Hatásai megszüntetésére vírus támadások - Műszaki Fórum

Hatásai megszüntetésére vírus támadások

Gyakran előfordul, hogy az anti-vírus szoftver, PC gyógyítható, nem fix törött vírus szoftverek és a rendszer beállításait. Radical módszer - az operációs rendszer merevlemez formázás és újratelepítés - nem mindig elfogadható különböző okok miatt.
Ilyen esetekben van egy kiút - visszaállítani mindent manuálisan.

Ha megpróbálja elindítani a Windows Feladatkezelő (bármilyen módon - vagy a Ctrl + Alt + Del, vagy használja a Start -> Futtatás ... -> Feladat -> OK) megjelenik a „Task Manager” párbeszédablak a következő üzenettel: „Task Manager A rendszergazda letiltotta” ez általában azt jelzi, egy esetleges vírusfertőzés rendszereket.

Az a tény, hogy a vírusok letiltja a Feladatkezelő. azokat nem lehet arra kényszeríteni, hogy kirak a memóriából. A Windows Registry, lásd [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionPoliciesSystem] paraméter létrehoz egy REG_DWORD DisableTaskMgr értékben 1.

Hogyan lehet engedélyezni a dob a Task Manager.
Még eltávolítása után a vírus, betiltották a dob a Task Manager. elindítani lehetetlen. Hogy ismét lehetővé teszik, hogy a Task Manager fut, kattintson a Start -> Futtatás ... -> a Megnyitás mezőbe írja gpedit.msc -> OK -> megjelenik egy párbeszédablak csoportházirend -> csoportházirend -> Policy "Local Computer" -> Felhasználói beállítások -> Felügyeleti sablonok -> rendszer -> tulajdonságok Ctrl + Alt + Del -> jobb oldali funkciók Ctrl + Alt + Del duplán kattintva az egér bal gombjával a vonal Távolítsuk Feladatkezelő (alapértelmezett állapot - nem meghatározott), hívja a tulajdonságok ablak: Vegye Feladatkezelő - > Enabled, -> halogatni (vagy nincs beállítva) -> Apply -> OK.

Zárja be a Group Policy ablakot. A módosítások érvénybe lépéséhez újraindítás nélkül a számítógép, lépjen ki minden nyitott ablakot (a gombra kattintva zárja be az összes ablakot a Quick Launch, vagy megnyomja a billentyűkombináció -. Keys Windows + D embléma), nyomja meg az F5 billentyűt (vagy kattintson a jobb gombbal a szabad felület az ikonok asztalon. Frissítés gombra kattintva a helyi menüben).

Mi van, ha nem érhető el „Folder” menüpont?
Jellemzően a hiánya egy menüpont mappa beszélt a lehetséges fertőzés a rendszer vírusokkal. Az a tény, hogy a vírusírók számára meghatározott saját vírusok attribútumok rejtett (és néha még a rendszer). És annak érdekében, hogy akadályozzák a felhasználó vizuálisan meghatározzuk a vírus (az antivírus ebben az esetben, a remény már nem, ha a vírusok beszivárgott a rendszer, antivírus, vagy hiányzik, vagy nem tudja azonosítani őket, vagy „megölte”), és el kell távolítani a menü Mappa . Ebben az esetben a Windows registry alapján [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer] paraméter létrehoz egy REG_DWORD NoFolderOptions értékben 1.

Hogyan lehet visszaállítani a menüpont Mappa beállításai.
Még eltávolítása után a vírus, betiltották menüpont Mappa beállításai. ő nem elérhető (nincs víruskereső menüpont mappa nem áll vissza). Visszaállítani, kattintson a Start -> Futtatás ... -> a Megnyitás mezőbe. írja gpedit.msc -> OK -> csoportházirend -> Policy "Local Computer" -> Felhasználó konfigurációja -> Felügyeleti sablonok -> Windows Components -> Windows Explorer -> jobb a Windows Intézőben duplán kattintva az egér bal gombjával a Törlés parancsot „Properties mappa „az” Eszközök „menü, hívja a tulajdonságok ablak törlése parancs” mappát Options „menüből” Eszközök „-> állítsa be kapcsolót (vagy nincs beállítva) -> Apply -> OK.

Származó információk reg-fájlokat adhatunk a rendszerleíró adatbázisban. Szekció [HKEY_CLASSES_ROOTregfileshellopencommand] karakterlánc alapértelmezett paraméter értéke legyen - regedit.exe „% 1”

Mi van, ha a kezelés után a vírusok nem szabad flash kártya?
Néha előfordulhat, hibaüzenet jelenik meg, amikor megpróbálja megnyitni a flash-meghajtó (vagy helyi lemezre) kattintva a bal egérgombbal, lehetetlen, hogy nyissa ki a flash meghajtót, mert Ez nem egy fájl, amely általában, autorun.inf. Ebben az esetben meg kell nyitni a flash meghajtót (vagy a helyi meghajtó), ami a jobb klikk menüből (válassza az Intéző vagy szakadás).

Ez a viselkedés a vaku által okozott, hogy ő vírussal fertőzött, azt az előírt autostart a fertőzés továbbterjedését. Ami után kezeltük Antivirus (vagy autorun.inf fájlt törölték kézzel), de a rekord autorun vaku maradt a Registry Windows.

Meg kell jegyezni, hogy az elmúlt években nagyon gyakori mindenféle USB-shnye (fleshechnye) vírusok, kifejezetten cserélhető adathordozók és forgalmazza ezeket a szolgáltatókat.

Hogyan kap fertőzött
A fertőzött PC, ezek a vírusok rezidens - ők mindig a memóriában és a monitor USB port cserélhető adathordozóra. Amikor csatlakoztatja a média, ő ellenőrizte a vírust, ha már fertőzött, mint egy vírus. Ha nem, akkor a vírus bemásolja a média a futtatható fájlt és automatikusan futtatja a vírus minden egyes alkalommal, amikor megnyitja a gyökér könyvtárat a média teremt egy autorun.inf fájlt.

Például az egyik RavMon vírus fajok létre a gyökérkönyvtárban a médiafájl autorun.inf a következő tartalommal:
[AutoRun]
nyitva = RavMon.exe
shell \ open = ґtїЄ (O)
shell \ open \ command = RavMon.exe
shell \ vizsgálja = ChKFґ№AnZhch (X)
shell \ vizsgálja \ Command = "RavMon.exe -e"

Amikor megnyit egy flash meghajtót (vagy helyi lemez gyökérkönyvtárába, a vírus megfertőzi a merevlemez PC) Ez a fájl jön létre a Windows registry kulcsokat, mint például a következő:

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ raktár ntVersion \ Explorer \ MountPoints2 \\ Shell \ Autorun \ command]
Húr az alapértelmezett beállítás - RavMon.exe

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ raktár ntVersion \ Explorer \ MountPoints2 \\ Shell \ felfedezni]
Húr az alapértelmezett beállítás - ChKFґ№AnZhch (X)

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ raktár ntVersion \ Explorer \ MountPoints2 \\ Shell \ vizsgálja \ Command]
Húr az alapértelmezett beállítás - RavMon.exe -e

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ raktár ntVersion \ Explorer \ MountPoints2 \\ Shell \ open]
Húr az alapértelmezett beállítás - ґtїЄ (O)

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ raktár ntVersion \ Explorer \ MountPoints2 \\ Shell \ open \ command]
Húr az alapértelmezett beállítás - RavMon.exe

A helyi menüben helyett Disk View. Explorer - vannak olyan pontok ґtїЄ (O), ChKFґ№AnZhch (X).

Mi a probléma, és hogyan lehet megoldani, hogy
A probléma abban rejlik, hogy a kezelés után a flash meghajtó (vagy helyi lemezre) autorun.inf fájlok és rendszerleíró kulcsokat. egy vírus marad, és amikor megpróbálja megnyitni a média bal egérgombbal, akkor egy hibaüzenet.

Ebben az esetben nyissa ki a média jobb gombbal kattintva (a helyi menüből válassza az Intéző vagy szakadás). Általános szabály, hogy a meghajtó ismertet.
Ha egy ablak nyílik egy üzenetet válasszon ki egy programot a fájl megnyitásához. (DriveLetter) fájlt. Az Alapértelmezett programok mező van kijelölve az Internet Explorer. amellyel meg tudja nyitni a meghajtót rákattint az OK gombra. Ha a programban nincs Internet Explorer (vagy a segítségével a meghajtó nem mutatják), kattintson a Tallózás ... gombra és válassza ki a Windows Explorer (\ WINDOWS \ explorer.exe) -> OK -> OK.
Nyitva a hajtás, talál egy autorun.inf fájlt, és törölje.

Figyelem!
1. Ez a fájl általában egy rejtett attribútummal. Rendszer. Csak olvasható. Ezért az Eszközök -> Mappa beállításai ... -> Nézet -> kell tenni a Rejtett fájlok és mappák. válassza ki a kijelző tartalmát a rendszer mappákat, és törölje elrejtése operációs rendszer védett fájljainak -> OK.
Ha a menüpont mappa nem érhető el, lásd. Mi van, ha elérhető menüpont „Mappa beállításai”?
2. Ha eltávolítja a registry kulcsok által létrehozott vírus, de hagyjuk az autorun.inf fájl. akkor minden alkalommal, amikor megpróbálja feltárni a médiafájl újra létrehozni a vírus gombot.
3. Ha a vírus fog felírni egy autorun.inf fájlt a gyökér a helyi meghajtó (C: \, D: \, E: \ ...), a tünetek azonosak (azaz nem tudja kinyitni a bal egérgombot).

12. Ha nem tud futni -files txt, meg a registry kulcsot [HKEY_CLASSES_ROOT \ txtfile \ shell \ open \ command] és javítsa tágítható string értéket alapértelmezett beállítás a% SystemRoot% \ system32 \ NOTEPAD.EXE% 1

13. Ha nem tudja futtatni a reg -files, keresse meg a regisztrációs kulcs [HKEY_CLASSES_ROOT \ regfile \ shell \ open \ command], és javítsa az értéke az alapértelmezett paraméter karakterlánc regedit.exe „% 1”

14. Ha elkezdte a telepítést a szoftver problémák, meg a registry kulcsot [HKEY_CLASSES_ROOT \ Msi.Package \ shell \ open \ command] és javítsa tágítható string értéket alapértelmezett beállítás a "% SystemRoot% \ System32 \ msiexec.exe" / i "% 1" % *

15. Ha már nehézséget uninstallyatsiey (eltávolítás) programok, keressük meg a rendszerleíró kulcs [HKEY_CLASSES_ROOT \ Msi.Package \ shell \ Uninstall \ é és] és korrigálja az értéke egy nyújtható-paraméter alapértéke „% SystemRoot% \ System32 \ msiexec. exe "/ x" % 1 „% *

előző ◈ a következő