Es noķēru vīrusu un kā atjaunot sistēmu. Veidi, kā bez maksas atgūt šifrētus failus. Dažas ļaunprātīgas programmatūras, jo īpaši tārps Bagle, sabojā sistēmas sāknēšanas iestatījumus aizsargātajā režīmā. Šī programmaparatūra atjauno iestatījumus

Pateicos datorservisa centra Launch.RF speciālistiem par palīdzību materiāla sagatavošanā. Pie šiem puišiem Maskavā varat pasūtīt klēpjdatoru un netbook remontu.

Ļaunprātīgas programmas tiek ieviestas personālā datora operētājsistēmā un nodara būtisku kaitējumu visam datu apjomam. Šajā brīdī kaitēkļu programmas tiek veidotas dažādiem mērķiem, tāpēc to darbības ir vērstas uz dažādu personālā datora operētājsistēmas struktūru pielāgošanu.

Problēmas ar internetu un darbības traucējumi ar datoru savienoto ierīču darbībā ir izplatītas, un lietotājam ir acīmredzamas sekas.

Pat ja kaitēklis tika atklāts un iznīcināts, tas neizslēdz informācijas zudumu un citas problēmas, kas rodas turpmākajā darbā. Opciju saraksts var būt bezgalīgs, visbiežāk lietotājs atklāj pilnīgu vai daļēju piekļuves globālajam tīmeklim bloķēšanu, ārējo ierīču (peles, zibatmiņas kartes) kļūmi, tukšu darbvirsmu utt.

Uzskaitītās sekas tiek novērotas kaitēkļu programmas veikto izmaiņu dēļ personālā datora sistēmas failos. Šādas izmaiņas netiek novērstas ar vīrusa likvidēšanu, tās jākoriģē neatkarīgi vai ar speciālistu palīdzību. Faktiski šāda veida darbam nav nepieciešama īpaša apmācība, un ikviens pieredzējis lietotājs to var veikt, izpētījis atbilstošās instrukcijas.

Operētājsistēmas atkopšanas organizēšanas praksē tiek izdalītas vairākas pieejas atkarībā no iemesliem, kas izraisīja neveiksmi. Apsvērsim katru no iespējām sīkāk. Vienkārša metode, kas pieejama ikvienam lietotājam, ir atgriezt OS uz atjaunošanas punktu, kad personālā datora darbība atbilda lietotāja prasībām. Taču ļoti bieži šis risinājums ir neapmierinošs, vai arī to nevar īstenot objektīvu iemeslu dēļ.

Kā atjaunot OS, ja nav iespējams pieteikties datorā?

Sistēmas atjaunošanas palaišana notiek šādi. Sākt izvēlne\Vadības panelis\Sistēmas atjaunošana. Šajā adresē mēs izvēlamies vajadzīgo atkopšanas punktu un sākam procesu. Pēc kāda laika darbs tiks pabeigts un dators ir gatavs normālai darbībai. Šī metode ir diezgan piemērota dažu veidu vīrusu likvidēšanai, jo izmaiņas notiek arī reģistra līmenī. Šī operētājsistēmas atjaunošanas opcija tiek uzskatīta par vienkāršāko un ir iekļauta standarta Windows rīku komplektā. Soli pa solim sniegtie norādījumi un palīdzība ar detalizētiem komentāriem par procesu palīdzēs jums apgūt datora funkcionalitātes atjaunošanas paņēmienu, pat ja lietotājs nejūtas pilnībā pārliecināts kā datora administrators.

Vēl viena izplatīta OS atkopšanas iespēja ir procedūras palaišana no ārējiem datu nesējiem. Šo opciju sarežģī dažas problēmas, piemēram, zibatmiņas kartē vai diskā ir jābūt sistēmas attēlam un iepriekš jāpārliecinās, ka jums ir šāda kopija. Turklāt bieži vien ir nepieciešamas noteiktas prasmes darbā ar BIOS sistēmu. Operētājsistēmas attēls ārējā datu nesējā ir labākais risinājums, ja atkopšana nav iespējama, jo vīruss ir bloķējis pieteikšanos datorā. Ir arī citi varianti.

Nav iespējams izmantot standarta Windows rīkus, lai atjaunotu OS, ja, piemēram, nav iespējams pieteikties vai ir citi iemesli, kas neļauj veikt darbību standarta režīmā. Situāciju var atrisināt, izmantojot ERD Commander (ERDC) rīku.

Apskatīsim situāciju soli pa solim, lai redzētu, kā programma darbojas. Pirmais solis ir lejupielādēt programmu. Otrais solis ir Syst em Restore Wizard rīka palaišana, ar tā palīdzību OS tiek atgriezta noteiktā atkopšanas pozīcijā.

Parasti katram rīkam ir vairāki kontrolpunkti rezervē, un astoņdesmit procentos gadījumu personālā datora veiktspēja tiks pilnībā atjaunota.

AVZ utilītu rīku izmantošana

Tālāk aplūkotā rīka darbībā nav nepieciešamas īpašas lietotāja prasmes. Programmatūras produktu izstrādāja Oļegs Zaicevs, un tas ir paredzēts visu veidu vīrusu un ļaunprātīgas programmatūras meklēšanai un iznīcināšanai. Bet papildus galvenajai funkcijai utilīta atjauno lielāko daļu sistēmas iestatījumu, kuriem ir uzbrukuši vai mainījuši ļaunprātīgi vīrusi.

Kādas problēmas var atrisināt piedāvātā programma? Galvenais ir atjaunot sistēmas failus un iestatījumus, kuriem ir uzbrukuši vīrusi. Lietderība nodarbojas ar bojātu programmu draiveriem, kas atsakās startēt pēc atkopšanas. Ja pārlūkprogrammās rodas problēmas vai piekļuve internetam ir bloķēta un daudzas citas problēmas.

Mēs aktivizējam atkopšanas darbību sadaļā File\System Restore un atlasām nepieciešamo darbību. Attēlā parādīts utilīta darbināmo mikroprogrammu interfeiss, mēs sniegsim katras no tām aprakstu.

Kā redzat, darbību kopumu attēlo 21 vienums, un katra no tiem nosaukums izskaidro tā mērķi. Ņemiet vērā, ka programmas iespējas ir diezgan daudzveidīgas un to var uzskatīt par universālu rīku ne tikai pašas sistēmas atdzīvināšanai, bet arī vīrusu seku likvidēšanai, kas strādā ar sistēmas datiem.

Pirmais parametrs tiek izmantots, ja vīrusa uzbrukuma un OS atkopšanas procedūras rezultātā lietotājam nepieciešamās programmas atsakās darboties. Parasti tas notiek, ja kaitēklis ir iekļuvis programmu failos un draiveros un veicis izmaiņas tur ierakstītajā informācijā.

Otrais parametrs ir nepieciešams, ja vīrusi aizstāj domēnus, ievadot tos pārlūkprogrammas meklētājprogrammā. Šī aizstāšana ir pirmais operētājsistēmas sistēmas failu un interneta mijiedarbības pielāgošanas līmenis. Šī programmas funkcija, kā likums, novērš izmaiņas, kas veiktas bez pēdām, nemēģinot tās atklāt, bet vienkārši pilnībā formatējot visu prefiksu un protokola datu apjomu, aizstājot tos ar standarta iestatījumiem.

Trešā opcija atsāk interneta pārlūkprogrammas sākuma lapas iestatīšanu. Tāpat kā iepriekšējā gadījumā, programma pēc noklusējuma novērš problēmas pārlūkprogrammā Internet Explorer.

Ceturtais parametrs pielāgo meklētājprogrammas darbību un iestata standarta darbības režīmu. Atkal procedūra attiecas uz noklusējuma Windows pārlūkprogrammu.

Ja rodas problēma, kas saistīta ar darbvirsmas darbību (reklāmkarogu, attēlu, svešu ierakstu parādīšanās uz tā), aktivizējiet programmas piekto punktu. Šādas ļaunprogrammatūras darbības sekas bija ļoti populāras pirms pāris gadiem un lietotājiem sagādāja daudz problēmu, taču arī tagad ir iespējams, ka šādi netīri triki var iekļūt datora operētājsistēmā.

Sestais punkts ir nepieciešams, ja ļaunprātīgā programma ir ierobežojusi lietotāja darbības, izpildot vairākas komandas. Šie ierobežojumi var būt dažāda rakstura, un, tā kā piekļuves iestatījumi tiek glabāti reģistrā, ļaunprātīga programmatūra visbiežāk izmanto šo informāciju, lai labotu lietotāja darbu ar datoru.

Ja, ielādējot OS, tiek parādīts trešās puses ziņojums, tas nozīmē, ka ļaunprogrammatūra varēja iefiltrēties Windows NT startēšanas iestatījumos. Atjaunojot OS, kas iznīcināja vīrusu, šis ziņojums netiek izdzēsts. Lai to noņemtu, ir jāaktivizē AVZ utilīta izvēlnes septītais parametrs.

Astotā izvēlnes opcija, kā norāda nosaukums, atjauno Explorer iestatījumus.

Dažreiz problēma izpaužas kā sistēmas komponentu darbības pārtraukumi, piemēram, personālā datora OS startēšanas laikā darbvirsma pazūd. AVZ utilīta diagnosticē šīs struktūras un veic nepieciešamos pielāgojumus, izmantojot rīku izvēlnes devīto vienumu.

Problēmas, ielādējot OS drošajā režīmā, var atrisināt desmitajā darbībā. Ir viegli noteikt nepieciešamību aktivizēt šo šeit apspriesto utilīta daudzprogrammu vienumu. Tie parādās, mēģinot strādāt drošības režīmā.

Ja uzdevumu pārvaldnieks ir bloķēts, jums ir jāaktivizē izvēlnes vienums vienpadsmitais. Vīrusi administratora vārdā veic izmaiņas šīs operētājsistēmas sadaļas aktivizēšanā, un darba loga vietā tiek parādīts ziņojums, ka darbs ar uzdevumu pārvaldnieku ir bloķēts.

HijackThis utilīta izmanto izņēmumu saraksta saglabāšanu reģistrā kā vienu no galvenajām funkcijām. Vīrusam ir pietiekami iekļūt utilītu datu bāzē un reģistrēt failus reģistra sarakstā. Pēc tam tas var patstāvīgi atgūt neierobežotu skaitu reižu. Lietderības reģistrs tiek iztīrīts, aktivizējot divpadsmito vienumu AVZ iestatījumu izvēlnē.

Nākamais, trīspadsmitais punkts, ļauj notīrīt failu Hosts, ko modificējis vīruss, tas var radīt grūtības darbā ar tīklu, bloķēt dažus resursus un traucēt pretvīrusu programmu datu bāzu atjaunināšanu. Darbs ar šo failu tiks apspriests sīkāk tālāk. Diemžēl gandrīz visas vīrusu programmas mēģina rediģēt šo failu, kas, pirmkārt, ir saistīts ar šādu izmaiņu veikšanas vieglumu, un sekas var būt vairāk nekā nozīmīgas, un pēc vīrusu noņemšanas failā ievadītā informācija var tikt tieša vārteja iekļūšanai OS jaunos kaitēkļos un spiegprogrammatūrā.

Ja piekļuve internetam ir bloķēta, tas parasti nozīmē, ka SPI iestatījumos ir kļūdas. Tie tiks laboti, ja aktivizēsit četrpadsmito izvēlnes vienumu. Ir svarīgi, lai šo iestatījumu vienumu nevarētu izmantot no termināļa sesijas.

Līdzīgas funkcijas ir iekļautas piecpadsmitajā izvēlnes vienumā, taču tā aktivizēšana ir iespējama tikai strādājot operētājsistēmās, piemēram, XP, Windows 2003, Vista. Varat izmantot šo vairāku programmu, ja mēģinājumi labot situāciju, piesakoties tīklā, izmantojot iepriekšējo iestatījumu, nesniedza vēlamo rezultātu.

Sešpadsmitā izvēlnes vienuma iespējas ir vērstas uz sistēmas reģistra atslēgas, kas ir atbildīgas par interneta pārlūkprogrammas palaišanu, atjaunošanu.

Nākamais solis darbā, lai atjaunotu OS iestatījumus pēc vīrusu uzbrukuma, ir reģistra redaktora atbloķēšana. Parasti ārējā izpausme ir tāda, ka nav iespējams ielādēt programmu darbam ar tīklu.

Tālāk minētie četri punkti ir ieteicami tikai tad, ja operētājsistēmas bojājumi ir tik katastrofāli, ka kopumā nav nozīmes, vai tos var novērst, izmantojot šādas metodes, vai arī tā rezultātā būs jāpārinstalē visa sistēma.

Tātad astoņpadsmitais vienums atjauno sākotnējos SPI iestatījumus. Deviņpadsmitais vienums notīra Mount Points /2 reģistru.

Divdesmitais punkts noņem visus statiskos maršrutus. Visbeidzot, pēdējais, divdesmit pirmais punkts izdzēš visus DNS savienojumus.

Kā redzat, utilītas iespējas aptver gandrīz visas jomas, kurās var iekļūt egles ļaunprogrammatūra un atstāt savas aktīvās pēdas, kuras nav tik viegli atklāt.

Tā kā pretvīrusu lietojumprogrammas negarantē 100% jūsu datora operētājsistēmas aizsardzību, mēs iesakām šādu programmu iekļaut savā rīku arsenālā, lai cīnītos pret visu veidu un veidu datorvīrusiem.

Personālā datora OS dezinfekcijas rezultātā nedarbojas tam pievienotās ierīces.

Viens populārs veids, kā slēpt spiegprogrammatūru, ir papildus īstajai programmatūrai instalēt savu vīrusu draiveri. Šajā situācijā faktiskais draiveris visbiežāk ir peles vai tastatūras fails. Attiecīgi pēc vīrusa iznīcināšanas tā pēdas paliek reģistrā, šī iemesla dēļ ierīce, kurai kaitēklis varēja pievienoties, pārstāj darboties.

Līdzīga situācija rodas, ja Kaspersky Anti-Virus atinstalēšanas process nedarbojas pareizi. Tas ir saistīts arī ar programmas instalēšanas specifiku, kad tās instalēšanai datorā tiek izmantots papildu draiveris klmouflt. Situācijā ar Kaspersky šis draiveris ir jāatrod un pilnībā jānoņem no personālā datora sistēmas saskaņā ar visiem noteikumiem.

Ja tastatūra un pele atsakās darboties vēlamajā režīmā, pirmā lieta, kas jums jādara, ir atjaunot reģistra atslēgas.

Tastatūra :
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Cont rol\Class\(4D36E 96B-E325-11CE-BF C1-08002BE10318)
UpperFilters=kbd klase

Pele :
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Cont rol\Class\(4D36E 96F-E325-11CE-BF C1-08002BE10318)
UpperFilters=mou klase

Nepieejamu vietņu problēma

Ļaunprātīgas programmatūras uzbrukuma sekas var būt dažu resursu nepieejamība internetā. Un šīs sekas ir vīrusu izmaiņu rezultāts, ko sistēmā izdevās veikt. Problēma tiek konstatēta uzreiz vai pēc kāda laika, bet, ja kaitēkļu programmu darbības rezultātā tā parādās pēc kāda laika, to novērst nebūs grūti.

Ir divas bloķēšanas iespējas, un visizplatītākā ir hosts faila pielāgošana. Otra iespēja ir izveidot viltus statiskus maršrutus. Pat ja vīruss tiek iznīcināts, izmaiņas, ko tas veica šajos rīkos, netiks novērstas.

Attiecīgais dokuments atrodas sistēmas mapē diskā C. Tā adresi un atrašanās vietu var atrast šeit: C:\Windows\System 32\drivers\etc\hosts. Lai ātri meklētu, parasti izmantojiet komandrindu no izvēlnes Sākt.

Ja failu nevar atrast, izmantojot norādīto procedūru, tas var nozīmēt, ka:

— vīrusu programma ir mainījusi savu atrašanās vietu reģistrā;

— faila dokumentam ir parametrs “slēpts”.

Pēdējā gadījumā mēs mainām meklēšanas raksturlielumus. Vietnē: Mapes opcijas / Skats atrodam rindu “Rādīt slēptos failus” un atzīmējiet izvēles rūtiņu pretī, paplašinot meklēšanas diapazonu.

Hosts failā ir informācija, kas pārvērš vietnes domēna burtu nosaukumu tās IP adresē, tāpēc ļaunprātīgas programmatūras programmas ieraksta tajā korekcijas, kas var novirzīt lietotāju uz citiem resursiem. Ja tas notiek, tad, ievadot vajadzīgās vietnes adresi, tiek atvērta pavisam cita. Lai šīs izmaiņas atgrieztos sākotnējā stāvoklī un tās labotu, jums ir jāatrod šis fails un jāanalizē tā saturs. Pat nepieredzējis lietotājs varēs redzēt, ko tieši vīruss ir mainījis, taču, ja tas rada zināmas grūtības, varat atjaunot noklusējuma iestatījumus, tādējādi novēršot visas failā veiktās izmaiņas.

Runājot par maršrutu labošanu, darbības princips ir vienāds. Tomēr datora operētājsistēmas un interneta mijiedarbības procesā prioritāte vienmēr paliek hosts failam, tāpēc pietiek ar tā atjaunošanu, lai darbs tiktu veikts standarta režīmā.

Grūtības rodas, ja vajadzīgo failu nevar atrast, jo vīruss maina savu atrašanās vietu sistēmas mapēs. Pēc tam jums ir jālabo reģistra atslēga.

HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\serv ices\Tcpip\Param eters\DataBasePa th

Vīrusi, kas pieder Win32/Vundo grupai, ir pārāki par lielāko daļu to ļaunprātīgo vīrusi savā atjautībā attiecībā uz saimniekdatoru failu pārveidošanu. Viņi maina pašu faila nosaukumu, izdzēšot latīņu burtu o un aizstājot zīmi ar kirilicas burtu. Šāds fails vairs nepārvērš vietņu domēna nosaukumus IP adresēs, un pat tad, ja lietotājs atjaunos šo failu, darba rezultāts paliks nemainīgs. Kā atrast oriģinālo failu? Ja rodas šaubas, ka mums nepieciešamais objekts ir īsts, veicam sekojošu procedūru. Pirmais solis ir aktivizēt slēpto failu displeja režīmu. Apskatīsim katalogu, izskatās, ka tas ir redzams attēlā.

Šeit ir divi identiski faili, taču, tā kā OS neļauj izmantot identiskus nosaukumus, ir acīmredzams, ka mums ir darīšana ar viltotu dokumentu. Ir viegli noteikt, kurš no tiem ir pareizs un kurš ir nepareizs. Vīruss izveido lielu failu un tiek pakļauts daudzām korekcijām, tāpēc tā sabotāžas rezultāts attēlā ir attēlots ar slēptu failu ar 173 KB apjomu.

Ja atverat dokumenta failu, tajā esošā informācija saturēs šādas rindas:

31.214.145.172 vk.com - virkne, kas var aizstāt vietnes IP adresi

127.0.0.1 avast.com — vīrusa rakstīta faila rinda, lai liegtu piekļuvi pretvīrusu programmas vietnei

Mēs jau iepriekš atzīmējām, ka jūs varat arī bloķēt atsevišķus resursus, maršrutēšanas tabulā izveidojot nepareizus maršrutus. Apskatīsim darbību secību, lai redzētu, kā situāciju var atrisināt.

Ja saimniekdatora failā nav ļaunprātīgu pielāgojumu un darbs ar resursu nav iespējams, problēma ir maršruta tabulā. Daži vārdi par šo rīku mijiedarbības būtību. Ja saimniekdatora failā ir norādīta pareizā adaptīvā domēna adrese, tad tiek veikta novirzīšana uz šo adresi uz esošu resursu. Parasti IP adrese neietilpst vietējā apakštīkla adrešu diapazonā, tāpēc novirzīšana notiek caur maršrutētāja vārteju, ko nosaka interneta savienojuma iestatījumi.

Ja pielāgojat maršruta ierakstus noteiktai IP adresei, tad, pamatojoties uz šo ierakstu, tiks izveidots automātisks savienojums. Ja šāda maršruta nav vai vārteja nedarbojas, savienojums nenotiks un resurss paliks nepieejams. Tādējādi vīruss var izdzēst ierakstu maršruta tabulā un bloķēt pilnīgi jebkuru vietni.

Konkrētām vietnēm izveidotie maršruti paliek HKLM reģistra datubāzē. Maršruts tiek atjaunināts, kad tiek aktivizēta maršruta pievienošanas programmatūras komanda vai dati tiek manuāli pielāgoti. Ja nav statisku maršrutu, tabulas sadaļa ir tukša. Varat skatīt maršrutēšanas datu sarakstu, izmantojot maršruta drukāšanas komandu. Tas izskatīsies šādi:

Aktīvie maršruti:

Iepriekš sniegtā tabula ir standarta personālajam datoram ar vienu tīkla karti un tīkla savienojuma iestatījumiem:

IP adrese 192.168.0.0

maska ​​255.255.255.0

noklusējuma vārteja 192.168.0.1

Iepriekš parādītajā ierakstā ir iekļauta tīkla IP adrese ar kodējumu 192.168.0.0 un apakštīkla maska ​​ar kodējumu 255.255.255.0. Ja jūs atšifrējat šos datus, tad informācija ir šāda. Maska ietver visu mezglu apjomu ar līdzvērtīgu augstu adreses daļu. Metriskajā sistēmā apakštīkla maskas pirmie trīs baiti ir 1 visās datoru operētājsistēmās (izņemot decimāldaļu, kur vērtība ir 255, un heksadecimālo, kur vērtība ir 0*FF). Saņemto mezglu adreses zemas kārtas daļa ir vērtība diapazonā no 1 līdz 254.

Saskaņā ar iepriekš sniegto informāciju zemā adrese ir kodēta - 192.168.0.0, šis kods ir tīkla adrese. Augstākā adrese ar kodējumu 192.168.0.255 tiek raksturota kā apraides adrese. Un, ja pirmais kods izslēdz tā izmantošanu datu apmaiņai, tad otrais kods ir tieši paredzēts šo funkciju veikšanai. Viņu mezgli apmainās ar datu paketēm, izmantojot maršrutus.

Iedomāsimies šādu konfigurāciju:

IP adrese - 192.168.0.0

Tīkla maska ​​- 255.255.255.0

Vārteja — 192.168.0.3

Interfeiss - 192.168.0.3

Metrica — 1

Informācija tiek loģiski atšifrēta šādi: adrešu diapazonā no 192.168.0.0 līdz 192.168.0.255 mēs izmantojam tīkla kartes kodu (192.168.0.3), lai apmainītos ar informāciju kā vārteju un interfeisu. Tas viss nozīmē, ka informācija tiek nodota tieši pašam saņēmējam.

Ja beigu adreses nosacījums neatbilst norādītajam diapazonam 192.168.0.0-192. 168.0.255, informāciju tieši pārsūtīt nebūs iespējams. Servera protokols nosūta datus maršrutētājam, kas tos pārsūta uz citu tīklu. Ja statiskie maršruti nav norādīti, maršrutētāja noklusējuma adrese paliek tāda pati kā vārtejas adrese. Informācija tiek nosūtīta uz šo adresi, pēc tam uz tīklu un pa tabulā norādītajiem maršrutiem, līdz adresāts saņem paketi. Kopumā datu pārsūtīšanas process izskatās tieši šādi. Iesniegsim standarta maršrutētāja tabulas ierakstu ilustrāciju. Piemērā ir tikai daži ieraksti, bet to skaits var sasniegt desmitiem vai simtiem rindu.

Pamatojoties uz piemēra datiem, mēs aprakstīsim pāradresācijas procesu uz interneta resursu adresēm. Sazinoties ar interneta resursu adresēm, kas atrodas norādītajā diapazonā no 74.55.40.0 līdz 74.55.40.255, maršrutētāja kods ir vienāds ar tīkla numuru 192.168.0.0, un attiecīgi to nevar izmantot informācijas datu apmaiņas procesā. IP protokols diagnosticē adresi (74.55.40.226), kas nav iekļauta atsevišķā lokālā tīkla adrešu paketē un attiecas uz noteiktajiem statiskajiem maršrutiem.

Situācija ir tāda, kad šis maršruts nav reģistrēts, informācijas pakete tiek nosūtīta uz piemērā pēc noklusējuma iestatīto vārtejas identifikācijas adresi.

Tā kā piemērā parādītais maršruts ir augstas prioritātes maršruts, tam ir nepieciešama īpaša vārteja, nevis universāls standarts. Tā kā tabulā nav vārtejas, kas apmierina pieprasījumu, serveris ar tīkla adresi 74.55.40.226 paliks ārpus piekļuves zonas. Un saskaņā ar nosacījumiem, kas norādīti piemērā ar apakštīkla maskas kodu, visas adreses diapazonā no 74.55.40.0 līdz 74.55.40.255 tiks bloķētas. Tieši šajā diapazonā ietilpst tīkla ceļš uz personālajā datorā instalētās pretvīrusu programmatūras vietni, kas nesaņems nepieciešamos vīrusu datu bāzes atjauninājumus un nedarbosies pareizi.

Jo vairāk šādu datu maršruta tabulā, jo vairāk resursu tiek bloķēti. Speciālistu praksē vīrusu programmas izveidoja līdz četriem simtiem šāda veida līniju, tādējādi bloķējot aptuveni tūkstoš tīkla resursu darbu. Turklāt vīrusu īpašniekus īpaši neinteresē fakts, ka, cenšoties aizliegt kādu konkrētu resursu, viņi no iespējamās piekļuves izslēdz desmitiem citu vietņu. Šī ir galvenā negodīgo programmētāju kļūda, jo nepieejamo resursu skaits atklāj pašu datu pārsūtīšanas bloķēšanas iespēju. Tātad, piemēram, ja izslēgšanas lokā ir iekļauti populārākie sociālie tīkli un lietotājs nevar pieteikties vietnē VKontakte vai Odnoklassniki, tad rodas aizdomas par pareizu datora darbību ar tīklu.

Situācijas labošana nav grūta, šim nolūkam tiek izmantota maršruta komanda un dzēšanas taustiņš. Tabulā atrodam nepatiesus ierakstus un atinstalējam tos. Neliela piezīme: visas darbības ir iespējamas tikai tad, ja lietotājam ir administratora tiesības, bet vīruss var veikt izmaiņas maršrutā tikai tad, ja tas ir iefiltrējies tīklā caur personālā datora administratora kontu. Sniegsim šādu uzdevumu piemērus.

maršruta dzēšana 74.55.40.0 - ieraksts, kas dzēš maršruta līnijas pirmo opciju;

maršruta dzēšana 74.55.74.0 - ieraksts, kas dzēš maršruta līnijas otro opciju.

Šādu līniju skaitam jābūt kopējam viltus maršrutu skaitam.

Ja procedūrai izmantojat vienkāršāku pieeju, jums jāizmanto izvades pāradresācijas darbība. To var izdarīt, ievadot uzdevumu maršruta drukāšana > C:\routes.txt. Komandas aktivizēšana rada situāciju, ka sistēmas diskā tiek izveidots faila dokuments ar nosaukumu routes.txt, kurā ir tabula ar maršruta datiem.

Tabulu sarakstā ir DOS rakstzīmju kodi. Šīs rakstzīmes nav nolasāmas, un tām nav nekādas nozīmes darbībai. Katra maršruta sākumā pievienojot maršruta dzēšanas uzdevumu, mēs izdzēšam katru nepatieso ierakstu. Tie izskatās apmēram šādi:

maršruta dzēšana 84.50.0.0

maršruta dzēšana 84.52.233.0

maršruta dzēšana 84.53.70.0

maršruta dzēšana 84.53.201.0

maršruta dzēšana 84.54.46.0

Tālāk jums ir jāmaina faila paplašinājuma opcijas šāda paplašinājuma aizstāšanai: cmd vai bat. Jauns fails tiek palaists, veicot dubultklikšķi ar peles labo pogu. Jūs varat vienkāršot uzdevumu, izmantojot populāro failu pārvaldnieku FAR, kas darbojas šādi. Redaktors, kas tiek izsaukts ar funkciju taustiņu F 4, izceļ maršruta ieraksta labo pusi ar īpašiem marķējumiem. Izmantojot taustiņu kombināciju CTRL + F 7, visas atstarpes tiek automātiski aizstātas ar rakstzīmi ar tukšu vērtību, un atstarpe savukārt tiek iestatīta uz rindas sākuma pozīciju. Jaunā norādīto taustiņu kombinācija nosaka maršruta dzēšanas uzdevumu mums vajadzīgajā vietā.

Ja datu tabulā ir daudz nepatiesu maršrutu un to manuāla labošana šķiet ilgs un nogurdinošs process, maršruta uzdevumu ieteicams izmantot kopā ar taustiņu F.

Šī atslēga noņem visus maršrutus, kas nav lēcieni, kā arī pilnībā atinstalē maršrutus ar beigu punktu un apraides adresi. Pirmajam un pēdējam ir ciparu kods 255.255.255.255; otrais 127.0.0.0. Citiem vārdiem sakot, visa nepatiesā informācija, ko vīruss ierakstījis tabulā, tiks atinstalēta. Bet tajā pašā laikā tiks iznīcināti statisko maršrutu ieraksti un paša lietotāja noklusējuma vārtejas dati, tāpēc tie būs jāatjauno, jo tīkls paliks nepieejams. Vai arī mēs varam pārraudzīt datu tabulas tīrīšanas procesu un apturēt to, kad plānojam dzēst vajadzīgo ierakstu.

AVZ pretvīrusu programmu var izmantot arī maršrutētāja iestatījumu pielāgošanai. Konkrētā daudzprogramma, kas nodarbojas ar šo procesu, ir divdesmitais TCP konfigurācijas vienums.

Pēdējā iespēja bloķēt lietotāju piekļuvi to vietņu IP adresēm, kuras izmanto vīrusu programmas, ir izmantot DNS servera adrešu viltošanu. Šajā opcijā savienojums ar tīklu tiek izveidots, izmantojot ļaunprātīgu serveri. Bet šādas situācijas ir diezgan reti.

Pēc visa darba pabeigšanas jums ir jāpārstartē personālais dators.

Vēlreiz pateicos datoru servisa centra Zapuskay.RF - http://zapuskay.rf/information/territory/Kolomenskaya/ meistariem par palīdzību materiāla sagatavošanā, no kuriem var pasūtīt portatīvo datoru un netbook remontu Maskavā.

Izlasiet, kā atgūt vīrusu uzbrukuma rezultātā izdzēstos failus, izmantojot iebūvētos Windows risinājumus vai trešo pušu programmas. Kā atgūt vīrusu šifrētus failus. Vai jūsu datoram ir uzbrukis vīruss? Vai vēlaties atgūt failus, kas izdzēsti ļaunprātīgu uzbrukumu dēļ? Šajā rakstā mēs centīsimies runāt par standarta veidiem, kā labot negaidītu situāciju, un dažādām iespējām atgūt izdzēstos failus.

Saturs:

Ievads

Attīstoties elektroniskajām tehnoloģijām un saziņas līdzekļiem, ir palielinājies informācijas apjoms un apjoms, ko lietotāji iesaista, veicot dažādas darbības, kas tieši saistītas gan ar profesionālajām, gan ražošanas darbībām un kuru mērķis ir nodrošināt pēdējiem saziņu, saziņu, spēles un izklaidi. ievērojami paplašināts.

Dažāda dizaina datorierīces palīdz pilnībā kontrolēt ienākošo un izejošo datu plūsmu, veikt tūlītēju apstrādi neatkarīgi no gala apjoma un nodrošināt drošu uzglabāšanu.

Stacionārie personālie datori un klēpjdatori, tostarp jebkura no to mainīgajām kombinācijām (ultrabook, netbook, konvertējami klēpjdatori, nettopi), planšetdatori, viedtālruņi un komunikatori utt. pilnībā atbilst arvien pieaugošajām lietotāju vajadzībām, strādājot ar informāciju, un atbilst jaunākajiem informācijas standartiem.

Lietotāju vidū visplašāk pārstāvētās elektroniskās ierīces ir personālie datori un klēpjdatori. Bagātīgais datoru ierīču iekšējais saturs (īpaši ātri procesori, ļoti funkcionālas mātesplates, progresīvās atmiņas kartes, kapacitatīvās atmiņas ierīces utt.) un modernā augstas veiktspējas programmatūra ļauj tām ieņemt vadošo pozīciju informācijas apstrādē un uzglabāšanā. pasaule.

Izplatības plašuma un izmantoto ierīču skaita ziņā tiem tuvojas viedtālruņi un komunikatori. Pateicoties augstajai mobilitātes pakāpei, miniatūra izmēram, diezgan augstajai funkcionalitātei un plašajam pieejamo aplikāciju klāstam, viedtālruņi mēdz saskaņot un, ja iespējams, aizstāt datorus un klēpjdatorus, veicot noteiktas darbības.

Starptautiska informācijas datortīkla attīstība "internets" paātrināja dažādu datoru ierīču izplatību un izmantošanu, lai atrisinātu jebkuru problēmu, kas nav obligāti saistīta ar konkrētu ierīci vai darba vietu. Plašas datu bāzes izmantošana, informācijas attālināta izmantošana un apstrāde ir būtiski popularizējusi datorierīces un paātrinājusi pāreju uz informācijas glabāšanu digitālā režīmā.

Plaši pārejot uz digitālo informāciju, lielākā daļa lietotāju datu (personīgo, sociālo, publisko un biznesa) tiek glabāti, apstrādāti, pārsūtīti un apkalpoti dažādās datorierīcēs. Šajā sakarā svarīgākā prasība visām ierīcēm ir obligāta augsta datu drošības pakāpe un to aizsardzība pret trešo personu neatļautām darbībām.

Viens no visizplatītākajiem ļaunprātīgas ietekmes veidiem uz lietotāju datiem ir vīrusu uzbrukumi no ļaunprātīgas programmatūras.

Šādu programmu darbības un funkcionalitātes diapazons ir neparasti plašs, un tas ir saistīts ar starptautisko informācijas tīklu "internets", to izplatība ir sasniegusi globālu mērogu.

Lietotāja datorierīces inficēšana ar vīrusu var radīt nevēlamas sekas, no kurām biežākā ir lietotāja failu dzēšana. Kā atjaunot failus pēc saskares ar vīrusu programmām, tiks apspriests tālāk mūsu rakstā.

Lielākā daļa datoru lietotāju ir dzirdējuši un daudzi ir tieši pieredzējuši datorvīrusu negatīvās ietekmes sekas, to ietekmi uz lietotāju failiem un personālā datora kopējo veiktspēju kopumā. Lietotāja failu apzināta dzēšana vai bojāšana, piekļuves bloķēšana atsevišķiem operētājsistēmas vai datora elementiem, selektīva failu šifrēšana un to struktūras maiņa, nodalījumu tabulas dzēšana vai dzēšana, personālā datora vadības nodošana uzbrucējiem, izmantojot operētājsistēmas vai datora iespējas. lietotāja datoru attālinātai uzlaušanai vai citām ļaunprātīgām darbībām, identitātes zādzībām, surogātpasta ziņojumu sūtīšanai utt. – tikai daļa no visām darbībām, kas var rasties, inficējot datoru ar vīrusu.

Programma tika izstrādāta, lai atgūtu datus no cietajiem un ārējiem diskdziņiem, kā arī citām atmiņas ierīcēm. Tas apvieno progresīvu algoritmu kopu, kas ļauj analizēt un meklēt izdzēsto informāciju tās turpmākai atkopšanai, atgriezt datus pēc sistēmas kļūmēm un dažādām sistēmas kļūdām, nolasīt informāciju no bojātiem, nelasāmiem, nestrādājošiem vai bojātiem diskiem ar sekojošu piekļuves nodrošināšanu. pazaudētiem vai nepieejamiem failiem. atbalsta visu operētājsistēmā izmantoto failu sistēmu klāstu "Windows" un izlabo visas kļūdas cietā diska loģiskajā struktūrā, lai droši atgrieztu zaudēto saturu.

Atsevišķa programmas priekšrocība ir iespēja atjaunot vīrusu uzbrukumu rezultātā bojātu, bojātu vai bloķētu informāciju. Pateicoties inovatīvu algoritmu kopumam, ir iespējams atgriezt failus pēc jebkura ļaunprātīga vīrusu uzbrukuma, kas izraisa lietotāja datu iznīcināšanu vai piekļuves trūkumu tiem.

Lejupielādējiet programmas instalācijas failu no uzņēmuma oficiālās vietnes Hetman programmatūra un sākt tā izpildi. Soli pa solim programmatūras instalēšanas vednis pēc atsevišķu parametru iestatīšanas, piemēram, instalācijas ceļa norādīšanas vai saīsnes izveides darbvirsmā, ļaus ātri un veiksmīgi instalēt programmu lietotāja personālajā datorā turpmākai lietošanai.

Kad instalēšana ir pabeigta, atveriet instalēto programmu. Programmā iebūvētie rīki veiks sistēmas sākotnējo analīzi un parādīs visas ar personālo datoru savienotās datu glabāšanas ierīces.

Atlasiet cietā diska nodalījumu vai visu fizisko disku, programmas logā veicot dubultklikšķi uz tā ikonas. Programma aktivizē failu atkopšanas vedņa palaišanu, kas liks lietotājiem izlemt, kāda veida sistēmas analīze ir nepieciešama konkrētajā brīdī. Ja fails tiek zaudēts vīrusa uzbrukuma dēļ, atlasiet pilnas analīzes opciju, lai atlasītajā diskā meklētu un atjaunotu visu iespējamo informāciju, novietojot indikatoru (punktu) pretī attiecīgajai šūnai. “Pilna analīze (visas iespējamās informācijas meklēšana)”. Pēc analīzes atlasīšanas noklikšķiniet uz pogas "Tālāk" un sāciet atkopšanas procesu.

Atkarībā no diskdziņa iekšējās ietilpības, informācijas bojājuma pakāpes, failu sistēmas un vairākiem citiem papildu parametriem, izdzēsto failu analīzes un meklēšanas procedūra var ilgt dažādu laiku: no vairākām minūtēm līdz vairākām stundām. . Lineāra progresa josla informēs lietotājus par kopējā atkopšanas procesa pabeigšanas procentuālo daļu un papildus parāda aptuveno kopējo pabeigšanas laiku.

Atkopšanas procesa beigās viss atklāto failu un mapju saraksts tiks parādīts programmas logā, kura lietotāja interfeiss ir pēc iespējas tuvāks failu pārlūka izskatam. "Windows" galalietotāju ērtībām. Noklikšķinot uz katra faila, lietotāji varēs apskatīt tā saturu, kas tiks parādīts priekšskatījuma logā. Nepieciešamo failu atlasīšana un ievietošana logā "Atkopšanas saraksts" parasti velkot, jānospiež poga "Atjaunot", kas atrodas uz programmas galvenās izvēlnes lentes un tiek parādīta glābšanas riņķa veidā, lai vēlāk saglabātu atzīmētos datus.

Failu atkopšanas palīgs liks lietotājiem izvēlēties vienu no četriem iespējamiem veidiem, kā saglabāt atlasītos vienumus: saglabāšana cietajā diskā vai jebkurā citā pastāvīgā vai noņemamā datu nesējā, ierakstīšana optiskajā diskā, izveide "ISO attēls" atkoptos failus vai lejupielādēt datus, izmantojot "FTP protokols". Norādot vairākus papildus nepieciešamos parametrus, piemēram, ceļu uz atkopto failu saglabāšanu, lietotāji varēs saglabāt savus datus atbilstoši izvēlētajiem nosacījumiem.

Tagad varat atvērt mapi ar atgūtajiem failiem un pārbaudīt visu to funkcionalitāti.

Mūsdienās, kad informācijas tehnoloģiju attīstība norit milzīgā tempā, gandrīz katrs datora lietotājs zina par briesmām inficēties ar vīrusu, to likvidēšanas un sistēmas uzturēšanas atbilstošā drošības līmenī nozīmi. Tomēr ir dažas nianses, kad runa ir par sistēmas attīrīšanu no ļaunprātīgas infekcijas.

Kad sistēma ir inficēta ar vīrusu, tā sāk vairoties un kaitēt lietotāja datiem un operētājsistēmai kopumā, negatīvi ietekmējot tās veiktspēju. Tāpēc labākais risinājums būtu nepieļaut vīrusa iekļūšanu sistēmā un izmantot pretvīrusu programmu, kurai ir spēcīgs aizsardzības līmenis pret ļaunprātīgu programmatūras iekļūšanu.

Taču, ja inficēšanās jau ir notikusi, tad arī dabiskā vēlme nekavējoties attīrīt operētājsistēmu no vīrusa var radīt negatīvas sekas. Noņemot vīrusu, pretvīrusu programma var arī noņemt dažus noderīgus failus no lietotāja datora atbilstoši izmantotajam algoritmam. Rezultātā tas var izraisīt papildu bojājumus un vairāk failu dzēšanu no lietotāja datora vai neatgriezenisku dažu datu zudumu. Tāpēc labāk būtu pilnībā pabeigt datu atkopšanas procesu pirms diska tīrīšanas pret vīrusiem uzsākšanas.

Secinājums

Datorierīču plašā izmantošana, lietošanas vienkāršība un plašā funkcionalitāte nodrošina tām vadošās pozīcijas dažādas informācijas apstrādes un uzglabāšanas jomā. Ņemot vērā datorierīču augsto popularitāti kopā ar informatīvā datortīkla attīstību "internets" un lielākā daļa datu obligātās pārsūtīšanas digitālā formātā, ievērojami palielinās risks tikt pakļautam ļaunprātīgu programmu kaitīgai ietekmei, kuru mērķis ir sabojāt lietotāja datus vai nozagt tos krāpnieciskos nolūkos.

Vīrusi tiek izstrādāti katru dienu, to skaits pieaug milzīgā tempā un nodara būtisku kaitējumu lietotājiem un viņu datiem. Jaudīgu, progresīvu pretvīrusu programmu izmantošana ievērojami samazina iespējamo datorierīču inficēšanās risku, taču, ņemot vērā plašo vīrusu algoritmu izmantoto sistēmas ievainojamību meklējumu klāstu, tas nesniedz pilnīgu datu drošības drošības garantiju. . Tā rezultātā lietotāja informācija var tikt bojāta vai pilnībā pazaudēta.

Tomēr operētājsistēma "Windows" ir iebūvēti dublēšanas un sistēmas atkopšanas rīki, kas vairumā gadījumu palīdzēs lietotājiem atgūt zaudētos datus.

Dažos gadījumos sistēmas drošības rīki "Windows" nepietiekami. Tāpēc ir svarīgi, lai būtu pieejama profesionāla failu atkopšanas programmatūra, kas var atgūt jebkuru lietotāja informāciju, kas zaudēta vīrusu infekcijas un dažādu citu iemeslu dēļ.

Pretvīrusu programmas, pat atklājot un noņemot ļaunprātīgu programmatūru, ne vienmēr atjauno pilnu sistēmas funkcionalitāti. Bieži vien pēc vīrusa noņemšanas datora lietotājs saņem tukšu darbvirsmu, pilnīgu piekļuves trūkumu internetam (vai piekļuve dažām vietnēm ir bloķēta), nefunkcionējošu peli utt. To parasti izraisa fakts, ka daži sistēmas vai lietotāja iestatījumi, ko mainījusi kaitīgā programma, paliek neskarti.

Lietderība ir bezmaksas, darbojas bez instalēšanas, ir pārsteidzoši funkcionāla un man ir palīdzējusi dažādās situācijās. Vīruss, kā likums, veic izmaiņas sistēmas reģistrā (pievienošana startēšanai, programmas palaišanas parametru modificēšana utt.). Lai neiedziļinātos sistēmā, manuāli labojot vīrusa pēdas, ir vērts izmantot AVZ pieejamo operāciju “sistēmas atjaunošana” (lai gan utilīta ir ļoti, ļoti laba kā antivīruss, ir ļoti labi pārbaudīt diskus vīrusiem ar utilītu).

Lai sāktu atkopšanu, palaidiet utilītu. Pēc tam noklikšķiniet uz fails - sistēmas atjaunošana

un tāds logs atvērsies mūsu priekšā

atzīmējiet mums nepieciešamās izvēles rūtiņas un noklikšķiniet uz "Veikt atlasītās darbības"

1. exe, .com, .pif failu startēšanas parametru atjaunošana

Šī programmaparatūra atjauno sistēmas reakciju uz exe, com, pif, scr failiem.

Lietošanas indikācijas: Pēc vīrusa noņemšanas programmas pārstāj darboties.

2. Atiestatiet Internet Explorer protokola prefiksa iestatījumus uz standarta

Šī programmaparatūra atjauno protokola prefiksa iestatījumus pārlūkprogrammā Internet Explorer

Lietošanas indikācijas: ievadot adresi, piemēram, www.yandex.ru, tā tiek aizstāta ar tādu adresi kā www.seque.com/abcd.php?url=www.yandex.ru

3. Internet Explorer sākumlapas atjaunošana

Šī programmaparatūra atjauno sākumlapu pārlūkprogrammā Internet Explorer

Lietošanas indikācijas: nomainot sākuma lapu

4. Atiestatiet Internet Explorer meklēšanas iestatījumus uz standarta

Šī programmaparatūra atjauno meklēšanas iestatījumus pārlūkprogrammā Internet Explorer

Lietošanas indikācijas: Noklikšķinot uz pogas “Meklēt” pārlūkprogrammā IE, jūs tiekat novirzīts uz kādu trešās puses vietni

5. Atjaunojiet darbvirsmas iestatījumus

Šī programmaparatūra atjauno darbvirsmas iestatījumus. Atjaunošana ietver visu aktīvo ActiveDesctop elementu, fona tapetes dzēšanu un par darbvirsmas iestatījumiem atbildīgās izvēlnes atbloķēšanu.

Lietošanas indikācijas: Darbvirsmas iestatījumu grāmatzīmes logā “Displeja rekvizīti” ir pazudušas uz darbvirsmas

6. Visu pašreizējā lietotāja politiku (ierobežojumu) dzēšana

Windows nodrošina lietotāja darbību ierobežošanas mehānismu, ko sauc par politikām. Daudzas ļaunprātīgas programmatūras izmanto šo tehnoloģiju, jo iestatījumi tiek glabāti reģistrā un tos ir viegli izveidot vai modificēt.

Lietošanas indikācijas: Explorer funkcijas vai citas sistēmas funkcijas ir bloķētas.

7. WinLogon laikā parādītā ziņojuma dzēšana

Windows NT un turpmākās sistēmas NT rindā (2000, XP) ļauj iestatīt startēšanas laikā parādīto ziņojumu. Vairākas ļaunprātīgas programmas izmanto šo iespēju, un ļaunprātīgās programmas iznīcināšana nenoved pie šī ziņojuma iznīcināšanas.

Lietošanas indikācijas: Sistēmas sāknēšanas laikā tiek ievadīts ārējs ziņojums.

8. Explorer iestatījumu atjaunošana

Šī programmaparatūra atiestata vairākus Explorer iestatījumus uz standarta (vispirms tiek atiestatīti ļaunprogrammatūras mainītie iestatījumi).

Lietošanas indikācijas: Mainīti Explorer iestatījumi

9.Sistēmas procesa atkļūdotāju noņemšana

Sistēmas procesa atkļūdotāja reģistrēšana ļaus palaist paslēptu lietojumprogrammu, ko izmanto vairākas ļaunprātīgas programmas.

Lietošanas indikācijas: AVZ atklāj neidentificētus sistēmas procesu atkļūdotājus, problēmas rodas ar sistēmas komponentu palaišanu, jo īpaši, darbvirsma pazūd pēc pārstartēšanas.

10. Sāknēšanas iestatījumu atjaunošana drošajā režīmā

Dažas ļaunprātīgas programmatūras, jo īpaši tārps Bagle, sabojā sistēmas sāknēšanas iestatījumus aizsargātajā režīmā. Šī programmaparatūra atjauno sāknēšanas iestatījumus aizsargātā režīmā.

Lietošanas indikācijas: Dators netiek palaists drošajā režīmā. Šī programmaparatūra ir jāizmanto tikai tad, ja rodas problēmas ar sāknēšanu aizsargātā režīmā .

11.Atbloķējiet uzdevumu pārvaldnieku

Uzdevumu pārvaldnieka bloķēšanu izmanto ļaunprātīga programmatūra, lai aizsargātu procesus no atklāšanas un noņemšanas. Attiecīgi, izpildot šo mikroprogrammu, tiek noņemta bloķēšana.

Lietošanas indikācijas: Uzdevumu pārvaldnieks ir bloķēts, kad mēģināt izsaukt uzdevumu pārvaldnieku, tiek parādīts ziņojums “Uzdevumu pārvaldnieks ir bloķēts ar administratoru”.

12. Lietderības HijackThis ignorēšanas saraksta notīrīšana

Utilīta HijackThis saglabā vairākus savus iestatījumus reģistrā, jo īpaši izņēmumu sarakstu. Tāpēc, lai maskētu sevi no HijackThis, ļaunprātīgajai programmai tikai jāreģistrē izpildāmie faili izslēgšanas sarakstā. Pašlaik ir zināmas vairākas ļaunprātīgas programmas, kas izmanto šo ievainojamību. AVZ programmaparatūra notīra HijackThis utilīta izņēmumu sarakstu

Lietošanas indikācijas: Pastāv aizdomas, ka utilīta HijackThis neparāda visu informāciju par sistēmu.

13. Hosts faila tīrīšana

Hosts faila tīrīšana ietver Hosts faila atrašanu, visu svarīgo rindu noņemšanu no tā un standarta rindiņas “127.0.0.1 localhost” pievienošanu.

Lietošanas indikācijas: Pastāv aizdomas, ka Hosts failu ir modificējusi ļaunprātīga programmatūra. Tipiski simptomi ir pretvīrusu programmu atjaunināšanas bloķēšana. Varat kontrolēt Hosts faila saturu, izmantojot AVZ iebūvēto Hosts failu pārvaldnieku.

14. Automātiska SPl/LSP iestatījumu korekcija

Veic SPI iestatījumu analīzi un, ja tiek atklātas kļūdas, automātiski labo atrastās kļūdas. Šo programmaparatūru var atkārtoti palaist neierobežotu skaitu reižu. Pēc šīs programmaparatūras palaišanas ieteicams restartēt datoru. Piezīme! Šo programmaparatūru nevar palaist no termināļa sesijas

Lietošanas indikācijas: Pēc kaitīgās programmas noņemšanas es zaudēju piekļuvi internetam.

15. Atiestatiet SPI/LSP un TCP/IP iestatījumus (XP+)

Šī programmaparatūra darbojas tikai operētājsistēmās XP, Windows 2003 un Vista. Tās darbības princips ir balstīts uz SPI/LSP un TCP/IP iestatījumu atiestatīšanu un atkārtotu izveidošanu, izmantojot standarta netsh utilītu, kas iekļauta sistēmā Windows.Piezīme! Ja nepieciešams, rūpnīcas datu atiestatīšanu izmantojiet tikai tad, ja pēc ļaunprātīgas programmatūras noņemšanas rodas neatgriezeniskas problēmas ar piekļuvi internetam!

Lietošanas indikācijas: Pēc ļaunprātīgās programmas noņemšanas piekļuve internetam un programmaparatūras izpilde “14. Automātiska SPl/LSP iestatījumu labošana nedarbojas.

16. Explorer palaišanas atslēgas atkopšana

Atjauno sistēmas reģistra atslēgas, kas ir atbildīgas par Explorer palaišanu.

Lietošanas indikācijas: Sistēmas sāknēšanas laikā Explorer nestartējas, taču ir iespējams manuāli palaist explorer.exe.

17. Reģistra redaktora atbloķēšana

Atbloķē reģistra redaktoru, noņemot politiku, kas neļauj tam darboties.

Lietošanas indikācijas: Mēģinot palaist reģistra redaktoru, tiek parādīts ziņojums, ka administrators ir bloķējis tā palaišanu.

18. Pilnīga SPI iestatījumu atkārtota izveide

Veic SPI/LSP iestatījumu rezerves kopiju, pēc kuras tos iznīcina un izveido atbilstoši standartam, kas tiek saglabāts datu bāzē.

Lietošanas indikācijas: Nopietns SPI iestatījumu bojājums, ko nevar novērst ar 14. un 15. skriptu. Izmantojiet tikai nepieciešamības gadījumā!

19. Notīriet MountPoints datu bāzi

Attīra MountPoints un MountPoints2 datu bāzi reģistrā. Šī darbība bieži palīdz, ja pēc inficēšanās ar Flash vīrusu diski netiek atvērti pārlūkprogrammā Explorer

Lai veiktu atkopšanu, jums ir jāatlasa viens vai vairāki vienumi un jānoklikšķina uz pogas “Veikt atlasītās darbības”. Noklikšķinot uz pogas "OK", logs tiek aizvērts.

Piezīme:

Atjaunošana ir bezjēdzīga, ja sistēmā darbojas Trojas programma, kas veic šādas pārkonfigurācijas - vispirms ir jānoņem kaitīgā programma un pēc tam jāatjauno sistēmas iestatījumi

Piezīme:

Lai novērstu vairuma nolaupītāju pēdas, jums ir jāpalaiž trīs programmaparatūra - "Atiestatīt Internet Explorer meklēšanas iestatījumus uz standarta", "Atjaunot Internet Explorer sākumlapu", "Atiestatīt Internet Explorer protokola prefiksa iestatījumus uz standarta".

Piezīme:

Jebkuru programmaparatūru var izpildīt vairākas reizes pēc kārtas, nesabojājot sistēmu. Izņēmumi ir “5. Atjaunojot darbvirsmas iestatījumus” (palaižot šo programmaparatūru, tiks atiestatīti visi darbvirsmas iestatījumi, un jums būs atkārtoti jāizvēlas darbvirsmas krāsa un fons) un “10. Sāknēšanas iestatījumu atjaunošana drošajā režīmā" (šī programmaparatūra atkārtoti izveido reģistra atslēgas, kas ir atbildīgas par sāknēšanu drošajā režīmā).

Vienkārša un ērta AVZ utilīta, kas var ne tikai palīdzēs, bet arī zina, kā atjaunot sistēmu. Kāpēc tas ir vajadzīgs?

Fakts ir tāds, ka pēc vīrusu invāzijas (gadās, ka AVZ nogalina tūkstošiem), dažas programmas atsakās strādāt, visi iestatījumi ir kaut kur pazuduši un Windows kaut kā nedarbojas pareizi.

Visbiežāk šajā gadījumā lietotāji vienkārši pārinstalē sistēmu. Bet, kā liecina prakse, tas nemaz nav nepieciešams, jo, izmantojot to pašu AVZ utilītu, jūs varat atjaunot gandrīz visas bojātās programmas un datus.

Lai sniegtu jums skaidrāku priekšstatu, es sniedzu pilnu sarakstu ar to, ko var atjaunotAVZ.

Materiāls ņemts no atsauces grāmatasAVZ — http://www.z-oleg.com/secur/avz_doc/ (kopējiet un ielīmējiet pārlūkprogrammas adreses joslā).

Pašlaik datu bāzē ir šāda programmaparatūra:

1. exe, .com, .pif failu startēšanas parametru atjaunošana

Šī programmaparatūra atjauno sistēmas reakciju uz exe, com, pif, scr failiem.

Lietošanas indikācijas: Pēc vīrusa noņemšanas programmas pārstāj darboties.

2. Atiestatiet Internet Explorer protokola prefiksa iestatījumus uz standarta

Šī programmaparatūra atjauno protokola prefiksa iestatījumus pārlūkprogrammā Internet Explorer

Lietošanas indikācijas: ievadot adresi, piemēram, www.yandex.ru, tā tiek aizstāta ar tādu adresi kā www.seque.com/abcd.php?url=www.yandex.ru

3. Internet Explorer sākumlapas atjaunošana

Šī programmaparatūra atjauno sākumlapu pārlūkprogrammā Internet Explorer

Lietošanas indikācijas: nomainot sākuma lapu

4. Atiestatiet Internet Explorer meklēšanas iestatījumus uz standarta

Šī programmaparatūra atjauno meklēšanas iestatījumus pārlūkprogrammā Internet Explorer

Lietošanas indikācijas: Noklikšķinot uz pogas “Meklēt” pārlūkprogrammā IE, jūs tiekat novirzīts uz kādu trešās puses vietni

5. Atjaunojiet darbvirsmas iestatījumus

Šī programmaparatūra atjauno darbvirsmas iestatījumus.

Atjaunošana ietver visu aktīvo ActiveDesctop elementu, fona tapetes dzēšanu un par darbvirsmas iestatījumiem atbildīgās izvēlnes atbloķēšanu.

Lietošanas indikācijas: Darbvirsmas iestatījumu grāmatzīmes logā “Displeja rekvizīti” ir pazudušas uz darbvirsmas

6. Visu pašreizējā lietotāja politiku (ierobežojumu) dzēšana

Windows nodrošina lietotāja darbību ierobežošanas mehānismu, ko sauc par politikām. Daudzas ļaunprātīgas programmatūras izmanto šo tehnoloģiju, jo iestatījumi tiek glabāti reģistrā un tos ir viegli izveidot vai modificēt.

Lietošanas indikācijas: Explorer funkcijas vai citas sistēmas funkcijas ir bloķētas.

7. WinLogon laikā parādītā ziņojuma dzēšana

Windows NT un turpmākās sistēmas NT rindā (2000, XP) ļauj iestatīt startēšanas laikā parādīto ziņojumu.

Vairākas ļaunprātīgas programmas izmanto šo iespēju, un ļaunprātīgās programmas iznīcināšana nenoved pie šī ziņojuma iznīcināšanas.

Lietošanas indikācijas: Sistēmas sāknēšanas laikā tiek ievadīts ārējs ziņojums.

8. Explorer iestatījumu atjaunošana

Šī programmaparatūra atiestata vairākus Explorer iestatījumus uz standarta (vispirms tiek atiestatīti ļaunprogrammatūras mainītie iestatījumi).

Lietošanas indikācijas: Mainīti Explorer iestatījumi

9.Sistēmas procesa atkļūdotāju noņemšana

Sistēmas procesa atkļūdotāja reģistrēšana ļaus palaist paslēptu lietojumprogrammu, ko izmanto vairākas ļaunprātīgas programmas.

Lietošanas indikācijas: AVZ atklāj neidentificētus sistēmas procesu atkļūdotājus, problēmas rodas ar sistēmas komponentu palaišanu, jo īpaši, darbvirsma pazūd pēc pārstartēšanas.

10. Sāknēšanas iestatījumu atjaunošana drošajā režīmā

Dažas ļaunprātīgas programmatūras, jo īpaši tārps Bagle, sabojā sistēmas sāknēšanas iestatījumus aizsargātajā režīmā.

Šī programmaparatūra atjauno sāknēšanas iestatījumus aizsargātā režīmā. Lietošanas indikācijas: Dators netiek palaists drošajā režīmā. Šī programmaparatūra ir jāizmanto tikai tad, ja rodas problēmas ar sāknēšanu aizsargātā režīmā .

11.Atbloķējiet uzdevumu pārvaldnieku

Uzdevumu pārvaldnieka bloķēšanu izmanto ļaunprātīga programmatūra, lai aizsargātu procesus no atklāšanas un noņemšanas. Attiecīgi, izpildot šo mikroprogrammu, tiek noņemta bloķēšana.

Lietošanas indikācijas: Uzdevumu pārvaldnieks ir bloķēts, kad mēģināt izsaukt uzdevumu pārvaldnieku, tiek parādīts ziņojums “Uzdevumu pārvaldnieks ir bloķēts ar administratoru”.

12. Lietderības HijackThis ignorēšanas saraksta notīrīšana

Utilīta HijackThis saglabā vairākus savus iestatījumus reģistrā, jo īpaši izņēmumu sarakstu. Tāpēc, lai maskētu sevi no HijackThis, ļaunprātīgajai programmai tikai jāreģistrē izpildāmie faili izslēgšanas sarakstā.

Pašlaik ir zināmas vairākas ļaunprātīgas programmas, kas izmanto šo ievainojamību. AVZ programmaparatūra notīra HijackThis utilīta izņēmumu sarakstu

Lietošanas indikācijas: Pastāv aizdomas, ka utilīta HijackThis neparāda visu informāciju par sistēmu.

13. Hosts faila tīrīšana

Hosts faila tīrīšana ietver Hosts faila atrašanu, visu svarīgo rindu noņemšanu no tā un standarta rindiņas “127.0.0.1 localhost” pievienošanu.

Lietošanas indikācijas: Pastāv aizdomas, ka Hosts failu ir modificējusi ļaunprātīga programmatūra. Tipiski simptomi ir pretvīrusu programmatūras atjauninājumu bloķēšana.

Varat kontrolēt Hosts faila saturu, izmantojot AVZ iebūvēto Hosts failu pārvaldnieku.

14. Automātiska SPl/LSP iestatījumu korekcija

Veic SPI iestatījumu analīzi un, ja tiek atklātas kļūdas, automātiski labo atrastās kļūdas.

Šo programmaparatūru var atkārtoti palaist neierobežotu skaitu reižu. Pēc šīs programmaparatūras palaišanas ieteicams restartēt datoru. Piezīme! Šo programmaparatūru nevar palaist no termināļa sesijas

Lietošanas indikācijas: Pēc kaitīgās programmas noņemšanas es zaudēju piekļuvi internetam.

15. Atiestatiet SPI/LSP un TCP/IP iestatījumus (XP+)

Šī programmaparatūra darbojas tikai operētājsistēmās XP, Windows 2003 un Vista. Tās darbības princips ir balstīts uz SPI/LSP un TCP/IP iestatījumu atiestatīšanu un atkārtotu izveidošanu, izmantojot standarta netsh utilītu, kas iekļauta sistēmā Windows.

Piezīme! Rūpnīcas atiestatīšanu vajadzētu izmantot tikai tad, ja tas ir nepieciešams, ja pēc ļaunprātīgas programmatūras noņemšanas rodas neatgriezeniskas problēmas ar piekļuvi internetam!

Lietošanas indikācijas: Pēc ļaunprātīgās programmas noņemšanas piekļuve internetam un programmaparatūras izpilde “14. Automātiska SPl/LSP iestatījumu labošana nedarbojas.

16. Explorer palaišanas atslēgas atkopšana

Atjauno sistēmas reģistra atslēgas, kas ir atbildīgas par Explorer palaišanu.

Lietošanas indikācijas: Sistēmas sāknēšanas laikā Explorer nestartējas, taču ir iespējams manuāli palaist explorer.exe.

17. Reģistra redaktora atbloķēšana

Atbloķē reģistra redaktoru, noņemot politiku, kas neļauj tam darboties.

Lietošanas indikācijas: Mēģinot palaist reģistra redaktoru, tiek parādīts ziņojums, ka administrators ir bloķējis tā palaišanu.

18. Pilnīga SPI iestatījumu atkārtota izveide

Veic SPI/LSP iestatījumu rezerves kopiju, pēc kuras tos iznīcina un izveido atbilstoši standartam, kas tiek saglabāts datu bāzē.

Lietošanas indikācijas: Nopietns SPI iestatījumu bojājums, ko nevar novērst ar 14. un 15. skriptu. Izmantojiet tikai nepieciešamības gadījumā!

19. Notīriet MountPoints datu bāzi

Attīra MountPoints un MountPoints2 datu bāzi reģistrā. Šī darbība bieži palīdz, ja pēc inficēšanās ar Flash vīrusu diski netiek atvērti pārlūkprogrammā Explorer

Lai veiktu atkopšanu, jums ir jāatlasa viens vai vairāki vienumi un jānoklikšķina uz pogas “Veikt atlasītās darbības”. Noklikšķinot uz pogas "OK", logs tiek aizvērts.

Piezīme:

Atjaunošana ir bezjēdzīga, ja sistēmā darbojas Trojas zirgs, kas veic šādas pārkonfigurācijas - vispirms ir jānoņem kaitīgā programma un pēc tam jāatjauno sistēmas iestatījumi

Piezīme:

Lai novērstu vairuma nolaupītāju pēdas, jums ir jāpalaiž trīs programmaparatūra - "Atiestatīt Internet Explorer meklēšanas iestatījumus uz standarta", "Atjaunot Internet Explorer sākumlapu", "Atiestatīt Internet Explorer protokola prefiksa iestatījumus uz standarta".

Piezīme:

Jebkuru programmaparatūru var izpildīt vairākas reizes pēc kārtas, nesabojājot sistēmu. Izņēmumi - “5.

Darbvirsmas iestatījumu atjaunošana" (palaižot šo programmaparatūru, tiks atiestatīti visi darbvirsmas iestatījumi, un jums būs atkārtoti jāizvēlas darbvirsmas krāsa un fona attēls) un "10.

Sāknēšanas iestatījumu atjaunošana drošajā režīmā" (šī programmaparatūra atkārtoti izveido reģistra atslēgas, kas ir atbildīgas par sāknēšanu drošajā režīmā).

Lai sāktu atkopšanu, vispirms lejupielādējiet, izpakojiet un palaidiet lietderība. Pēc tam noklikšķiniet uz Fails - sistēmas atjaunošana. Starp citu, jūs varat arī darīt

Atzīmējiet vajadzīgās izvēles rūtiņas un noklikšķiniet uz Sākt darbības. Tas arī viss, ar nepacietību gaidām pabeigšanu :-)

Nākamajos rakstos mēs sīkāk aplūkosim problēmas, kuras mums palīdzēs atrisināt avz sistēmas atkopšanas programmaparatūra. Lai tev veicas.

Mēs runāsim par vienkāršākajiem vīrusu neitralizācijas veidiem, jo ​​īpaši tiem, kas bloķē Windows 7 lietotāja darbvirsmu (Trojan.Winlock vīrusu saime). Šādi vīrusi izceļas ar to, ka tie neslēpj savu klātbūtni sistēmā, bet, gluži pretēji, demonstrē to, padarot ārkārtīgi sarežģītu citu darbību veikšanu, izņemot īpaša “atbloķēšanas koda” ievadīšanu, kuras iegūšanai, iespējams, , jums ir jāpārskaita noteikta summa uzbrucējiem, nosūtot SMS vai papildinot mobilā tālruņa kontu, izmantojot maksājumu termināli. Mērķis šeit ir viens - piespiest lietotāju maksāt un dažreiz diezgan pienācīgu naudu. Ekrānā tiek parādīts logs ar draudošu brīdinājumu par datora bloķēšanu nelicencētas programmatūras izmantošanai vai nevēlamu vietņu apmeklēšanai, un kaut kas cits tamlīdzīgs, parasti, lai nobiedētu lietotāju. Turklāt vīruss neļauj veikt nekādas darbības Windows darba vidē – bloķē speciālu taustiņu kombināciju nospiešanu, lai izsauktu pogas Sākt izvēlni, komandu Palaist, uzdevumu pārvaldnieku u.c. Peles rādītāju nevar pārvietot ārpus vīrusa loga. Parasti tas pats attēls tiek novērots, ielādējot Windows drošajā režīmā. Situācija šķiet bezcerīga, it īpaši, ja nav cita datora, nav iespējas bootēt citā operētājsistēmā vai no noņemamā datu nesēja (LIVE CD, ERD Commander, antivīrusu skeneris). Bet, neskatoties uz to, vairumā gadījumu ir izeja.

Jaunās tehnoloģijas, kas ieviestas operētājsistēmā Windows Vista / Windows 7, ir ievērojami apgrūtinājušas ļaunprātīgas programmatūras iekļūšanu un pilnīgu kontroli pār sistēmu, kā arī nodrošinājušas lietotājiem papildu iespējas no tām salīdzinoši viegli atbrīvoties pat bez pretvīrusu programmatūras (programmatūras ). Mēs runājam par iespēju palaist sistēmu drošajā režīmā ar komandrindas atbalstu un no tās palaist uzraudzības un atkopšanas programmatūru. Acīmredzot ieraduma dēļ, jo šis režīms ir diezgan vāji ieviests iepriekšējās Windows saimes operētājsistēmu versijās, daudzi lietotāji to vienkārši neizmanto. Bet velti. Windows 7 komandrindā nav ierastās darbvirsmas (kuru var bloķēt vīruss), taču ir iespējams palaist lielāko daļu programmu - reģistra redaktoru, uzdevumu pārvaldnieku, sistēmas atkopšanas utilītu utt.

Vīrusa noņemšana, atgriežot sistēmu līdz atjaunošanas punktam

Vīruss ir parasta programma, un pat ja tas atrodas datora cietajā diskā, bet tam nav iespējas automātiski startēt sistēmas sāknēšanas un lietotāja reģistrācijas laikā, tad tas ir tikpat nekaitīgs kā, piemēram, parasts teksta fails. . Ja atrisināsit ļaunprātīgas programmas automātiskās palaišanas bloķēšanas problēmu, uzdevumu atbrīvoties no ļaunprātīgas programmatūras var uzskatīt par pabeigtu. Galvenā vīrusu izmantotā automātiskās palaišanas metode ir īpaši izveidoti reģistra ieraksti, kas tiek izveidoti, kad tie tiek ievadīti sistēmā. Ja izdzēsīsiet šos ierakstus, vīrusu var uzskatīt par neitralizētu. Vienkāršākais veids ir veikt sistēmas atjaunošanu, izmantojot kontrolpunkta datus. Kontrolpunkts ir svarīgu sistēmas failu kopija, kas tiek glabāta īpašā direktorijā ("Sistēmas apjoma informācija") un satur, cita starpā, Windows sistēmas reģistra failu kopijas. Sistēmas atgriešanas veikšana uz atjaunošanas punktu, kura izveides datums ir pirms vīrusa inficēšanās, ļauj iegūt sistēmas reģistra stāvokli bez iebrucēja vīrusa veiktajiem ierakstiem un tādējādi izslēgt tā automātisko palaišanu, t.i. atbrīvoties no infekcijas pat neizmantojot pretvīrusu programmatūru. Tādā veidā jūs varat vienkārši un ātri atbrīvoties no lielākās daļas vīrusu, kas inficē jūsu sistēmu, tostarp no tiem, kas bloķē Windows darbvirsmu. Protams, bloķējošo vīrusu, kas izmanto, piemēram, cietā diska sāknēšanas sektoru modifikāciju (MBRLock vīruss), šādā veidā nevar noņemt, jo sistēmas atgriešana uz atjaunošanas punktu neietekmē disku sāknēšanas ierakstus, un nevarēs palaist Windows drošajā režīmā ar komandrindas atbalstu, jo vīruss tiek ielādēts pirms Windows bootloader. Lai atbrīvotos no šādas infekcijas, jums būs jāveic sāknēšana no cita datu nesēja un jāatjauno inficētie sāknēšanas ieraksti. Bet šādu vīrusu ir salīdzinoši maz, un vairumā gadījumu jūs varat atbrīvoties no infekcijas, atgriežot sistēmu līdz atjaunošanas punktam.

1. Pašā ielādes sākumā nospiediet pogu F8. Ekrānā tiks parādīta Windows sāknēšanas ielādes izvēlne ar iespējamām sistēmas palaišanas opcijām

2. Atlasiet Windows sāknēšanas opciju — "Drošais režīms ar komandrindas atbalstu".

Kad lejupielāde ir pabeigta un lietotājs reģistrējas, parastās Windows darbvirsmas vietā tiks parādīts komandu procesora logs cmd.exe

3. Palaidiet sistēmas atjaunošanas rīku, komandrindā ierakstot rstrui.exe un nospiežot ENTER.

Pārslēdziet režīmu uz "Atlasīt citu atkopšanas punktu" un nākamajā logā atzīmējiet izvēles rūtiņu "Rādīt citus atkopšanas punktus".

Pēc Windows atjaunošanas punkta atlasīšanas sistēmas atcelšanas laikā varat skatīt ietekmēto programmu sarakstu:

Ietekmēto programmu saraksts ir to programmu saraksts, kuras tika instalētas pēc sistēmas atjaunošanas punkta izveides un kurām var būt nepieciešama atkārtota instalēšana, jo trūks ar tām saistīto reģistra ierakstu.

Pēc noklikšķināšanas uz pogas "Pabeigt" sāksies sistēmas atkopšanas process. Pēc pabeigšanas sistēma Windows tiks restartēta.

Pēc atsāknēšanas tiks parādīts ziņojums, kas norāda uz atcelšanas panākumiem vai neveiksmēm, un, ja tas būs veiksmīgs, sistēma Windows atgriezīsies stāvoklī, kas atbilst atjaunošanas punkta izveides datumam. Ja darbvirsmas bloķēšana neapstājas, varat izmantot tālāk norādīto sarežģītāku metodi.

Vīrusa noņemšana, neatgriežot sistēmu uz atjaunošanas punktu

Iespējams, ka sistēmai dažādu iemeslu dēļ nav atkopšanas punkta datu, atkopšanas procedūra beidzās ar kļūdu vai atcelšana nedeva pozitīvu rezultātu. Šādā gadījumā varat izmantot sistēmas konfigurācijas diagnostikas utilītu MSCONFIG.EXE. Tāpat kā iepriekšējā gadījumā, jums ir jāstartē sistēma Windows drošajā režīmā ar komandrindas atbalstu un komandrindas tulka logā cmd.exe ierakstiet msconfig.exe un nospiediet taustiņu ENTER.

Cilnē Vispārīgi varat atlasīt šādus Windows startēšanas režīmus:

Kad sistēma sāks darboties, tiks palaisti tikai minimāli nepieciešamie sistēmas pakalpojumi un lietotāja programmas.
Selektīva palaišana- ļauj manuāli norādīt sistēmas pakalpojumu un lietotāju programmu sarakstu, kas tiks palaistas sāknēšanas procesa laikā.

Lai novērstu vīrusu, vienkāršākais veids ir izmantot diagnostikas palaišanu, kad pati utilīta nosaka automātiski startējošu programmu kopu. Ja šajā režīmā vīruss pārstāj bloķēt darbvirsmu, jums ir jāpāriet uz nākamo soli - jānosaka, kura programma ir vīruss. Lai to izdarītu, varat izmantot selektīvās palaišanas režīmu, kas ļauj manuāli iespējot vai atspējot atsevišķu programmu palaišanu.

Cilne "Pakalpojumi" ļauj iespējot vai atspējot to sistēmas pakalpojumu palaišanu, kuru palaišanas veids ir iestatīts uz "Automātiski". Neatzīmēta izvēles rūtiņa pakalpojuma nosaukuma priekšā nozīmē, ka tas netiks palaists sistēmas sāknēšanas laikā. MSCONFIG utilīta loga apakšā ir lauks režīma "Nerādīt Microsoft pakalpojumus" iestatīšanai, kas, ja tas ir iespējots, parādīs tikai trešo pušu pakalpojumus.

Es atzīmēju, ka iespēja, ka sistēma tiks inficēta ar vīrusu, kas instalēts kā sistēmas pakalpojums ar standarta drošības iestatījumiem operētājsistēmā Windows Vista/Windows 7, ir ļoti zema, un jums būs jāmeklē vīrusa pēdas sarakstā. automātiski palaistām lietotāja programmām (cilne "Startēšana").

Tāpat kā cilnē Pakalpojumi, varat iespējot vai atspējot jebkuras programmas automātisku palaišanu, kas atrodas MSCONFIG parādītajā sarakstā. Ja vīruss sistēmā tiek aktivizēts ar automātisku palaišanu, izmantojot īpašas reģistra atslēgas vai Startup mapes saturu, tad, izmantojot msconfig, jūs varat to ne tikai neitralizēt, bet arī noteikt inficētā faila ceļu un nosaukumu.

Utilīta msconfig ir vienkāršs un ērts rīks to pakalpojumu un lietojumprogrammu automātiskās palaišanas konfigurēšanai, kas Windows saimes operētājsistēmām sākas standarta veidā. Tomēr vīrusu autori bieži izmanto metodes, kas ļauj palaist ļaunprātīgas programmas, neizmantojot standarta automātiskās palaišanas punktus. Visticamāk, jūs varat atbrīvoties no šāda vīrusa, izmantojot iepriekš aprakstīto metodi, atgriežot sistēmu uz atjaunošanas punktu. Ja atcelšana nav iespējama un msconfig izmantošana nedeva pozitīvu rezultātu, varat izmantot tiešu reģistra rediģēšanu.

Cīņas ar vīrusu procesā lietotājam bieži ir jāveic smaga atsāknēšana, atiestatot (Reset) vai izslēdzot strāvu. Tas var radīt situāciju, kad sistēma sāk darboties normāli, bet nesasniedz lietotāja reģistrāciju. Dators uzkaras dažu sistēmas failu loģiskās datu struktūras pārkāpuma dēļ, kas rodas nepareizas izslēgšanas laikā. Lai atrisinātu problēmu, tāpat kā iepriekšējos gadījumos, varat palaist drošajā režīmā ar komandrindas atbalstu un palaist komandu pārbaudīt sistēmas disku

chkdsk C: /F - pārbaudiet disku C: un izlabojiet atklātās kļūdas (taustiņš /F)

Tā kā sistēmas disks ir aizņemts ar sistēmas pakalpojumiem un lietojumprogrammām, kad darbojas chkdsk, chkdsk nevar iegūt ekskluzīvu piekļuvi tam, lai veiktu testēšanu. Tādēļ lietotājam tiks parādīts brīdinājuma ziņojums un tiks lūgts veikt testēšanu nākamajā sistēmas atsāknēšanas reizē. Pēc atbildes Y, informācija tiks ievadīta reģistrā, lai nodrošinātu, ka pēc Windows restartēšanas tiks sākta diska pārbaude. Kad pārbaude ir pabeigta, šī informācija tiek dzēsta un sistēma Windows tiek restartēta kā parasti, bez lietotāja iejaukšanās.

Vīrusa palaišanas iespēju novēršana, izmantojot reģistra redaktoru.

Lai palaistu reģistra redaktoru, tāpat kā iepriekšējā gadījumā, Windows jāsāknējiet drošajā režīmā ar komandrindas atbalstu, komandrindas tulka logā ierakstiet regedit.exe un nospiediet ENTER Windows 7, ar standarta sistēmas drošības iestatījumiem, ir aizsargāts no daudzas ļaunprātīgu programmu palaišanas metodes, kas tiek izmantotas iepriekšējām Microsoft operētājsistēmu versijām. Vīrusi, kas instalē savus draiverus un pakalpojumus, pārkonfigurē WINLOGON pakalpojumu, pievienojot savus izpildāmos moduļus, labo reģistra atslēgas, kas attiecas uz visiem lietotājiem utt. - visas šīs metodes vai nu nedarbojas operētājsistēmā Windows 7, vai prasa tik nopietnas darbaspēka izmaksas, ka tās ir praktiski neiespējami satikt. Parasti izmaiņas reģistrā, kas nodrošina vīrusa darbību, tiek veiktas tikai to atļauju kontekstā, kas pastāv pašreizējam lietotājam, t.i. sadaļā HKEY_CURRENT_USER

Lai parādītu vienkāršāko mehānismu darbvirsmas bloķēšanai, izmantojot lietotāja čaulas (apvalka) aizstāšanu un nespēju izmantot utilītu MSCONFIG, lai noteiktu un noņemtu vīrusu, varat veikt šādu eksperimentu - vīrusa vietā jūs pats izlabojiet reģistra datus, lai, piemēram, iegūtu komandrindu, nevis darbvirsmu . Pazīstamu darbvirsmu izveido Windows Explorer (programma Explorer.exe), kas tiek palaista kā lietotāja apvalks. To nodrošina Shell parametra vērtības reģistra atslēgās

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- visiem lietotājiem.
- pašreizējam lietotājam.

Shell parametrs ir virkne ar programmas nosaukumu, kas tiks izmantota kā apvalks, kad lietotājs pieteiksies. Parasti pašreizējā lietotāja sadaļā (HKEY_CURRENT_USER vai saīsināti kā HKCU) trūkst Shell parametra un tiek izmantota vērtība no reģistra atslēgas visiem lietotājiem (HKEY_LOCAL_MACHINE\ vai saīsināti kā HKLM).

Šādi izskatās reģistra atslēga HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ar standarta Windows 7 instalāciju

Ja šai sadaļai pievienosit Shell virknes parametru ar vērtību “cmd.exe”, nākamreiz, kad pašreizējais lietotājs pieteiksies sistēmā, standarta pārlūkprogrammas pārlūkprogrammas lietotāja čaulas vietā tiks palaists cmd.exe apvalks un parastās Windows darbvirsmas vietā tiks parādīts komandrindas logs .

Protams, šādā veidā var palaist jebkuru ļaunprātīgu programmu, un lietotājs darbvirsmas vietā saņems porno reklāmkarogu, bloķētāju un citas nepatīkamas lietas.
Lai veiktu izmaiņas atslēgā visiem lietotājiem (HKLM...), ir nepieciešamas administratora privilēģijas, tāpēc vīrusu programmas parasti maina pašreizējā lietotāja reģistra atslēgas (HKCU...) iestatījumus.

Ja, lai turpinātu eksperimentu, palaižat utilītu msconfig, varat pārliecināties, ka cmd.exe nav iekļauta kā lietotāja čaula automātiski palaistu programmu sarakstā. Sistēmas atcelšana, protams, ļaus jums atgriezt reģistru tā sākotnējā stāvoklī un atbrīvoties no automātiskās vīrusa palaišanas, taču, ja kāda iemesla dēļ tas nav iespējams, vienīgā iespēja ir tieši rediģēt reģistru. Lai atgrieztos standarta darbvirsmā, vienkārši noņemiet Shell parametru vai mainiet tā vērtību no "cmd.exe" uz "explorer.exe" un atkārtoti reģistrējiet lietotāju (atsakieties un vēlreiz piesakieties) vai restartējiet. Reģistru var rediģēt, komandrindā palaižot reģistra redaktoru regedit.exe vai izmantojot konsoles utilītu REG.EXE. Komandrindas piemērs Shell parametra noņemšanai:

REG izdzēst "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Dotais lietotāja čaulas aizstāšanas piemērs šodien ir viens no visizplatītākajiem paņēmieniem, ko vīrusi izmanto operētājsistēmas Windows 7 vidē. Diezgan augsts drošības līmenis standarta sistēmas iestatījumos neļauj ļaunprātīgai programmatūrai piekļūt reģistra atslēgām, kas tika izmantotas, lai inficētu Windows XP un vecākas versijas. Pat ja pašreizējais lietotājs ir administratoru grupas dalībnieks, lai piekļūtu lielākajai daļai inficēšanai izmantoto reģistra iestatījumu, programma ir jāpalaiž kā administrators. Šī iemesla dēļ ļaunprogrammatūra maina reģistra atslēgas, kurām ir atļauts piekļūt pašreizējam lietotājam (sadaļa HKCU... Otrs svarīgais faktors ir grūtības ierakstīt programmas failus sistēmas direktorijos). Šī iemesla dēļ lielākā daļa vīrusu Windows 7 vidē izmanto izpildāmo failu (.exe) palaišanu no pašreizējā lietotāja pagaidu failu direktorijas (Temp). Analizējot programmu automātiskās palaišanas punktus reģistrā, vispirms jāpievērš uzmanība programmām, kas atrodas pagaidu failu direktorijā. Parasti tas ir direktorijs C:\USERS\lietotājvārds\AppData\Local\Temp. Precīzu pagaidu failu direktorijas ceļu var apskatīt caur vadības paneli sistēmas rekvizītos - "Vides mainīgie". Vai arī komandrindā:

iestatīt temp
vai
atbalss %temp%

Turklāt, meklējot reģistrā virkni, kas atbilst pagaidu failu direktorija nosaukumam vai mainīgajam %TEMP%, var izmantot kā papildu rīku vīrusu noteikšanai. Likumīgās programmas nekad netiek automātiski palaists no TEMP direktorija.

Lai iegūtu pilnu iespējamo automātisko sākuma punktu sarakstu, ir ērti izmantot īpašo Autoruns programmu no SysinternalsSuite pakotnes.

Vienkāršākie veidi, kā noņemt MBRLock saimes bloķētājus

Ļaunprātīgas programmas var iegūt kontroli pār datoru, ne tikai inficējot operētājsistēmu, bet arī pārveidojot tā diska sāknēšanas sektora ierakstus, no kura tiek veikta sāknēšana. Vīruss aktīvā nodalījuma sāknēšanas sektora datus aizstāj ar savu programmas kodu, lai Windows vietā tiktu ielādēta vienkārša programma, kas uz ekrāna parāda izspiedējvīrusa ziņojumu, pieprasot naudu krāpniekiem. Tā kā vīruss iegūst kontroli pirms sistēmas sāknēšanas, ir tikai viens veids, kā to apiet - boot no cita datu nesēja (CD/DVD, ārējā diska u.c.) jebkurā operētājsistēmā, kurā iespējams atjaunot sāknēšanas sektoru programmas kodu. . Vienkāršākais veids ir izmantot Live CD / Live USB, ko parasti lietotājiem bez maksas nodrošina lielākā daļa pretvīrusu uzņēmumu (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk u.c.) Papildus sāknēšanas sektoru atkopšanai šie produkti var arī veikt un pārbaudīt, vai failu sistēmā nav ļaunprātīgas programmatūras, un noņemt vai dezinficēt inficētos failus. Ja šo metodi nav iespējams izmantot, varat to izdarīt, vienkārši lejupielādējot jebkuru Windows PE versiju (instalācijas disku, ERD Commander avārijas atkopšanas disku), kas ļauj atjaunot normālu sistēmas sāknēšanu. Parasti pietiek tikai ar iespēju piekļūt komandrindai un palaist komandu:

bootsect /nt60 /mbr<буква системного диска:>

bootsect /nt60 /mbr E:> - atjaunot E diska sāknēšanas sektorus: Šeit ir jāizmanto tā diska burts, kas tiek izmantots kā vīrusa bojātās sistēmas sāknēšanas ierīce.

vai operētājsistēmai Windows pirms Windows Vista

bootsect /nt52 /mbr<буква системного диска:>

Bootsect.exe utilīta var atrasties ne tikai sistēmas direktorijos, bet arī uz jebkura noņemamā datu nesēja, to var izpildīt jebkurā Windows operētājsistēmā un ļauj atjaunot sāknēšanas sektoru programmas kodu, neietekmējot nodalījuma tabulu un failu sistēmu. Atslēga /mbr, kā likums, nav nepieciešama, jo tā atjauno MBR galvenā sāknēšanas ieraksta programmas kodu, kuru vīrusi nepārveido (varbūt viņi to vēl nemodē).