Jak usunąć trojana Win32 / Spy.Shiz.NCF (Bezpieczeństwo)

Coś mi się dzieje z komputerem. Pobrałem film z Internetu, który właśnie pojawił się w kinach. W głębi duszy zrozumiałem, że coś tu jest nie tak, ale naprawdę chciałem zobaczyć nowość. Nawet nie zwracałem uwagi na fakt, że pobrany plik wideo waży bardzo niewiele - 137 KB, gdy próbuję obejrzeć film, komputer zawiesza się. Zainstalowany w systemie program antywirusowy zaczął wyświetlać komunikat informujący o tym w folderze C: \ Windows \ AppPatch wirus został znaleziony i oferuje usunięcie go, zgadzam się, po chwili ten sam komunikat pojawia się ponownie. Próbowałem całkowicie usunąć ten dziwny folder C: \ Windows \ AppPatch, ale nic nie działa i, co ciekawe, nawet w trybie awaryjnym nie jest usuwane, wszystko kończy się błędem. W tym samym czasie system zaczął się ładować przez bardzo długi czas, nie mogę się także logować na niektórych stronach, na przykład koledzy z klasy - mówią niewłaściwą nazwę użytkownika lub hasło, liczę na twoją pomoc.
List nr 2 Witam, proszę, powiedz mi, jak to jest być, dziś rano na dość dziwnej stronie ściągnąłem książkę niezbędną do studiów, która jest obecnie sprzedawana w księgarniach za dość drogą cenę i próbuję ją otworzyć. Nagle mój program antywirusowy zaklął w folderze C: \ Windows \ AppPatch i coś tam usunąłem, teraz podczas ładowania systemu operacyjnego Windows 7 pojawia się komunikat: Windows nie mógł znaleźć C: \ Windows \ AppPatch \ hsgpxjt.exe. System operacyjny zwalnia i zawiesza się, wysyłam Ci zrzut ekranu z tym błędem w mailu. Znalazłem w Internecie informację, że ten folder zawiera wirusy i należy go usunąć, ale nie można go usunąć nawet w trybie awaryjnym, pojawia się błąd. A w Twojej witrynie mówią, że nie możesz usunąć tego folderu, ponieważ należy on do systemu operacyjnego, wyjaśnij wszystko.

Jak usunąć trojana Win32 / Spy.Shiz.NCF

Treść artykułu:

Jak usunąć C: \ Windows \ AppPatch z folderu systemowego wirus lub program trojański, który ma swoją nazwę zgodnie z klasyfikacją firmy antywirusowej ESET - Win32 / Spy.Shiz.NCF, która kradnie hasła i informacje z twojego komputera, przy okazji nazwy pliku wirusa generowanego losowo w systemie operacyjnym i może wyglądać tak: hsgpxjt.exe lub Przykładem jest matadd.exe i tak dalej. Sam folder AppPatch jest folderem systemowym i nie trzeba go usuwać.
Jak wirus dostaje się na nasz komputer.

Wczoraj mój przyjaciel poprosił mnie o pomoc w rozwiązaniu podobnego problemu. System Windows 7 mojego przyjaciela uruchamia się najpierw przez długi czas, a po drugie działa z silnymi zawieszeniami, zainstalowany program antywirusowy nie był aktualizowany przez rok, ponieważ mój przyjaciel jest zbyt leniwy, aby odnowić subskrypcję. Ostatnim powodem, dla którego mój przyjaciel zwrócił się do mnie, było to, że jego żona nie była w stanie dotrzeć do kolegów z klasy.
Więc przyjaciele, po pierwsze, w przypadku takich problemów możesz zastosować Przywracanie systemu lub uruchomić komputer z dysku antywirusowego i przeskanować cały system w poszukiwaniu wirusów, o tym, jak pobrać taki dysk, wypalić go na pustym miejscu i usunąć wirusy z systemu Windows, mamy kilka artykułów krok po kroku : Jak przeskanować komputer w poszukiwaniu wirusów za pomocą dysków antywirusowych trzech różnych producentów za darmo.
Spróbujemy usunąć wirusa ręcznie, jest to bardziej interesujące. Włączamy komputer mojego przyjaciela, system operacyjny ładuje się dość długo, pamiętaj pierwszą regułę wirusa, aby dostać się do uruchamiania, a następnie wykonać jego destrukcyjne działania, myślę, że mu się udało.
Przede wszystkim sprawdź folder Autostart, ale nie ma w nim nic
C: \ Users \ Nazwa użytkownika \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup

Następnie sprawdzamy start przy użyciu wbudowanego narzędzia Windows do zarządzania programami startowymi o nazwie Msconfig, chodźmy Start->Uruchom, rekrutujemy msconfig

a tutaj jesteś nieznanym elementem o dziwnej nazwie userinit znajduje się w starcie,

plik wykonywalny znajduje się pod adresem

C: \ Windows \ AppPatch \ matadd.exe.

Ta nazwa wirusa matadd.exe jest generowana losowo przez system, nie możesz się na niej skupić, w twoim przypadku będzie inny, ale wiesz, wirus faktycznie nazywa się Win32 / Spy.Shiz.NCF i jest trojanem. Przejdźmy do tego folderu i spróbujmy go usunąć, ale niestety, gdy wirus jest aktywny, nie powiedzie się lub możesz usunąć plik wirusa, ale zostanie on ponownie utworzony za kilka sekund.
W oknie narzędzia msconfig usuń zaznaczenie tego elementu userinit,

oznacza to, że wykluczymy to z uruchamiania. Niestety w większości przypadków nie oznacza to, że wirus nie załaduje swoich plików ponownie przy następnym uruchomieniu systemu operacyjnego, ponieważ nie mogliśmy usunąć pliku wirusa z folderu C: \ Windows \ AppPatch.

Aby skutecznie walczyć z wirusem, potrzebujemy asystenta, który:

Po pierwsze, możemy pokazać plik wirusa podczas uruchamiania
Po drugie, pokaże nam zmiany dokonane przez wirusa w rejestrze

Aby zobaczyć wszystko, co dzieje się podczas uruchamiania, potrzebujesz specjalnego programu Menedżer zadań AnVir lub inny, na przykład AutoRuns od Marka Russinowicza, oba są bezpłatne, sugeruję użycie narzędzia AnVir Task Manager, ponieważ dawno zauważyłem, że początkujący użytkownicy lubią to bardziej. Pobierz go tutaj http://www.anvir.net/ i zainstaluj.

Pełny opis pracy z narzędziem można znaleźć w tym artykule w naszym artykule Uruchamianie programów w systemie Windows 7
Jedynym zastrzeżeniem, na samym początku instalacji, NIE wybieraj pełnej instalacji zgodnie z zaleceniami, ale wybierz Ustawienie parametrów i odznacz wszystko, czego nie potrzebujesz, pozostaw tylko włączone Uruchom AnVir Task Manager (zalecane) i Dodaj ikonę na pulpicie.

Po zainstalowaniu programu uruchamiamy go i widzimy taki obraz, aż pięć zmian wprowadza się do rejestru wraz z wirusem. Odznacz, a tym samym usuń zmiany wprowadzone przez wirusa w rejestrze, nie działa.

Dowiedzmy się, ile wirus przeniknął do naszego systemu. Najedź myszką na nazwę klucza wirusa Załaduj, kliknij prawym przyciskiem myszy i wybierz z menu Idź-> Pokaż plik w Eksploratorze

i natychmiast przejdź do naszego folderu z plikiem wirusa C: \ Windows \ AppPatch \ matadd.exe.

Sprawdzamy również lokalizację wpisów wirusów w rejestrze. Widzimy, że program wirusowy wprowadził zmiany w dwóch sekcjach rejestru, patrzymy szczegółowo i natychmiast usuwamy.
Kliknij prawym przyciskiem myszy klucz utworzony przez wirusa. Załaduj i wybierz w menu Idź-> Otwórz lokalizację wpisu w rejestrze.

Sekcja
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Windows
Dodano dwa klucze, usuń je
Załaduj REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Uruchom REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe

Kliknij prawym przyciskiem myszy klucz utworzony przez wirusa. userinit i wybierz w menu Idź-> Otwórz lokalizację wpisu w rejestrze

Sekcja
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Klucz został dodany, wystarczy go usunąć
userinit REG_SZ C: \ Windows \ apppatch \ matadd.exe

Po usunięciu kluczy rejestru utworzonych przez program wirusowy wirus natychmiast spróbuje je utworzyć ponownie, co nasz menedżer zadań AnVir natychmiast ostrzeże nas w tym oknie, kliknij Usuńi chroń rejestr.

Gdybyśmy nie mieli AnVir lub podobnego oprogramowania, nie bylibyśmy w stanie zapobiec tworzeniu nowych kluczy wirusów w rejestrze.
Po usunięciu tych wpisów rejestru zwróć uwagę na to, jak wygląda nasz Autostart, nie ma w nim nic oprócz naszego programu AnVir Task Manager.

Ale to nie wszyscy przyjaciele, teraz musimy sprawdzić cały rejestr pod kątem nazwy naszego wirusa matadd.exe, klikamy prawym przyciskiem myszy klucz rejestru, którego jeszcze nie oglądaliśmy HKEY_LOCAL_MACHINE i wybieramy Znajdź, wstawiamy pole wyszukiwania nazwy naszego wirusa matadd.exe i klikamy Znajdź następny

i takie klucze znajdują się w kluczu rejestru odpowiedzialnym za opcje uruchamiania systemu operacyjnego - Winlogon
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon

Uwaga: wirus zmienił klucze odpowiedzialne za ładowanie systemu, ale klucze są całkowicie system i userinit nie można usunąć z rejestru, ponieważ w poprzednich przypadkach należy usunąć z nich nieprawidłowe parametry:

System REG_SZ C: \ WINDOWS \ apppatch \ matadd.exe
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,C: \ WINDOWS \ apppatch \ matadd.exe

Tak musi być
System REG_SZ
Userinit REG_SZ C: \ Windows \ system32 \ userinit.exe,
usuń resztę, a nasze dwa ustawienia rejestru powinny wyglądać tak.

Po wyczyszczeniu rejestru z pewnością uruchomimy się ponownie i po prostu usuniemy plik wirusa matadd.exe z folderu C: \ WINDOWS \ apppatch.

Patrzymy również na foldery plików tymczasowych, z których wirusy są często uruchamiane przez pliki wykonywalne..

C: \ USERS \ nazwa użytkownika \ AppData \ Local \ Temp, przy okazji, usuń wszystko z folderu Temp.

Katalog główny dysku systemowego, zwykle (C :). I oczywiście musisz sprawdzić cały system za pomocą programu antywirusowego. Lub pobierz narzędzie antywirusowe Dr.Web CureIt lub antywirusowe Microsoft.

Teraz możemy powiedzieć, że uratowaliśmy nasz system operacyjny przed wirusem, nawet bez uciekania się do trybu awaryjnego. Jeśli nie możesz usunąć pliku wirusa z folderu C: \ Windows \ AppPatch, oznacza to, że rejestr nie został całkowicie wyczyszczony, coś przeoczyłeś.
Możesz także uprościć wszystko., usuń wirusa z folderu C: \ Windows \ AppPatch, uruchamiając system z dowolnego dysku Live CD, a następnie wyczyść rejestr.
Wszystko to dobrze, ale wielu użytkowników zadaje pytanie: W jaki sposób wirus dostał się do folderu C: \ Windows \ AppPatch?
Znajomi prawie wszystkie wirusy przychodzą do nas z Internetu, dlatego przy pobieraniu czegokolwiek bardzo uważaj, aby nigdy nie odwrócić głowy. Weźmy na przykład dwa listy, których treść zacytowałem na początku artykułu, nasi czytelnicy byli prawie pewni, że nie pobierają tego, co jest potrzebne, ale nadal doprowadzili sprawę do końca i złapali wirusa. Bezpłatny ser tylko w pułapce na myszy.
Jeśli potrzebujesz książki do studiowania, pomyśl o jej autorze, ponieważ aby napisać ją dla ciebie, pisarz zabrał czas sobie i swojej rodzinie i nadal może ją kupić.
Cóż, w końcu kilka życzeń. Nigdy nie wyłączaj odzyskiwania systemu. Po drugie, zawsze masz na swoim komputerze normalny program antywirusowy, oczywiście z najnowszymi aktualizacjami antywirusowych baz danych. Okresowo twórz kopie zapasowe systemu operacyjnego. Nie pracuj na koncie administratora komputera; utwórz konto z ograniczonymi prawami.