Процесът на възстановяване на системата на персонален компютър след атака от вирусни програми. Възстановяване на Windows система след вируси - Операционни системи - Директория със статии - SysAdmin

Посветен AVZ, искам да споделя с вас още малко знания за възможностите на тази прекрасна помощна програма.

Днес ще говорим за инструменти за възстановяване на системата, които често могат да спасят живота на компютъра ви след заразяване с вируси и други житейски ужаси, както и да разрешат редица системни проблеми, които възникват в резултат на определени грешки.
Ще бъде полезно за всички.

Въведение

Преди да започнете, традиционно искам да ви предложа два формата на материал, а именно: видео или текст. Видео тук:

Е, и текста по-долу. Вижте сами кой вариант е по-близък до вас.

Общо описание на функционалността на програмата

Какви са тези инструменти за възстановяване? Това е набор от фърмуер и скриптове, които помагат за възстановяване на определени системни функции до работно състояние. Кое например? Е, да кажем да върнем обратно или редактора на системния регистър, да изчистим файла hosts или да нулираме настройките на IE. Като цяло го давам изцяло и с описание (за да не изобретявам колелото):

• 1. Възстановяване на параметрите при стартиране за.exe, .com, .pif файлове
  Този фърмуер възстановява реакцията на системата към exe, com, pif, scr файлове.
  Показания за употреба: след премахване на вируса програмите спират да работят.
• 2. Възстановяване на стандартните префикси на протокола на Internet Explorer
  Този фърмуер възстановява настройките на префикса на протокола в Internet Explorer
  Индикации за употреба: когато въведете адрес като www.yandex.ru, той се заменя с нещо като www.seque.com/abcd.php?url=www.yandex.ru
• 3. Възстановяване на началната страница на Internet Explorer
  Този фърмуер възстановява началната страница в Internet Explorer
  Показания за употреба: замяна на началната страница
• 4. Нулирайте настройките за търсене в Internet Explorer до стандартните
  Този фърмуер възстановява настройките за търсене в Internet Explorer
  Показания за употреба: Когато щракнете върху бутона "Търсене" в IE, има извикване към сайт на трета страна
• 5. Възстановяване на настройките на работния плот
  Този фърмуер възстановява настройките на работния плот. Възстановяването означава премахване на всички активни елементи на ActiveDesctop, тапети, премахване на ключалки в менюто, което отговаря за настройките на работния плот.
  Индикации за употреба: Разделите за настройки на работния плот в прозореца "Свойства: екран" са изчезнали, на работния плот се показват външни надписи или чертежи
• 6. Премахване на всички правила (ограничения)текущия потребител.
  Windows предоставя механизъм за ограничаване на действията на потребителите, наречен Политики. Тази технология се използва от много злонамерени програми, тъй като настройките се съхраняват в системния регистър и не са трудни за създаване или промяна.
  Индикация за употреба: Функциите на проводника или други функции на системата са блокирани.
• 7. Изтриване на съобщението, показано по време на WinLogon
  Windows NT и по-нови системи от линията NT (2000, XP) ви позволяват да зададете съобщението, което се показва по време на стартиране. Редица злонамерени програми се възползват от това и убиването на злонамерената програма не унищожава съобщението.
  Показания за употреба: По време на стартиране на системата се появява странно съобщение.
• 8. Възстановете настройките на Explorer
  Този фърмуер нулира редица настройки на Explorer към стандартните (настройките, които са променени от зловреден софтуер, първо се нулират).
  Индикация за употреба: Променени настройки на проводника
• 9. Премахване на системни програми за отстраняване на грешки
  Регистрирането на дебъгер на системни процеси ще позволи на приложението да се стартира скрито, което се използва от редица злонамерени програми.
  Показания за употреба: AVZ открива неразпознати дебъгери на системни процеси, има проблеми със стартирането на системни компоненти, по-специално след рестартиране работният плот изчезва.
• 10. Възстановяване на настройките за зареждане в SafeMode
  Някои злонамерени програми, по-специално червеят Bagle, разваля настройките за зареждане на системата в защитен режим. Този фърмуер възстановява настройките за зареждане в защитен режим.
  Показания за употреба: Компютърът не се зарежда в SafeMode. Използвайте този фърмуер само в случай на проблеми със зареждането в защитен режим.
• 11. Отключване на диспечера на задачите
  Блокирането на диспечера на задачите се използва от злонамерен софтуер за защита на процесите от откриване и изтриване. Съответно, изпълнението на тази микропрограма премахва заключването.
  Показания за употреба: Блокиране на диспечера на задачите, когато се опитате да се обадите на диспечера на задачите, се показва съобщението "Диспечерът на задачите е блокиран от администратора".
• 12. Изчистване на списъка за игнориране на помощната програма HijackThis
  Помощната програма HijackThis съхранява редица свои настройки в системния регистър, по-специално списъка с изключения. Следователно, за да се прикрие от HijackThis, злонамерената програма трябва само да регистрира своите изпълними файлове в списъка за изключване. Понастоящем е известно, че редица злонамерени програми използват тази уязвимост. Фърмуерът на AVZ изчиства списъка с изключения на помощната програма HijackThis
  Индикация за употреба: Подозрения, че помощната програма HijackThis не показва цялата информация за системата.
• 13. Почистване на файла Hosts
  Изчистването на файла Hosts е толкова просто, колкото намирането на Hosts файла, премахването на всички смислени редове от него и добавянето на стандартния ред "127.0.0.1 localhost".
  Индикация за употреба: Подозрения, че файлът Hosts е променен от злонамерена програма. Типични симптоми са блокирането на актуализации на антивирусен софтуер. Можете да контролирате съдържанието на файла Hosts с помощта на файловия мениджър Hosts, вграден в AVZ.
• 14. Автоматична корекция на SPl / LSP настройки
  Той анализира настройките на SPI и, ако бъдат открити грешки, автоматично коригира намерените грешки. Този фърмуер може да бъде стартиран повторно неограничен брой пъти. След като изпълните този фърмуер, се препоръчва да рестартирате компютъра си. Забележка! Този фърмуер не може да бъде стартиран от терминална сесия
  Показания за употреба: Достъпът до интернет е загубен след премахването на зловредния софтуер.
• 15. Нулиране на настройките за SPI / LSP и TCP / IP (XP +)
  Този фърмуер работи само на XP, Windows 2003 и Vista. Принципът му на работа се основава на нулиране и пресъздаване на настройките на SPI / LSP и TCP / IP с помощта на стандартната помощна програма netsh, включена в Windows. Можете да прочетете повече за фабричните настройки в базата знания на Microsoft – Забележка! Трябва да приложите фабрично нулиране само ако е необходимо, ако има невъзстановими проблеми с достъпа до Интернет след премахване на зловреден софтуер!
  Индикации за употреба: След премахването на зловредния софтуер, достъпът до Интернет и изпълнението на фърмуера бяха загубени 14. Автоматичната корекция на настройките на SPl / LSP е „неефективна“.
• 16. Възстановяване на стартовия ключ на Explorer
  Възстановява ключовете на системния регистър, отговорни за стартирането на Explorer.
  Показания за употреба: Explorer не се стартира по време на зареждане на системата, но е възможно да стартирате explorer.exe ръчно.
• 17. Отключете редактора на системния регистър
  Отключва редактора на системния регистър, като премахва правилата, които не позволяват да се стартира.
  Показания за употреба: Невъзможно е да стартирате редактора на системния регистър, когато опитате, се появява съобщение, че стартирането му е блокирано от администратора.
• 18. Пълно пресъздаване на настройките на SPI
  Той архивира настройките на SPI / LSP, след което ги унищожава и ги създава според препратката, съхранена в базата данни.
  Показания за употреба: Тежка повреда на настройките на SPI, невъзстановими от скриптове 14 и 15. Използвайте само ако е необходимо!
• 19. Изчистете базовите точки за монтиране
  Изчиства базата данни MountPoint и MountPoints2 в системния регистър.
  Показания за употреба: Тази операция често помага в случаите, когато дисковете не се отварят в Explorer след заразяване с Flash вируса
• На бележка:
  Възстановяването е безполезно, ако системата работи с троянски кон, който извършва такива преконфигурации - първо трябва да премахнете зловредния софтуер и след това да възстановите системните настройки
  На бележка:
  За да премахнете следите от повечето хиджакери, трябва да стартирате три фърмуера - "Нулиране на настройките за търсене в Internet Explorer до стандартни", "Възстановяване на началната страница на Internet Explorer", "Нулиране на настройките на префикса на протокола на Internet Explorer към стандартните"
  На бележка:
  Всеки от фърмуерите може да се изпълнява няколко пъти подред, без да се засяга системата. Изключения са "5. Възстановяване на настройките на работния плот" (работата на този фърмуер ще нулира всички настройки на работния плот и ще трябва да изберете отново оцветяването и тапета на работния плот) и "10. Възстановяване на настройките за зареждане в SafeMode" (този фърмуер пресъздава системния регистър клавиши, отговорни за зареждането в безопасен режим).

Полезно, нали?
Сега как да го използвате.

Стартиране на зареждане, използване

Всъщност всичко е просто.

Искате ли сами да знаете и можете да направите повече?

Предлагаме Ви обучение в следните области: компютри, програми, администрация, сървъри, мрежи, изграждане на сайтове, SEO и др. Разберете подробностите сега!

1. Изтегляне оттук(или някъде другаде) антивирусна програма AVZ.
2. Разопаковаме архива с него някъде, където е удобно за вас
3. Отиваме в папката, в която сме разопаковали програмата и стартираме там avz.exe.
4. В прозореца на програмата изберете „Файл" - "Възстановяване на системата".
5. Отбелязваме необходимите елементи и натискаме бутона " Извършвайте маркирани операции".
6. Чакаме и се радваме на резултата.

Ето ги нещата.

Послеслов

Трябва да кажа, че работи с гръм и трясък и елиминира редица ненужни движения на тялото. Така да се каже, всичко е под ръка, бързо, просто и ефективно.

Благодаря за вниманието ;)

Отлична програма за премахване на вируси и възстановяване на системата - AVZ (Zaitsev Anti-Virus). Можете да изтеглите AVZ, като щракнете върху оранжевия бутон, след като генерирате връзки.И ако вирус блокира изтеглянето, опитайте да изтеглите целия антивирусен пакет!

Основните характеристики на AVZ са откриването и премахването на вируси.

Антивирусната програма AVZ е предназначена да открива и премахва:

• Модулите SpyWare и AdWare са основната цел на помощната програма
• Dialer (троянски.Dialer)
• Троянски коне
• BackDoor модули
• Мрежови и пощенски червеи
• TrojanSpy, TrojanDownloader, TrojanDropper

Помощната програма е директен аналог на TrojanHunter и LavaSoft Ad-aware 6. Основната задача на програмата е да премахва SpyWare и троянски коне.

Характеристиките на помощната програма AVZ (в допълнение към типичния скенер за подписи) са:

• Фърмуер за евристична проверка на системата. Фърмуерът търси известни SpyWare и вируси по косвени индикации - въз основа на анализа на системния регистър, файловете на диска и в паметта.
• Актуализирана база данни от безопасни файлове. Той включва цифрови подписи на десетки хиляди системни файлове и файлове с известни безопасни процеси. Базата е свързана с всички AVZ системи и работи на принципа "приятел/враг" - безопасните файлове не се поставят под карантина, изтриването и предупредителните съобщения са блокирани за тях, базата данни се използва от анти-руткит, система за търсене на файлове и различни анализатори. По-специално, вграденият мениджър на процеси подчертава с цвят безопасни процеси и услуги; търсенето на файлове на диска може да изключи известни файлове от търсенето (което е много полезно при търсене на троянски коне на диска);
• Вградена система за откриване на руткит. Търсенето на RootKit минава без използване на подписи, базирани на изследване на основните системни библиотеки за прихващане на техните функции. AVZ може не само да открие RootKit, но и да блокира правилно UserMode RootKit за неговия процес и KernelMode RootKit на системно ниво. Противодействието на RootKit се прилага за всички функции на услугата AVZ, в резултат на това скенерът на AVZ може да открие маскирани процеси, системата за търсене в системния регистър "вижда" маскирани ключове и т.н. Анти-руткитът е оборудван с анализатор, който открива процеси и услуги, маскирани от RootKit. Една от основните характеристики на системата за противодействие на RootKit, според мен, е нейната работоспособност в Win9X (широко разпространеното мнение за липсата на RootKit, работещ на платформата Win9X е дълбоко погрешно - има стотици троянски коне, за които е известно, че прихващат API функции за маскиране тяхното присъствие, за да се наруши работата на функциите на API или да се наблюдава използването им). Друга функция е KernelMode RootKit, универсална система за откриване и блокиране, която работи под Windows NT, Windows 2000 pro / сървър, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
• Keylogger и троянски DLL детектор. Търсенето на Keylogger и троянски DLL файлове се извършва на базата на системен анализ без използване на база данни за сигнатури, което позволява надеждно откриване на предварително неизвестни троянски DLL и Keylogger;
• Невроанализатор. В допълнение, анализаторът на подписите AVZ съдържа невроемулатор, който ви позволява да изучавате подозрителни файлове с помощта на невронна мрежа. В момента невронната мрежа се използва в детектора за кейлогър.
• Вграден анализатор Winsock SPI / LSP настройки. Позволява ви да анализирате настройките, да диагностицирате възможни грешки в настройките и да извършите автоматично лечение. Възможността за автоматична диагностика и лечение е полезна за начинаещи потребители (няма автоматично лечение в помощни програми като LSPFix). За да изучавате SPI / LSP ръчно, програмата има специален мениджър за настройки на LSP / SPI. Анализаторът Winsock SPI / LSP е покрит от анти-руткит;
• Вграден мениджър на процеси, услуги и драйвери. Проектиран да изучава работещи процеси и заредени библиотеки, работещи услуги и драйвери. Работата на мениджъра на процеси се влияе от анти-руткита (в резултат на това той "вижда" маскираните от руткита процеси). Мениджърът на процеси е свързан с базата данни за безопасни файлове на AVZ, идентифицираните сейфове и системни файлове са подчертани;
• Вградена помощна програма за намиране на файлове на диска. Позволява ви да търсите файл по различни критерии, като възможностите на системата за търсене са по-добри от тези на системното търсене. Работата на системата за търсене се влияе от анти-руткита (в резултат на това търсенето "вижда" файлове, маскирани от руткита и може да ги изтрие), филтърът позволява изключване на файлове, разпознати от AVZ като безопасни от резултатите от търсенето. Резултатите от търсенето са достъпни под формата на текстов протокол и под формата на таблица, в която можете да маркирате група файлове за последващо изтриване или поставяне под карантина
• Вградена помощна програма за търсене на данни в системния регистър. Позволява ви да търсите ключове и параметри по определен шаблон, резултатите от търсенето са достъпни под формата на текстов протокол и под формата на таблица, в която можете да маркирате няколко ключа за тяхното експортиране или изтриване. Работата на системата за търсене се влияе от анти-руткита (в резултат на това търсенето "вижда" маскираните от руткита ключове в системния регистър и може да ги изтрие)
• Вграден анализатор за отворени TCP/UDP портове. Той е обект на анти-руткит ефект; в Windows XP процесът, използващ порта, се показва за всеки порт. Анализаторът разчита на актуализирана база данни с портове на известни троянски/бекдор програми и известни системни услуги. Търсенето на портове на троянски коне е включено в основния алгоритъм за проверка на системата - когато се открият подозрителни портове, в протокола се показват предупреждения, указващи кои троянски коне са склонни да използват този порт
• Вграден анализатор за споделени ресурси, мрежови сесии и отворени файлове през мрежата. Работи в Win9X и Nt / W2K / XP.
• Вграден анализатор Downloaded Program Files (DPF) - показва DPF елементи, свързани към всички AVZ системи.
• Фърмуер за възстановяване на системата. Фърмуерът поправя настройките на Internet Explorer, настройките за стартиране на приложения и други системни настройки, повредени от зловреден софтуер. Възстановяването се стартира ръчно, параметрите за възстановяване се определят от потребителя.
• Евристично изтриване на файл. Същността му се крие във факта, че ако по време на лечението са изтрити злонамерени файлове и тази опция е активирана, тогава системата се проверява автоматично, обхващайки класове, BHOs, IE и Explorer разширения, всички видове автоматично стартиране на разположение AVZ, Winlogon, SPI / LSP и др.... Всички намерени връзки към отдалечен файл се почистват автоматично и в дневника се въвежда информация какво точно и къде е изчистено. За това почистване се използва активно микропрограмата за обработка на системата;
• Проверка на архиви. Започвайки от версия 3.60 AVZ поддържа сканиране на архиви и съставни файлове. В момента се проверяват архиви във формати ZIP, RAR, CAB, GZIP, TAR; имейли и MHT файлове; CHM архиви
• Проверка и дезинфекция на NTFS потоци. Проверката на NTFS потоци е включена в AVZ от версия 3.75
• Скриптове за управление. Позволява на администратора да напише скрипт, който изпълнява набор от определени операции на компютъра на потребителя. Скриптовете позволяват използването на AVZ в корпоративна мрежа, включително стартирането му по време на зареждане на системата.
• Анализатор на процеси. Анализаторът използва невронни мрежи и фърмуер за анализ; включва се, когато разширеният анализ е активиран на максимално ниво на евристика и е проектиран да търси подозрителни процеси в паметта.
• Система AVZGuard. Проектиран за борба с трудни за премахване злонамерени програми, в допълнение към AVZ, той може да защити определени от потребителя приложения, например други антишпионски и антивирусни програми.
• Система за директен достъп до диск за работа със заключени файлове. Работи на FAT16 / FAT32 / NTFS, поддържа се на всички операционни системи от линията NT, позволява на скенера да анализира заключени файлове и да ги поставя в карантина.
• Драйвер за мониторинг на процеси и драйвери за AVZPM. Проектиран за проследяване на стартиране и спиране на процесите и зареждане/разтоварване на драйвери за намиране на скрити драйвери и откриване на повреди в структурите, описващи процеси и драйвери, създадени от руткитите на DKOM.
• Драйвер за почистване на зареждане. Проектиран да извършва почистване на системата (премахване на файлове, драйвери и услуги, ключове на системния регистър) от KernelMode. Операцията по почистване може да се извърши както по време на рестартиране на компютъра, така и по време на дезинфекция.

Възстановяване на системните параметри.

• Възстановяване на Startup Options.exe .com .pif
• Нулиране на настройките на IE
• Възстановяване на предпочитанията на работния плот
• Премахване на всички потребителски ограничения
• Изтриване на съобщение в Winlogon
• Възстановете настройките на File Explorer
• Премахване на програми за отстраняване на грешки в системния процес
• Възстановяване на настройките за зареждане в безопасен режим
• Отключване на диспечера на задачите
• Почистване на хост файла
• Коригиране на настройките на SPI / LSP
• Нулиране на настройките за SPI / LSP и TCP / IP
• Отключване на редактора на системния регистър
• Изчистване на ключове за MountPoints
• Подмяна на DNS сървъри
• Премахнете настройката на прокси за IE / EDGE сървър
• Премахнете ограниченията на Google

Програмни инструменти:

• Мениджър на процеси
• Мениджър на сервиз и шофьори
• Пространствени модули на ядрото
• Вътрешен DLL мениджър
• Търсене в регистъра
• Търсене на файлове
• Търсете Coocie
• Мениджър за стартиране
  
• Мениджър на разширения на браузъра
• Мениджър на аплети на контролния панел (cpl)
• Мениджър на разширения на Explorer
• Print Extension Manager
• Мениджър на планировчик на задачи
• Мениджър на протоколи и манипулатори
• DPF мениджър
• Active Setup Manager
• Winsock SPI мениджър
• Хост файлов мениджър
• TCP / UDP порт мениджър
• Мрежови споделяния и мениджър на мрежови връзки
• Настроени системни помощни програми
• Проверка на файл спрямо база данни от безопасни файлове
• Сканиране на файлове срещу каталог за сигурност на Microsoft
• Изчисляване на сумите на MD5 файлове
  

Ето толкова голям комплект за спасяване на вашия компютър от различни инфекции!

Проста и удобна помощна програма AVZ, която може не само ще помогне, но също така знае как да възстанови системата. Защо е необходимо това?

Факт е, че след нахлуването на вируси (случва се AVZ да ги убива на хиляди), някои програми отказват да работят, всички настройки са изчезнали и Windows някак си не работи съвсем правилно.

Най-често в този случай потребителите просто преинсталират системата. Но както показва практиката, това изобщо не е необходимо, тъй като с помощта на същата помощна програма AVZ можете да възстановите почти всички повредени програми и данни.

За да ви дам по-ясна картина, предоставям пълен списък на това, което може да бъде възстановеноAVZ.

Материалът е взет от наръчника нататъкAVZ - http://www.z-oleg.com/secur/avz_doc/ (копирайте и поставете в адресната лента на браузъра).

В момента базата данни съдържа следния фърмуер:

1.Възстановяване на стартовите параметри за.exe, .com, .pif файлове

Този фърмуер възстановява реакцията на системата към exe, com, pif, scr файлове.

Показания за употреба:след премахване на вируса програмите спират да работят.

2.Нулирайте настройките на префикса на протокола на Internet Explorer до стандартните

Този фърмуер възстановява настройките на префикса на протокола в Internet Explorer

Показания за употреба:когато въведете адрес като www.yandex.ru, той се заменя с нещо като www.seque.com/abcd.php?url=www.yandex.ru

3.Възстановяване на началната страница на Internet Explorer

Този фърмуер възстановява началната страница в Internet Explorer

Показания за употреба:подправяне на началната страница

4.Възстановете стандартните настройки за търсене в Internet Explorer

Този фърмуер възстановява настройките за търсене в Internet Explorer

Показания за употреба:Когато щракнете върху бутона "Търсене" в IE, има извикване към сайт на трета страна

5.Възстановяване на настройките на работния плот

Този фърмуер възстановява настройките на работния плот.

Възстановяването означава премахване на всички активни елементи на ActiveDesctop, тапети, премахване на ключалки в менюто, което отговаря за настройките на работния плот.

Показания за употреба:Разделите за настройка на работния плот в прозореца "Свойства: екран" са изчезнали, на работния плот се показват външни надписи или чертежи

6.Изтриване на всички политики (ограничения) на текущия потребител

Windows предоставя механизъм за ограничаване на действията на потребителите, наречен Политики. Тази технология се използва от много злонамерени програми, тъй като настройките се съхраняват в системния регистър и не са трудни за създаване или промяна.

Показания за употреба: Explorer или други системни функции са блокирани.

7. Изтрийте съобщението, показано по време на WinLogon

Windows NT и по-нови системи от линията NT (2000, XP) ви позволяват да зададете съобщението, което се показва по време на стартиране.

Редица злонамерени програми се възползват от това и убиването на злонамерената програма не унищожава съобщението.

Показания за употреба:По време на стартиране на системата се въвежда странно съобщение.

8.Възстановяване на настройките на Explorer

Този фърмуер нулира редица настройки на Explorer към стандартните (настройките, които са променени от зловреден софтуер, първо се нулират).

Показания за употреба:Настройките на Explorer са променени

9. Премахнете дебъгерите на системния процес

Регистрирането на дебъгер на системни процеси ще позволи на приложението да се стартира скрито, което се използва от редица злонамерени програми.

Показания за употреба: AVZ открива неразпознати дебъгери на системни процеси, има проблеми със стартирането на системни компоненти, по-специално след рестартиране работният плот изчезва.

10.Възстановяване на настройките за зареждане в SafeMode

Някои злонамерени програми, по-специално червеят Bagle, разваля настройките за зареждане на системата в защитен режим.

Този фърмуер възстановява настройките за зареждане в защитен режим. Показания за употреба:Компютърът не се стартира в SafeMode. Този фърмуер трябва да се използва само в случай на проблеми със зареждането в защитен режим .

11.Отключване на диспечера на задачите

Блокирането на диспечера на задачите се използва от злонамерен софтуер за защита на процесите от откриване и изтриване. Съответно, изпълнението на тази микропрограма премахва заключването.

Показания за употреба:Блокиране на диспечера на задачите, когато се опитате да се обадите на диспечера на задачите, се показва съобщението "Диспечерът на задачите е блокиран от администратора".

12. Изчистете списъка с игнориране на помощната програма HijackThis

Помощната програма HijackThis съхранява редица свои настройки в системния регистър, по-специално списъка с изключения. Следователно, за да се прикрие от HijackThis, злонамерената програма трябва само да регистрира своите изпълними файлове в списъка за изключване.

Понастоящем е известно, че редица злонамерени програми използват тази уязвимост. Фърмуерът на AVZ изчиства списъка с изключения на помощната програма HijackThis

Показания за употреба:Подозрения, че помощната програма HijackThis не показва цялата информация за системата.

13. Почистване на файла Hosts

Изчистването на файла Hosts е толкова просто, колкото намирането на Hosts файла, премахването на всички смислени редове от него и добавянето на стандартния ред "127.0.0.1 localhost".

Показания за употреба:Подозрение, че файлът Hosts е променен от злонамерен софтуер. Типични симптоми са блокирането на актуализации на антивирусен софтуер.

Можете да контролирате съдържанието на файла Hosts с помощта на файловия мениджър Hosts, вграден в AVZ.

14. Автоматична корекция на SPl / LSP настройки

Той анализира настройките на SPI и, ако бъдат открити грешки, автоматично коригира намерените грешки.

Този фърмуер може да бъде стартиран повторно неограничен брой пъти. След като изпълните този фърмуер, се препоръчва да рестартирате компютъра си. Забележка! Този фърмуер не може да бъде стартиран от терминална сесия

Показания за употреба:Достъпът до интернет беше загубен след премахването на зловредния софтуер.

15. Нулиране на настройките за SPI / LSP и TCP / IP (XP +)

Този фърмуер работи само на XP, Windows 2003 и Vista. Принципът му на работа се основава на нулиране и пресъздаване на настройките на SPI / LSP и TCP / IP с помощта на стандартната помощна програма netsh, включена в Windows.

Забележка! Трябва да приложите фабрично нулиране само ако е необходимо, ако има невъзстановими проблеми с достъпа до Интернет след премахване на зловреден софтуер!

Показания за употреба:След премахването на зловредния софтуер, достъпът до интернет и изпълнението на „14. Автоматичната корекция на настройките на SPl / LSP ”няма ефект.

16. Възстановяване на стартовия ключ на Explorer

Възстановява ключовете на системния регистър, отговорни за стартирането на Explorer.

Показания за употреба: Explorer не се стартира по време на зареждане на системата, но е възможно да стартирате ръчно explorer.exe.

17. Отключете редактора на системния регистър

Отключва редактора на системния регистър, като премахва правилата, които не позволяват да се стартира.

Показания за употреба:Не може да стартирате редактора на системния регистър, когато опитате, получавате съобщение, че е блокиран от администратора.

18. Пълно пресъздаване на настройките на SPI

Той архивира настройките на SPI / LSP, след което ги унищожава и ги създава според препратката, съхранена в базата данни.

Показания за употреба:Тежка повреда на настройките на SPI, невъзстановими от скриптове 14 и 15. Използвайте само ако е необходимо!

19. Изчистете базовите точки за монтиране

Изчиства базата данни MountPoint и MountPoints2 в системния регистър. Тази операция често помага в случаите, когато дисковете не се отварят в Explorer, след като са били заразени с Flash вирус.

За да се извърши възстановяването, трябва да се отметнат един или няколко елемента и да се натисне бутонът „Извършване на маркирани операции“. Натискането на бутона "OK" затваря прозореца.

Забележка:

Възстановяването е безполезно, ако системата работи с троянски кон, който извършва такива преконфигурации - първо трябва да премахнете зловредния софтуер и след това да възстановите системните настройки

Забележка:

За да премахнете следите от повечето хиджакери, трябва да стартирате три фърмуера - "Нулиране на настройките за търсене в Internet Explorer до стандартни", "Възстановяване на началната страница на Internet Explorer", "Нулиране на настройките на префикса на протокола на Internet Explorer към стандартните"

Забележка:

Всеки от фърмуерите може да се изпълнява няколко пъти подред, без да се засяга системата. Изключения - „5.

Възстановяване на настройките на работния плот "(работата на този фърмуер ще нулира всички настройки на работния плот и ще трябва да изберете отново оцветяването и тапета на работния плот) и" 10.

Възстановяване на настройките за зареждане в SafeMode "(този фърмуер пресъздава ключовете на системния регистър, отговорни за зареждането в SafeMode).

За да започнете възстановяване, първо изтеглете, разопаковайте и стартирайте полезност... След това натискаме файла - възстановяване на системата. Между другото, все още можете да изпълните

Маркираме квадратчетата, от които се нуждаете, и щракнете, за да започнете операциите. Всичко, чакаме го с нетърпение :-)

В следващите статии ще разгледаме по-отблизо проблемите, които възстановяването на фърмуера на avz ще ни помогне да решим. Така че късмет и на теб.

Ще говорим за най-простите начини за неутрализиране на вируси, по-специално за блокиране на работния плот на потребителя Windows 7 (семейството вируси Trojan.Winlock). Такива вируси се различават по това, че не крият присъствието си в системата, а, напротив, го демонстрират, затруднявайки възможно най-много действия, различни от въвеждането на специален "код за отключване", за който се твърди, че се изисква да преведе определена сума на киберпрестъпниците чрез изпращане на SMS или попълване на сметка на мобилен телефон чрез терминал за плащане. Целта тук е една - да накарате потребителя да плати, а понякога и доста прилични пари. На екрана се показва прозорец със страхотно предупреждение за блокиране на компютъра за използване на нелицензиран софтуер или посещение на нежелани сайтове и нещо друго от този вид, като правило, за да изплаши потребителя. Освен това вирусът не ви позволява да извършвате никакви действия в работната среда на Windows - блокира натискането на специални клавишни комбинации за извикване на менюто на бутона "Старт", командата "Изпълнение", диспечера на задачите и т.н. Показалецът на мишката не може да бъде преместен извън прозореца на вируса. По правило същата картина се наблюдава при зареждане на Windows в безопасен режим. Ситуацията изглежда безнадеждна, особено ако няма друг компютър, възможност за зареждане в друга операционна система или от преносим носител (LIVE CD, ERD Commander, антивирусен скенер). Но въпреки това в по-голямата част от случаите има изход.

Новите технологии, внедрени в Windows Vista/Windows 7, направиха много по-трудно внедряването на зловреден софтуер и поемането на системата под пълен контрол, а също така предоставиха на потребителите допълнителни възможности да се отърват от тях сравнително лесно, дори без да имат антивирусен софтуер (софтуер). Говорим за възможността за зареждане на системата в безопасен режим с поддръжка на командния ред и стартиране на софтуер за управление и възстановяване от нея. Очевидно по навик, поради доста лошото изпълнение на този режим в предишни версии на операционните системи Windows, много потребители просто не го използват. Но напразно. Командният ред на Windows 7 няма обичайния работен плот (който може да бъде блокиран от вирус), но е възможно да стартирате повечето програми - редактор на системния регистър, мениджър на задачи, помощна програма за възстановяване на системата и т.н.

Премахване на вирус чрез връщане на системата до точка за възстановяване

Вирусът е обикновена програма и дори ако се намира на твърдия диск на компютър, но няма възможност да се стартира автоматично, когато системата се стартира и потребителят влезе, тогава той е също толкова безвреден, колкото напр. , обикновен текстов файл. Ако проблемът с блокирането на автоматичното стартиране на злонамерена програма бъде решен, тогава задачата за премахване на зловредния софтуер може да се счита за завършена. Основният метод за автоматично стартиране, използван от вирусите, е чрез специално изработени записи в системния регистър, създадени, когато се инжектират в системата. Ако изтриете тези записи, вирусът може да се счита за неутрализиран. Най-лесният начин е да извършите възстановяване на контролна точка. Контролната точка е копие на важни системни файлове, съхранявани в специална директория („Информация за системния том“) и съдържащо, наред с други неща, копия на файловете на системния регистър на Windows. Извършването на връщане на системата до точка за възстановяване, чиято дата на създаване предхожда вирусната инфекция, ви позволява да получите състоянието на системния регистър без записите, направени от нахлуващия вирус и по този начин да изключите автоматичното му стартиране, т.е. отървете се от инфекцията дори без да използвате антивирусен софтуер. По този начин можете лесно и бързо да се отървете от заразяването на системата от повечето вируси, включително тези, които блокират работния плот на Windows. Естествено, блокиращ вирус, който използва например модификацията на секторите за зареждане на твърдия диск (вирус MBRLock), не може да бъде премахнат по този начин, тъй като връщането на системата до точката за възстановяване не засяга записите за зареждане на дисковете, и няма да е възможно да стартирате Windows в безопасен режим с поддръжка на командния ред, тъй като вирусът се зарежда дори преди зареждането на Windows. За да се отървете от такава инфекция, ще трябва да стартирате от друг носител и да възстановите заразените записи за зареждане. Но има сравнително малко такива вируси и в повечето случаи можете да се отървете от инфекцията, като върнете системата обратно до точка за възстановяване.

1. В самото начало на изтеглянето натиснете бутона F8. На екрана ще се покаже менюто на Windows bootloader, с възможни опции за зареждане на системата

2. Изберете опцията за зареждане на Windows - "Безопасен режим с команден ред"

След като изтеглянето приключи и потребителят се регистрира, вместо обичайния работен плот на Windows ще се покаже прозорецът на командния процесор cmd.exe

3. Стартирайте Възстановяване на системата, като напишете rstrui.exe в командния ред и натиснете ENTER.

Превключете режима на „Избор на друга точка за възстановяване“ и в следващия прозорец поставете отметка в квадратчето „Показване на други точки за възстановяване“

След като изберете точка за възстановяване на Windows, можете да видите списък на засегнатите програми, когато системата се върне назад:

Списъкът на засегнатите програми е списък с програми, които са били инсталирани след създаването на точката за възстановяване на системата и които може да се наложи да бъдат преинсталирани, тъй като няма да има записи в системния регистър, свързани с тях.

След като кликнете върху бутона "Край", процесът на възстановяване на системата ще започне. След приключване Windows ще се рестартира.

След рестартиране на екрана ще се покаже съобщение за успешния или неуспешния резултат от връщането и, ако е успешен, Windows ще се върне в състоянието, което съответства на датата на създаване на точката за възстановяване. Ако работният ви плот не спира да се заключва, можете да използвате по-разширения метод по-долу.

Премахване на вирус без връщане на системата до точка за възстановяване

Възможно е системата по различни причини да не съдържа данни за точки за възстановяване, процедурата по възстановяване е завършила с грешка или връщането не е дало положителен резултат. В този случай можете да използвате инструмента за диагностика на системната конфигурация MSCONFIG.EXE. Както в предишния случай, трябва да стартирате Windows в безопасен режим с поддръжка на командния ред и да въведете msconfig.exe в прозореца на интерпретатора на командния ред cmd.exe и да натиснете ENTER

В раздела Общи можете да изберете следните режими на стартиране на Windows:

Когато системата се стартира, ще стартират само минимално необходими системни услуги и потребителски програми.
Селективно стартиране- ви позволява ръчно да зададете списък със системни услуги и потребителски програми, които ще бъдат стартирани по време на процеса на зареждане.

За да премахнете вируса, най-лесният начин е да използвате диагностичното стартиране, когато самата помощна програма открие набор от автоматично стартиращи програми. Ако в този режим блокирането на работния плот от вируса спре, тогава трябва да преминете към следващия етап - да определите коя от програмите е вирус. За да направите това, можете да използвате режима на селективно стартиране, който ви позволява да активирате или деактивирате стартирането на отделни програми в ръчен режим.

Разделът "Услуги" ви позволява да активирате или деактивирате стартирането на системни услуги, в настройките на които типът на стартиране е зададен на "Автоматично". Неотметнато квадратче пред името на услугата означава, че тя няма да бъде стартирана по време на процеса на зареждане на системата. В долната част на прозореца на помощната програма MSCONFIG има поле за настройка на режима „Не показвайте услуги на Microsoft“, когато е активиран, ще се показват само услуги на трети страни.

Имайте предвид, че вероятността от заразяване на системата с вирус, който е инсталиран като системна услуга, със стандартни настройки за сигурност в Windows Vista / Windows 7, е много ниска и ще трябва да търсите следи от вируса в списъка с автоматично стартирани потребителски програми (раздел Стартиране).

Точно както в раздела "Услуги", можете да активирате или деактивирате автоматичното стартиране на всяка програма, присъстваща в списъка, показан от MSCONFIG. Ако вирусът се активира в системата чрез автоматично стартиране с помощта на специални ключове на системния регистър или съдържанието на папката "Стартиране", тогава с помощта на msconfig можете не само да го неутрализирате, но и да определите пътя и името на заразения файл.

Помощната програма msconfig е прост и удобен инструмент за конфигуриране на автоматично стартиране на услуги и приложения, които се стартират по стандартен начин за операционни системи от семейството на Windows. Авторите на вируси обаче често използват трикове, които позволяват на злонамерените програми да се изпълняват без използване на стандартни стартови точки. За да се отървете от такъв вирус с висока степен на вероятност, можете да използвате описания по-горе метод, за да върнете системата до точка за възстановяване. Ако връщането назад не е възможно и използването на msconfig не доведе до положителен резултат, можете да използвате директно редактиране на системния регистър.

В процеса на борба с вируса, потребителят често трябва да извърши твърдо рестартиране чрез нулиране (Reset) или изключване на захранването. Това може да доведе до ситуация, при която стартирането на системата започва нормално, но не достига до регистрацията на потребителя. Компютърът "увисва" поради нарушение на логическата структура на данните в някои системни файлове, което се случва при неправилно изключване. За да разрешите проблема, точно както в предишните случаи, можете да стартирате в безопасен режим с поддръжка на командния ред и да изпълните командата за проверка на системния диск

chkdsk C: / F - проверете C: устройството с коригиране на всички намерени грешки (превключвател / F)

Тъй като в момента на стартиране на chkdsk системният диск е зает от системни услуги и приложения, програмата chkdsk не може да получи изключителен достъп до него за тестване. Следователно потребителят ще бъде подканен с предупредително съобщение и подкана да извърши тест при следващото рестартиране на системата. След като отговорите на Y, информацията ще бъде въведена в системния регистър, като се гарантира, че проверката на диска започва, когато Windows се рестартира. След проверка тази информация се изтрива и се извършва нормално рестартиране на Windows без намеса на потребителя.

Премахнете възможността за стартиране на вирус с помощта на редактора на системния регистър.

За да стартирате редактора на системния регистър, както в предишния случай, трябва да стартирате Windows в безопасен режим с поддръжка на командния ред, въведете regedit.exe в прозореца на интерпретатора на командния ред и натиснете ENTER Windows 7, със стандартни настройки за сигурност на системата, е защитен от много методи за стартиране на злонамерени програми, използвани за предишни версии на операционните системи на Microsoft. Инсталиране на собствени драйвери и услуги от вируси, преконфигуриране на услугата WINLOGON със свързване на собствени изпълними модули, коригиране на ключове на системния регистър, подходящи за всички потребители и т.н. - всички тези методи или не работят в Windows 7, или изискват толкова сериозен труд, че на практика го правят не се срещат. По правило промените в системния регистър, които позволяват на вируса да работи, се правят само в контекста на разрешенията, които съществуват за текущия потребител, т.е. под HKEY_CURRENT_USER

За да демонстрирате най-простия механизъм за заключване на работния плот с помощта на подмяната на потребителската обвивка (shell) и невъзможността за използване на помощната програма MSCONFIG за откриване и премахване на вирус, можете да проведете следния експеримент - вместо вирус, можете настройте сами данните в системния регистър, за да получите например команден ред вместо работния плот ... Познатият работен плот е създаден от Windows Explorer (Explorer.exe), стартиран като обвивка на потребителя. Това се осигурява от стойностите на параметъра Shell в ключовете на системния регистър.

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon- за всички потребители.
- за текущия потребител.

Параметърът Shell е низ с името на програмата, която ще се използва като обвивка, когато потребителят влезе в системата. Обикновено параметърът Shell отсъства в ключа за текущия потребител (HKEY_CURRENT_USER или HKCU), а стойността от ключа на системния регистър за всички потребители (HKEY_LOCAL_MACHINE \ или HKLM в съкратена форма) се използва

Ето как изглежда ключът на системния регистър HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogonсъс стандартна инсталация на Windows 7

Ако добавите параметъра Shell string към този раздел, който приема стойността "cmd.exe", тогава следващия път, когато текущият потребител влезе в системата, вместо обвивката на стандартния потребител, базирана на Explorer, обвивката cmd.exe ще се стартира и вместо обичайния работен плот на Windows ще се покаже прозорец на командния ред ...

Естествено, всяка злонамерена програма може да бъде стартирана по този начин и потребителят ще получи порно банер, блокер и други неприятни неща вместо десктоп.
За да направите промени в ключа за всички потребители (HKLM ...

Ако по време на експеримента стартирате помощната програма msconfig, можете да се уверите, че cmd.exe не присъства като потребителска обвивка в списъците с автоматично стартирани програми. Отмяната на системата, разбира се, ще ви позволи да възстановите първоначалното състояние на системния регистър и да се отървете от автоматичното стартиране на вируса, но ако това е невъзможно по някаква причина, остава само директно редактиране на системния регистър. За да се върнете към стандартния работен плот, просто премахнете параметъра Shell или променете стойността му от "cmd.exe" на "explorer.exe" и регистрирайте отново потребителя (излезте и влезте отново) или рестартирайте. Можете да редактирате системния регистър, като стартирате редактора на системния регистър regedit.exe от командния ред или като използвате конзолната помощна програма REG.EXE. Пример за команден ред за премахване на параметъра Shell:

REG изтриване "HKCU \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / v Shell

Посоченият пример за смяна на обвивката на потребителя днес е една от най-често срещаните техники, използвани от вируси в операционната система Windows 7. Доста високо ниво на сигурност със стандартни системни настройки не позволява на злонамерените програми да получат достъп до ключовете на системния регистър, които са били използвани за заразяване в Windows XP и по-ранни версии. Дори ако текущият потребител е член на групата администратори, достъпът до по-голямата част от настройките на системния регистър, използвани за заразяване, изисква стартиране на програмата като администратор. Поради тази причина зловредният софтуер променя ключовете на системния регистър, до които текущият потребител има достъп (HKCU ключ...) Вторият важен фактор е трудността при записване на програмни файлове в системни каталози. Поради тази причина повечето вируси в Windows 7 използват стартирането на изпълними файлове (.exe) от директорията за временни файлове (Temp) на текущия потребител. Когато анализирате точките на автоматично стартиране на програми в системния регистър, на първо място, трябва да обърнете внимание на програмите, разположени в директорията на временните файлове. Това обикновено е директория C: \ USERS \ потребителско име \ AppData \ Local \ Temp... Точният път на директорията с временни файлове може да се види през контролния панел в системните свойства - "Променливи на средата". Или на командния ред:

зададена темп
или
ехо% темп%

В допълнение, търсенето в системния регистър за подходящо име на директория за временни файлове или променливата% TEMP% може да се използва като допълнително средство за откриване на вируси. Правните програми никога не се стартират автоматично от директорията TEMP.

Удобно е да използвате специалната програма Autoruns от пакета SysinternalsSuite, за да получите пълен списък с възможни точки за автоматично стартиране.

Най-лесните начини за премахване на блокери от семейството на MBRLock

Злонамерените програми могат да поемат контрола над компютъра не само като заразят операционната система, но и чрез модифициране на записите в сектора за стартиране на диска, от който се зарежда. Вирусът замества данните от сектора за зареждане на активния дял със своя програмен код, така че вместо Windows да зарежда проста програма, която да показва съобщение за рансъмуер, искащо пари за мошениците. Тъй като вирусът получава контрол дори преди стартирането на системата, има само един начин да го заобиколите - да стартирате от друг носител (CD / DVD, външно устройство и т.н.) във всяка операционна система, където е възможно да се възстанови програмния код на зареждащи сектори. Най-лесният начин е да използвате Live CD / Live USB, които обикновено се предоставят безплатно от повечето антивирусни компании (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk и др.) и сканиране на файловата система за злонамерен софтуер, премахване или дезинфекция на заразени файлове. Ако не е възможно да използвате този метод, тогава можете да се справите с просто зареждане на всяка версия на Windows PE (инсталационен диск, спасителен диск ERD Commander), което ви позволява да възстановите нормалното зареждане на системата. Обикновено дори една проста способност за достъп до командния ред и изпълнение на командата е достатъчна:

bootsect / nt60 / mbr<буква системного диска:>

bootsect / nt60 / mbr E:> - възстановяване на зареждащите сектори на устройство E: Буквата трябва да се използва тук за устройството, което се използва като устройство за зареждане на системата, повредена от вируса.

или за Windows по-стара от Windows Vista

bootsect / nt52 / mbr<буква системного диска:>

Помощната програма bootsect.exe може да се намира не само в системните каталози, но и на всеки преносим носител, може да се изпълнява в средата на всяка операционна система от семейството на Windows и ви позволява да възстановите програмния код на секторите за зареждане без засягаща таблицата на дяловете и файловата система. По правило превключвателят / mbr не е необходим, тъй като той възстановява програмния код на MBR, който вирусите не модифицират (може би все още не са модифицирани).

Антивирусните програми, дори когато откриват и премахват злонамерен софтуер, не винаги възстановяват системата до пълна производителност. Често след премахване на вирус потребителят на компютър получава празен работен плот, пълна липса на достъп до Интернет (или блокиране на достъп до някои сайтове), неработеща мишка и т.н. По правило това се дължи на факта, че някои системни или потребителски настройки, променени от злонамерения софтуер, са останали непокътнати.

Помощната програма е безплатна, работи без инсталация, е невероятно функционална и ми помогна в различни ситуации. Вирусът, като правило, прави промени в системния регистър (добавяне към стартиране, промяна на параметрите за стартиране на програмата и т.н.). За да не се ровите в системата, ръчно коригирайки следите от вируса, трябва да използвате операцията "Възстановяване на системата", налична в AVZ (въпреки че помощната програма е много, много добра като антивирус, е много добре да проверите дисковете за вируси с помощната програма).

За да започнете възстановяване, стартирайте помощната програма. След това щракнете върху файла - възстановяване на системата

и пред нас ще се отвори такъв прозорец

маркирайте квадратчетата, от които се нуждаем, и щракнете върху „Извършване на маркирани операции“

1.Възстановяване на стартовите параметри за.exe, .com, .pif файлове

Този фърмуер възстановява реакцията на системата към exe, com, pif, scr файлове.

Показания за употреба:след премахване на вируса програмите спират да работят.

2.Нулирайте настройките на префикса на протокола на Internet Explorer до стандартните

Този фърмуер възстановява настройките на префикса на протокола в Internet Explorer

Показания за употреба:когато въведете адрес като www.yandex.ru, той се заменя с нещо като www.seque.com/abcd.php?url=www.yandex.ru

3.Възстановяване на началната страница на Internet Explorer

Този фърмуер възстановява началната страница в Internet Explorer

Показания за употреба:подправяне на началната страница

4.Възстановете стандартните настройки за търсене в Internet Explorer

Този фърмуер възстановява настройките за търсене в Internet Explorer

Показания за употреба:Когато щракнете върху бутона "Търсене" в IE, има извикване към сайт на трета страна

5.Възстановяване на настройките на работния плот

Този фърмуер възстановява настройките на работния плот. Възстановяването означава премахване на всички активни елементи на ActiveDesctop, тапети, премахване на ключалки в менюто, което отговаря за настройките на работния плот.

Показания за употреба:Разделите за настройка на работния плот в прозореца "Свойства: екран" са изчезнали, на работния плот се показват външни надписи или чертежи

6.Изтриване на всички политики (ограничения) на текущия потребител

Windows предоставя механизъм за ограничаване на действията на потребителите, наречен Политики. Тази технология се използва от много злонамерени програми, тъй като настройките се съхраняват в системния регистър и не са трудни за създаване или промяна.

Показания за употреба: Explorer или други системни функции са блокирани.

7. Изтрийте съобщението, показано по време на WinLogon

Windows NT и по-нови системи от линията NT (2000, XP) ви позволяват да зададете съобщението, което се показва по време на стартиране. Редица злонамерени програми се възползват от това и убиването на злонамерената програма не унищожава съобщението.

Показания за употреба:По време на стартиране на системата се въвежда странно съобщение.

8.Възстановяване на настройките на Explorer

Този фърмуер нулира редица настройки на Explorer към стандартните (настройките, които са променени от зловреден софтуер, първо се нулират).

Показания за употреба:Настройките на Explorer са променени

9. Премахнете дебъгерите на системния процес

Регистрирането на дебъгер на системни процеси ще позволи на приложението да се стартира скрито, което се използва от редица злонамерени програми.

Показания за употреба: AVZ открива неразпознати дебъгери на системни процеси, има проблеми със стартирането на системни компоненти, по-специално след рестартиране работният плот изчезва.

10.Възстановяване на настройките за зареждане в SafeMode

Някои злонамерени програми, по-специално червеят Bagle, разваля настройките за зареждане на системата в защитен режим. Този фърмуер възстановява настройките за зареждане в защитен режим.

Показания за употреба:Компютърът не се стартира в SafeMode. Този фърмуер трябва да се използва само в случай на проблеми със зареждането в защитен режим .

11.Отключване на диспечера на задачите

Блокирането на диспечера на задачите се използва от злонамерен софтуер за защита на процесите от откриване и изтриване. Съответно, изпълнението на тази микропрограма премахва заключването.

Показания за употреба:Блокиране на диспечера на задачите, когато се опитате да се обадите на диспечера на задачите, се показва съобщението "Диспечерът на задачите е блокиран от администратора".

12. Изчистете списъка с игнориране на помощната програма HijackThis

Помощната програма HijackThis съхранява редица свои настройки в системния регистър, по-специално списъка с изключения. Следователно, за да се прикрие от HijackThis, злонамерената програма трябва само да регистрира своите изпълними файлове в списъка за изключване. Понастоящем е известно, че редица злонамерени програми използват тази уязвимост. Фърмуерът на AVZ изчиства списъка с изключения на помощната програма HijackThis

Показания за употреба:Подозрения, че помощната програма HijackThis не показва цялата информация за системата.

13. Почистване на файла Hosts

Изчистването на файла Hosts е толкова просто, колкото намирането на Hosts файла, премахването на всички смислени редове от него и добавянето на стандартния ред "127.0.0.1 localhost".

Показания за употреба:Подозрение, че файлът Hosts е променен от злонамерен софтуер. Типични симптоми са блокирането на актуализации на антивирусен софтуер. Можете да контролирате съдържанието на файла Hosts с помощта на файловия мениджър Hosts, вграден в AVZ.

14. Автоматична корекция на SPl / LSP настройки

Той анализира настройките на SPI и, ако бъдат открити грешки, автоматично коригира намерените грешки. Този фърмуер може да бъде стартиран повторно неограничен брой пъти. След като изпълните този фърмуер, се препоръчва да рестартирате компютъра си. Забележка! Този фърмуер не може да бъде стартиран от терминална сесия

Показания за употреба:Достъпът до интернет беше загубен след премахването на зловредния софтуер.

15. Нулиране на настройките за SPI / LSP и TCP / IP (XP +)

Този фърмуер работи само на XP, Windows 2003 и Vista. Принципът му на работа се основава на нулиране и пресъздаване на настройките на SPI / LSP и TCP / IP с помощта на стандартната помощна програма netsh, включена в Windows.Забележка! Трябва да приложите фабрично нулиране само ако е необходимо, ако има невъзстановими проблеми с достъпа до Интернет след премахване на зловреден софтуер!

Показания за употреба:След премахването на зловредния софтуер, достъпът до интернет и изпълнението на „14. Автоматичната корекция на настройките на SPl / LSP ”няма ефект.

16. Възстановяване на стартовия ключ на Explorer

Възстановява ключовете на системния регистър, отговорни за стартирането на Explorer.

Показания за употреба: Explorer не се стартира по време на зареждане на системата, но е възможно да стартирате ръчно explorer.exe.

17. Отключете редактора на системния регистър

Отключва редактора на системния регистър, като премахва правилата, които не позволяват да се стартира.

Показания за употреба:Не може да стартирате редактора на системния регистър, когато опитате, получавате съобщение, че е блокиран от администратора.

18. Пълно пресъздаване на настройките на SPI

Той архивира настройките на SPI / LSP, след което ги унищожава и ги създава според препратката, съхранена в базата данни.

Показания за употреба:Тежка повреда на настройките на SPI, невъзстановими от скриптове 14 и 15. Използвайте само ако е необходимо!

19. Изчистете базовите точки за монтиране

Изчиства базата данни MountPoint и MountPoints2 в системния регистър. Тази операция често помага в случаите, когато дисковете не се отварят в Explorer, след като са били заразени с Flash вирус.

За да се извърши възстановяването, трябва да се отметнат един или няколко елемента и да се натисне бутонът „Извършване на маркирани операции“. Натискането на бутона "OK" затваря прозореца.

Забележка:

Възстановяването е безполезно, ако системата работи с троянски кон, който извършва такива преконфигурации - първо трябва да премахнете зловредния софтуер и след това да възстановите системните настройки

Забележка:

За да премахнете следите от повечето хиджакери, трябва да стартирате три фърмуера - "Нулиране на настройките за търсене в Internet Explorer до стандартни", "Възстановяване на началната страница на Internet Explorer", "Нулиране на настройките на префикса на протокола на Internet Explorer към стандартните"

Забележка:

Всеки от фърмуерите може да се изпълнява няколко пъти подред, без да се засяга системата. Изключения са „5. Възстановяване на настройките на работния плот“ (работата на този фърмуер ще нулира всички настройки на работния плот и ще трябва да изберете отново цвета и тапета на работния плот) и „10. Възстановяване на настройките за зареждане в SafeMode "(този фърмуер пресъздава ключовете на системния регистър, отговорни за зареждането в SafeMode).