Показать сообщение отдельно
Старый 15.07.2009, 13:18   #1
Меню пользователя D'Dragon
THG Russia Forum Team
Победитель конкурса THG

 
Аватар для D'Dragon
  
Question Ликвидация последствий вирусного заражения...

Вылечить ПК от вирусов не сложно... Но часто даже после удаления вирусов их следы остаются (не отображаются скрытые файлы, не запускается msconfig и т.д.)

Тут я постараюсь рассказать, как восстановить самые часто слетающие функции:
1. Не отображаются скрытые файлы в проводнике - для исправления скачайте Скрытые файлы.zip распокуйте и запустите reg файл или ручками:
Создайте текстовый документ и скопируйте туда:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

смените расширение с .txt на .reg и запустите его...

2. Не работает Ctrl+Alt+Delete
Пуск – Выполнить - Вводите gpedit.msc и жмете ОК. Далее "Конфигурация пользователя" - "Административные шаблоны" - "Система" - "Возможности Ctrl+Alt+Del" - "Удалить диспетчер задач" в свойствах "Не задан"...
Так же можно попробывать запустить Process Explorer и в Options нажать Replace Task Manager.
3. Не работает msconfig, cmd, regedit (или Windows выдаёт при загрузке: ошибка, не найден файл)
Качаем Autoruns (~600кб) запускаем и ищем то, что не работает. Примерно так это будет выглядеть:

Снимаем галочки с этих файлов.

4. Не работает инет (не заходит на какме-то сайты или идёт перенаправление на другие сайты):
1. Файл hosts (...\WINDOWS\system32\drivers\etc):
Кроме строк начинающихся с # и 127.0.0.1 localhost других строк быть не должно... Пример...
Смотреть обязательно с отображением скрытых файлов, т.к. вирус обычно его подменяет скрытым файлом... Если нашли др строки или файлов hosts несколько, можно их удалить ОС потом восстановит (после перезагрузки)
2. Proxy 127.0.0.1, некоторые вирусы прописывают 127.0.0.1 как прокси и программы обращаются как бы к ПК на котором запущены соответственно инета нет, увидеть это проще всего если при запуске Opera не отображает станицу и пишет "Прокси сервер..." тогда делаем так:
Панель управления - Свойства обозревателя - Подключения - Настройка LAN - Использовать прокси-сервер для подключений LAN (галочку убрать).
3. Пуск - выполнить - cmd введите route -f (Очищает таблицу маршрутизации) (Спасибо Cat_Empire помогло для восстановления доступа к антивирусным сайтам) затем netsh winsock reset (сброс настроек и восстановление первоначальной конфигурации LSP Winsock) и перезагрузите ПК.
4. Почистите cookies - CCleaner, либо если пользуетесь Opera Инструменты - Удалить личные данные...

5. Если после удаления вирусов не заходит на диск C:\ (или любой др диск), можно зайти, прописав в адресной строке C:\ или Far-ом, после этого нужно удалить autorun.inf в корне диска...

6. Вирус скрыл папки и нет доступа к атрибуту "Скрытый" галочка серая, нужно запустить bat файл Сброс атрибутов.zip в корне диска где скрыты файлы или ручками:
Создайте текстовый документ и скопируйте туда:
@echo off
mode con codepage select=1251 > nul
echo Please wait...
attrib -s -h -r -a /s /d

смените расширение с .txt на .bat и запустите его в корне диска где скрыты файлы...


И пара общих советов, если ПК грузится, но на "рабочем столе" пусто, можно попробовать нажать Ctrl+Alt+Del и зайти в Диспетчер задач - Файл - Выполнить... (зайти C:\WINDOWS и вручную запустить explorer.exe)...

Если стандартными средствами удалить вирус не получается, можно попробовать удалить его Unlocker-ом...

Если восстановить отображение скрытых файлов не удалось, их можно увидеть FAR Manager-ом...

Для убийства "самовосстанавливающихся" вирусов (когда 2 или 3-и процесса и при убийстве одного другой его заново запускает и так их можно убивать по очереди до бесконечности), можно воспользоваться программой Process Explorer, убив каждый процес по разу так чтобы все были запущены от 1 процесса (будет 1 процес + слева и под ним др процессы), кликнуть на "главный" процес 2-ой кнопкой затем Kill Process Tree, вся ветка процессов будет убита и вирус себя не сможет восстановить...

Проверить есть ли на ПК вирус (не 100%, но как быстрый вариант) можно: вставить пустую флэшку, зайти на неё двойным кликом, извлечь её, снова вставить и посмотреть на неё Far-ом, если появился файл autorun.inf, то удалить его, снова зайти на флешку, извлечь её, снова вставить, если autorun.inf снова появился, то ПК заражен...

P.S. Если есть что дополнить или возникли вопросы, пишите. (флуд очень не приветствуется)

Последний раз редактировалось D'Dragon, 16.01.2012 в 17:40.
D'Dragon вне форума