При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.
В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:
1. В автозагрузке операционной системы
Проверить это можно с помощью команды msconfig , запущенной через меню Пуск - Выполнить
В столбце "Команда" не должно быть подозрительных элементов, например C:\Program Files\novirus.exe
Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце "Расположение").
Как альтернативe команде msconfig можно использовать программу .
В разделе "Система" перейти на закладку "Загрузка системы", прокрутить скроллом немного вниз до заголовка "Автозагрузка". Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.
Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows - уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE
Данный способ загрузки вируса - самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.
Дополнительно:
Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp , C:\WINDOWS\Temp , C:\Documents and Settings\user\Local Settings\Temp , т.к. существует очень большая вероятность загрузки вируса из этих папок.
Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) - типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
При нахождении в них подозрительных элементов - мочить гадов! :)
2. Вместо проводника
Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:
В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения "explorer.exe
" заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe
или подобную хрень.
Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба - launcher.exe . Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.
Более действенный и быстрый способ - загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.
Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , исправить "хрень" у записи параметра Shell (reg_sz) на "explorer.exe " и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.
3. Вместе с userinit.exe или uihost.exe
В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.
Userinit.exe - программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe . Размер оригинального файла составляет 26,0 КБ (26 624 байт) , на диске: 28,0 КБ (28 672 байт) .
Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit , UIHost и Shell , расположенных по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Оригинальные параметры записи в реестре должны быть следующими
:
Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe
Вирус может прописать себя например так :
Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe
В данном примере файл gertinw.exe - это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!
После удаления нужно заменить файлы userinit.exe , logonui.exe (находятся в C:\WINDOWS\system32\ ) и explorer.exe (находится в C:\WINDOWS\ ) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или .
После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts . Удалить все после строки 127.0.0.1 localhost
Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера 001 или 002}\Services\Tcpip\Parameters \PersistentRoutes
Удалить их содержимое полностью кроме строки "По умолчанию" с неприсвоенным значением.
Инструкция
Regedit - это встроенный в операционную систему редактор реестра. Название является сокращением от фразы Registry edit. Эта программа служит для систематизации всех ключей реестра, их создания, а также удаления. При удалении программы необходимо очищать реестр от ненужных ключей, которые ранее были использованы средствами операционной системы.
Перед редактированием файлов реестра необходимо удалить папку с программой. Откройте каталог Program Files, выберите нужную директорию и нажмите клавишу Delete для перемещения в «Корзину» либо Shift + Delete для полного удаления с жесткого диска.
Стоит сказать, что редактирование файлов реестра новичком - дело опасное, поэтому лучше создать резервную копию. Нажмите верхнее меню «Файл» и выберите пункт «Экспорт». В открывшемся окне поставьте отметку напротив строки «Весь реестр», введите название файла и нажмите кнопку «Сохранить».
Экспорт файлов реестра можно осуществлять посредством командной строки. Запуск командной строки обычно производится через меню «Пуск», раздел «Стандартные программы». В окне необходимо ввести команду regedit /E d:export.reg и нажать Enter. Данной командой вы копируете файл реестра export.reg в корневой каталог диска «D:».
Для поиска ключей, оставленных самой программой, необходимо нажать верхнее меню «Правка» и выбрать пункт «Найти». В появившемся окне введите название программы или компании, которая занимается ее распространением. Нажмите клавишу Enter или F2 для начала операции поиска.
Найденные ключи можно удалить, выделив и нажав клавишу Delete. Затем нужно закрыть редактор реестра и перезагрузить компьютер. Теперь ваш компьютер чист от удаленной программы.
Надоедает ли пчеле делать одно и то же? Сложно представить, чтобы пчела вдруг занялась заготовлением орехов, словно белка. В природе все сбалансировано. Когда человек занят любимым делом, он похож на пчелу. Ему не надоедает. Он годами оттачивает навыки. Нас бы удивило, если бы известный футболист без особых причин оставил футбол и занялся продажей чего-нибудь. Зачем ему это? Как же найти свое дело, в котором можно полностью реализоваться? Применим фантастический подход.
Инструкция
Запишите три вещи, которые вы взяли бы с собой на необитаемый остров. Там всегда тепло, так что об одежде заботиться не придется. Там много фруктовых деревьев, так что разнообразной пищей вы обеспечены. Никто не потребует оплачивать счета, вы свободны ото всего. Никто не приезжает к вам в гости без разрешения. Рядом находится остров, на котором проживают цивилизованные племена. Они знают ваш язык. Вы можете приезжать к ним в любое . Вам предстоит прожить на своем острове 20 лет. Какие же три вещи вы туда возьмете? Думайте , потом будет поздно. Вернетесь только 20 лет. Все необходимое для этих трех вещей на острове будет, а больше ничего.
Какую из этих трех вещей вам захочется привезти на соседний обитаемый остров или показать , которых пригласите на ваш остров? С какой вы им покажете эту вещь или результаты ее использования? Помните, что ни в пище, ни в одежде, ни в деньгах вы не нуждаетесь.
Видео по теме
Обратите внимание
Бывает трудно мечтать, потому что мы привыкли находиться в ограничивающих рамках. За один раз может не получиться. Не оставляйте мыслей о вашем острове. Выделите целый день, уйдите куда-нибудь и прорабатывайте варианты фантастической жизни.
Важно попробовать то, что вы представили. Сделайте что-нибудь, не думая о деньгах. Прибыль часто приходит к людям, увлеченным одной идеей.
Источники:
- Премьер-министр поздравил тех, кто занимается любимым делом
Бывают случаи, когда полностью просканировав систему на вирусы и удалив их, после перезагрузки компьютера они появляются опять. При этом никаких носителей информации к ПК не подключалось и соединения с интернетом также не было. Возникает вопрос, а откуда же мог взяться этот вирус? Вероятнее всего, он может срабатывать с операционной системы. В таком случае обычного сканирования компьютера будет недостаточно. Потребуются дополнительные методы, которые позволят решить проблему.
Вам понадобится
- Компьютер, антивирусная программы ESET NOD32
Инструкция
В самом реестре вирусов быть не может. Но в параметрах реестра, которые отвечают за автозагрузку приложений, может быть ссылка на вредоносную программу или . Прежде чем начать процесс очистки, нужно установить дополнительные параметры, которые помогут обнаружить и решить проблему.
Дальнейшие инструкции по удалению вредоносных ссылок и ключей будут приведены на примере антивирусной программы ESET NOD32. Войдите в меню антивируса. Сделать это можно просто дважды щелкнув мышкой по значку программы на панели задач операционной системы. В меню программы выберите параметр «Сканирование». В окне появятся возможные варианты сканирования компьютера, из которых выберите «Выборочное сканирование».
Самая верхняя строка называется «Профиль сканирования». Нажмите по стрелочке возле этой строки. Откроются названия профилей сканирования. Среди них выберите «Интеллектуальное сканирование». Такой метод позволит более детально проверить неизвестные файлы.
Следующая строка называется «Объекты сканирования». Отметьте полностью все объекты, которые будут в этом окне, включая даже оперативную память и виртуальные приводы. Снизу в этом окне есть также параметр «Настройка». Нажмите по нему левой клавишей мышки и в появившемся окне выберите вкладку «Методы». В следующем окне отметьте полностью все пункты галочками, после чего нажмите ОК.
Теперь, когда все параметры работы антивирусной программы заданы, нажмите «Сканировать». Дождитесь завершения процесса. Если антивирусом будут обнаружены потенциально опасные программы или ссылки, они будут удалены автоматически. После завершения сканирования перезагрузите компьютер.
Источники:
- вирус реестр
Системный реестр операционной системы Windows любой версии - один из главных инструментов управления компьютером. Стандартным инструментом для работы с реестром является утилита regedit.exe.
Инструкция
Получите доступ к главному инструменту управления системным реестром Windows. Для этого вызовите главное меню, нажав кнопку «Пуск», и перейдите в диалог «Выполнить». Напечатайте gpedit.msc в строке «Открыть» и подтвердите запуск утилиты редактора групповых политик, нажав кнопку OK. Раскройте ссылку «Конфигурация пользователя» и перейдите в раздел «Административные шаблоны». Разверните узел «Система» двойным кликом мыши и откройте политику «Сделать недоступными средства редактирования реестра» также двойным кликом. Примените флажок в строке «Не задан» и сохраните сделанные изменения, нажав кнопку «Применить». Подтвердите выполнение выбранного действия, нажав кнопку OK.
Запустите инструмент «Редактор реестра». Для этого снова вернитесь в главное меню «Пуск» и еще раз перейдите в диалог «Выполнить». Напечатайте regedit в строке «Открыть» и подтвердите запуск утилиты, нажав кнопку OK.
Используйте стандартный механизм поиска нужного файла системного реестра. Для этого воспользуйтесь командой «Найти» в меню утилиты regedit.exe. Обратите внимание на то, что при вызове контекстного меню любого ключа реестра кликом правой кнопки мыши также становятся доступными опции:- развернуть;- создать;- найти;- удалить;- переименовать.
Ознакомьтесь со структурой корневых разделов реестра для облегчения поиска нужного файла :- HKEY_CLASSES_ROOT, или HKCR - ассоциации приложений и файловых расширений;- HKEY_CURRENT_USER, или HKCU - параметры настроек текущего пользователя;- HKEY_LOCAL_MACHINE, или HKLM - общая конфигурация системы;- HKEY_USERS, или HKU - параметры настроек всех пользователей;- HKEY_CURRENT_CONFIG, или HKCC - настройки данного аппаратного профиля.Последняя ветвь - не полноценный раздел системного реестра, а является ссылкой на раздел профилей в HKLM.
Во время начала загрузки компьютера нажимаем клавишу F8 . И выбираем "Безопасный режим с поддержкой командной строки" и жмем "Enter"
По окончанию загрузки появится окно "Администратор:cmd.exe" где через клавиатуру введите "regedit.exe" . Снова жмем "Enter" и выходим в "Редактор реестра"
В реестре Windows regedit содержится системная информация и данные об автоматическом запуске программ при старте операционной системы. Тут-то мы и попытаемся найти следы нашего баннера-вируса.
Для нормальной работы ОС необходимо всего 5 файлов в корневом каталоге:
ntldr
boot.ini
pagefile.sys
Bootfont.bin
NTDETECT.COM
Без детального анализа удалять из реестра ничего нельзя. Вы должны быть на 100% уверены, что это именно вирус а не программа которая была загружена в корневую папку. Вирус должен как-то загружаться при старте системы, как правило этот процесс происходит при автозапуске. Поэтому смотрим следующие ключи реестра на предмет подозрительных программ. (А если вы уже нашли вирус, то ищите имя файла везде в реестре и удаляйте):
С самого начала ищем вирус в цепочке:
\WindowsNT\CurrentVersion\Winlogon
Находим в списке запись Shell
(XP) В Windows7 данного раздела нет.
Смотрим: значение параметра, по умолчанию должно быть Explorer.exe , если есть еще что то удаляем.
Теперь находим запись: Usernit (Присутствует в любой версии Windows). В значении данной записи должно быть C:\Windows\system32\userinit.exe Все что есть кроме этой записи – удаляем. Естественно если ос установлена не на диск С то запись будет другая.
Следующим этапом будет редактирование автозагрузки раздела Run .
Ищем и открываем цепочку: HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Run
(данный раздел применителен к Windows 7) В этой ветке можно удалить все, кроме антивирусного программного обеспечения и так же необходимого для вашей работы софта (утилиты для принтера, skype, сканера).
Следующая цепочка: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
Тут делаем то же самое что и в предыдущем пункте.
Возможно нужно будет заменить файл "hosts" который находится по адресу: Откройте Пуск" и введите: %systemroot%\system32\drivers\etc
Копируем стандартный с сайта разработчика http://support.microsoft.com/kb/972034/ru а старый переименовываем hosts.old.
Щелкните правой кнопкой мыши в свободном месте в папке %WinDir%\system32\drivers\etc,
выберите пункт Создать, щелкните элемент Текстовый документ, введите имя hosts/ Откройте новый файл hosts в текстовом редакторе"Блокнот" и скопируйте в файл сохраненный текст с сайта. Перегружаем компьютер.
Иногда бывает, что не требуется искать приложение.ехе в реестре Windows а достаточно только при выходе на рабочий стол произвести быструю проверку "Security Esseentiats" , сделать перезагрузку и когда включится компьютер появится окно, которое указывает имя программы, скажем 2088322.exe, которую защитник Windows не может распознать. Вам нужно будет только записать это значение в "Пуск" - "Найти программы и файлы ", а затем с помощью правой кнопки мышки выяснить адрес этого баннера и удалить его сначала в корзину а потом навсегда.
Если необходимо проверить реестр на исправном компьютере, т.е. когда ОС полностью загружена, не нужно использовать "Безопасный pежим" достаточно набрать в меню "Пуск" команду regedit и кликнуть по открывшемуся файлу, и перед вами откроется "Редактор реестра".
Но что делать если невозможно загрузить ОС в безопасном режиме, как убрать баннер и разблокировать Windows? В этом случае нам нужно прибегнуть к сторонним средствам, одним компьютером тут не обойдешся. Рассмотрим самые лучшие утилиты на сегодняшний день, которые помогут нам разблокировать наш компьютер: "Как удалить баннер если Windows не загружается в безопасном режиме"
Человек это
самый страшный вирус
на планете - Земля.
"inpropart"
Интернет - это огромная площадка, где находится неисчислимое количество разнообразного контента. И не всегда сайты и документы несут положительное содержимое для пользователей. В последнее время участились случаи распространения вирусов в виде баннеров. Таким образом злоумышленники вымогают из пользователей деньги, предлагая отправить SMS-сообщение, а взамен получить код разблокировки. В этой статье рассмотрим способ того, как произвести удаление баннера через реестр. Он позволит быстро и эффективно избавиться от вируса.
Подготовка
Удаление баннера через реестр Windows 7 (как и в других версиях Windows) может совершаться только при условии загрузки операционной системы. Как правило, баннеры блокируют осуществление манипуляций при обычной загрузке. Нам поможет безопасный режим. Когда будет включаться компьютер, нужно нажать клавишу F8. Появится дополнительное меню, в котором необходимо выбрать загрузку операционной системы в безопасном режиме (первый из предложенных). Далее запустится система без баннера. налагает на работу ПК некоторые ограничения. Например, будет использоваться низкопробная графика, поэтому не пугайтесь. Теперь удаление баннера через реестр должно производиться по инструкции, которая будет далее описана. Но стоит заметить, что данный вирус может добраться и до безопасного режима, тогда вам придется использовать другие варианты.
Инструкция
Итак, если вы смогли запустить операционную систему, можно начинать производить удаление баннера через реестр. Проделайте все этапы инструкции.
- Первым делом вам необходимо зайти в редактор системного реестра. Для этого откройте «Пуск» и найдите пункт «Выполнить». В Windows 7 он находится в стандартных программах. Наберите в строке «regedit».
- После ввода названия программы у вас откроется новое окно. В левой части этой утилиты есть панель навигации. В ней необходимо пройти по адресу «HKEY_LOCAL_MACHINE/ SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon».
- Вы увидите множество параметров в правой части программы. Чаще всего баннер редактирует параметры Userinit и Shell. Как раз они и отвечает за запуск программ. В параметре Userinit должно быть установлено значение «C:\WINDOWS\ system32\userinit.exe». А в Shell - «Explorer.exe».
- Отредактируйте эти параметры, если, конечно же, их значения отличаются от ранее приведенных. Изменение будет произведено при двойном нажатии левой кнопки мыши. В некоторых случаях параметры могут вообще отсутствовать. Тогда вам нужно будет заново их создавать. Для этого нажмите правой кнопкой мыши по пустой области программы и выберите пункт «Создать». Введите название недостающего параметра и его значение.
Дополнительная информация
Удаление баннеров через реестр - это далеко не единственный способ избавления от вируса. Всегда можно прибегнуть к использованию антивирусных программ. Но если вам не удается загрузить в нормальном режиме систему, соответственно, и установить какое-либо ПО не получится. Тогда можно использовать пароли. На различных порталах пользователи выкладывают ключи, которые смогут деактивировать работу баннера. Пароль вводится в баннер, и он автоматически прекращает свое действие. Стоит заметить, что данный способ не всегда срабатывает, так как иногда не удается найти нужный ключ.
В заключение
Вопрос о том, как произвести удаление баннера через реестр, является одним из самых задаваемых. Надеемся, что данная статья помогла вам справиться с проблемой.
Совсем недавно, пару лет назад, кто-то сделал прогноз, что через пару лет ходить по сайтам интернета станет так же опасно, как по темным улицам города. Сейчас компьютерные вирусы стали очень распространены, и это утверждение воплотилось в жизнь.
Вирусами называются компьютерные программы, мешающие продуктивной работе пользователя на компьютере. При заражении компьютера вирусами, вирусы практически всегда прописываются в реестр операционной системы. Компьютерные вирусы могут вызвать: выключение или перезагрузку компьютера, торможение операционной системы, порча и удаление файлов, атаки серверов через интернет, увеличение компьютерного трафика и многие другие действия.
Для того чтобы требуется несколько действий. Требуется очистить оперативную память от вирусов, удалить вирус с жесткого диска и удалить ссылки на вирусы из реестра windows. После требуется установить качественный антивирус, или комплекс антивирусной защиты. Для полной защиты компьютера, для начала, требуется грамотно отремонтировать реестр. Ремонт и анализ реестра производится следующими программами:
AVPTool от Лаборатории Касперского или Dr. Web CureIt от компании Доктор Веб.
Выбор какой программой сканировать ваш компьютер на наличие вирусов зависит от установленного на вашем компьютере антивируса. Проверять следует сторонним антивирусам. То есть если у вас установлен Касперский, то проверять необходимо Доктор Вебом. При проверке сторонним антивирусом, необходимо временно приостановить защиту основного антивируса.
Для , компьютер следует загрузить в безопасном режиме. После этого запустить одну из загруженных утилит. При обнаружении вируса следует его вылечить, либо если лечение невозможно перенести или и ссылки в реестре. После этого перезагрузите компьютер в обычном режиме.
Отключите соединение с интернетом и закройте все открытые приложения. Запустите программу AVZ и обновите базы сигнатуры. Затем запустите сканирование системы. Программа начнет и автоматически исправит ссылки в реестре и удалит вирусы.
Так же можно про сканировать компьютер другой утилитой HiJackThis. Запустите от имени администратора HiJackThis и щелкните по кнопке «Do a system scan and save a logfile».
Для оптимизации операционной системы после , существует множество программ. Многие утилиты ремонтируют реестр компьютера, удаляют ненужные файлы и выполняют дефрагментацию жестких дисков.
При работе с исправлением реестра нужно быть предельно внимательным. Любые неправильные изменения могут привести к неисправности операционной системы, и даже к ее поломке. То есть при неправильных действиях компьютер может не загрузиться.
