|
|
Регистрация | Правила форума | FAQ форума | Справка | Пользователи | Поиск | Сообщения за день | Все разделы прочитаны |
Антивирусная защита, Malware (вредоносное ПО) Вирусы, руткиты, троянцы, программы-блокираторы - обмен опытом по избавлению компьютерного пространства от непрошеных гостей и подбору утилит, способных в этом помочь. |
|
Опции темы | Опции просмотра |
15.07.2009, 13:18 | #1 |
THG Russia Forum Team
Победитель конкурса THG |
Ликвидация последствий вирусного заражения...
Вылечить ПК от вирусов не сложно... Но часто даже после удаления вирусов их следы остаются (не отображаются скрытые файлы, не запускается msconfig и т.д.)
Тут я постараюсь рассказать, как восстановить самые часто слетающие функции: 1. Не отображаются скрытые файлы в проводнике - для исправления скачайте Скрытые файлы.zip распокуйте и запустите reg файл или ручками: 2. Не работает Ctrl+Alt+Delete Пуск – Выполнить - Вводите gpedit.msc и жмете ОК. Далее "Конфигурация пользователя" - "Административные шаблоны" - "Система" - "Возможности Ctrl+Alt+Del" - "Удалить диспетчер задач" в свойствах "Не задан"... Так же можно попробывать запустить Process Explorer и в Options нажать Replace Task Manager. 3. Не работает msconfig, cmd, regedit (или Windows выдаёт при загрузке: ошибка, не найден файл) Качаем Autoruns (~600кб) запускаем и ищем то, что не работает. Примерно так это будет выглядеть: 4. Не работает инет (не заходит на какме-то сайты или идёт перенаправление на другие сайты): 1. Файл hosts (...\WINDOWS\system32\drivers\etc): Кроме строк начинающихся с # и 127.0.0.1 localhost других строк быть не должно... Пример... Смотреть обязательно с отображением скрытых файлов, т.к. вирус обычно его подменяет скрытым файлом... Если нашли др строки или файлов hosts несколько, можно их удалить ОС потом восстановит (после перезагрузки) 2. Proxy 127.0.0.1, некоторые вирусы прописывают 127.0.0.1 как прокси и программы обращаются как бы к ПК на котором запущены соответственно инета нет, увидеть это проще всего если при запуске Opera не отображает станицу и пишет "Прокси сервер..." тогда делаем так: Панель управления - Свойства обозревателя - Подключения - Настройка LAN - Использовать прокси-сервер для подключений LAN (галочку убрать). 3. Пуск - выполнить - cmd введите route -f (Очищает таблицу маршрутизации) (Спасибо Cat_Empire помогло для восстановления доступа к антивирусным сайтам) затем netsh winsock reset (сброс настроек и восстановление первоначальной конфигурации LSP Winsock) и перезагрузите ПК. 4. Почистите cookies - CCleaner, либо если пользуетесь Opera Инструменты - Удалить личные данные... 5. Если после удаления вирусов не заходит на диск C:\ (или любой др диск), можно зайти, прописав в адресной строке C:\ или Far-ом, после этого нужно удалить autorun.inf в корне диска... 6. Вирус скрыл папки и нет доступа к атрибуту "Скрытый" галочка серая, нужно запустить bat файл Сброс атрибутов.zip в корне диска где скрыты файлы или ручками: И пара общих советов, если ПК грузится, но на "рабочем столе" пусто, можно попробовать нажать Ctrl+Alt+Del и зайти в Диспетчер задач - Файл - Выполнить... (зайти C:\WINDOWS и вручную запустить explorer.exe)... Если стандартными средствами удалить вирус не получается, можно попробовать удалить его Unlocker-ом... Если восстановить отображение скрытых файлов не удалось, их можно увидеть FAR Manager-ом... Для убийства "самовосстанавливающихся" вирусов (когда 2 или 3-и процесса и при убийстве одного другой его заново запускает и так их можно убивать по очереди до бесконечности), можно воспользоваться программой Process Explorer, убив каждый процес по разу так чтобы все были запущены от 1 процесса (будет 1 процес + слева и под ним др процессы), кликнуть на "главный" процес 2-ой кнопкой затем Kill Process Tree, вся ветка процессов будет убита и вирус себя не сможет восстановить... Проверить есть ли на ПК вирус (не 100%, но как быстрый вариант) можно: вставить пустую флэшку, зайти на неё двойным кликом, извлечь её, снова вставить и посмотреть на неё Far-ом, если появился файл autorun.inf, то удалить его, снова зайти на флешку, извлечь её, снова вставить, если autorun.inf снова появился, то ПК заражен... P.S. Если есть что дополнить или возникли вопросы, пишите. (флуд очень не приветствуется)
__________________
Шумоизоляция Fractal Design S, Циркуляция воздуха в корпусе, Системные блоки (фото), Огнедышащий Я..., Группа в VK Последний раз редактировалось D'Dragon, 16.01.2012 в 17:40. |
24.07.2009, 07:14 | #2 | |||
Без прописки
|
..в продолжении тематики...
Вообщем очередной блокирующий винду вирь, представляется как будто это "касперский" и предлагает вылечить потенциально находящийся в системе вирус, отправив очередное смс. Естесственно никакие ctrl+ald+delete не работают, проводник не запускается. Опишу способ как избавиться вручную, ни чего даже не скачивая с интернета. Вообщем данный вирус не позволяет в принципе и загрузиться и в безопасном режиме. Но все таки вчера нашел способ. Заходим в безопасный режим под тем пользователем, что заразились ctrl+ald+delete вообщем ни как не срабатывает. А если зайти под другим, или глобальным локальным администратором, то при нажатия ctrl+ald+delete на пару секунд появляется диспетчер устройств, в котором во вкладке приложения запущена одна служба rd.exe или rp.exe, которая и блокирует винду и дает картинку, типа желания "помочь" отправив смс. После в нем же диспетчере, после гашения службы он не пропадает, нажимает добавить задачу explorer.exe открывается всеми знакомый проводник. Чистим на всех разделов файлы в корне каждого autorun.inf и md.exe (судя по названию make dir (создает где то директорию). После в папке Documents and Settings в папках всех пользователей чистим файлы в temp'ах setup.exe (одинокий файл). Далее в папке %windir%\system32\ удаляем файл user32.exe После всего выше переделанного, windows у меня спокойно загрузился....профилактическая проверка всей системы обновленным антивирусом и все вуаля. |
|||
07.03.2010, 02:11 | #3 | |||
Старожил
|
1. Связка: Касперский+Unlocker позволяет обойтись без перезагрузки винды (когда антивирус в отчете пишет вроде этого: autoit.xx.xx - будет удален при перезагрузке), вместо ребута удаляем вирус Unlocker-ом (название файла и путь к нему Касперский указывает, его и удаляем).
2. Быстрый способ проверки наличия вируса без манипуляции с флешкой (не 100%) - установить 'Prio' (для Win XP, не знаю есть ли версии для других систем), одна из функций этой надстройки для диспетчера задач - при наведении курсора на процесс показывать в всплывающем окне информацию о процессе (данные цифровой подписи, дата изготовления и версия, используемые процессом службы), если нет подписи Microsoft и никаких служб процесс не использует, в режиме простоя компьютера, то 90%, что этот процесс инициирован вирусом. |
|||
08.06.2010, 21:24 | #4 | |||
Старожил
|
а можно дополнить?
сегодня столкнулся с такой проблемой: после вычищения ПК от вирусов пропал доступ на некоторые сайты. то есть интернет есть, на мэйл\яндекс заходит а вот на гугл нет, и обновления NOD32 не качаются.. оказалось вирус отредактировал таблицу IP-маршрутизации и запросы на ip адреса некоторых сайтов (в основном антивирусных) уходили в неизвестном направлении. решение проблемы: в командной строке пишем route print должно получиться что-то типа этого. Смотрим активные\пассивные маршруты, сетевых адресов должно быть примерно столько же сколько на картинке. Если слишком много то очищаем всё ненужное, либо ветка реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\Tcpip\Parameters\PersistentRoutes. Смотрим, удаляем в ручную. Подробное описание команды route |
|||
09.06.2010, 09:51 | #5 | |
Бич Форума
THG Russia Forum Team Эксперт клуба THG |
Хм... не перемудрили? Вообще-то это решается возвращением девственного вида файлу hosts (открывается Блокнотом) по пути C:\WINDOWS\system32\drivers\etc
Когда он еще сохранил невинность, он должен выглядеть так: Цитата:
__________________
Претендентам на роль ангела следует помнить, что стоит им начать воплощать свои замыслы, как появятся орды демонов, призванных восстановить нарушенное равновесие. |
|
09.06.2010, 17:51 | #6 | |||
Старожил
|
нет, не перемудрил. с файлом hosts всё было в порядке. я первым делом его проверял.
|
|||
30.11.2010, 08:44 | #7 | |||
Старожил
|
Последствия вирусного лечения
Сегодня прогнал комп антивирусником, даже не посмотрел, что там около 15 зараженных файлов ~5 разными вредителями. После перезагрузки, висит курсор мыши и всё. Выход ctrl+alt+del -> Диспетчер задач -> Новая задача -> Explorer.exe Но оболочка всё равно не загрузилась. После убиЕния лишнего svhosts, операционка загрузилась в полном виде. |
|||
14.11.2012, 10:03 | #8 |
Победитель конкурсов 2012-2013
|
Народ привет.
Короче такая хрень просочилась ко мне под названием Webalta.ru. Дело в том, что эта хрень при запуске Лисицы выскакивает постоянно. Пытался ее убрать из стартовых, но ее там нет. Реестре находил и удалял все связанное с ней и ничего. Короче поисковик-троян что-ли. Не лечится ничем. Не знаю откуда подцепил. Грешу, что с чем-то установил последнее из установленных был Dishonored пиратский. Как его убрать вообще. Просто постоянно с браузером лезит как главная. Читал много форумов и все делал, но толку.
__________________
АМД-клан |
22.05.2015, 10:59 | #9 | |||
Консультант VN
|
Для лечения вирусов и удаления хвостов вирусов, просьба обращаться в раздел Лечение компьютерных вирусов.
Тема закрыта. |
|||
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
Опции просмотра | |
|
|
Справочник словарей | ||
Словари русского языка - www.gramota.ru | Яndex - Словари | Википедия - ru.wikipedia.org |
|
|
|
|