Jak usunąć wirusa z komputera (Bezpieczeństwo)

Pierwsza litera Witaj, mam z tobą problem, mianowicie, jak usunąć wirusa z komputera, pobrać dokument z terminem na jednej stronie, zaczął otwierać plik, a zamiast programu Microsoft Office Word rozpoczęła się instalacja. Program antywirusowy natychmiast wydał ostrzeżenie o wykrytym zagrożeniu pochodzącym z folderu
C: \ Users \ Moja nazwa użytkownika \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
Jak rozumiem, folder Menu Start to folder Autostart. Pomimo faktu, że komputer zaczął strasznie zwalniać, wszedłem do tego folderu i zobaczyłem dziwny plik o nazwie QJFGSXETY, atrybut pliku jest ukryty. Próba usunięcia pliku nie powiodła się. Uruchomił się w trybie awaryjnym, ale nie można go tam usunąć i zmienić jego nazwę (aby został usunięty po ponownym uruchomieniu). Próbowałem użyć punktów odzyskiwania, ale pojawił się komunikat „Przywracanie systemu wyłączone przez zasady grupy”. Na tym skończyła się moja wiedza na temat hakowania. Siedzę tutaj bez komputera i czytam wasze artykuły. Co zrobić, jeśli możesz krok po kroku. Marina Suzdal

Drugi list Po prostu nie mogę usunąć wirusa z komputera, początkowo został zarejestrowany, nie mogłem go usunąć sam, nawet w trybie awaryjnym, komputer długo się uruchamiał i zwalniał podczas pracy, skorzystałem z artykułu Jak przeskanować komputer w poszukiwaniu wirusów za darmo i pobrać dysk ratunkowy ESET NOD32 ( Nawiasem mówiąc, może być używany jako prosta Live CD, wygodna rzecz, polecam). Sprawdziłem ich cały komputer, znalazłem 5 złośliwych programów, siedziałem czekając godzinę, uruchomiłem się ponownie i wirus wydawał się zniknąć, ale był zachwycony wcześnie, internet zniknął, żółty trójkąt jest w połączeniach sieciowych i mówi - Połączenie sieciowe jest ograniczone lub nieobecne. Co zrobić, więc nie usunąłem wirusa do końca? Fedor.

Jak usunąć wirusa z komputera

Uwaga: przyjaciele, ten artykuł jest odpowiedni dla systemów operacyjnych Windows 8, Windows 7 i Windows XP. Istnieją również informacje dla Ciebie: - Jeśli zainfekowałeś komputer wirusem, możesz go natychmiast sprawdzić za pomocą bezpłatnych narzędzi antywirusowych Kaspersky Virus Removal Tool lub Dr.Web CureIt, w większości przypadków powinno to pomóc. Mamy również cały dział, który jest stale aktualizowany o nowe artykuły, koniecznie sprawdź tutaj - Wszystkie artykuły na temat usuwania wirusów i banerów tutaj.

Te same problemy miałem kilka dni temu, kolega z klasy poprosił mnie o zainstalowanie kilku bezpłatnych programów i programu antywirusowego ESET NOD32, który kupiłem w biurze. strona. Oprócz NOD32 zainstalowaliśmy darmowy program kontrolujący autoload-AnVir Task Manager, stworzyliśmy również obraz systemu i dysk odzyskiwania na wszelki wypadek, podziękował mi i rozstaliśmy się.

Dzień później mój przyjaciel dzwoni zmartwiony i mówi. Posłuchaj starego człowieka, list przyszedł do poczty córki w Internecie, otworzyliśmy ją, to jest jak pocztówka, gratulują mu jego urodzin, chociaż jego urodziny już minęły dawno temu, oprócz pocztówki był jeszcze plik, kliknęliśmy go, właśnie tam Menedżer zadań AnVir otworzył okno , w którym powiedział, że jakiś program o dziwnej nazwie i ikonie pliku systemowego chce przejść do uruchamiania,

rozwiązaliśmy i uruchomiliśmy, program antywirusowy stale przeklina i wyświetla groźne ostrzeżenie - Czyszczenie nie jest możliwe, podczas gdy komputer bardzo zawiesza się i wyłączyliśmy go przypadkowo, prawdopodobnie spotkałeś się z tym, pomóż jak najwięcej.

Przychodzę do nich, pierwsza myśl była taka: - został przejęty sztandar ransomware, włączam komputer i oto jest.
NOD32 wyświetla kolejno dwa okna, w których ostrzega, że złośliwy proces znajduje się w pamięci RAM, czyszczenie nie jest możliwe! wychodzące z folderu Autostart.

W systemie Windows 7 folder uruchamiania znajduje się w:
C: \ Users \ Nazwa użytkownika \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
Nawiasem mówiąc, w Windows XP folder startowy znajduje się prawie również:
C: \ Documents and Settings \ Administrator \ Menu główne \ Programs \ Startup
Menedżer zadań AnVir pokazuje wykorzystanie procesora 93%.

Idę do okna Autostartu, programów AnVir Task Manager i widzę plik już zapisany podczas uruchamiania o nazwie QYSGFXZJ.exe, jednak wirus.

Idę do folderu Autostart: Start-> Wszystkie programy-> Autostart

Lub, w innym folderze, folder Autostart znajduje się w:

C: \ Users \ Nazwa użytkownika \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
A tutaj jest nasz plik wirusowy, próbuję go oczywiście usunąć bezskutecznie, ponieważ jest teraz zajęty ważnymi sprawami.

Pierwszą rzeczą do zrobienia w takich przypadkach jest uruchomienie Przywracania systemu i próba przywrócenia przy użyciu wcześniej utworzonego punktu odzyskiwania. Próbuję rozpocząć odzyskiwanie systemu i przez bardzo długi czas nic się nie dzieje.
Nawiasem mówiąc, wirus może czasami prowadzić działalność w zakresie zasad grupy i nie będzie można rozpocząć odzyskiwania systemu z komunikatem „Odzyskiwanie systemu jest wyłączone przez zasady grupy”.
Następnie musisz przejść do zasad grupy Start-Run-Run-gpedit.msc. Okej

Zasady grupy zostaną otwarte, tutaj musimy wybrać Konfiguracja komputera - Szablony administracyjne - Przywracanie systemu i systemu - Po dwukrotnym kliknięciu lewego przycisku na opcji Wyłącz przywracanie systemu,

takie okno powinno się pojawić, w celu normalnego przywrócenia systemu, należy w nim zaznaczyć pozycję „Nie ustawiono” lub „Wyłączone”. Wszystko zacznie obowiązywać po ponownym uruchomieniu. Musisz także wiedzieć, że w wersjach systemu Windows Home nie ma zasad grupy.

Nadal nie mogłem rozpocząć odzyskiwania systemu i postanowiłem ponownie uruchomić komputer i przejść do trybu awaryjnego. W trybie awaryjnym możesz ponownie spróbować usunąć ten plik podczas uruchamiania, w większości przypadków się uda.

Ale dla mnie nic nie działa, najwyraźniej sprawa jest wyjątkowa, a złośliwy plik nie jest usuwany. Następnie przechodzimy do rejestru, a mianowicie patrzymy na oddział:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
W systemie Windows 7 i Windows XP dla wszystkich użytkowników programy uruchamiane przy logowaniu pozostawiają swoje klucze w tych gałęziach, ale głównie w pierwszym uruchomieniu. Wszystkie nieznane klucze należy usunąć, ale tylko te nieznane, w moim przypadku podczas uruchamiania jest klucz programu antywirusowego NOD32 - egui.exe, nie trzeba go usuwać:
„C: \ Program Files \ ESET \ ESET Smart Security \ egui.exe” / hide / waitservice

Musisz także przejść do Start-> Uruchom-> msconfig-> Uruchomienie i odznacz wszystkie nieznane programy. Tu też nie ma nic podejrzanego.

Usuń także wszystkie nieznane pliki w katalogu głównym dysku (C :), jeśli zobaczysz tam pliki o tej samej nazwie QYSGFXZJ lub podobnej, spróbuj je usunąć. Nawiasem mówiąc, w katalogu głównym (C :) mamy niezrozumiały folder QYSGFXZJ. Próbuję usunąć-usunąć.

Jak więc usunąć wirusa z komputera, nawet jeśli w trybie awaryjnym nie udało się, lub na przykład z jakiegoś powodu nie można przejść do trybu awaryjnego? Zdarza się, że przejdziesz do trybu awaryjnego, ale tam znajdziesz niespodziankę - na przykład mysz nie działa.

Jeśli nie przejdziesz do trybu awaryjnego, możesz skorzystać z bardzo prostej i sprawdzonej porady z naszego drugiego artykułu Jak przeskanować komputer w poszukiwaniu wirusów za darmo przy użyciu dysku odzyskiwania ESET NOD32 lub Dr.Web. Nawiasem mówiąc, te dyski mogą być używane jako Live CD. Lub masz już Live CD, spróbuj z niego uruchomić i wykonaj to samo, co w trybie awaryjnym - przejdź do folderu Autostart i usuń złośliwy plik. Pracując na Live CD, możesz uruchomić skaner antywirusowy z napędu flash USB, na przykład Dr. Cureit sieciowy.
Osobiście, gdy napotykam podobny problem w systemie Windows XP (informacje o Windows 7 poniżej), czasami nawet nie przechodzę w tryb awaryjny, ale używam idealnej broni w starym stylu - profesjonalne narzędzie administratora systemu ERD Commander 5.0.

Uwaga: wszystkie funkcje dysku odzyskiwania ERD Commander 5.0. opisane w naszym artykule o ERD Commander. Dzięki niemu możesz przywrócić system, edytować rejestr, zmienić zapomniane hasło i wiele więcej. W przypadku nowoczesnych komputerów i laptopów wymagany jest ERD Commander 5.0 ze zintegrowanymi sterownikami SATA. Uruchommy go i zobaczmy, jak wszystko się dzieje.

Ponownie uruchamiamy i wchodzimy do BIOS-u, tam uruchamiamy rozruch z napędu. Uruchomienie z ERD Commander 5.0. Wybieramy pierwszą opcję połączenia z Windows XP, to znaczy możemy współpracować z Tobą, na przykład bezpośrednio z rejestrem naszego zainfekowanego systemu.

Zwykła płyta Live CD nie da ci takiej możliwości. Nawiasem mówiąc, jeśli wybierzesz drugą opcję (Brak), wtedy ERD Commander będzie działał bez połączenia z systemem, to znaczy jako zwykła Live CD, a wtedy wiele funkcji ERD, takich jak odzyskiwanie systemu, przeglądanie obiektów startowych, dzienników zdarzeń systemowych itp. Nie będzie dla Ciebie dostępnych. . Ale nawet z tego czasami okazuje się skorzystać.

Pulpit od początku nie jest zbyt znajomy, ale nie jest przerażający, powiem ponownie, że opis wszystkich narzędzi ERD znajduje się w naszym artykule ERD Commander.

Przejdź bezpośrednio do narzędzia administracyjnego Autoruns.

Patrzymy na element Systemu, a także na Administratora, a oto nasz wirus, tutaj na pewno go usuniemy.

Usuń - usuń proces ze startu i to wszystko, nasz wirus został usunięty.
Eksplorator - pozwala przejść do pliku procesu.
Następnie ponownie sprawdzamy folder startowy i nic tam nie ma.

C: \ Documents and Settings \ Administrator \ Menu główne \ Programs \ Startup
Na wszelki wypadek przechodzimy do folderu głównego dysku (C :), nie ma tam niczego podejrzanego.

Nie jesteśmy zbyt leniwi, aby wejść do rejestru i zobaczyć, które programy zostawiły swoje klucze podczas uruchamiania:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Cóż, tutaj usunęliśmy wirusa z Windows XP, po normalnym uruchomieniu warto sprawdzić cały komputer pod kątem wirusów.
A co z Windows 7 - możesz zapytać, czy złapiemy wirusa w tym systemie operacyjnym i nie możemy go usunąć w trybie awaryjnym. Najpierw możesz użyć dysków ratunkowych (link do powyższego artykułu). Po drugie, użyj prostej Live CD lub, tak jak jestem profesjonalnym narzędziem, dysku odzyskiwania systemu Microsoft Diagnostic and Recovery Toolset. Pełna informacja na temat korzystania z tego narzędzia, na przykład podczas usuwania banera ransomware, znajduje się w artykule „Jak usunąć baner”. Tutaj powiem, że jest to to samo narzędzie, co ERD Commander, zostało stworzone głównie dla systemu Windows 7. Za jego pomocą można również przywrócić system, zmienić rejestr, wykonać operacje na dysku twardym, zmienić zapomniane hasło i wiele więcej.
Uruchom z tego dysku MS DaRT 6.5. nasz komputer.

Przypisuj litery do dysków w taki sam sposób, jak w systemie docelowym - Tak, lepiej pracować.

Dalej

Wybierz Explorer

Natychmiast przechodzimy do folderu Autostart:
C: \ Users \ Nazwa użytkownika \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup. Usuwamy naszego wirusa.

Sprawdź rejestr HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Usuwamy wszystko podejrzane z katalogu głównego dysku (C :), uruchamiamy ponownie i sprawdzamy cały komputer pod kątem wirusów.

Cóż, ostatni. Po usunięciu wirusa w systemie Windows XP Internet może nie działać, jest to spowodowane naruszeniami, które wirus wprowadza do ustawień sieciowych. Czasami może pomóc tutaj ponowna instalacja sterowników karty sieciowej lub w większości przypadków narzędzie WinSockFix próbowało wiele razy, co poprawia te parametry. Możesz pobrać go w biurze. strona programu http://www.winsockfix.nl