINDOWS aling kopya ng Windows ang dapat kong gamitin para mag-log in?" Alinsunod dito, kailangan mong pindutin ang "1" at "Enter" key.
Pagkatapos ay lilitaw ang sumusunod na mensahe: "Ipasok ang password ng administrator." Ipasok ang iyong password at pindutin ang "Enter" (kung wala kang password, pindutin ang "Enter").
Dapat lumitaw ang isang prompt ng system: C:\WINDOWS>, ipasok ang fixmbr.
Pagkatapos ay may lalabas na "BABALA".
Upang kumpirmahin ang bagong entry sa MBR, pindutin ang "y".
Pagkatapos ay lalabas ang notification na "Ang isang bagong master boot record ay ginagawa sa pisikal na disk\Device\Harddisk0\Partition0".
At: "Ang bagong master boot record ay matagumpay na nalikha."
Windows Vista:
Dito mas simple ang sitwasyon. I-load ang OS, piliin ang layout ng wika at keyboard. Pagkatapos ay lilitaw ang "Ibalik ang iyong computer sa normal" sa screen kung saan dapat mong piliin ang "Next". Lilitaw ang isang window na may mga parameter ng naibalik na system, kung saan kailangan mong mag-click sa command line, kung saan kailangan mong ipasok ang bootrec /FixMbr.
Pagkatapos nito, kailangan mong maghintay para makumpleto ang proseso; kung maayos ang lahat, lilitaw ang isang mensahe ng kumpirmasyon - pindutin ang "Enter" at magsisimulang mag-reboot ang computer. Lahat.
Windows 7:
Ang proseso ng pagbawi ay katulad ng Vista. Pagkatapos piliin ang iyong wika at layout ng keyboard, piliin ang iyong OS, pagkatapos ay i-click ang "Next". Sa bagong window, piliin ang "Gumamit ng mga tool sa pagbawi na makakatulong sa paglutas ng mga problema sa pagsisimula ng Windows."
Ang lahat ng iba pang mga aksyon ay katulad ng Vista.
Windows 8 at 10:
I-boot ang OS, sa lalabas na window, piliin ang Ibalik ang iyong computer>troubleshooting, kung saan sa pamamagitan ng pag-click sa command line, ipasok ang bootrec /FixMbr. Kapag kumpleto na ang proseso, pindutin ang "Enter" at i-reboot ang iyong device.
Matapos matagumpay na makumpleto ang proseso ng pagbawi ng MBR (anuman ang bersyon ng Windows), kailangan mong i-scan ang disk gamit ang isang antivirus.
Kung ang proseso ng pag-encrypt ay sinimulan ng isang virus, maaari mong gamitin ang file recovery software, gaya ng Rstudio. Pagkatapos kopyahin ang mga ito sa naaalis na media, kailangan mong muling i-install ang system.
Kung gumagamit ka ng mga programa sa pagbawi ng data na naitala sa sektor ng boot, halimbawa Acronis True Image, maaari mong tiyakin na hindi naapektuhan ng “Petya” ang sektor na ito. Nangangahulugan ito na maaari mong ibalik ang system sa kondisyong gumagana nang walang muling pag-install.
Kung makakita ka ng error, mangyaring i-highlight ang isang piraso ng teksto at i-click Ctrl+Enter.
Pag-uusapan natin ang tungkol sa mga pinakasimpleng paraan upang i-neutralize ang mga virus, sa partikular, ang mga humaharang sa desktop ng gumagamit ng Windows 7 (Trojan.Winlock virus family). Ang mga naturang virus ay nakikilala sa pamamagitan ng katotohanan na hindi nila itinatago ang kanilang presensya sa system, ngunit, sa kabilang banda, ipinapakita ito, na ginagawang napakahirap na magsagawa ng anumang mga aksyon maliban sa pagpasok ng isang espesyal na "unlock code", upang makuha kung alin, diumano'y , kailangan mong maglipat ng isang tiyak na halaga sa mga umaatake sa pamamagitan ng pagpapadala ng SMS o muling pagdadagdag ng isang mobile phone account sa pamamagitan ng terminal ng pagbabayad. Ang layunin dito ay isa - upang pilitin ang gumagamit na magbayad, at kung minsan ay medyo disenteng pera. Lumilitaw ang isang window sa screen na may nagbabantang babala tungkol sa pagharang sa computer para sa paggamit ng hindi lisensyadong software o pagbisita sa mga hindi gustong mga site, at iba pang katulad nito, kadalasan upang takutin ang user. Bilang karagdagan, hindi ka pinapayagan ng virus na magsagawa ng anumang mga aksyon sa kapaligiran ng trabaho sa Windows - hinaharangan nito ang pagpindot sa mga espesyal na kumbinasyon ng key upang tawagan ang Start button na menu, ang Run command, task manager, atbp. Ang mouse pointer ay hindi maaaring ilipat sa labas ng virus window. Bilang isang patakaran, ang parehong larawan ay sinusunod kapag nag-boot ang Windows sa safe mode. Ang sitwasyon ay tila walang pag-asa, lalo na kung walang ibang computer, ang kakayahang mag-boot sa isa pang operating system, o mula sa naaalis na media (LIVE CD, ERD Commander, anti-virus scanner). Ngunit, gayunpaman, sa karamihan ng mga kaso mayroong isang paraan out.
Ang mga bagong teknolohiyang ipinatupad sa Windows Vista / Windows 7 ay naging mas mahirap para sa malware na tumagos at ganap na kontrolin ang system, at nagbigay din sa mga user ng karagdagang mga pagkakataon upang maalis ang mga ito nang medyo madali, kahit na walang anti-virus software (software ). Pinag-uusapan natin ang kakayahang i-boot ang system sa safe mode na may suporta sa command line at ilunsad ang monitoring at recovery software mula dito. Malinaw, dahil sa ugali, dahil sa medyo hindi magandang pagpapatupad ng mode na ito sa mga nakaraang bersyon ng mga operating system ng pamilya ng Windows, maraming mga gumagamit ang hindi lamang gumagamit nito. Ngunit walang kabuluhan. Ang Windows 7 command line ay walang karaniwang desktop (na maaaring ma-block ng isang virus), ngunit posible na ilunsad ang karamihan sa mga programa - ang registry editor, task manager, system recovery utility, atbp.
Pag-alis ng virus sa pamamagitan ng pag-roll back ng system sa isang restore point
Ang isang virus ay isang ordinaryong programa, at kahit na ito ay matatagpuan sa hard drive ng computer, ngunit walang kakayahang awtomatikong magsimula kapag nag-boot ang system at pagpaparehistro ng gumagamit, kung gayon ito ay hindi nakakapinsala tulad ng, halimbawa, isang ordinaryong text file. . Kung malulutas mo ang problema ng pagharang sa awtomatikong paglulunsad ng isang nakakahamak na programa, kung gayon ang gawain ng pag-alis ng malware ay maaaring ituring na nakumpleto. Ang pangunahing paraan ng awtomatikong pagsisimula na ginagamit ng mga virus ay sa pamamagitan ng mga espesyal na nilikha na mga entry sa pagpapatala na nilikha kapag sila ay ipinakilala sa system. Kung tatanggalin mo ang mga entry na ito, ang virus ay maaaring ituring na neutralized. Ang pinakamadaling paraan ay ang magsagawa ng system restore gamit ang data ng checkpoint. Ang checkpoint ay isang kopya ng mahahalagang system file, na nakaimbak sa isang espesyal na direktoryo ("System Volume Information") at naglalaman, bukod sa iba pang mga bagay, mga kopya ng Windows system registry file. Ang pagsasagawa ng system rollback sa isang restore point, ang petsa ng paglikha kung saan nauuna ang impeksyon ng virus, ay nagbibigay-daan sa iyo upang makuha ang estado ng system registry nang walang mga entry na ginawa ng naka-embed na virus at sa gayon ay maiwasan ang awtomatikong pagsisimula nito, i.e. mapupuksa ang impeksyon kahit na hindi gumagamit ng antivirus software. Sa ganitong paraan, madali at mabilis mong maaalis ang karamihan ng mga virus na nakakahawa sa iyong system, kabilang ang mga humaharang sa Windows desktop. Naturally, ang isang blocking virus na gumagamit, halimbawa, ang pagbabago ng mga boot sector ng isang hard drive (MBRLock virus) ay hindi maaaring alisin sa ganitong paraan, dahil ang pag-roll back ng system sa isang restore point ay hindi makakaapekto sa mga boot record ng mga disk, at hindi posibleng i-boot ang Windows sa safe mode na may suporta sa command line dahil na-load ang virus bago ang bootloader ng Windows. Upang mapupuksa ang naturang impeksyon, kailangan mong mag-boot mula sa isa pang medium at ibalik ang mga nahawaang rekord ng boot. Ngunit medyo kakaunti ang mga naturang virus at sa karamihan ng mga kaso, maaari mong alisin ang impeksyon sa pamamagitan ng pag-roll back ng system sa isang restore point.
1. Sa pinakadulo simula ng paglo-load, pindutin ang F8 button. Ang menu ng Windows boot loader ay ipapakita sa screen, na may mga posibleng opsyon para sa pag-boot ng system
2. Piliin ang Windows boot option - "Safe Mode with Command Line Support"
Matapos makumpleto ang pag-download at magrehistro ang gumagamit, sa halip na ang karaniwang Windows desktop, ang cmd.exe command processor window ay ipapakita
3. Patakbuhin ang System Restore tool sa pamamagitan ng pag-type ng rstrui.exe sa command line at pagpindot sa ENTER.
Ilipat ang mode sa "Pumili ng isa pang recovery point" at sa susunod na window lagyan ng check ang kahon na "Ipakita ang iba pang mga recovery point"
Pagkatapos pumili ng Windows restore point, maaari mong tingnan ang isang listahan ng mga apektadong program habang nag-rollback ng system:
Ang listahan ng mga apektadong program ay isang listahan ng mga program na na-install pagkatapos magawa ang system restore point at maaaring mangailangan ng muling pag-install dahil mawawala ang kanilang mga nauugnay na registry entry.
Pagkatapos ng pag-click sa pindutang "Tapos na", magsisimula ang proseso ng pagbawi ng system. Sa pagkumpleto, magre-restart ang Windows.
Pagkatapos ng pag-reboot, may ipapakitang mensahe na nagsasaad ng tagumpay o pagkabigo ng rollback at, kung matagumpay, babalik ang Windows sa estado na tumutugma sa petsa kung kailan ginawa ang restore point. Kung hindi hihinto ang desktop lock, maaari kang gumamit ng mas advanced na paraan na ipinakita sa ibaba.
Pag-alis ng virus nang hindi ibinabalik ang system sa isang restore point
Posible na ang system ay walang data ng recovery point para sa iba't ibang dahilan, natapos ang pamamaraan ng pagbawi sa isang error, o ang rollback ay hindi nagdulot ng positibong resulta. Sa kasong ito, maaari mong gamitin ang diagnostic utility ng System Configuration na MSCONFIG.EXE. Tulad ng sa nakaraang kaso, kailangan mong i-boot ang Windows sa safe mode na may suporta sa command line at sa cmd.exe command line interpreter window, i-type ang msconfig.exe at pindutin ang ENTER
Sa tab na Pangkalahatan, maaari mong piliin ang mga sumusunod na Windows startup mode:
Kapag nag-boot ang system, ang pinakamababang kinakailangang serbisyo ng system at mga program ng user lang ang ilulunsad.
Pinili na paglulunsad- nagbibigay-daan sa iyong manu-manong tukuyin ang isang listahan ng mga serbisyo ng system at mga program ng user na ilulunsad sa panahon ng proseso ng boot.
Upang maalis ang isang virus, ang pinakamadaling paraan ay ang paggamit ng isang diagnostic na paglulunsad, kapag ang utility mismo ay tumutukoy sa isang hanay ng mga programa na awtomatikong magsisimula. Kung sa mode na ito ang virus ay huminto sa pagharang sa desktop, pagkatapos ay kailangan mong magpatuloy sa susunod na hakbang - matukoy kung aling programa ang isang virus. Upang gawin ito, maaari mong gamitin ang selective launch mode, na nagbibigay-daan sa iyong paganahin o huwag paganahin ang paglunsad ng mga indibidwal na programa nang manu-mano.
Ang tab na "Mga Serbisyo" ay nagbibigay-daan sa iyo na paganahin o huwag paganahin ang paglulunsad ng mga serbisyo ng system na ang uri ng startup ay nakatakda sa "Awtomatiko". Ang isang walang check na kahon sa harap ng pangalan ng serbisyo ay nangangahulugan na hindi ito ilulunsad sa panahon ng system boot. Sa ibaba ng window ng utility ng MSCONFIG mayroong isang patlang para sa pagtatakda ng mode na "Huwag ipakita ang mga serbisyo ng Microsoft", na, kapag pinagana, ay magpapakita lamang ng mga serbisyo ng third-party.
Pansinin ko na ang posibilidad na mahawahan ang system ng isang virus na naka-install bilang isang serbisyo ng system, na may karaniwang mga setting ng seguridad sa kapaligiran ng Windows Vista / Windows 7, ay napakaliit, at kakailanganin mong maghanap ng mga bakas ng virus sa listahan ng mga awtomatikong inilunsad na program ng user (ang tab na "Startup").
Tulad ng sa tab na Mga Serbisyo, maaari mong paganahin o huwag paganahin ang awtomatikong paglulunsad ng anumang program na nasa listahan na ipinapakita ng MSCONFIG. Kung ang isang virus ay isinaaktibo sa system sa pamamagitan ng awtomatikong paglulunsad gamit ang mga espesyal na registry key o ang mga nilalaman ng folder ng Startup, pagkatapos gamit ang msconfig hindi mo lamang ito ma-neutralize, ngunit matukoy din ang landas at pangalan ng nahawaang file.
Ang msconfig utility ay isang simple at maginhawang tool para sa pag-configure ng awtomatikong pagsisimula ng mga serbisyo at application na nagsisimula sa karaniwang paraan para sa mga operating system ng pamilyang Windows. Gayunpaman, ang mga may-akda ng virus ay madalas na gumagamit ng mga diskarte na nagbibigay-daan sa kanila na maglunsad ng mga nakakahamak na programa nang hindi gumagamit ng karaniwang mga autorun point. Malamang na maaalis mo ang naturang virus gamit ang paraang inilarawan sa itaas sa pamamagitan ng pagbabalik ng system sa isang restore point. Kung ang isang rollback ay hindi posible at ang paggamit ng msconfig ay hindi humantong sa isang positibong resulta, maaari mong gamitin ang direktang pag-edit ng registry.
Sa proseso ng pakikipaglaban sa isang virus, madalas na kailangang magsagawa ng hard reboot ang user sa pamamagitan ng pag-reset (I-reset) o pag-off ng power. Ito ay maaaring humantong sa isang sitwasyon kung saan ang system ay nagsisimula nang normal, ngunit hindi umabot sa pagpaparehistro ng user. Ang computer ay nag-hang dahil sa isang paglabag sa lohikal na istraktura ng data sa ilang mga file ng system, na nangyayari sa panahon ng isang maling shutdown. Upang malutas ang problema, sa parehong paraan tulad ng sa mga nakaraang kaso, maaari kang mag-boot sa safe mode na may suporta sa command line at patakbuhin ang check system disk command
chkdsk C: /F - suriin ang drive C: at itama ang mga nakitang error (key /F)
Dahil ang system disk ay inookupahan ng mga serbisyo at application ng system kapag tumatakbo ang chkdsk, hindi makakakuha ang chkdsk ng eksklusibong access dito upang magsagawa ng pagsubok. Samakatuwid, bibigyan ang user ng mensahe ng babala at hihilingin na magsagawa ng pagsubok sa susunod na pag-reboot ng system. Pagkatapos sagutin ang Y, ang impormasyon ay ilalagay sa registry upang matiyak na ang disk check ay magsisimula kapag ang Windows ay nag-restart. Pagkatapos makumpleto ang pagsusuri, ang impormasyong ito ay tatanggalin at ang Windows ay magre-restart nang normal nang walang interbensyon ng user.
Tinatanggal ang posibilidad ng isang virus na tumatakbo gamit ang Registry Editor.
Upang ilunsad ang registry editor, tulad ng sa nakaraang kaso, kailangan mong i-boot ang Windows sa safe mode na may suporta sa command line, i-type ang regedit.exe sa command line interpreter window at pindutin ang ENTER Windows 7, na may karaniwang mga setting ng seguridad ng system, ay protektado mula sa maraming paraan ng paglulunsad ng mga malisyosong program na ginagamit para sa mga nakaraang bersyon ng Microsoft operating system. Ang mga virus na nag-i-install ng kanilang sariling mga driver at serbisyo, muling pag-configure ng serbisyo ng WINLOGON sa pagkonekta ng kanilang sariling mga executable na module, pagwawasto ng mga registry key na may kaugnayan sa lahat ng mga user, atbp. - lahat ng mga pamamaraang ito ay alinman ay hindi gumagana sa Windows 7 o nangangailangan ng mga malubhang gastos sa paggawa na sila ay halos imposibleng matugunan. Karaniwan, ang mga pagbabago sa registry na nagpapagana sa isang virus na tumakbo ay ginagawa lamang sa konteksto ng mga pahintulot na umiiral para sa kasalukuyang user, i.e. sa seksyong HKEY_CURRENT_USER
Upang maipakita ang pinakasimpleng mekanismo para sa pagharang sa isang desktop gamit ang pagpapalit ng shell ng gumagamit (shell) at ang kawalan ng kakayahan na gamitin ang utility ng MSCONFIG upang makita at alisin ang isang virus, maaari mong isagawa ang sumusunod na eksperimento - sa halip na isang virus, ikaw mismo ang nagtama ang registry data upang makakuha, halimbawa, isang command line sa halip na isang desktop . Ang pamilyar na desktop ay nilikha ng Windows Explorer (Explorer.exe program) na inilunsad bilang shell ng user. Tinitiyak ito ng mga halaga ng parameter ng Shell sa mga registry key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- para sa lahat ng mga gumagamit.
- para sa kasalukuyang gumagamit.
Ang parameter ng Shell ay isang string na may pangalan ng program na gagamitin bilang shell kapag nag-log in ang user. Kadalasan, sa seksyon para sa kasalukuyang user (HKEY_CURRENT_USER o pinaikli bilang HKCU), nawawala ang parameter ng Shell at ginagamit ang value mula sa registry key para sa lahat ng user (HKEY_LOCAL_MACHINE\ o dinaglat bilang HKLM)
Ito ang hitsura ng registry key HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon na may karaniwang pag-install ng Windows 7
Kung idagdag mo ang parameter ng Shell string na kumukuha ng value na "cmd.exe" sa seksyong ito, sa susunod na mag-log in ang kasalukuyang user sa system, sa halip na ang karaniwang Explorer-based user shell, ang cmd.exe shell ay ilulunsad at sa halip na ang karaniwang Windows desktop, ang command line window ay ipapakita .
Naturally, anumang malisyosong programa ay maaaring ilunsad sa ganitong paraan at ang user ay makakatanggap ng porn banner, blocker, at iba pang masasamang bagay sa halip na isang desktop.
Ang paggawa ng mga pagbabago sa key para sa lahat ng user (HKLM...) ay nangangailangan ng mga pribilehiyong pang-administratibo, kaya ang mga virus program ay kadalasang binabago ang mga setting ng kasalukuyang user's registry key (HKCU...)
Kung, upang ipagpatuloy ang eksperimento, patakbuhin mo ang msconfig utility, maaari mong tiyakin na ang cmd.exe ay hindi kasama bilang isang shell ng gumagamit sa listahan ng mga awtomatikong inilunsad na programa. Ang isang rollback ng system, siyempre, ay magpapahintulot sa iyo na ibalik ang pagpapatala sa orihinal nitong estado at alisin ang awtomatikong pagsisimula ng virus, ngunit kung sa ilang kadahilanan ay imposible ito, ang tanging pagpipilian na natitira ay direktang i-edit ang pagpapatala. Upang bumalik sa karaniwang desktop, alisin lang ang parameter ng Shell, o baguhin ang halaga nito mula sa "cmd.exe" sa "explorer.exe" at muling irehistro ang user (mag-log out at mag-log in muli) o i-reboot. Maaari mong i-edit ang registry sa pamamagitan ng pagpapatakbo ng registry editor regedit.exe mula sa command line o gamit ang console utility REG.EXE. Halimbawang command line para alisin ang parameter ng Shell:
REG tanggalin ang "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell
Ang ibinigay na halimbawa ng pagpapalit sa shell ng user ay isa sa mga pinakakaraniwang pamamaraan na ginagamit ng mga virus sa kapaligiran ng operating system ng Windows 7. Ang isang medyo mataas na antas ng seguridad sa ilalim ng karaniwang mga setting ng system ay pumipigil sa malware na makakuha ng access sa mga registry key na ginamit upang mahawahan ang Windows XP at mga naunang bersyon. Kahit na ang kasalukuyang user ay miyembro ng grupong Administrators, ang pag-access sa karamihan ng mga setting ng registry na ginagamit para sa impeksyon ay nangangailangan ng pagpapatakbo ng program bilang isang administrator. Ito ang dahilan kung bakit binago ng malware ang mga registry key na pinapayagang ma-access ng kasalukuyang user (seksyon HKCU... Ang pangalawang mahalagang salik ay ang kahirapan sa pagsulat ng mga file ng programa sa mga direktoryo ng system. Ito ay para sa kadahilanang ito na ang karamihan sa mga virus sa kapaligiran ng Windows 7 ay gumagamit ng paglulunsad ng mga maipapatupad na file (.exe) mula sa pansamantalang direktoryo ng mga file (Temp) ng kasalukuyang gumagamit. Kapag sinusuri ang mga awtomatikong punto ng paglulunsad ng mga programa sa pagpapatala, una sa lahat kailangan mong bigyang pansin ang mga programa na matatagpuan sa pansamantalang direktoryo ng mga file. Kadalasan ito ay isang direktoryo C:\USERS\username\AppData\Local\Temp. Ang eksaktong landas ng pansamantalang direktoryo ng mga file ay maaaring matingnan sa pamamagitan ng control panel sa mga katangian ng system - "Mga Variable ng Kapaligiran". O sa command line:
itakda ang temp
o
echo %temp%
Bilang karagdagan, ang paghahanap sa registry para sa string na naaayon sa pangalan ng direktoryo para sa mga pansamantalang file o ang variable na %TEMP% ay maaaring gamitin bilang karagdagang tool para sa pag-detect ng mga virus. Ang mga lehitimong programa ay hindi kailanman awtomatikong inilulunsad mula sa direktoryo ng TEMP.
Upang makakuha ng kumpletong listahan ng mga posibleng awtomatikong start point, madaling gamitin ang espesyal na programa ng Autoruns mula sa SysinternalsSuite package.
Ang pinakasimpleng paraan upang alisin ang mga blocker ng pamilyang MBRLock
Ang mga nakakahamak na programa ay maaaring makakuha ng kontrol sa isang computer hindi lamang sa pamamagitan ng pag-infect sa operating system, kundi pati na rin sa pamamagitan ng pagbabago sa mga record ng boot sector ng disk kung saan ito nagbo-boot. Pinapalitan ng virus ang data ng boot sector ng aktibong partition gamit ang program code nito upang sa halip na Windows, isang simpleng program ang na-load, na nagpapakita ng mensahe ng ransomware sa screen na humihingi ng pera para sa mga manloloko. Dahil ang virus ay nakakakuha ng kontrol bago mag-boot ang system, mayroon lamang isang paraan upang i-bypass ito - mag-boot mula sa isa pang medium (CD/DVD, external drive, atbp.) Sa anumang operating system kung saan posible na ibalik ang program code ng mga sektor ng boot . Ang pinakamadaling paraan ay ang paggamit ng Live CD / Live USB, kadalasang ibinibigay sa mga user nang walang bayad ng karamihan sa mga kumpanya ng antivirus (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk, atbp.) Bilang karagdagan sa pagbawi ng mga boot sector, ang mga produktong ito maaari ring magsagawa at suriin ang file system para sa malware at pag-alis o pagdidisimpekta ng mga nahawaang file. Kung hindi posible na gamitin ang pamamaraang ito, maaari kang makakuha sa pamamagitan lamang ng pag-download ng anumang bersyon ng Windows PE (installation disk, ERD Commander emergency recovery disk), na nagbibigay-daan sa iyong ibalik ang normal na pag-boot ng system. Karaniwan ang kakayahang ma-access ang command line at patakbuhin ang command ay sapat na:
bootsect /nt60 /mbr<буква системного диска:>
bootsect /nt60 /mbr E:> - ibalik ang mga boot sector ng drive E: Ang sulat para sa drive na ginagamit bilang boot device para sa system na nasira ng virus ay dapat gamitin dito.
o para sa Windows bago ang Windows Vista
bootsect /nt52 /mbr<буква системного диска:>
Ang bootsect.exe utility ay matatagpuan hindi lamang sa mga direktoryo ng system, kundi pati na rin sa anumang naaalis na media, ay maaaring maisakatuparan sa anumang Windows operating system at pinapayagan kang ibalik ang program code ng mga boot sector nang hindi naaapektuhan ang partition table at file system. Ang /mbr key, bilang panuntunan, ay hindi kailangan, dahil ibinabalik nito ang program code ng MBR master boot record, na hindi binabago ng mga virus (marahil hindi pa nila ito binabago).
Parang
Parang
Tweet
May mga programa na kasing unibersal ng kutsilyo ng Swiss Army. Ang bayani ng aking artikulo ay tulad ng isang "station wagon". Ang kanyang pangalan ay AVZ(Zaitsev Antivirus). Sa pamamagitan nito libre Maaaring mahuli ang antivirus at mga virus, maaaring i-optimize ang system, at maaaring maayos ang mga problema.
Mga kakayahan ng AVZ
Napag-usapan ko na ang katotohanan na ito ay isang antivirus program sa. Ang gawain ng AVZ bilang isang isang beses na antivirus (mas tiyak, isang anti-rootkit) ay mahusay na inilarawan sa tulong nito, ngunit ipapakita ko sa iyo ang isa pang bahagi ng programa: pagsuri at pagpapanumbalik ng mga setting.
Ano ang maaaring "fixed" sa AVZ:
- Ibalik ang pagsisimula ng mga program (.exe, .com, .pif file)
- I-reset ang mga setting ng Internet Explorer sa default
- Ibalik ang mga setting ng desktop
- Alisin ang mga paghihigpit sa karapatan (halimbawa, kung hinarangan ng isang virus ang mga programa mula sa paglulunsad)
- Mag-alis ng banner o window na lalabas bago ka mag-log in
- Alisin ang mga virus na maaaring tumakbo kasama ng anumang programa
- I-unblock ang task manager at registry editor (kung pinigilan sila ng virus na tumakbo)
- I-clear ang file
- Ipagbawal ang autorun ng mga programa mula sa mga flash drive at disk
- Alisin ang mga hindi kinakailangang file mula sa iyong hard drive
- Ayusin ang mga problema sa desktop
- At marami pang iba
Maaari mo ring gamitin ito upang suriin ang mga setting ng Windows para sa seguridad (upang mas mahusay na maprotektahan laban sa mga virus), pati na rin i-optimize ang system sa pamamagitan ng paglilinis ng startup.
Ang pahina ng pag-download ng AVZ ay matatagpuan.
Ang programa ay libre.
Una, protektahan natin ang iyong Windows mula sa mga walang ingat na pagkilos.
Ang AVZ program ay may napaka maraming mga function na nakakaapekto sa pagpapatakbo ng Windows. Ito mapanganib, dahil kung may pagkakamali, maaaring mangyari ang sakuna. Mangyaring basahin ang teksto at tumulong nang mabuti bago gumawa ng anuman. Ang may-akda ng artikulo ay walang pananagutan para sa iyong mga aksyon.
Upang magawang "ibalik ang lahat tulad ng dati" pagkatapos ng walang ingat na pagtatrabaho sa AVZ, isinulat ko ang kabanatang ito.
Ito ay isang ipinag-uutos na hakbang, mahalagang lumilikha ng isang "ruta ng pagtakas" sa kaso ng mga walang ingat na pagkilos - salamat sa punto ng pagpapanumbalik, posible na ibalik ang mga setting at ang pagpapatala ng Windows sa isang naunang estado.
Ang Windows Recovery System ay isang kinakailangang bahagi ng lahat ng bersyon ng Windows, simula sa Windows ME. Nakakalungkot na kadalasan ay hindi nila naaalala ang tungkol dito at nag-aaksaya ng oras sa muling pag-install ng Windows at mga programa, bagaman maaari ka lamang mag-click ng ilang beses at maiwasan ang lahat ng mga problema.
Kung malubha ang pinsala (halimbawa, ang ilang mga file ng system ay tinanggal), hindi makakatulong ang System Restore. Sa ibang mga kaso - kung na-configure mo nang mali ang Windows, ginulo ang registry, nag-install ng program na hindi nag-boot ang Windows, o ginamit nang hindi tama ang AVZ program - Dapat makatulong ang System Restore.
Pagkatapos ng trabaho, gumagawa ang AVZ ng mga subfolder na may mga backup na kopya sa folder nito:
/Backup- Ang mga backup na kopya ng pagpapatala ay naka-imbak doon.
/Nahawaan- mga kopya ng mga tinanggal na virus.
/Quarantine- mga kopya ng mga kahina-hinalang file.
Kung nagsimula ang mga problema pagkatapos patakbuhin ang AVZ (halimbawa, hindi mo pinag-iisipan na ginamit ang tool ng AVZ System Restore at tumigil sa paggana ang Internet) at hindi na-rollback ng Windows System Restore ang mga pagbabagong ginawa, maaari mong buksan ang mga backup ng registry mula sa folder Backup.
Paano gumawa ng restore point
Tara na sa Start - Control Panel - System - System Protection:
I-click ang "System Protection" sa window ng "System".
I-click ang button na “Lumikha”.
Maaaring tumagal ng sampung minuto ang proseso ng paglikha ng restore point. Pagkatapos ay lilitaw ang isang window:
Gagawa ng restore point. Sa pamamagitan ng paraan, awtomatiko silang nilikha kapag nag-i-install ng mga programa at driver, ngunit hindi palaging. Samakatuwid, bago ang mga mapanganib na aksyon (pag-set up, paglilinis ng system), mas mahusay na muling lumikha ng isang restore point, upang sa kaso ng problema maaari mong purihin ang iyong sarili para sa iyong pag-iintindi sa kinabukasan.
Paano i-restore ang iyong computer gamit ang restore point
Mayroong dalawang mga opsyon para sa paglulunsad ng System Restore - mula sa ilalim ng pagpapatakbo ng Windows at gamit ang disc ng pag-install.
Opsyon 1 - kung magsisimula ang Windows
Tara na sa Start - All Programs - Accessories - System Tools - System Restore:
Magsisimula Pumili ng ibang restore point at pindutin Susunod. Magbubukas ang isang listahan ng mga restore point. Piliin ang kailangan mo:
Awtomatikong magre-restart ang computer. Pagkatapos mag-download, ang lahat ng mga setting, ang pagpapatala nito at ilang mahahalagang file ay maibabalik.
Opsyon 2 - kung hindi nag-boot ang Windows
Kailangan mo ng "installation" disk na may Windows 7 o Windows 8. Sumulat ako kung saan ito makukuha (o i-download ito).
Mag-boot mula sa disk (kung paano mag-boot mula sa mga boot disk ay nakasulat) at piliin ang:
Piliin ang "System Restore" sa halip na i-install ang Windows
Pag-aayos ng system pagkatapos ng mga virus o hindi tamang pagkilos sa computer
Bago ang lahat ng mga aksyon, alisin ang mga virus, halimbawa, gamit. Kung hindi, walang punto - ang tumatakbong virus ay "masira" muli ang mga naitama na setting.
Pagpapanumbalik ng mga paglulunsad ng programa
Kung hinarangan ng isang virus ang paglunsad ng anumang mga programa, tutulungan ka ng AVZ. Siyempre, kailangan mo pa ring ilunsad ang AVZ mismo, ngunit ito ay medyo madali:
Pumunta muna kami sa Control Panel- magtakda ng anumang uri ng pagtingin, maliban sa Kategorya - Mga Opsyon sa Folder - Tingnan- alisan ng tsek Itago ang mga extension para sa mga nakarehistrong uri ng file - OK. Ngayon ay makikita mo na ang bawat file extension- ilang mga character pagkatapos ng huling tuldok sa pangalan. Ito ay kadalasang nangyayari sa mga programa. .exe At .com. Upang patakbuhin ang AVZ antivirus sa isang computer kung saan ipinagbabawal ang pagpapatakbo ng mga program, palitan ang pangalan ng extension sa cmd o pif:
Pagkatapos ay magsisimula ang AVZ. Pagkatapos sa mismong window ng programa, i-click file - :
Mga dapat tandaan:
1. Pagpapanumbalik ng mga parameter ng startup ng .exe, .com, .pif file(sa totoo lang, nalulutas nito ang problema sa paglulunsad ng mga programa)
6. Pag-alis ng lahat ng Patakaran (paghihigpit) ng kasalukuyang gumagamit(sa ilang mga bihirang kaso, nakakatulong din ang item na ito na malutas ang problema sa pagsisimula ng mga programa kung ang virus ay lubhang nakakapinsala)
9. Pag-alis ng mga debugger sa proseso ng system(Lubhang ipinapayong tandaan ang puntong ito, dahil kahit na suriin mo ang system gamit ang isang antivirus, maaaring manatili ang isang bagay mula sa virus. Nakakatulong din ito kung hindi lilitaw ang Desktop kapag nagsimula ang system)
, kumpirmahin ang aksyon, lalabas ang isang window na may text na "Nakumpleto ang pag-restore ng system." Pagkatapos, ang natitira na lang ay i-restart ang computer - malulutas ang problema sa paglulunsad ng mga programa!Ipinapanumbalik ang paglulunsad ng Desktop
Ang isang medyo karaniwang problema ay ang desktop ay hindi lilitaw kapag nagsimula ang system.
Ilunsad mesa magagawa mo ito: pindutin ang Ctrl+Alt+Del, ilunsad ang Task Manager, doon pindutin File - Bagong gawain (Run...) - pumasok explorer.exe:
Upang maiwasang gawin ito sa bawat oras, kailangan mong ibalik ang key ng paglunsad ng programa explorer(“Explorer”, na responsable para sa karaniwang pagtingin sa mga nilalaman ng mga folder at pagpapatakbo ng Desktop). Sa AVZ click file- at markahan ang item
Pag-unlock ng Task Manager at Registry Editor
Kung hinarangan ng isang virus ang paglulunsad ng dalawang nabanggit na programa, maaari mong alisin ang pagbabawal sa pamamagitan ng window ng AVZ program. Suriin lamang ang dalawang punto:
11. I-unlock ang task manager
17. Ina-unlock ang registry editor
At i-click Isagawa ang mga minarkahang operasyon.
Mga problema sa Internet (VKontakte, Odnoklassniki at mga antivirus site ay hindi nagbubukas)
Nililinis ang system mula sa hindi kinakailangang mga file
Mga programa AVZ alam kung paano linisin ang iyong computer mula sa mga hindi kinakailangang file. Kung wala kang naka-install na programa sa paglilinis ng hard drive sa iyong computer, gagawin ng AVZ, dahil maraming mga posibilidad:
Higit pang mga detalye tungkol sa mga puntos:
- I-clear ang system cache Prefetch- paglilinis ng folder na may impormasyon tungkol sa kung aling mga file ang ilo-load nang maaga para sa mabilis na paglulunsad ng mga programa. Ang pagpipilian ay walang silbi, dahil ang Windows mismo ay matagumpay na sinusubaybayan ang Prefetch folder at nililinis ito kapag kinakailangan.
- Tanggalin ang Windows Log Files- maaari mong i-clear ang iba't ibang mga database at mga file na nag-iimbak ng iba't ibang mga talaan ng mga kaganapan na nagaganap sa operating system. Ang opsyon ay kapaki-pakinabang kung kailangan mong magbakante ng isang dosenang o dalawang megabytes ng espasyo sa iyong hard drive. Iyon ay, ang benepisyo mula sa paggamit nito ay bale-wala, ang pagpipilian ay walang silbi.
- Tanggalin ang memory dump file- kapag nangyari ang mga kritikal na error, naaabala ng Windows ang operasyon nito at ipinapakita ang BSOD (asul na screen ng kamatayan), kasabay nito ang pag-save ng impormasyon tungkol sa pagpapatakbo ng mga programa at mga driver sa isang file para sa kasunod na pagsusuri ng mga espesyal na programa upang matukoy ang salarin ng pagkabigo. Ang pagpipilian ay halos walang silbi, dahil pinapayagan ka nitong manalo lamang ng sampung megabytes ng libreng espasyo. Ang pag-clear ng memory dump file ay hindi nakakasama sa system.
- I-clear ang listahan ng mga Kamakailang dokumento- Kakatwa, ang opsyon ay nag-clear sa listahan ng Mga Kamakailang Dokumento. Ang listahang ito ay matatagpuan sa Start menu. Maaari mo ring i-clear ang listahan nang manu-mano sa pamamagitan ng pag-right click sa item na ito sa Start menu at pagpili sa "I-clear ang listahan ng mga kamakailang item." Ang opsyon ay kapaki-pakinabang: Napansin ko na ang pag-clear sa listahan ng mga kamakailang dokumento ay nagbibigay-daan sa Start menu na ipakita ang mga menu nito nang mas mabilis. Hindi nito masisira ang sistema.
- Pag-clear sa folder ng TEMP- Ang Holy Grail para sa mga naghahanap ng dahilan para sa pagkawala ng libreng espasyo sa C: drive. Ang katotohanan ay maraming mga programa ang nag-iimbak ng mga file sa folder ng TEMP para sa pansamantalang paggamit, na nakakalimutang "maglinis pagkatapos ng kanilang sarili" sa ibang pagkakataon. Ang isang karaniwang halimbawa ay ang mga archiver. I-unpack nila ang mga file doon at makakalimutang tanggalin ang mga ito. Ang pag-clear sa folder ng TEMP ay hindi nakakapinsala sa system; maaari itong magbakante ng maraming espasyo (sa partikular na mga advanced na kaso, ang pakinabang sa libreng espasyo ay umabot sa limampung gigabytes!).
- Adobe Flash Player - pag-clear ng mga pansamantalang file- Ang "flash player" ay maaaring mag-save ng mga file para sa pansamantalang paggamit. Maaari silang alisin. Minsan (bihira) nakakatulong ang opsyong ito sa pagharap sa mga glitches ng Flash Player. Halimbawa, sa mga problema sa paglalaro ng video at audio sa website ng VKontakte. Walang pinsala sa paggamit.
- Pag-clear sa cache ng terminal client- Sa pagkakaalam ko, ang pagpipiliang ito ay nag-clear ng mga pansamantalang file ng isang bahagi ng Windows na tinatawag na "Remote Desktop Connection" (malayuang pag-access sa mga computer sa pamamagitan ng RDP). Pagpipilian parang hindi nakakapinsala, nagpapalaya ng isang dosenang megabytes ng espasyo sa pinakamahusay. Walang kwenta ang paggamit nito.
- IIS - Pagtanggal ng HTTP Error Log- ito ay tumatagal ng mahabang panahon upang ipaliwanag kung ano ito. Sabihin ko lang na mas mabuting huwag paganahin ang opsyon sa pag-clear ng log ng IIS. Sa anumang kaso, wala itong pinsala, at wala ring pakinabang.
- Macromedia Flash Player- mga duplicate ng item "Adobe Flash Player - pag-clear ng mga pansamantalang file", ngunit nakakaapekto sa mga sinaunang bersyon ng Flash Player.
- Java - pag-clear ng cache- nagbibigay sa iyo ng pakinabang ng ilang megabytes sa iyong hard drive. Hindi ako gumagamit ng mga programang Java, kaya hindi ko nasuri ang mga kahihinatnan ng pagpapagana ng opsyon. Hindi ko inirerekomendang i-on ito.
- Tinatanggalan ng laman ang Basura- ang layunin ng item na ito ay ganap na malinaw mula sa pangalan nito.
- Alisin ang mga log ng pag-install ng update ng system- Pinapanatili ng Windows ang isang log ng mga naka-install na update. Kapag na-enable ang opsyong ito, iki-clear ang log. Ang pagpipilian ay walang silbi dahil walang pakinabang sa libreng espasyo.
- Alisin ang Windows Update Protocol- katulad ng nakaraang punto, ngunit ang iba pang mga file ay tinanggal. Isa ring walang silbi na opsyon.
- I-clear ang database ng MountPoints- kung kapag ikinonekta mo ang isang flash drive o hard drive, ang mga icon na kasama nila ay hindi nilikha sa window ng Computer, makakatulong ang pagpipiliang ito. Ipinapayo ko sa iyo na paganahin lamang ito kung mayroon kang mga problema sa pagkonekta sa mga flash drive at disk.
- Internet Explorer - pag-clear ng cache- nililinis ang mga pansamantalang file ng Internet Explorer. Ang pagpipilian ay ligtas at kapaki-pakinabang.
- Microsoft Office - pag-clear ng cache- nililinis ang mga pansamantalang file ng mga programa ng Microsoft Office - Word, Excel, PowerPoint at iba pa. Hindi ko masuri ang mga opsyon sa seguridad dahil wala akong Microsoft Office.
- Pag-clear ng cache ng CD burning system- isang kapaki-pakinabang na opsyon na nagbibigay-daan sa iyong tanggalin ang mga file na inihanda mo para sa pagsunog sa mga disk.
- Nililinis ang folder ng TEMP ng system- hindi tulad ng user na TEMP folder (tingnan ang punto 5), ang paglilinis ng folder na ito ay hindi palaging ligtas, at kadalasan ay nagpapalaya ng maliit na espasyo. Hindi ko inirerekomendang i-on ito.
- MSI - nililinis ang folder ng Config.Msi- Ang folder na ito ay nag-iimbak ng iba't ibang mga file na nilikha ng mga installer ng program. Malaki ang folder kung hindi nakumpleto nang tama ng mga installer ang kanilang trabaho, kaya ang paglilinis ng folder ng Config.Msi ay makatwiran. Gayunpaman, binabalaan kita - maaaring may mga problema sa pag-uninstall ng mga program na gumagamit ng mga installer ng .msi (halimbawa, Microsoft Office).
- I-clear ang mga log ng scheduler ng gawain- Ang Windows Task Scheduler ay nagpapanatili ng isang log kung saan nagtatala ito ng impormasyon tungkol sa mga natapos na gawain. Hindi ko inirerekumenda na paganahin ang item na ito, dahil walang benepisyo, ngunit magdaragdag ito ng mga problema - Ang Windows Task Scheduler ay isang medyo buggy component.
- Alisin ang Windows Setup Logs- Ang pagkapanalo sa isang lugar ay hindi gaanong mahalaga, walang saysay na tanggalin.
- Windows - nililinis ang cache ng icon- kapaki-pakinabang kung mayroon kang mga problema sa mga shortcut. Halimbawa, kapag lumitaw ang Desktop, hindi agad lilitaw ang mga icon. Ang pagpapagana sa opsyong ito ay hindi makakaapekto sa katatagan ng system.
- Google Chrome - pag-clear ng cache- isang napaka-kapaki-pakinabang na opsyon. Ang Google Chrome ay nag-iimbak ng mga kopya ng mga pahina sa isang itinalagang folder upang makatulong sa pagbukas ng mga site nang mas mabilis (na-load ang mga pahina mula sa iyong hard drive sa halip na mag-download sa Internet). Minsan ang laki ng folder na ito ay umaabot sa kalahating gigabyte. Kapaki-pakinabang ang paglilinis dahil naglalabas ito ng espasyo sa iyong hard drive;
- Mozilla Firefox - Nililinis ang folder ng CrashReports- sa tuwing may problema sa Firefox browser at nag-crash ito, nalilikha ang mga file ng ulat. Tinatanggal ng opsyong ito ang mga file ng ulat. Ang pakinabang sa libreng espasyo ay umabot ng ilang sampu-sampung megabytes, iyon ay, ang opsyon ay hindi gaanong ginagamit, ngunit nariyan ito. Hindi nakakaapekto sa katatagan ng Windows at Mozilla Firefox.
Depende sa mga naka-install na programa, mag-iiba ang bilang ng mga item. Halimbawa, kung naka-install ang Opera browser, maaari mo ring i-clear ang cache nito.
Nililinis ang listahan ng mga startup program
Ang isang tiyak na paraan upang mapabilis ang pagsisimula at bilis ng iyong computer ay upang linisin ang listahan ng startup. Kung ang mga hindi kinakailangang programa ay hindi magsisimula, kung gayon ang computer ay hindi lamang i-on nang mas mabilis, ngunit gagana rin nang mas mabilis - dahil sa mga nabakanteng mapagkukunan na hindi kukunin ng mga programang tumatakbo sa background.
Maaaring tingnan ng AVZ ang halos lahat ng butas sa Windows kung saan inilunsad ang mga programa. Maaari mong tingnan ang listahan ng autorun sa menu na Tools - Autorun Manager:
Ang karaniwang gumagamit ay ganap na hindi nangangailangan ng gayong malakas na pag-andar, kaya hinihimok ko huwag i-off ang lahat. Ito ay sapat na upang tumingin sa dalawang punto lamang - Autorun na mga folder At tumakbo*.
Ang AVZ ay nagpapakita ng autorun hindi lamang para sa iyong user, ngunit para din sa lahat ng iba pang profile:
Sa seksyon tumakbo* Mas mainam na huwag paganahin ang mga program na matatagpuan sa seksyon HKEY_USERS- ito ay maaaring makagambala sa pagpapatakbo ng ibang mga profile ng user at ang operating system mismo. Sa seksyon Autorun na mga folder maaari mong i-off ang lahat ng hindi mo kailangan.
Ang mga linyang kinilala ng antivirus bilang kilala ay minarkahan ng berde. Kabilang dito ang parehong mga Windows system program at mga third-party na program na mayroong digital signature.
Lahat ng iba pang mga programa ay minarkahan ng itim. Hindi ito nangangahulugan na ang mga naturang programa ay mga virus o anumang katulad nito, hindi lang lahat ng mga programa ay digital na nilagdaan.
Huwag kalimutang gawing mas malawak ang unang column upang makita ang pangalan ng program. Ang simpleng pag-alis ng check sa checkbox ay pansamantalang hindi paganahin ang autorun ng programa (maaari mong suriin muli ang kahon), ang pag-highlight ng item at pagpindot sa pindutan na may isang itim na krus ay magtatanggal ng entry nang tuluyan (o hanggang ang programa ay muling magrehistro sa autorun).
Ang tanong ay lumitaw: kung paano matukoy kung ano ang maaaring i-off at kung ano ang hindi? Mayroong dalawang solusyon:
Una, mayroong sentido komun: maaari kang gumawa ng desisyon batay sa pangalan ng .exe file ng program. Halimbawa, ang Skype, kapag naka-install, ay lumilikha ng isang entry upang awtomatikong magsimula kapag binuksan mo ang computer. Kung hindi mo ito kailangan, alisan ng tsek ang kahon na nagtatapos sa skype.exe. Sa pamamagitan ng paraan, maraming mga programa (kabilang ang Skype) ay maaaring alisin ang kanilang mga sarili mula sa pagsisimula;
Pangalawa, maaari kang maghanap sa Internet para sa impormasyon tungkol sa programa. Batay sa impormasyong natanggap, nananatili itong magpasya: alisin ito sa autorun o hindi. Pinapadali ng AVZ ang paghahanap ng impormasyon tungkol sa mga item: i-right-click lang sa item at piliin ang iyong paboritong search engine:
Sa pamamagitan ng hindi pagpapagana ng mga hindi kinakailangang programa, mapapabilis mo nang malaki ang pagsisimula ng iyong computer. Gayunpaman, hindi ipinapayong huwag paganahin ang lahat - ito ay nanganganib na mawala ang tagapagpahiwatig ng layout, hindi pagpapagana ng antivirus, atbp.
I-disable lang ang mga program na iyon na siguradong alam mo - hindi mo kailangan ang mga ito sa startup.
Bottom line
Sa prinsipyo, ang isinulat ko tungkol sa artikulo ay katulad ng pagmamartilyo ng mga kuko gamit ang isang mikroskopyo - ang programa ng AVZ ay angkop para sa pag-optimize ng Windows, ngunit sa pangkalahatan ito ay isang kumplikado at makapangyarihang tool na angkop para sa pagsasagawa ng iba't ibang uri ng mga gawain. Gayunpaman, upang magamit ang AVZ sa kabuuan nito, kailangan mong malaman ang Windows nang lubusan, upang maaari kang magsimula sa maliit - ibig sabihin, kung ano ang inilarawan ko sa itaas.
Kung mayroon kang anumang mga katanungan o komento, mayroong isang seksyon ng komento sa ilalim ng mga artikulo kung saan maaari kang sumulat sa akin. Sinusubaybayan ko ang mga komento at susubukan kong tumugon sa iyo sa lalong madaling panahon.
Mga kaugnay na post:
Parang
Parang
