Антивірусні програми, навіть при виявленні та видаленні шкідливого програмного забезпечення, далеко не завжди відновлюють повну працездатність системи. Нерідко, після видалення вірусу, користувач комп'ютера отримує порожній робочий стіл, повну відсутність доступу до Інтернету (або блокування доступу до деяких сайтів), мишку, що не працює, і т.п. Викликано це, як правило, тим, що залишилися недоторканими деякі системні або налаштування користувача, змінені шкідливою програмою.

Утиліта безкоштовна, працює без установки, напрочуд функціональна і виручала мене в різних ситуаціях. Вірус, як правило, вносить зміни до реєстру системи (додавання в автозавантаження, модифікація параметрів запуску програм тощо). Щоб не копатися в системі, вручну виправляючи сліди вірусу, варто скористатися наявною в AVZ операцією "відновлення системи" (хоча і як антивірус утиліта дуже непогана, дуже непогано перевірити утилітою диски на наявність вірусів).

Щоб запустити відновлення, запускаємо утиліту. Потім натискаємо файл – відновлення системи

і перед нами відкриється таке віконце

відзначаємо потрібні нам галочки і тиснемо "Виконати зазначені операції"

1.Відновлення параметрів запуску.exe, .com, .pif файлів

Ця мікропрограма відновлює реакцію системи на файли exe, com, pif, scr.

Показання до застосування:після видалення вірусу перестають запускатись програми.

2.Скидання налаштувань префіксів протоколів Internet Explorer на стандартні

Ця мікропрограма відновлює налаштування префіксів протоколів в Internet Explorer

Показання до застосування:при введенні адреси типу www.yandex.ru йде його заміна на щось виду www.seque.com/abcd.php?url=www.yandex.ru

3.Відновлення стартової сторінки Internet Explorer

Ця мікропрограма відновлює стартову сторінку в Internet Explorer

Показання до застосування:заміна стартової сторінки

4.Скидання налаштувань пошуку Internet Explorer на стандартні

Ця мікропрограма відновлює налаштування пошуку в Internet Explorer

Показання до застосування:При натисканні кнопки «Пошук» у IE йде звернення до якогось стороннього сайту

5.Відновлення налаштувань робочого столу

Ця мікропрограма відновлює налаштування робочого столу. Відновлення означає видалення всіх активних елементів ActiveDesctop, шпалер, зняття блокувань на меню, що відповідає за налаштування робочого столу.

Показання до застосування:Зникли закладки налаштування робочого стола у вікні «Властивості:екран», на робочому столі відображаються сторонні написи або малюнки

6.Видалення всіх Policies (обмежень) поточного користувача

Windows передбачає механізм обмежень дій користувача, який називають Policies. Цією технологією користуються багато шкідливих програм, оскільки налаштування зберігаються в реєстрі і їх нескладно створювати або модифікувати.

Показання до застосування:Заблоковано функції провідника чи інші функції системи.

7.Видалення повідомлення, що виводиться під час WinLogon

Windows NT та наступні системи в лінійці NT (2000, XP) дозволяють встановити повідомлення, що відображається під час автозавантаження. Цим користується ряд шкідливих програм, причому знищення шкідливої ​​програми не призводить до знищення цього повідомлення.

Показання до застосування:Під час завантаження системи вводиться стороннє повідомлення.

8.Відновлення налаштувань провідника

Дана мікропрограма скидає ряд налаштувань провідника на стандартні (скидаються в першу чергу налаштування, що змінюються шкідливими програмами).

Показання до застосування:Змінено налаштування провідника

9.Видалення відладчиків системних процесів

Реєстрація налагоджувача системного процесу дозволять здійснити прихований запуск програми, що й використовується рядом шкідливих програм

Показання до застосування: AVZ виявляє невідомі налагоджувачі системних процесів, виникають проблеми із запуском системних компонентів, зокрема після перезавантаження зникає робочий стіл.

10. Відновлення налаштувань завантаження в SafeMode

Деякі шкідливі програми, зокрема хробак Bagle, ушкоджують налаштування завантаження системи в захищеному режимі. Ця мікропрограма відновлює налаштування завантаження у захищеному режимі.

Показання до застосування:Комп'ютер не завантажується у захищеному режимі (SafeMode). Застосовувати цю мікропрограму слід тільки у разі проблем із завантаженням у захищеному режимі .

11. Розблокування диспетчера завдань

Блокування диспетчера завдань застосовується шкідливими програмами захисту процесів від виявлення і видалення. Відповідно виконання даної мікропрограми знімає блокування.

Показання до застосування:Блокування диспетчера завдань, під час спроби виклику диспетчера задач виводиться повідомлення «Диспетчер завдань заблокований адміністратором».

12.Очищення списку ігнорування утиліти HijackThis

Утиліта HijackThis зберігає в реєстрі ряд своїх налаштувань, зокрема – список винятків. Тому для маскування від HijackThis шкідливій програмі достатньо зареєструвати свої файли в списку винятків. Зараз відомий ряд шкідливих програм, що використовують цю вразливість. Мікропрограма AVZ виконує очищення списку виключень утиліти HijackThis

Показання до застосування:Підозри на те, що утиліта HijackThis відображає не всю інформацію про систему.

13. Очищення файлу Hosts

Очищення файлу Hosts зводиться до пошуку файлу Hosts, видалення всіх значних рядків і додавання стандартного рядка «127.0.0.1 localhost».

Показання до застосування:Підозри на те, що файл Hosts змінено шкідливою програмою. Типові симптоми – блокування оновлення антивірусних програм. Проконтролювати вміст Hosts можна за допомогою менеджера Hosts файлу, вбудованого в AVZ.

14. Автоматичне виправлення налаштувань SPl/LSP

Виконує аналіз налаштувань SPI і у разі виявлення помилок здійснює автоматичне виправлення знайдених помилок. Дану мікропрограму можна запускати повторно необмежену кількість разів. Після виконання цієї мікропрограми рекомендується перезавантажити комп'ютер. Зверніть увагу! Дану мікропрограму не можна запускати з термінальної сесії

Показання до застосування:Після видалення шкідливої ​​програми зник доступ до Інтернету.

15. Скидання налаштувань SPI/LSP та TCP/IP (XP+)

Дана мікропрограма працює лише у XP, Windows 2003 та Vista. Її принцип роботи заснований на скиданні та перетворенні налаштувань SPI/LSP і TCP/IP за допомогою штатної утиліти netsh, що входить до складу Windows.Зверніть увагу! Застосовувати скидання налаштувань потрібно лише в разі потреби при наявності непереборних проблем з доступом до Інтернету після видалення шкідливих програм!

Показання до застосування:Після видалення шкідливої ​​програми зник доступ до Інтернету та виконання мікропрограми «14. Автоматичне виправлення параметрів SPl/LSP» не дає результату.

16. Відновлення ключа запуску Explorer

Відновлює системні ключі реєстру, які відповідають за запуск провідника.

Показання до застосування:Під час завантаження системи не запускається провідник, але можливий запуск explorer.exe вручну.

17. Розблокування редактора реєстру

Розблокує редактор реєстру шляхом видалення політики, яка забороняє його запуск.

Показання до застосування:Неможливо запустити редактор реєстру, при спробі виводиться повідомлення про те, що його запуск заблоковано адміністратором.

18. Повне перестворення налаштувань SPI

Виконує резервне копіювання налаштувань SPI/LSP, після чого знищує їх і створює за стандартом, який зберігається в базі.

Показання до застосування:Тяжкі пошкодження налаштувань SPI, непереборні скриптами 14 і 15. Застосовувати лише у разі потреби!

19. Очистити базу MountPoints

Здійснює очищення бази MountPoints та MountPoints2 у реєстрі. Ця операція нерідко допомагає у разі, коли після зараження Flash-вірусом у провіднику не відкриваються диски

Для відновлення необхідно відзначити один або кілька пунктів і натиснути кнопку «Виконати зазначені операції». Натискання кнопки "ОК" закриває вікно.

На замітку:

Відновлення марно, якщо в системі працює троянська програма, яка виконує подібні переналаштування - необхідно спочатку видалити шкідливу програму, а потім відновлювати налаштування системи

На замітку:

Для усунення слідів більшості Hijacker необхідно виконати три мікропрограми - "Скидання налаштувань пошуку Internet Explorer на стандартні", "Відновлення стартової сторінки Internet Explorer", "Скидання налаштувань префіксів протоколів Internet Explorer на стандартні"

На замітку:

Будь-яку мікропрограму можна виконувати кілька разів поспіль без шкоди для системи. Винятки – «5. Відновлення налаштувань робочого столу» (робота цієї мікропрограми скине всі налаштування робочого столу і доведеться заново вибирати розмальовку робочого столу та шпалери) та «10. Відновлення параметрів завантаження в SafeMode» (дана мікропрограма перетворює ключі реєстру, які відповідають за завантаження в безпечному режимі).

Лайкнути

Лайкнути

Твітнути

Існують універсальні як швейцарський ніж програми. Герой моєї статті – саме такий «універсал». Звати його AVZ(Антивірус Зайцева). За допомогою цього безкоштовногоАнтивірусу та віруси виловити можна, і систему оптимізувати, і проблеми виправити.

Можливості AVZ

Про те, що це антивірусна програма, я вже розповідав. Про роботу AVZ як одноразовий антивірус (точніше, антируткіт) добре розказано в довідці до неї, я ж покажу вам іншу сторону програми: перевірка та відновлення налаштувань.

Що можна «полагодити» за допомогою AVZ:

• Відновити запуск програм (.exe, .com, .pif файлів)
• Скинути налаштування Internet Explorer на стандартні
• Відновити налаштування робочого столу
• Зняти обмеження прав (наприклад, якщо вірус заблокував запуск програм)
• Видалити банер або вікно, що з'являється до входу в систему
• Видалити віруси, які вміють запускатися разом із будь-якою програмою
• Розблокувати диспетчер завдань та редактор реєстру (якщо вірус заборонив їх запуск)
• Очистити файл
• Заборонити автозапуск програм з флешок та дисків
• Видалити непотрібні файли з жорсткого диска
• Виправити проблеми з Робочим столом
• І багато іншого

Також з її допомогою можна перевірити на безпеку налаштування Windows (щоб краще захистити від вірусів), а також оптимізувати систему, почистивши автозавантаження.

Сторінка завантаження AVZ знаходиться.

Програма безкоштовна.

Спочатку убезпечимо свою Windows від необережних дій

Програма AVZ має дужебагато функцій, що стосуються роботи Windows. Це небезпечно, тому що у разі помилки може статися біда. Прохання уважно читати текст та довідку, перш ніж щось робити. Автор статті не несе відповідальності за ваші дії.

Щоб мати все можливість «повернути як було» після необережної роботи з AVZ, я написав цей розділ.

Це обов'язковий крок, по суті, створення «шляху відходу» у разі необережних дій - завдяки точці відновлення можна буде відновити налаштування, реєстр Windows до більш раннього стану.

Система відновлення Windows - це обов'язковий компонент усіх версій Windows, починаючи з Windows ME. Шкода, що про нього зазвичай не згадують і втрачають час, встановлюючи Windows і програми, хоча можна було лише кілька разів клікнути мишкою і уникнути всіх проблем.

Якщо серйозні пошкодження (наприклад, видалена частина системних файлів), то «Відновлення системи» не допоможе. В інших випадках - якщо ви неправильно налаштували Windows, "намудрили" з реєстром, поставили програму, від якої Windows не завантажується, неправильно скористалися програмою AVZ - "Відновлення системи" має допомогти.

Після роботи AVZ створює у своїй папці підпапки з резервними копіями:

/Backup- там зберігаються резервні копії реєстру.

/Infected- Копії віддалених вірусів.

/Quarantine- Копії підозрілих файлів.

Якщо після роботи AVZ почалися проблеми (наприклад, ви бездумно скористалися інструментом AVZ «Відновленням системи» та Інтернет перестав працювати) і Відновлення системи Windows не відкотило зроблені зміни, можна відкрити резервні копії реєстру з папки Backup.

Як створити точку відновлення

Йдемо до Пуск - Панель управління - Система - Захист системи:

Натискаємо "Захист системи" у вікні "Система".

Натискаємо кнопку "Створити".

Процес створення точки відновлення може тривати з десяток хвилин. Потім з'явиться вікно:

Точка відновлення буде створена. До речі, вони автоматично створюються при встановленні програм та драйверів, але не завжди. Тому перед небезпечними діями (налаштуванням, чищенням системи) краще зайвий раз створити точку відновлення, щоб у разі лиха хвалити себе за передбачливість.

Як відновити комп'ютер за допомогою точки відновлення

Існує два варіанти запуску відновлення системи - з-під запущеної Windows і за допомогою диска з установкою.

Варіант 1 – якщо Windows запускається

Йдемо до Пуск - Усі програми - Стандартні - Службові - Відновлення системи:

Запуститься Вибрати іншу точку відновленнята натискаємо Далі.Відкриється список точок відновлення. Вибираємо ту, яка потрібна:

Комп'ютер автоматично перезавантажиться. Після завантаження всі налаштування, його реєстр та частина важливих файлів буде відновлено.

Варіант 2 – якщо Windows не завантажується

Потрібен «настановний» диск з Windows 7 або Windows 8. Де його дістати (або завантажити), я написав у .

Завантажуємося з диска (як завантажуватись із завантажувальних дисків, написано ) і вибираємо :

Вибираємо «Відновлення системи» замість інсталяції Windows

Полагодження системи після вірусів або невмілих дій з комп'ютером

До всіх дій позбавтеся вірусів, наприклад, за допомогою . В іншому випадку толку не буде - виправлені налаштування запущений вірус знову «поломає».

Відновлення запуску програм

Якщо вірус заблокував запуск будь-яких програм, AVZ вам допоможе. Звичайно, треба ще запустити сам AVZ, але це досить легко:

Спочатку йдемо в Панель управління- ставимо будь-який вид перегляду, крім Категорії - Параметри папок - Вид- зняти галку з Приховувати розширення для зареєстрованих типів файлів – OK.Тепер у кожного файлу видно розширення- кілька символів після останньої точки імені. У програм це зазвичай .exeі .com. Щоб запустити антивірус AVZ на комп'ютері, де заборонено запуск програм, перейменуйте розширення cmd або pif:

Тоді AVZ запуститься. Потім у самому вікні програми натискаємо Файл - :

Слід зазначити пункти:

1. Відновлення параметрів запуску.exe, .com, .pif файлів(Власне, вирішує проблему запуску програм)

6. Видалення всіх Policies (обмежень) поточного користувача(у деяких випадках цей пункт також допомагає вирішити проблему запуску програм, якщо вірус потрапив дуже шкідливий)

9. Видалення налагоджувачів системних процесів(Дуже бажано відзначити і цей пункт, тому що навіть якщо ви перевірили систему антивірусом, від вірусу щось могло залишитися. Також допомагає у випадку, якщо Робочий стіл не з'являється при запуску системи)

підтверджуємо дію, з'являється вікно з текстом «Відновлення системи виконано». Після залишається перезавантажити комп'ютер – проблему із запуском програм буде вирішено!

Відновлення запуску робочого столу

Досить часта проблема - під час запуску системи не з'являється Робочий стіл.

Запустити Робочий стілможна так: натискаємо Ctrl+Alt+Del, запускаємо Диспетчер завдань, там натискаємо Файл - Нове завдання (Виконати…) -вводимо explorer.exe:

ОК- Робочий стіл запуститься. Але це лише тимчасове вирішення проблеми – при наступному включенні комп'ютера доведеться все повторити заново.

Щоб не робити так щоразу, треба відновити ключ запуску програми explorer(«Провідник», який відповідає за стандартний перегляд вмісту папок та роботу Робочого столу). В AVZ натискаємо Файл- і відзначаємо пункт

Виконати зазначені операції, підтверджуємо дію, натискаємо Добре.Тепер при запуску комп'ютера робочий стіл буде запускатись нормально.

Розблокування Диспетчера завдань та Редактора реєстру

Якщо вірус заблокував запуск двох вищезгаданих програм, за допомогою вікна програми AVZ можна заборону прибрати. Просто позначте два пункти:

11. Розблокування диспетчера завдань

17. Розблокування редактора реєстру

І натисніть Виконати зазначені операції.

Проблеми з інтернетом (не відкриваються сайти Вконтакте, Однокласники та сайти антивірусів)

Чищення системи від непотрібних файлів

Програми AVZвміє чистити комп'ютер від непотрібних файлів Якщо на комп'ютері не встановлена ​​програма очищення жорсткого диска, то зійде і AVZ, благо можливостей багато:

Докладніше про пункти:

1. Очистити кеш системи Prefetch- очищення папки з інформацією про те, які файли завантажувати заздалегідь для швидкого запуску програм. Опція марна, тому що Windows сама цілком успішно стежить за папкою Prefetch і чистить її, коли потрібно.
2. Видалити файли журналів Windows- можна очистити різноманітні бази даних і файли, що містять у собі різні записи про події, що відбуваються в операційній системі. Опція корисна, якщо треба звільнити з десяток-другий мегабайт місця на жорсткому диску. Тобто вигода від використання мізерна, опція марна.
3. Видалити файли дампів пам'яті- при виникненні критичних помилок Windows перериває свою роботу і показує BSOD (синій екран смерті), заодно зберігаючи інформацію про запущені програми та драйвери у файл для подальшого аналізу спеціальними програмами, щоб виявити винуватця збою. Опція майже марна, оскільки дозволяє виграти лише десяток мегабайт вільного місця. Очищення файлів дампів пам'яті системі не шкодить.
4. Очистити список Останні документи- як не дивно, опція очищує список недавніх документів. Цей список знаходиться у меню Пуск. Очищення списку можна зробити і вручну, натиснувши правою кнопкою цього пункту в меню Пуск і вибравши «Очистити список останніх елементів». Опція корисна: мною було помічено, що очищення списку недавніх документів дозволяє меню Пуск відображати свої меню трохи швидше. Системі не зашкодить.
5. Очищення папки TEMP- Святий Грааль для тих, хто шукає причину зникнення вільного місця на диску C:. Справа в тому, що в папці TEMP багато програм складають файли для тимчасового використання, забуваючи потім «прибрати за собою». Типовий приклад – архіватори. Розпакують туди файли та забудуть видалити. Очищення папки TEMP системі не шкодить, місця може звільнити багато (в особливо запущених випадках виграш вільного місця досягає півсотні гігабайт!).
6. Adobe Flash Player - очищення тимчасових файлів- "Флеш-плеєр" може зберігати файли для тимчасового використання. Їх можна видалити. Іноді (рідко) опція допомагає у боротьбі з глюками Flash Player. Наприклад, із проблемами відтворення відео та аудіо на сайті Вконтакте. Шкоди від використання немає.
7. Очищення кешу термінального клієнта- наскільки я знаю, ця опція очищає тимчасові файли Windows під назвою «Підключення до віддаленого робочого столу» (віддалений доступ до комп'ютерів за протоколом RDP). Опція начебтошкоди не завдає, місця звільняє з десяток мегабайт у кращому випадку. Сенсу використати немає.
8. IIS - видалення журналу помилок HTTP- Довго пояснювати, що це таке. Скажу лише, що опцію очищення журналу IIS краще не вмикати. У жодному разі шкоди не завдає, користі теж.
9. Macromedia Flash Player- пункт дублює "Adobe Flash Player - очищення тимчасових файлів"Але зачіпає досить стародавні версії Флеш Плеєра.
10. Java - очищення кешу- дає виграш у пару мегабайт на жорсткому диску. Я не користуюся програмами Java, тому наслідки включення опції не перевіряв. Не раджу вмикати.
11. Очищення кошика- Призначення цього пункту абсолютно зрозуміло з його назви.
12. Видалити протоколи встановлення оновлень системи- Windows веде журнал встановлених оновлень. Увімкнення цієї опції очищає журнал. Опція марна, тому що виграшу вільного місця ніякого.
13. Видалити протокол Windows Update- аналогічно до попереднього пункту, але видаляються інші файли. Теж марна опція.
14. Очистити базу MountPoints- якщо під час підключення флешки або жорсткого диска не створюються значки з ними у вікні Комп'ютер, ця опція може допомогти. Раджу включати лише в тому випадку, якщо у вас проблеми з підключенням флешок та дисків.
15. Internet Explorer – очищення кешу- Очищає тимчасові файли Internet Explorer. Опція безпечна та корисна.
16. Microsoft Office – очищення кешу- очищає тимчасові файли програм Microsoft Office – Word, Excel, PowerPoint та інших. Перевірити безпеку опції не можу, тому що у мене немає Microsoft Office.
17. Очищення кешу системи запису на компакт-диск- Корисна опція, що дозволяє видалити файли, які Ви підготували для запису на диски.
18. Очищення системної папки TEMP- на відміну від папки TEMP (див. пункт 5) очищення цієї папки не завжди безпечне, та й місця зазвичай звільняється небагато. Включати не раджу.
19. MSI - очищення папки Config.Msi- у цій папці зберігаються різні файли, створені інсталяторами програм. Папка має великий обсяг, якщо програми установки некоректно завершували свою роботу, тому чищення папки Config.Msi виправдане. Тим не менш, попереджаю - можуть виникнути проблеми з видаленням програм, що використовують .msi-інсталятори (наприклад, Microsoft Office).
20. Очистити протоколи планувальника завдань- Планувальник завдань Windows зберігає журнал, де записує інформацію про виконані завдання. Не рекомендую включати цей пункт, тому що вигоди немає, проте проблем додасть - Планувальник завдань Windows досить глючний компонент.
21. Видалити протоколи інсталяції Windows- Виграш місця несуттєвий, сенсу видаляти немає.
22. Windows - очищення кеш іконок- Корисно, якщо у вас проблеми з ярликами. Наприклад, з появою робочого столу значки з'являються не відразу. Увімкнення опції на стабільність системи не вплине.
23. Google Chrome - очищення кешу- Дуже корисна опція. Google Chrome зберігає копії сторінок у відведеній для цього папці, щоб швидше відкривати сайти (сторінки завантажуються з жорсткого диска замість завантаження через інтернет). Іноді розмір цієї папки досягає півгігабайт. Очищення корисне через звільнення місця на жорсткому диску, стабільність ні Windows, ні Google Chrome не впливає.
24. Mozilla Firefox - очищення папки CrashReports- Щоразу, коли з браузером Firefox трапляється проблема і він аварійно закривається, створюються файли звіту. Ця опція видаляє звіти. Виграш вільного місця досягає пару десятків мегабайт, тобто користі від опції мало, але є. На стабільність Windows та Mozilla Firefox не впливає.

Залежно від встановлених програм кількість пунктів буде відрізнятися. Наприклад, якщо встановлено браузер Opera, можна буде очистити його кеш теж.

Чистка списку автозапуску програм

Правильний спосіб прискорити увімкнення комп'ютера та швидкість його роботи - чищення списку автозапуску. Якщо непотрібні програми не будуть запускатися, то комп'ютер не тільки включатиметься швидше, а й працювати швидше теж - за рахунок ресурсів, що звільнилися, які не будуть забирати запущені у фоні програми.

AVZ вміє переглядати практично всі лазівки у Windows, через які запускаються програми. Переглянути список автозапуску можна в меню Сервіс - Менеджер автозапуску:

Пересічному користувачеві настільки потужний функціонал абсолютно ні до чого, тому я закликаю не відключати все поспіль. Достатньо подивитися лише два пункти - Папки автозапускуі Run*.

AVZ відображає автозапуск не тільки вашого користувача, але і всіх інших профілів:

В розділі Run*краще не відключати програми, що знаходяться у розділі HKEY_USERS- це може порушити роботу інших профілів користувачів та самої операційної системи. В розділі Папки автозапускуможна вимкнути все, що вам не потрібно.

Зеленим відзначені рядки, упізнані антивірусом як відомі. Сюди входять як системні програми Windows, і сторонні програми, мають цифровий підпис.

Чорним відзначені всі інші програми. Це не означає, що такі програми є вірусами або чимось подібним, просто не всі програми мають цифровий підпис.

Не забудьте розтягнути першу колонку ширше, щоб було видно назву програми. Звичайне зняття галочки тимчасово відключить автозапуск програми (можна потім поставити галку знову), виділення пункту і натискання кнопки з чорним хрестиком видалити запис назавжди (або до того моменту, як програма знову себе пропише в автозапуск).

Постає питання: як визначити, що можна відключати, а що ні? Є два шляхи вирішення:

По-перше, є здоровий глузд: за назвою.exe файлу програми можна прийняти рішення. Наприклад, програма Skype під час встановлення створює запис для автоматичного запуску при включенні комп'ютера. Якщо вам це не потрібно – знімайте галочку з пункту, що закінчується на skype.exe. До речі, багато програм (і Скайп серед них) вміють самі прибирати себе з автозавантаження, достатньо зняти галку з відповідного пункту в налаштуваннях самої програми.

По-друге, можна пошукати в Інтернеті інформацію про програму. На основі отриманих відомостей залишається ухвалити рішення: видаляти її з автозапуску чи ні. AVZ спрощує пошук інформації про пункти: достатньо лише натиснути правою кнопкою миші по пункту і вибрати ваш улюблений пошуковик:

Вимкнувши непотрібні програми, ви відчутно прискорите запуск комп'ютера. Однак все підряд відключати небажано - це може призвести до того, що ви втратите індикатор розкладки, відключіть антивірус і т.д.

Відключайте лише ті програми, про які ви знаєте точно – вони вам в автозапуску не потрібні.

Підсумок

В принципі, те, про що я написав у статті, схоже на забиття цвяхів мікроскопом - програма AVZ підходить для оптимізації Windows, але взагалі-то це складний і потужний інструмент, що підходить для виконання різних завдань. Однак, щоб використовувати AVZ на повну котушку, потрібно досконально знати Windows, тому можна почати з малого – а саме з того, що я розповів вище.

Якщо у вас є питання або зауваження - під статей є блок коментарів, де можна написати мені. Я стежу за коментарями і постараюся якнайшвидше вам відповісти.

Схожі записи:

Лайкнути

Лайкнути

Вже минув тиждень після того, як в Україні обсушився Petya. Загалом від цього вірусу-шифрувальника постраждали понад півсотні таборів у всьому світі, але 75 % масової кібератаки обрушилося на Україну. Постраждали державні та фінансові установи по всій країні, одними з перших хто повідомив, що їхні системи зазнали хакерської атаки стали Укренерго та Київенерго. Для проникнення та блокування вірус Petya.A використав бухгалтерську програму M.E.Doc. Це програмне забезпечення дуже популярне в різних установах в Україні, що і стало фатальним. У результаті, у деяких компаній відновлення системи після вірусу Petya зайняло багато часу. Декому вдалося відновити роботу лише вчора, через 6 днів після вірусу-шифрувальника.

Ціль вірусу Petya

Метою більшості вірусів-шифрувальником є ​​вимагання. Вони шифрують інформацію на ПК жертви та вимагають у неї гроші за отримання ключа, який відновить доступ до зашифрованих даних. Але не завжди шахраї дотримуються слова. Деякі шифрувальники просто не створені для того, щоб бути розшифрованими і вірус «Петя» один з них.

Цю сумну новину повідомили фахівці із «Лабораторії Касперського». Щоб відновити дані після вірусу-шифрувальника, необхідний унікальний ідентифікатор установки вірусу. Але в ситуації з новим вірусом він взагалі не генерує ідентифікатор, тобто творці шкідливого ПЗ навіть не розглядали варіант відновлення ПК після вірусу Petya.

Але при цьому жертви отримували повідомлення в якому називалася адреса куди перевести 300 $ в биткоинах, щоб відновити систему. У таких випадках експерти не рекомендують сприяти хакерам, але все-таки творцям «Петі» вдалося заробити понад 10 000 доларів за 2 дні після масової кібератаки. Але експерти впевнені, що здирство не було їх головним завданням, оскільки цей механізм був погано продуманий, на відміну від інших механізмів вірусу. З цього можна припустити, що ціль вірусу Petya полягала в дестабілізації роботи глобальних підприємств. Також цілком можливо, що хакери просто поспішили та погано продумали частину отримання грошей.

Відновлення ПК після вірусу Petya

На жаль, після повного зараження Petya дані на комп'ютері не підлягають відновленню. Але є спосіб розблокувати комп'ютер після вірусу «Петя», якщо шифрувальник не встиг повністю зашифрувати дані. Він був оприлюднений на офіційному сайті Кіберполіції, 2 липня.

Існує три варіанти зараження вірусом Petya

- вся інформація на ПК повністю зашифрована, на екрані висвічується вікно з вимаганням грошей;
- Дані ПК частково зашифровані. Процес шифрування було перервано зовнішніми факторами (вкл. харчування);
— ПК заражений, але процес шифрування таблиць MFT не розпочато.

У першому випадку все погано. система відновлення не підлягає. Принаймні на даний момент.
У двох останніх варіантах, ситуація можна виправити.
Щоб відновити дані, які частково були зашифровані, рекомендується завантажити інсталяційний диск Windows:

Якщо жорсткий диск не був пошкоджений вірусом-шифрувальником, завантажувальна ОС побачить файли почне відновлення MBR:

Для кожної версії Windows цей процес має нюанси.

Windows XP

Після завантаження інсталяційного диска, на екран виводиться вікно "Налаштування Windows XP Professional", там потрібно вибрати "щоб відновить Windows XP за допомогою консолі відновлення натисніть R". Після натискання R і почне завантажуватися консоль відновлення.

Якщо на пристрої встановлена ​​одна операційна система і вона знаходиться на диску С, з'явиться повідомлення:
"1: C: \ WINDOWS яку копію Windows слід використовувати для входу?" Відповідно, необхідно натиснути клавішу «1» і «Enter».
Після цього з'явиться: "Введіть пароль адміністратора". Введіть пароль і натисніть «Enter» (якщо немає пароля натисніть «Enter»).
З'явиться запрошення до системи: C: \ WINDOWS> , введіть fixmbr.

Після чого з'явиться «ПОПЕРЕДЖЕННЯ».
Для підтвердження нового запису MBR потрібно натиснути «y».
Потім з'явиться повідомлення "Проводиться новий основний завантажувальний запис на фізичний диск \Device\Harddisk0\Partition0."
І: "Новий основний завантажувальний запис успішно зроблено".

Windows Vista:

Тут ситуація простіша. Завантажте ОС, виберіть мову та розкладку клавіатури. Потім на екрані з'явиться "Відновити працездатність комп'ютера" З'явиться меню, в якому потрібно вибрати "Далі". З'явиться вікно з параметрами відновленої системи, де потрібно натиснути на командний рядок, в якому потрібно ввести bootrec/FixMbr.
Після цього треба дочекатися завершення процесу, якщо все пройшло успішно, з'явиться повідомлення про підтвердження - натисніть "Enter", і комп'ютер почне перезавантажуватися. Всі.

Windows 7:

Процес відновлення схожий на Vista. Вибравши мову та розкладку клавіатури, виберіть ОС, після чого натисніть «Далі». У новому вікні виберіть пункт «Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми із запуском Windows».
Всі інші дії аналогічні Vista.

Windows 8 та 10:

Завантажте ОС, на вікні яке з'явиться оберіть пункт Відновити комп'ютер>усунення несправностей, де натиснувши командний рядок, введіть bootrec /FixMbr. Після завершення процесу натисніть «Enter» та перезавантажте пристрій.

Після того як процес відновлення MBR завершився успішно (незалежно від версії Windows) необхідно просканувати диск антивірусом.
У разі коли процес шифрування був початий вірусом, можна використовувати програмне забезпечення для відновлення файлів, наприклад, таке як Rstudio. Після скопіювання їх на знімний носій, необхідно перевстановити систему.
У випадку коли Ви використовуєте програми відновлення даних записані на завантажувальний сектор, наприклад Acronis True Image, то можете бути впевнені «Петя» не торкнувся цього сектору. А це означає, що можете повернути систему в робочий стан без переустановки.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.

Сьогодні я розповім про те, як локалізувати вірус, якщо він таки проник на ваш комп'ютер, як перемогти трояни і як відновити систему після зараження руткітами, якщо все зайшло надто далеко.

Отже, якщо у вас є підозра на те, що комп'ютер заражений, насамперед ви повинні виконати такі дії:

• відключити комп'ютер від мережі інтернет (витягнути UTP-кабель, погасити Wi-Fi);
• відключити від комп'ютера всі зовнішні пристрої (зовнішні жорсткі диски, флешки, телефони та інше).

Все це необхідно зробити для ізоляції зараженого комп'ютера від зовнішнього світу. Відключати комп'ютер потрібно обов'язково від доступу до зовнішнього світу через інтернет і від локальної внутрішньої мережі, оскільки шкідлива програма практично зі стовідсотковою ймовірністю спробує розповсюдити себе на весь доступний сегмент.

До того ж якщо зловред є частиною мережі ботнет або містить компоненти , то він не діє і активується в той момент коли надійде команда, що управляє, з зовнішньої мережі. Це застрахує нас і від витоку локальних даних у мережу, наприклад, через DNS-туннельовані чи подібні хакерські штуки.

Відновлення реєстру

Реєстр Windows, починаючи з перших версій ОС, залишається критично важливим компонентом системи, по суті є базою даних для зберігання різних параметрів і налаштувань робочого оточення, встановленого ПЗ і самої Windows. Логічно, що порушення роботи реєстру чи його ушкодження загрожує непрацездатним станом ОЗ.

Сам реєстр, який відкривається штатною утилітою regedit, фізично представлений кількома файлами, що зберігаються на шляху %SystemRoot%\System32\config\. Це файли з іменами SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT без розширень і доступні лише системних процесів NT AUTHORITY\SYSTEM, LocalSystem. Але якщо реєстр відкривати через штатний редактор, ці файли з'являться у вигляді великого ієрархічного дерева.

Перше, що спадає на думку, - це, звичайно ж, зробити бекапи цих файлів і при необхідності просто замінити биті на резервні копії. Але з-під завантаженої ОС простим копіюванням виконати це вдасться, а експорт даних із використанням regedit може бути неповноцінним. Тому розглянемо інструменти, які допоможуть нам у цій справі.

Штатні інструменти Windows для відновлення реєстру

"З коробки" Windows, на жаль, не має окремого інструменту, що дозволяє робити резервні копії реєстру. Все, що може дати система, - це функціональність морально застарілої NTBackUp родом з епохи Windows XP / 2003 Server або в нових ОС Windows 7, 8, 10, її реінкарнацію у вигляді «», що пропонує створити цілком образ системи (всієї системи – не реєстру!). ). Тому розглянемо лише невеликий приклад дій у консолі відновлення, що дозволяють відновити реєстр вручну. По суті, це операції заміни битих файлів на інфікованій системі оригінальними файлами реєстру із заздалегідь зробленої резервної копії.

Інтерфейс утиліти NTBackUp

Завантажившись у Live CD режимі з інсталяційного диска або локально встановленої консолі відновлення (для XP/2003), необхідно виконати наступні команди, описані самої Microsoft:

// Створюємо резервні копії реєстру системи
md tmp
copy c:\windows\system32\config\system c:\windows\tmp\system.bak
copy c:\windows\system32\config\software c:\windows\tmp\software.bak
copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
copy c:\windows\system32\config\security c:\windows\tmp\security.bak
copy c:\windows\system32\config\default c:\windows\tmp\default.bak

// Видаляємо биті файли із системної директорії ОС
delete c:\windows\system32\config\system
delete c:\windows\system32\config\software
delete c:\windows\system32\config\sam
delete c:\windows\system32\config\security
delete c:\windows\system32\config\default

// Копіюємо працездатні файли реєстру з тіньової копії
copy c:\windows\repair\system c:\windows\system32\config\system
copy c:\windows\repair\software c:\windows\system32\config\software
copy c:\windows\repair\sam c:\windows\system32\config\sam
copy c:\windows\repair\security c:\windows\system32\config\security
copy c:\windows\repair\default c:\windows\system32\config\default

Все, перезавантажуємо машину та дивимося на результат!

Просунуті методи відновлення реєстру

Як ми з'ясували, Windows не має гідного інструменту управління реєстром. Тому подивимося, що нам можуть запропонувати сторонні виробники.

Вікно утиліти TCPView

Список мережевих служб і співвідносних з ними резервованих портів для NT-шних систем можна подивитися у файлі %SystemRoot%system32driversetcservices - це теж по суті текстовий файл без розширення, який доступний до перегляду будь-яким блокнотом.

Вікно утиліти Nirsoft CurrPorts

І насамкінець для всього з описаного вище, що ми робили руками, можна використовувати тулзи, наприклад. Ця утиліта відновлює ключі реєстру мережних налаштувань системи зі стандартними значеннями. Крім цього, вона також:

• перевіряє файл hosts на правильність покажчика localhost (повинен посилатися на адресу 127.0.0.1);
• створює бекап поточних системних установок (за бажанням користувача);
• відключає всі мережеві адаптери та встановлює їх параметри.

Вікно утиліти WinSock XP Fix

Нативна тулза з графічним інтерфейсом, про яку ми говорили, виконує те саме, що й команди netsh int ip reset і netsh winsock reset. Аналогічна їй тулза Reset-TCPIP, яка виконує всі описані комбінації консольних команд під одним GUI.

Вікно утиліти Reset-TCPIP

Ще одна хороша безкоштовна тулза призначена для виправлення різних помилок, пов'язаних з роботою мережі та інтернету в Windows. Короткий список її можливостей:

• очистити та виправити файл hosts;
• включити Ethernet та бездротові адаптери мережі;
• скинути Winsock та протокол TCP/IP;
• очистити кеш DNS, таблиці маршрутизації, очистити статичні IP підключення;
• перезавантажити NetBIOS.

Вікно утиліти NetAdapter Repair

Live CD як рятувальний круг

І, продовжуючи нашу тему, ми просто не могли пройти повз розповідь про Live CD збірки, призначені для відновлення системи. Спочатку Live CD позиціонувався як інструмент для виконання адміністративних завдань: підготовки жорсткого диска, оперативного отримання доступу до даних, що зберігаються на дисках, і так далі. Зараз Live CD нагадують радше універсальне рятувальне коло для реанімації системи у разі різних падінь, у тому числі і після вірусної атаки. Головна їхня гідність полягає в тому, що всі інструменти зібрані під одним капотом і можуть працювати паралельно. Але є й недолік: щоб завантажитись в Live CD режимі, потрібно перезавантажувати машину, що в деяких випадках для нас неприпустимо.

Усі відомі антивірусні розробники мають безкоштовні диски для відновлення системи. Ми коротко по них пробіжимося, але заглиблюватися в деталі не станемо - ми ж домовилися на початку нашого матеріалу, що використовуватимемо тільки ті інструменти, які не є антивірусним програмним забезпеченням у чистому вигляді.

Відновлення зашифрованих файлів— це проблема, з якою зіткнулася велика кількість користувачів персональних комп'ютерів, які стали жертвою різноманітних вірусів-шифрувальників. Кількість шкідливих програм у цій групі дуже багато і збільшується з кожним днем. Тільки останнім часом ми зіткнулися з десятками варіантів шифрувальників: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt і т.д.

Звичайно, відновити зашифровані файли можна просто, виконавши інструкцію, яку творці вірусу залишають на зараженому комп'ютері. Але найчастіше вартість розшифровки дуже значна, так само потрібно знати, що частина вірусів-шифрувальників так зашифровують файли, що розшифрувати їх потім просто неможливо. І, звичайно, просто неприємно платити за відновлення своїх власних файлів.

Способи відновлення зашифрованих файлів безкоштовно

Існує кілька способів відновити зашифровані файли, використовуючи абсолютно безкоштовні та перевірені програми, такі як ShadowExplorer та PhotoRec. Перед і під час відновлення намагайтеся якнайменше використовувати заражений комп'ютер, таким чином ви збільшуєте свої шанси на вдале відновлення файлів.

Інструкцію, описану нижче, потрібно виконувати крок за кроком, якщо у вас що-небудь не виходить, то Зупиніться, запросіть допомогу написавши коментар до цієї статті або створивши нову тему на нашому .

1. Видалити вірус-шифрувальник

Kaspersky Virus Removal Tool та Malwarebytes Anti-malware можуть виявляти різні типи активних вірусів-шифрувальників і легко видалять їх з комп'ютера, але вони не можуть відновити зашифровані файли.

1.1. Видалити вірус-шифрувальник за допомогою Kaspersky Virus Removal Tool

Клацніть по кнопці Скануватидля запуску перевірки вашого комп'ютера на наявність вірусу-шифрувальника.

Дочекайтеся закінчення цього процесу та видаліть знайдених зловредів.

1.2. Видалити вірус-шифрувальник за допомогою Malwarebytes Anti-malware

Завантажте програму. Після завантаження запустіть завантажений файл.

Автоматично запустити процедуру оновлення програми. Коли вона закінчиться натисніть кнопку Запустити перевірку. Malwarebytes Anti-malware розпочне перевірку вашого комп'ютера.

Відразу після закінчення перевірки комп'ютера програма Malwarebytes Anti-malware відкриє список знайдених компонентів вірусу-шифрувальника.

Клацніть по кнопці Видалити вибранедля очищення комп'ютера. Під час видалення шкідливих програм, Malwarebytes Anti-malware може вимагати перезавантаження комп'ютера для продовження процесу. Підтвердьте це, вибравши Так.

Після того як комп'ютер запуститися знову, Malwarebytes Anti-malware автоматично продовжить лікування.

2. Відновити зашифровані файли за допомогою ShadowExplorer

ShadowExplorer – це невелика утиліта, яка дозволяє відновлювати тіньові копії файлів, які створюються автоматично операційною системою Windows (7-10). Це дозволить відновити вихідний стан зашифрованих файлів.

Завантажте програму. Програма знаходиться у zip архіві. Тому клацніть по завантаженому файлу правою клавішею і виберіть Вийняти все. Потім відкрийте папку ShadowExplorerPortable.

Запустіть ShadowExplorer. Виберіть потрібний диск і дату створення тіньових копій, відповідно цифра 1 і 2 на малюнку нижче.

Клацніть правою клавішею миші за каталогом або файлом, копію якого ви хочете відновити. У меню виберіть Export.

І останнє, виберіть папку, в яку буде скопійовано відновлений файл.

3. Відновити зашифровані файли за допомогою PhotoRec

PhotoRec це безкоштовна програма, створена для відновлення видалених та втрачених файлів. Використовуючи її, можна відновити вихідні файли, які видали віруси-шифрувальники після створення їх зашифрованих копій.

Завантажте програму. Програма знаходиться у архіві. Тому клацніть по завантаженому файлу правою клавішею і виберіть Вийняти все. Потім відкрийте папку testdisk.

У списку файлів знайдіть QPhotoRec_Win та запустіть її. Відкриється вікно програми, де будуть показані всі розділи доступних дисків.

У списку розділів виберіть той, у якому знаходяться зашифровані файли. Після цього клацніть по кнопці File Formats.

За промовчанням програма налаштована на відновлення всіх типів файлів, але для прискорення роботи рекомендується залишити лише типи файлів, які потрібно відновити. Завершивши вибір, натисніть кнопку OK.

У нижній частині вікна QPhotoRec знайдіть кнопку Browse і натисніть її. Вам потрібно вибрати каталог, до якого будуть збережені відновлені файли. Бажано використовувати диск, на якому не знаходяться зашифровані файли, що потребують відновлення (можете використовувати флешку або зовнішній диск).

Натисніть кнопку Search, щоб розпочати пошук та відновлення вихідних копій зашифрованих файлів. Цей процес триває досить довго, тому наберіться терпіння.

Коли пошук буде завершено, натисніть кнопку Quit. Відкрийте папку, яку ви вибрали для збереження відновлених файлів.

У папці будуть каталоги з іменами recup_dir.1, recup_dir.2, recup_dir.3 і т.д. Чим більше файлів знайде програма, тим більше буде каталогів. Для пошуку потрібних вам файлів послідовно перевірте всі каталоги. Для полегшення пошуку потрібного вам файлу, серед великої кількості відновлених, використовуйте вбудовану систему пошуку Windows (за вмістом файлу), а також не забувайте про функцію сортування файлів у каталогах. Як параметр сортування можна вибрати дату зміни файлу, оскільки QPhotoRec намагається відновити цю властивість під час відновлення файлу.