Prosessen med å gjenopprette systemet til en personlig datamaskin etter et angrep av virusprogrammer. Windows systemgjenoppretting etter virus - Operativsystemer - Artikkelkatalog - SysAdmin

Dedikert AVZ, Jeg vil dele litt mer kunnskap med deg om mulighetene til dette fantastiske verktøyet.

I dag skal vi snakke om systemgjenopprettingsverktøy, som ofte kan redde datamaskinens liv etter å ha blitt infisert med virus og andre grusomheter i livet, samt løse en rekke systemproblemer som oppstår som følge av visse feil.
Det vil være nyttig for alle.

Innledende

Før jeg begynner, tradisjonelt sett, vil jeg tilby deg to formater av materiale, nemlig: video eller tekst. Video her:

Vel, teksten er under. Se selv hvilket alternativ som ligger nærmest deg.

Generell beskrivelse av programmets funksjonalitet

Hva er disse gjenopprettingsverktøyene? Dette er et sett med fastvare og skript som hjelper til med å gjenopprette visse systemfunksjoner til en fungerende tilstand. Hvilken for eksempel? Vel, la oss si bring tilbake eller Registerredigering, tøm vertsfilen eller tilbakestill IE-innstillingene. Generelt gir jeg den i sin helhet og med en beskrivelse (for ikke å finne opp hjulet på nytt):

• 1. Gjenoppretter oppstartsparametere for.exe-, .com-, .pif-filer
  Denne fastvaren gjenoppretter systemets respons på exe-, com-, pif-, scr-filer.
  Indikasjoner for bruk: etter fjerning av viruset slutter programmer å kjøre.
• 2. Tilbakestiller Internet Explorer-protokollprefiksinnstillingene til standard
  Denne fastvaren gjenoppretter protokollprefiksinnstillingene i Internet Explorer
  Indikasjoner for bruk: når du skriver inn en adresse som www.yandex.ru, erstattes den med noe sånt som www.seque.com/abcd.php?url=www.yandex.ru
• 3. Gjenopprette startsiden til Internet Explorer
  Denne fastvaren gjenoppretter startsiden i Internet Explorer
  Indikasjoner for bruk: erstatning av startsiden
• 4. Tilbakestill søkeinnstillingene for Internet Explorer til standard
  Denne fastvaren gjenoppretter søkeinnstillingene for Internet Explorer
  Indikasjoner for bruk: Når du klikker på "Søk"-knappen i IE, er det en appell til en tredjepartsside
• 5. Gjenopprette skrivebordsinnstillinger
  Denne fastvaren gjenoppretter skrivebordsinnstillingene. Gjenoppretting betyr å fjerne alle ActiveDesctop aktive elementer, bakgrunnsbilde, fjerne låser på menyen som er ansvarlig for skrivebordsinnstillingene.
  Indikasjoner for bruk: Fanene for skrivebordsinnstillinger i vinduet "Egenskaper: skjerm" har forsvunnet, fremmede inskripsjoner eller tegninger vises på skrivebordet
• 6. Fjerning av alle retningslinjer (restriksjoner) nåværende bruker.
  Windows har en mekanisme for å begrense brukerhandlinger kalt retningslinjer. Denne teknologien brukes av mange ondsinnede programmer, siden innstillingene er lagret i registeret og ikke er vanskelige å lage eller endre.
  Indikasjon for bruk: Lederfunksjonene eller andre systemfunksjoner er blokkert.
• 7. Sletter meldingen som vises under WinLogon
  Windows NT og nyere systemer i NT-linjen (2000, XP) lar deg angi meldingen som vises under oppstart. En rekke ondsinnede programmer utnytter dette, og å drepe det skadelige programmet ødelegger ikke meldingen.
  Indikasjoner for bruk: En ekstern melding introduseres under systemoppstart.
• 8. Gjenopprett Explorer-innstillinger
  Denne fastvaren tilbakestiller en rekke Explorer-innstillinger til standard (først av alt, innstillingene endret av skadelig programvare tilbakestilles).
  Indikasjon for bruk: Endrede lederinnstillinger
• 9. Fjerning av systemprosessfeilsøkere
  Registrering av en systemprosessfeilsøker vil tillate applikasjonen å kjøre skjult, som brukes av en rekke ondsinnede programmer.
  Indikasjoner for bruk: AVZ oppdager ukjente debuggere av systemprosesser, det er problemer med å starte systemkomponenter, spesielt etter en omstart forsvinner skrivebordet.
• 10. Gjenopprette oppstartsinnstillinger i SafeMode
  Noe skadelig programvare, spesielt Bagle-ormen, ødelegger oppstartsinnstillingene til systemet i beskyttet modus. Denne fastvaren gjenoppretter oppstartsinnstillinger i sikker modus.
  Indikasjoner for bruk: Datamaskinen starter ikke opp i SafeMode. Bruk denne fastvaren kun i tilfelle problemer med oppstart i beskyttet modus.
• 11. Låse opp oppgavebehandlingen
  Oppgavebehandlingsblokkering brukes av skadelig programvare for å beskytte prosesser mot gjenkjenning og sletting. Følgelig fjerner kjøringen av dette mikroprogrammet låsen.
  Indikasjoner for bruk: Blokkerer oppgavebehandlingen, når du prøver å ringe oppgavebehandleren, vises meldingen "Oppgavebehandlingen er blokkert av administratoren".
• 12. Sletting av ignoreringslisten til HijackThis-verktøyet
  HijackThis-verktøyet lagrer en rekke av innstillingene i registeret, spesielt listen over ekskluderinger. Derfor, for å skjule seg fra HijackThis, trenger et ondsinnet program bare å registrere sine kjørbare filer i ekskluderingslisten. En rekke ondsinnede programmer er for tiden kjent for å utnytte dette sikkerhetsproblemet. AVZ-fastvaren sletter ekskluderingslisten til HijackThis-verktøyet
  Indikasjoner for bruk: Mistanker om at HijackThis-verktøyet ikke viser all informasjon om systemet.
• 13. Rydder opp i Hosts-filen
  Å tømme Hosts-filen er så enkelt som å finne Hosts-filen, fjerne alle meningsfulle linjer fra den og legge til standardlinjen "127.0.0.1 localhost".
  Indikasjon for bruk: Mistanker om at Hosts-filen har blitt endret av et skadelig program. Typiske symptomer er blokkering avr. Du kan kontrollere innholdet i Hosts-filen ved å bruke Hosts-filbehandlingen innebygd i AVZ.
• 14. Automatisk korrigering av SPl / LSP-innstillinger
  Den analyserer SPI-innstillingene, og hvis noen feil blir funnet, retter den automatisk opp feilene som er funnet. Denne fastvaren kan kjøres på nytt et ubegrenset antall ganger. Etter å ha kjørt denne fastvaren, anbefales det at du starter datamaskinen på nytt. Merk! Denne fastvaren kan ikke startes fra en terminaløkt
  Indikasjoner for bruk: Internett-tilgang gikk tapt etter at skadelig programvare ble fjernet.
• 15. Tilbakestill SPI / LSP og TCP / IP-innstillinger (XP +)
  Denne fastvaren fungerer kun på XP, Windows 2003 og Vista. Driftsprinsippet er basert på å tilbakestille og gjenskape SPI / LSP og TCP / IP-innstillinger ved å bruke standard netsh-verktøyet som følger med Windows. Du kan lese mer om tilbakestilling av fabrikk i Microsoft Knowledge Base - Merk! Du bør bare bruke en fabrikktilbakestilling om nødvendig hvis det er uopprettelige problemer med Internett-tilgang etter fjerning av skadelig programvare!
  Indikasjoner for bruk: Etter at malware ble fjernet, gikk Internett-tilgang og fastvarekjøring tapt 14. Automatisk korrigering av SPl / LSP-innstillinger er "ineffektiv".
• 16. Gjenopprette Explorer-oppstartsnøkkelen
  Gjenoppretter systemregisternøkler som er ansvarlige for å starte Explorer.
  Indikasjoner for bruk: Explorer starter ikke under systemoppstart, men det er mulig å starte explorer.exe manuelt.
• 17. Låse opp Registerredigering
  Låser opp Registerredigering ved å fjerne policyen som hindrer den i å kjøre.
  Indikasjoner for bruk: Det er umulig å starte registerredigering, når du prøver, vises en melding om at lanseringen ble blokkert av administratoren.
• 18. Fullfør gjenoppretting av SPI-innstillinger
  Den sikkerhetskopierer SPI / LSP-innstillingene, ødelegger dem og lager dem i henhold til referansen som er lagret i databasen.
  Indikasjoner for bruk: Alvorlig skade på SPI-innstillinger, kan ikke gjenopprettes av skript 14 og 15. Bruk kun hvis nødvendig!
• 19. Fjern basemonteringspunkter
  Tømmer MountPoints- og MountPoints2-databasen i registeret.
  Indikasjoner for bruk: Denne operasjonen hjelper ofte i tilfelle disker ikke åpnes i utforskeren etter å ha blitt infisert med Flash-viruset
• På en lapp:
  Gjenoppretting er ubrukelig hvis systemet kjører en trojansk hest som utfører slike rekonfigurasjoner - du må først fjerne skadelig programvare og deretter gjenopprette systeminnstillingene
  På en lapp:
  For å eliminere sporene etter de fleste kaprere, må du kjøre tre fastvare - "Tilbakestill Internet Explorer-søkeinnstillinger til standard", "Gjenopprett Internet Explorer-startside", "Tilbakestill Internet Explorer Protocol Prefix Settings til standard"
  På en lapp:
  Hvilken som helst av fastvaren kan kjøres flere ganger på rad uten å påvirke systemet. Unntakene er "5. Gjenopprette skrivebordsinnstillinger" (driften av denne fastvaren vil tilbakestille alle skrivebordsinnstillinger og du må velge skrivebordsfarge og bakgrunnsbilde på nytt) og "10. Gjenopprette oppstartsinnstillinger i SafeMode" (denne fastvaren gjenskaper registernøkler som er ansvarlige for å laste inn i sikker modus).

Nyttig, ikke sant?
Nå hvordan du bruker det.

Lastestart, bruk

Egentlig er alt enkelt.

Vil du vite og kunne gjøre mer selv?

Vi tilbyr deg opplæring innen følgende områder: datamaskiner, programmer, administrasjon, servere, nettverk, sidebygging, SEO med mer. Finn ut detaljene nå!

1. Laster ned herfra(eller andre steder) antivirusverktøy AVZ.
2. Vi pakker ut arkivet med det et sted der det passer for deg
3. Vi går til mappen der vi pakket ut programmet og kjører der avz.exe.
4. Velg i programvinduet "Fil" - "Systemgjenoppretting".
5. Vi krysser av for de nødvendige elementene og trykker på knappen " Utfør merkede operasjoner".
6. Vi venter og nyter resultatet.

Her er tingene.

Etterord

Jeg må si at den fungerer med et smell og eliminerer en rekke unødvendige kroppsbevegelser. Så å si, alt er for hånden, raskt, enkelt og effektivt.

Takk for oppmerksomheten ;)

Et utmerket program for å fjerne virus og gjenopprette systemet - AVZ (Zaitsev Anti-Virus). Du kan laste ned AVZ ved å klikke på den oransje knappen etter å ha generert lenker.Og hvis et virus blokkerer nedlastingen, prøv å laste ned hele antiviruspakken!

Hovedfunksjonene til AVZ er påvisning og fjerning av virus.

Antivirusverktøyet AVZ er designet for å oppdage og fjerne:

• SpyWare- og AdWare-moduler er hovedformålet med verktøyet
• Dialer (Trojan.Dialer)
• Trojanske hester
• Bakdørsmoduler
• Nettverks- og postormer
• TrojanSpy, TrojanDownloader, TrojanDropper

Verktøyet er en direkte analog av TrojanHunter og LavaSoft Ad-aware 6. Den primære oppgaven til programmet er å fjerne SpyWare og trojanere.

Funksjonene til AVZ-verktøyet (i tillegg til den typiske signaturskanneren) er:

• Firmware for heuristisk systemsjekk. Firmware søker etter kjente SpyWare og virus ved indirekte indikasjoner - basert på analyse av registeret, filer på disk og i minne.
• Oppdatert database med sikre filer. Den inkluderer digitale signaturer av titusenvis av systemfiler og filer med kjente sikre prosesser. Basen er koblet til alle AVZ-systemer og fungerer etter "venn / fiende"-prinsippet - sikre filer settes ikke i karantene, sletting og advarselsmeldinger er blokkert for dem, databasen brukes av et anti-rootkit, et filsøkesystem, og ulike analysatorer. Spesielt fremhever den innebygde prosessbehandleren trygge prosesser og tjenester med farger; søk etter filer på disken kan ekskludere kjente filer fra søket (noe som er veldig nyttig når du søker etter trojanere på disken);
• Innebygd Rootkit-deteksjonssystem. Søket etter RootKit går uten å bruke signaturer basert på studiet av grunnleggende systembiblioteker for å avskjære funksjonene deres. AVZ kan ikke bare oppdage RootKit, men også blokkere UserMode RootKit på riktig måte for prosessen og KernelMode RootKit på systemnivå. RootKit-motvirkning gjelder alle AVZ-tjenestefunksjoner, som et resultat kan AVZ-skanneren oppdage maskerte prosesser, søkesystemet i registeret "ser" maskerte nøkler osv. Anti-rootsettet er utstyrt med en analysator som oppdager prosesser og tjenester maskert av RootKit. En av hovedtrekkene til RootKit mottiltakssystemet, etter min mening, er ytelsen i Win9X (den utbredte oppfatningen om fraværet av RootKit som kjører på Win9X-plattformen er dypt feil - det er hundrevis av trojanere kjent for å fange opp API-funksjoner for å skjule deres tilstedeværelse, for å forvrenge driften av API-funksjoner eller overvåke bruken av dem). En annen funksjon er KernelMode RootKit, et universelt deteksjons- og blokkeringssystem som fungerer under Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
• Keylogger og trojanske DLL-detektor. Søket etter Keylogger og Trojanske DLLer utføres på grunnlag av systemanalyse uten bruk av en signaturdatabase, noe som gjør det mulig å pålitelig oppdage på forhånd ukjent Trojan DLL og Keylogger;
• Nevroanalysator. I tillegg inneholder AVZ-signaturanalysatoren en nevroemulator som lar deg studere mistenkelige filer ved hjelp av et nevralt nettverk. For øyeblikket brukes det nevrale nettverket i keylogger-detektoren.
• Innebygd analysator Winsock SPI / LSP-innstillinger. Lar deg analysere innstillingene, diagnostisere mulige feil i innstillingene og foreta automatisk behandling. Muligheten for automatisk diagnostikk og behandling er nyttig for nybegynnere (det er ingen automatisk behandling i verktøy som LSPFix). For å studere SPI / LSP manuelt, har programmet en spesiell LSP / SPI-innstillingsbehandler. Winsock SPI / LSP-analysatoren er dekket av et anti-rootkit;
• Innebygd leder av prosesser, tjenester og drivere. Designet for å studere løpende prosesser og lastede biblioteker, kjørende tjenester og drivere. Driften av prosessbehandleren påvirkes av anti-rootkitten (som et resultat, "ser" den prosessene maskert av rootkittet). Prosessbehandlingen er koblet til AVZ safe-fildatabasen, den identifiserte safen og systemfilene er uthevet i farger;
• Innebygd verktøy for å finne filer på disk. Den lar deg søke etter en fil etter ulike kriterier, funksjonene til søkesystemet er overlegne i systemsøket. Driften av søkesystemet påvirkes av anti-rootkitten (som et resultat "ser" søket filer maskert av rootkit og kan slette dem), filteret lar deg ekskludere fra søkeresultatene filer som er anerkjent av AVZ som sikre . Søkeresultater er tilgjengelige i form av en tekstprotokoll og i form av en tabell, der du kan merke en gruppe filer for senere sletting eller karantene
• Innebygd verktøy for å søke etter data i registeret. Den lar deg søke etter nøkler og parametere i henhold til et spesifisert mønster, søkeresultatene er tilgjengelige i form av en tekstprotokoll og i form av en tabell, der du kan merke flere nøkler for eksport eller sletting. Driften av søkesystemet påvirkes av anti-rootkitten (som et resultat "ser" søket registernøklene maskert av rootkit og kan slette dem)
• Innebygd analysator for åpne TCP / UDP-porter. Den er underlagt anti-rootkit-effekten; i Windows XP vises prosessen som bruker porten for hver port. Analysatoren er avhengig av en oppdatert database med porter av kjente trojanske/bakdørsprogrammer og kjente systemtjenester. Søking etter porter av trojanere er inkludert i hovedsystemkontrollalgoritmen - når mistenkelige porter oppdages, vises advarsler i protokollen som indikerer hvilke trojanere som pleier å bruke denne porten
• Innebygd analysator for delte ressurser, nettverksøkter og åpne filer over nettverket. Fungerer i Win9X og Nt / W2K / XP.
• Innebygd analysator Nedlastede programfiler (DPF) - viser DPF-elementer, koblet til alle AVZ-systemer.
• Fastvare for systemgjenoppretting. Firmware reparerer Internet Explorer-innstillinger, oppstartsinnstillinger og andre systeminnstillinger som er ødelagt av skadelig programvare. Gjenoppretting startes manuelt, parameterne som skal gjenopprettes spesifiseres av brukeren.
• Heuristisk filsletting. Essensen ligger i det faktum at hvis ondsinnede filer ble slettet under behandlingen og dette alternativet er aktivert, blir systemet automatisk undersøkt, og dekker klasser, BHO, IE og Explorer-utvidelser, alle tilgjengelige AVZ-typer av autorun, Winlogon, SPI / LSP osv... Alle funnet lenker til en ekstern fil blir automatisk ryddet opp, med informasjon om nøyaktig hva og hvor som ble ryddet opp i loggen. For denne rengjøringen brukes mikroprogrammotoren for systembehandling aktivt;
• Sjekker arkiver. Fra versjon 3.60 støtter AVZ skanning av arkiver og sammensatte filer. For øyeblikket sjekkes arkiver i formatene ZIP, RAR, CAB, GZIP, TAR; e-post og MHT-filer; CHM arkiver
• Sjekke og desinfisere NTFS-strømmer. Kontroll av NTFS-strømmer er inkludert i AVZ siden versjon 3.75
• Management scripts. Lar administratoren skrive et skript som utfører et sett med spesifiserte operasjoner på brukerens PC. Skript tillater bruk av AVZ i et bedriftsnettverk, inkludert lansering under systemoppstart.
• Prosessanalysator. Analysatoren bruker nevrale nettverk og analysefastvare; den slås på når avansert analyse er aktivert på maksimalt heuristisk nivå og er designet for å søke etter mistenkelige prosesser i minnet.
• AVZGuard-system. Utformet for å bekjempe skadelige programmer som er vanskelige å fjerne, i tillegg til AVZ, kan den beskytte brukerspesifiserte applikasjoner, for eksempel andre anti-spyware- og antivirusprogrammer.
• Direkte disktilgangssystem for arbeid med låste filer. Fungerer på FAT16 / FAT32 / NTFS, støttes på alle operativsystemer på NT-linjen, lar skanneren analysere låste filer og plassere dem i karantene.
• Prosessovervåkingsdriver og AVZPM-drivere. Designet for å spore start og stopp av prosesser og laste / losse drivere for å finne skjulte drivere og oppdage korrupsjon i strukturene som beskriver prosesser og drivere laget av DKOM rootkits.
• Boot Cleaner driver. Designet for å utføre systemrensing (fjerning av filer, drivere og tjenester, registernøkler) fra KernelMode. Rengjøringsoperasjonen kan utføres både under omstart av datamaskinen og under desinfeksjon.

Gjenopprett systemparametere.

• Gjenoppretter oppstartsparametere.exe .com .pif
• Tilbakestill IE-innstillinger
• Gjenopprette skrivebordsinnstillinger
• Fjerner alle brukerbegrensninger
• Sletter en melding i Winlogon
• Gjenopprett innstillinger for filutforsker
• Fjerning av systemprosessfeilsøkere
• Gjenoppretter oppstartsinnstillinger for sikker modus
• Låser opp Task Manager
• Rydder opp i vertsfilen
• Korrigering av SPI / LSP-innstillinger
• Tilbakestilling av SPI / LSP og TCP / IP-innstillinger
• Låser opp Registerredigering
• Fjerning av MountPoints-nøkler
• Bytte ut DNS-servere
• Fjern proxy-innstilling for IE / EDGE-server
• Fjern Google-restriksjoner

Programverktøy:

• Prosessleder
• Service- og sjåførleder
• Kjerneplassmoduler
• Intern DLL-behandler
• Søk i registeret
• Søk etter filer
• Søk etter Coocie
• Oppstartsbehandling
  
• Nettleserutvidelsesbehandling
• Kontrollpanel applet manager (cpl)
• Explorer Extension Manager
• Print Extension Manager
• Task Scheduler Manager
• Protokoll og Handler Manager
• DPF Manager
• Active Setup Manager
• Winsock SPI Manager
• Hosts File Manager
• TCP / UDP Port Manager
• Nettverksandeler og nettverkstilkoblingsbehandling
• Systemverktøy satt
• Kontrollerer en fil mot databasen med sikre filer
• Filskanning mot Microsofts sikkerhetskatalog
• Beregner MD5-filsummer
  

Her er et så stort sett for å redde datamaskinen fra ulike infeksjoner!

Et enkelt og praktisk AVZ-verktøy som ikke bare kan vil hjelpe, men vet også hvordan man gjenoppretter systemet. Hvorfor er dette nødvendig?

Faktum er at etter invasjonen av virus (det skjer at AVZ dreper dem i tusenvis), nekter noen programmer å fungere, innstillingene har alle forsvunnet og Windows fungerer på en eller annen måte ikke helt riktig.

Oftest, i dette tilfellet, installerer brukere ganske enkelt systemet på nytt. Men som praksis viser, er dette ikke i det hele tatt nødvendig, for ved å bruke det samme AVZ-verktøyet kan du gjenopprette nesten alle skadede programmer og data.

For å gi deg et klarere bilde gir jeg en komplett liste over hva som kan gjenopprettesAVZ.

Materiale hentet fra håndboken påAVZ - http://www.z-oleg.com/secur/avz_doc/ (kopier og lim inn i nettleserens adresselinje).

For øyeblikket inneholder databasen følgende fastvare:

1. Gjenopprette oppstartsparametere for.exe-, .com-, .pif-filer

Denne fastvaren gjenoppretter systemets respons på exe-, com-, pif-, scr-filer.

Indikasjoner for bruk: etter fjerning av viruset slutter programmer å kjøre.

2. Tilbakestill Internet Explorer-protokollprefiksinnstillingene til standard

Denne fastvaren gjenoppretter protokollprefiksinnstillingene i Internet Explorer

Indikasjoner for bruk: når du skriver inn en adresse som www.yandex.ru, erstattes den med noe sånt som www.seque.com/abcd.php?url=www.yandex.ru

3.Gjenopprette Internet Explorer-startsiden

Denne fastvaren gjenoppretter startsiden i Internet Explorer

Indikasjoner for bruk: forfalskning av startsiden

4. Tilbakestill søkeinnstillingene for Internet Explorer til standard

Denne fastvaren gjenoppretter søkeinnstillingene for Internet Explorer

Indikasjoner for bruk: Når du klikker på "Søk"-knappen i IE, er det et anrop til en tredjepartsside

5.Gjenopprette skrivebordsinnstillinger

Denne fastvaren gjenoppretter skrivebordsinnstillingene.

Gjenoppretting betyr å fjerne alle ActiveDesctop aktive elementer, bakgrunnsbilde, fjerne låser på menyen som er ansvarlig for skrivebordsinnstillingene.

Indikasjoner for bruk: Fanene for innstilling av skrivebordet i vinduet "Egenskaper: skjerm" har forsvunnet, fremmede inskripsjoner eller tegninger vises på skrivebordet

6.Slett alle retningslinjer (restriksjoner) for gjeldende bruker

Windows har en mekanisme for å begrense brukerhandlinger kalt retningslinjer. Denne teknologien brukes av mange ondsinnede programmer, siden innstillingene er lagret i registeret og ikke er vanskelige å lage eller endre.

Indikasjoner for bruk: Utforsker eller andre systemfunksjoner er blokkert.

7.Slett meldingen som vises under WinLogon

Windows NT og nyere systemer i NT-linjen (2000, XP) lar deg angi meldingen som vises under oppstart.

En rekke ondsinnede programmer utnytter dette, og å drepe det skadelige programmet ødelegger ikke meldingen.

Indikasjoner for bruk: En ekstern melding introduseres under systemoppstart.

8.Gjenopprette Explorer-innstillinger

Denne fastvaren tilbakestiller en rekke Explorer-innstillinger til standard (først av alt, innstillingene endret av skadelig programvare tilbakestilles).

Indikasjoner for bruk: Utforskerinnstillingene endret

9.Fjern systemprosessfeilsøkere

Registrering av en systemprosessfeilsøker vil tillate applikasjonen å kjøre skjult, som brukes av en rekke ondsinnede programmer.

Indikasjoner for bruk: AVZ oppdager ukjente debuggere av systemprosesser, det er problemer med å starte systemkomponenter, spesielt etter en omstart forsvinner skrivebordet.

10.Gjenopprette oppstartsinnstillinger i sikkermodus

Noe skadelig programvare, spesielt Bagle-ormen, ødelegger oppstartsinnstillingene til systemet i beskyttet modus.

Denne fastvaren gjenoppretter oppstartsinnstillinger i sikker modus. Indikasjoner for bruk: Datamaskinen starter ikke i sikkermodus. Denne fastvaren bør brukes bare i tilfelle problemer med oppstart i beskyttet modus .

11. Lås opp Task Manager

Oppgavebehandlingsblokkering brukes av skadelig programvare for å beskytte prosesser mot gjenkjenning og sletting. Følgelig fjerner kjøringen av dette mikroprogrammet låsen.

Indikasjoner for bruk: Blokkerer oppgavebehandlingen, når du prøver å ringe oppgavebehandlingen, vises meldingen "Oppgavebehandlingen er blokkert av administratoren".

12.Slett ignoreringslisten til HijackThis-verktøyet

HijackThis-verktøyet lagrer en rekke av innstillingene i registeret, spesielt listen over ekskluderinger. Derfor, for å skjule seg fra HijackThis, trenger et ondsinnet program bare å registrere sine kjørbare filer i ekskluderingslisten.

En rekke ondsinnede programmer er for tiden kjent for å utnytte dette sikkerhetsproblemet. AVZ-fastvaren sletter ekskluderingslisten til HijackThis-verktøyet

Indikasjoner for bruk: Mistanker om at HijackThis-verktøyet ikke viser all informasjon om systemet.

13. Rydder opp i Hosts-filen

Å tømme Hosts-filen tilsvarer å finne Hosts-filen, fjerne alle meningsfulle linjer fra den og legge til standardstrengen "127.0.0.1 localhost".

Indikasjoner for bruk: Mistanke om at Hosts-filen har blitt endret av skadelig programvare. Typiske symptomer er blokkering avr.

Du kan kontrollere innholdet i Hosts-filen ved å bruke Hosts-filbehandlingen innebygd i AVZ.

14. Automatisk korrigering av SPl / LSP-innstillinger

Den analyserer SPI-innstillingene, og hvis noen feil blir funnet, retter den automatisk opp feilene som er funnet.

Denne fastvaren kan kjøres på nytt et ubegrenset antall ganger. Etter å ha kjørt denne fastvaren, anbefales det at du starter datamaskinen på nytt. Merk! Denne fastvaren kan ikke startes fra en terminaløkt

Indikasjoner for bruk: Internett-tilgang gikk tapt etter at skadelig programvare ble fjernet.

15. Tilbakestill SPI / LSP og TCP / IP-innstillinger (XP +)

Denne fastvaren fungerer kun på XP, Windows 2003 og Vista. Driftsprinsippet er basert på å tilbakestille og gjenskape SPI / LSP og TCP / IP-innstillinger ved å bruke standard netsh-verktøyet som følger med Windows.

Merk! Du bør bare bruke en fabrikktilbakestilling om nødvendig hvis det er uopprettelige problemer med Internett-tilgang etter fjerning av skadelig programvare!

Indikasjoner for bruk: Etter at skadelig programvare ble fjernet, tilgang til Internett og utførelse av "14. Automatisk korrigering av SPl / LSP-innstillinger "har ingen effekt.

16. Gjenopprette Explorer-oppstartsnøkkelen

Gjenoppretter systemregisternøkler som er ansvarlige for å starte Explorer.

Indikasjoner for bruk: Utforsker starter ikke under systemoppstart, men det er mulig å starte explorer.exe manuelt.

17. Låse opp Registerredigering

Låser opp Registerredigering ved å fjerne policyen som hindrer den i å kjøre.

Indikasjoner for bruk: Kan ikke starte Registerredigering, når du prøver, får du en melding om at det ble blokkert av administratoren.

18. Fullfør gjenoppretting av SPI-innstillinger

Den sikkerhetskopierer SPI / LSP-innstillingene, ødelegger dem og lager dem i henhold til referansen som er lagret i databasen.

Indikasjoner for bruk: Alvorlig skade på SPI-innstillinger, kan ikke gjenopprettes av skript 14 og 15. Bruk kun om nødvendig!

19. Fjern basemonteringspunkter

Tømmer MountPoints- og MountPoints2-databasen i registeret. Denne operasjonen hjelper ofte i tilfelle disker ikke åpnes i Explorer etter å ha blitt infisert med et Flash-virus.

For å utføre restaureringen må ett eller flere elementer kontrolleres og knappen "Utfør merkede operasjoner" må trykkes inn. Ved å trykke på "OK"-knappen lukkes vinduet.

På en notis:

Gjenoppretting er ubrukelig hvis systemet kjører en trojansk hest som utfører slike rekonfigurasjoner - du må først fjerne skadelig programvare og deretter gjenopprette systeminnstillingene

På en notis:

For å eliminere sporene etter de fleste kaprere, må du kjøre tre fastvare - "Tilbakestill Internet Explorer-søkeinnstillinger til standard", "Gjenopprett Internet Explorer-startside", "Tilbakestill Internet Explorer Protocol Prefix Settings til standard"

På en notis:

Hvilken som helst av fastvaren kan kjøres flere ganger på rad uten å påvirke systemet. Unntak - "5.

Gjenopprette skrivebordsinnstillinger "(å kjøre denne fastvaren vil tilbakestille alle skrivebordsinnstillinger og du må velge skrivebordsfarge og bakgrunnsbilde på nytt) og" 10.

Gjenopprette oppstartsinnstillinger i SafeMode "(denne fastvaren gjenskaper registernøklene som er ansvarlige for oppstart i SafeMode).

For å starte gjenoppretting må du først laste ned, pakke ut og kjøre nytte... Klikk deretter på filen - systemgjenoppretting. Forresten, du kan fortsatt utføre

Vi merker av i avmerkingsboksene du trenger og klikker for å starte operasjoner. Alt, vi venter på ferdigstillelse :-)

I de følgende artiklene vil vi vurdere mer detaljert problemene som gjenoppretting av avz fastvaresystem vil hjelpe oss med å løse. Så lykke til til deg.

Vi vil snakke om de enkleste måtene å nøytralisere virus, spesielt de som blokkerer brukerens skrivebord i Windows 7 (virusfamilien Trojan.Winlock). Slike virus er forskjellige ved at de ikke skjuler sin tilstedeværelse i systemet, men tvert imot demonstrerer det, noe som gjør det så vanskelig som mulig å utføre noen handlinger, bortsett fra å angi en spesiell "opplåsningskode", som angivelig, det kreves å overføre et visst beløp til angriperne ved å sende SMS eller påfyll av en mobiltelefonkonto gjennom en betalingsterminal. Målet her er ett - å få brukeren til å betale, og noen ganger ganske anstendige penger. Et vindu dukker opp på skjermen med en formidabel advarsel om å blokkere datamaskinen for å bruke ulisensiert programvare eller besøke uønskede sider, og noe annet av denne typen som regel for å skremme brukeren. I tillegg tillater ikke viruset deg å utføre noen handlinger i Windows-arbeidsmiljøet - det blokkerer trykk på spesielle tastekombinasjoner for å påkalle Start-knappmenyen, Kjør-kommando, Oppgavebehandling, etc. Musepekeren kan ikke flyttes utenfor virusvinduet. Som regel observeres det samme bildet ved oppstart av Windows i sikkermodus. Situasjonen virker håpløs, spesielt hvis det ikke er noen annen datamaskin, muligheten til å starte opp i et annet operativsystem, eller fra flyttbare medier (LIVE CD, ERD Commander, antivirusskanner). Men likevel er det en vei ut i det overveldende flertallet av tilfellene.

Nye teknologier implementert i Windows Vista / Windows 7 gjorde det mye vanskeligere for skadelig programvare å introdusere og ta systemet under full kontroll, og ga også brukere ytterligere muligheter til å bli kvitt dem relativt enkelt, selv uten å ha antivirusprogramvare (programvare). Vi snakker om muligheten til å starte opp systemet i sikker modus med kommandolinjestøtte og kjøre kontroll- og gjenopprettingsprogramvare fra det. Åpenbart, av vane, på grunn av den ganske dårlige implementeringen av denne modusen i tidligere versjoner av Windows-operativsystemer, bruker mange brukere den rett og slett ikke. Men til ingen nytte. Windows 7-kommandolinjen har ikke det vanlige skrivebordet (som kan blokkeres av et virus), men det er mulig å starte de fleste programmer - registerredigering, oppgavebehandling, systemgjenopprettingsverktøy, etc.

Fjerne et virus ved å rulle systemet tilbake til et gjenopprettingspunkt

Et virus er et vanlig program, og selv om det ligger på harddisken til en datamaskin, men ikke har mulighet til å starte automatisk når systemet starter opp og brukeren logger på, så er det like ufarlig som f.eks. , en vanlig tekstfil. Hvis problemet med å blokkere den automatiske lanseringen av et ondsinnet program er løst, kan oppgaven med å kvitte seg med skadelig programvare anses som fullført. Den viktigste automatiske oppstartsmetoden som brukes av virus er gjennom spesiallagde registeroppføringer som opprettes når de injiseres i systemet. Hvis du sletter disse oppføringene, kan viruset anses som nøytralisert. Den enkleste måten er å utføre en sjekkpunktgjenoppretting. Et sjekkpunkt er en kopi av viktige systemfiler som er lagret i en spesiell katalog ("System Volume Information") og inneholder blant annet kopier av Windows-registerfilene. Å rulle tilbake systemet til et gjenopprettingspunkt, hvis opprettelsesdato går før virusinfeksjonen, lar deg få statusen til systemregisteret uten oppføringene som ble gjort av det injiserte viruset og dermed utelukke dets automatiske start, dvs. bli kvitt infeksjonen selv uten å bruke antivirusprogramvare. På denne måten kan du enkelt og raskt bli kvitt infeksjonen av systemet av de fleste virus, inkludert de som blokkerer Windows-skrivebordet. Naturligvis kan et blokkeringsvirus som bruker for eksempel modifikasjonen av oppstartssektorene til harddisken (MBRLock-virus) ikke fjernes på denne måten, siden tilbakerulling av systemet til gjenopprettingspunktet ikke påvirker oppstartspostene til diskene, og det vil ikke være mulig å starte opp Windows i sikker modus med kommandolinjestøtte, fordi viruset lastes allerede før oppstartslasteren for Windows. For å bli kvitt en slik infeksjon, må du starte opp fra et annet medium og gjenopprette de infiserte oppstartspostene. Men slike virus er relativt få, og i de fleste tilfeller kan du bli kvitt infeksjonen ved å rulle tilbake systemet til et gjenopprettingspunkt.

1. Helt i begynnelsen av nedlastingen, trykk på F8-knappen. Windows bootloader-menyen vil vises på skjermen, med mulige alternativer for oppstart av systemet

2. Velg oppstartsalternativet for Windows - "Sikker modus med ledetekst"

Etter at nedlastingen er fullført og brukeren er registrert, vil cmd.exe-kommandoprosessorvinduet vises i stedet for det vanlige Windows-skrivebordet

3. Start Systemgjenoppretting ved å skrive rstrui.exe ved ledeteksten og trykke ENTER.

Bytt modus til "Velg et annet gjenopprettingspunkt" og i neste vindu merker du av for "Vis andre gjenopprettingspunkter"

Etter å ha valgt et Windows-gjenopprettingspunkt, kan du se en liste over berørte programmer når systemet rulles tilbake:

Liste over berørte programmer er en liste over programmer som ble installert etter at systemgjenopprettingspunktet ble opprettet, og som kanskje må installeres på nytt fordi det ikke vil være noen registeroppføringer knyttet til dem.

Etter å ha klikket på "Fullfør"-knappen, vil systemgjenopprettingsprosessen begynne. Etter fullføring vil Windows starte på nytt.

Etter omstart vil det vises en melding på skjermen om det vellykkede eller mislykkede resultatet av tilbakeføringen, og hvis det lykkes, vil Windows gå tilbake til tilstanden som tilsvarte datoen gjenopprettingspunktet ble opprettet. Hvis skrivebordet ditt ikke slutter å låse, kan du bruke den mer avanserte metoden nedenfor.

Fjerne et virus uten å rulle tilbake systemet til et gjenopprettingspunkt

Det er mulig at systemet av ulike årsaker ikke inneholder gjenopprettingspunktdata, gjenopprettingsprosedyren endte med en feil, eller tilbakeføringen ga ikke et positivt resultat. I dette tilfellet kan du bruke System Configuration Diagnostic Utility MSCONFIG.EXE. Som i det forrige tilfellet, må du starte opp Windows i sikker modus med kommandolinjestøtte og skrive inn msconfig.exe i cmd.exe kommandolinjetolkervinduet og trykke ENTER

På Generelt-fanen kan du velge følgende Windows-oppstartsmoduser:

Når systemet starter opp, vil bare minimumskravene til systemtjenestene og brukerprogrammene starte.
Selektiv lansering- lar deg manuelt sette en liste over systemtjenester og brukerprogrammer som vil bli lansert under oppstartsprosessen.

For å eliminere viruset er den enkleste måten å bruke diagnosestarten, når verktøyet selv oppdager et sett med programmer som starter automatisk. Hvis blokkeringen av skrivebordet av viruset stopper i denne modusen, må du gå til neste trinn - for å finne ut hvilket av programmene som er et virus. For å gjøre dette kan du bruke den selektive lanseringsmodusen, som lar deg aktivere eller deaktivere lanseringen av individuelle programmer i manuell modus.

Fanen "Tjenester" lar deg aktivere eller deaktivere oppstart av systemtjenester, i innstillingene der oppstartstypen er satt til "Automatisk". En umerket avkrysningsboks foran tjenestenavnet betyr at den ikke vil startes under oppstartsprosessen. Nederst i MSCONFIG-verktøyvinduet er det et felt for å angi "Ikke vis Microsoft-tjenester"-modus, når aktivert, vil kun tredjepartstjenester vises.

Merk at sannsynligheten for at et virus som er installert som en systemtjeneste infiserer systemet er svært lav med standard sikkerhetsinnstillinger i Windows Vista / Windows 7, og du må se etter spor av viruset i listen over automatisk lanserte brukerprogrammer (Oppstart-fanen).

Som med kategorien Tjenester, kan du aktivere eller deaktivere automatisk oppstart av et hvilket som helst program i listen vist av MSCONFIG. Hvis et virus aktiveres i systemet ved automatisk oppstart ved hjelp av spesielle registernøkler eller innholdet i "Oppstart"-mappen, kan du ved å bruke msconfig ikke bare nøytralisere det, men også bestemme banen og navnet på den infiserte filen.

Verktøyet msconfig er et enkelt og praktisk verktøy for å konfigurere automatisk start av tjenester og applikasjoner som starter på en standard måte for operativsystemer i Windows-familien. Virusforfattere bruker imidlertid ofte teknikker som lar ondsinnede programmer kjøre uten å bruke standard oppstartspunkter. For å bli kvitt et slikt virus med høy grad av sannsynlighet, kan du bruke metoden beskrevet ovenfor for å rulle tilbake systemet til et gjenopprettingspunkt. Hvis tilbakerulling ikke er mulig og bruken av msconfig ikke førte til et positivt resultat, kan du bruke direkte redigering av registret.

I prosessen med å bekjempe et virus, må brukeren ofte utføre en hard omstart ved å tilbakestille (Reset) eller slå av strømmen. Dette kan føre til en situasjon der systemoppstarten starter normalt, men ikke når brukerregistrering. Datamaskinen "henger" på grunn av et brudd på den logiske datastrukturen i noen systemfiler, som oppstår under en feil avslutning. For å løse problemet, akkurat som i de foregående tilfellene, kan du starte opp i sikker modus med kommandolinjestøtte og kjøre kommandoen for å sjekke systemdisken

chkdsk C: / F - sjekk C:-stasjonen med å korrigere eventuelle feil funnet (switch / F)

Siden på det tidspunktet chkdsk starter, er systemdisken okkupert av systemtjenester og applikasjoner, kan ikke chkdsk-programmet få eksklusiv tilgang til den for testing. Derfor vil brukeren bli bedt med en advarsel og en melding om å utføre testing neste gang systemet startes på nytt. Etter å ha svart Y, vil informasjon legges inn i registret, og sikrer at disksjekken starter når Windows starter på nytt. Etter kontroll slettes denne informasjonen og en normal Windows-omstart utføres uten brukerinnblanding.

Eliminer muligheten for å starte et virus ved hjelp av registerredigering.

For å starte registerredigering, som i forrige tilfelle, må du starte Windows i sikker modus med kommandolinjestøtte, skriv inn regedit.exe i kommandolinjetolkervinduet og trykk ENTER Windows 7, med standard systemsikkerhetsinnstillinger, er beskyttet mot mange metoder for å starte skadelige programmer brukt for tidligere versjoner av Microsoft-operativsystemer. Installere sine egne drivere og tjenester av virus, rekonfigurere WINLOGON-tjenesten med å koble til sine egne kjørbare moduler, fikse registernøkler som er relevante for alle brukere, osv. - alle disse metodene fungerer enten ikke i Windows 7, eller krever så alvorlig arbeidskraft at de praktisk talt ikke møtes. Som regel gjøres endringer i registeret som lar viruset kjøre, kun i sammenheng med tillatelsene som eksisterer for gjeldende bruker, dvs. under HKEY_CURRENT_USER

For å demonstrere den enkleste mekanismen for å låse skrivebordet ved å erstatte brukerens skall (skall) og umuligheten av å bruke MSCONFIG-verktøyet til å oppdage og fjerne et virus, kan du utføre følgende eksperiment - i stedet for et virus, kan du finjuster registerdataene selv for å få for eksempel en kommandolinje i stedet for skrivebordet ... Det velkjente skrivebordet er opprettet av Windows Explorer (Explorer.exe) lansert som brukerens skall. Dette er gitt av verdiene til Shell-parameteren i registernøklene

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon- for alle brukere.
- for gjeldende bruker.

Shell-parameteren er en streng med navnet på programmet som skal brukes som et skall når brukeren logger på systemet. Vanligvis er Shell-parameteren fraværende i nøkkelen for gjeldende bruker (HKEY_CURRENT_USER eller HKCU) og verdien fra registernøkkelen for alle brukere brukes (HKEY_LOCAL_MACHINE \ eller HKLM i forkortet form)

Slik ser registernøkkelen ut HKEY_CURRENT_USER \ Programvare \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon med standard Windows 7-installasjon

Hvis du legger til Shell-strengparameteren i denne delen, som tar verdien "cmd.exe", vil cmd.exe-skallet neste gang den nåværende brukeren logger på systemet, i stedet for standard brukers skall basert på Explorer. startes og i stedet for det vanlige Windows-skrivebordet, vil et ledetekstvindu vises ...

Naturligvis kan ethvert skadelig program startes på denne måten, og brukeren vil motta et pornobanner, en blokkering og andre ekle ting i stedet for et skrivebord.
For å gjøre endringer i nøkkelen for alle brukere (HKLM ...

Hvis du under eksperimentet kjører msconfig-verktøyet, kan du forsikre deg om at cmd.exe ikke er til stede som et brukerskall i listene over automatisk lanserte programmer. Systemtilbakeføring vil selvfølgelig tillate deg å gjenopprette den opprinnelige tilstanden til registeret og kvitte seg med den automatiske starten av viruset, men hvis det av en eller annen grunn er umulig, er det bare direkte redigering av registeret som gjenstår. For å gå tilbake til standard skrivebordet, fjern ganske enkelt Shell-parameteren, eller endre verdien fra "cmd.exe" til "explorer.exe" og registrer brukeren på nytt (logg ut og logg på igjen) eller start på nytt. Du kan redigere registret ved å kjøre registerredigeringsprogrammet regedit.exe fra kommandolinjen eller bruke REG.EXE-konsollverktøyet. Eksempel på kommandolinje for å fjerne Shell-parameteren:

REG slett "HKCU \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / v Shell

Det gitte eksempelet på å endre brukerens skall er i dag en av de vanligste teknikkene som brukes av virus i Windows 7-operativsystemet. Et ganske høyt sikkerhetsnivå med standard systeminnstillinger forhindrer ondsinnede programmer i å få tilgang til registernøkler som ble brukt til å infisere i Windows XP og tidligere versjoner. Selv om den nåværende brukeren er medlem av administratorgruppen, krever tilgang til de aller fleste registerinnstillingene som brukes for infeksjon at programmet kjøres som administrator. Det er av denne grunn at skadelig programvare endrer registernøkler som gjeldende bruker har tilgang til (HKCU-nøkkel...) Den andre viktige faktoren er vanskeligheten med å skrive programfiler til systemkataloger. Det er av denne grunn at de fleste virus i Windows 7-miljøet bruker lanseringen av kjørbare filer (.exe) fra katalogen for midlertidige filer (Temp) til gjeldende bruker. Når du analyserer punktene for automatisk lansering av programmer i registeret, må du først og fremst være oppmerksom på programmene som ligger i katalogen med midlertidige filer. Dette er vanligvis en katalog C: \ BRUKERE \ brukernavn \ AppData \ Local \ Temp... Den nøyaktige banen til katalogen med midlertidige filer kan sees gjennom kontrollpanelet i systemegenskaper - "Miljøvariabler". Eller på kommandolinjen:

still inn temp
eller
ekko% temp%

I tillegg kan søk i registret etter det riktige katalognavnet for midlertidige filer eller % TEMP%-variabelen brukes som en ekstra måte å oppdage virus. Legitime programmer kjører aldri automatisk fra TEMP-katalogen.

For en fullstendig liste over mulige autostartpunkter er det praktisk å bruke det spesielle Autoruns-programmet fra SysinternalsSuite-pakken.

Enkleste måter å fjerne blokkere fra MBRLock-familien

Ondsinnede programmer kan ta kontroll over en datamaskin, ikke bare ved å infisere operativsystemet, men også ved å endre oppstartssektorpostene til disken den startes opp fra. Viruset erstatter dataene til oppstartssektoren til den aktive partisjonen med programkoden, slik at det i stedet for Windows laster et enkelt program som vil vise en løsepengemelding som ber om penger for skurker. Siden viruset får kontroll selv før systemet starter opp, er det bare én måte å omgå det på - å starte opp fra et annet medium (CD/DVD, ekstern stasjon, etc.) i et hvilket som helst operativsystem der det er mulig å gjenopprette programkoden til oppstartssektorer. Den enkleste måten er å bruke Live CD / Live USB, vanligvis gratis av de fleste antivirusselskaper (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk, etc.) og skanne filsystemet for skadelig programvare, fjerne eller desinfisere infiserte filer. Hvis det ikke er mulig å bruke denne metoden, kan du klare deg med en enkel oppstart av en hvilken som helst versjon av Windows PE (installasjonsplate, ERD Commander-redningsplate), som lar deg gjenopprette normal oppstart av systemet. Vanligvis er selv en enkel evne til å få tilgang til kommandolinjen og utføre kommandoen tilstrekkelig:

bootsect / nt60 / mbr<буква системного диска:>

bootsect / nt60 / mbr E:> - gjenopprett oppstartssektorer for stasjon E: Bokstaven for stasjonen som brukes som oppstartsenhet for systemet som er skadet av viruset, skal brukes her.

eller for Windows tidligere enn Windows Vista

bootsect / nt52 / mbr<буква системного диска:>

Bootsect.exe-verktøyet kan ikke bare finnes i systemkatalogene, men også på alle flyttbare medier, det kan kjøres i miljøet til et hvilket som helst operativsystem i Windows-familien og lar deg gjenopprette programkoden for oppstartssektorer uten å påvirke partisjonstabellen og filsystemet. Som regel er / mbr-bryteren ikke nødvendig, siden den gjenoppretter programkoden til MBR, som virus ikke endrer (kanskje de ikke endrer ennå).

Antivirusprogrammer, selv når de oppdager og fjerner skadelig programvare, gjenoppretter ikke alltid systemets fulle ytelse. Ofte, etter å ha fjernet et virus, får en datamaskinbruker et tomt skrivebord, en fullstendig mangel på tilgang til Internett (eller blokkering av tilgang til enkelte nettsteder), en inoperativ mus, etc. Dette skyldes som regel at enkelte system- eller brukerinnstillinger endret av skadelig programvare har forblitt intakte.

Verktøyet er gratis, fungerer uten installasjon, er utrolig funksjonelt og hjalp meg i en rekke situasjoner. Et virus gjør som regel endringer i systemregisteret (legger til oppstart, endrer programstartparametere, etc.). For ikke å grave inn i systemet, manuelt korrigere spor av viruset, bør du bruke "systemgjenoppretting"-operasjonen som er tilgjengelig i AVZ (selv om verktøyet er veldig, veldig bra som antivirus, er det veldig greit å sjekke diskene for virus med verktøyet).

For å starte gjenoppretting, kjør verktøyet. Klikk deretter på filen - systemgjenoppretting

og et slikt vindu vil åpne seg foran oss

merk av i avmerkingsboksene vi trenger og klikk "Utfør merkede operasjoner"

1. Gjenopprette oppstartsparametere for.exe-, .com-, .pif-filer

Denne fastvaren gjenoppretter systemets respons på exe-, com-, pif-, scr-filer.

Indikasjoner for bruk: etter fjerning av viruset slutter programmer å kjøre.

2. Tilbakestill Internet Explorer-protokollprefiksinnstillingene til standard

Denne fastvaren gjenoppretter protokollprefiksinnstillingene i Internet Explorer

Indikasjoner for bruk: når du skriver inn en adresse som www.yandex.ru, erstattes den med noe sånt som www.seque.com/abcd.php?url=www.yandex.ru

3.Gjenopprette Internet Explorer-startsiden

Denne fastvaren gjenoppretter startsiden i Internet Explorer

Indikasjoner for bruk: forfalskning av startsiden

4. Tilbakestill søkeinnstillingene for Internet Explorer til standard

Denne fastvaren gjenoppretter søkeinnstillingene for Internet Explorer

Indikasjoner for bruk: Når du klikker på "Søk"-knappen i IE, er det et anrop til en tredjepartsside

5.Gjenopprette skrivebordsinnstillinger

Denne fastvaren gjenoppretter skrivebordsinnstillingene. Gjenoppretting betyr å fjerne alle ActiveDesctop aktive elementer, bakgrunnsbilde, fjerne låser på menyen som er ansvarlig for skrivebordsinnstillingene.

Indikasjoner for bruk: Fanene for innstilling av skrivebordet i vinduet "Egenskaper: skjerm" har forsvunnet, fremmede inskripsjoner eller tegninger vises på skrivebordet

6.Slett alle retningslinjer (restriksjoner) for gjeldende bruker

Windows har en mekanisme for å begrense brukerhandlinger kalt retningslinjer. Denne teknologien brukes av mange ondsinnede programmer, siden innstillingene er lagret i registeret og ikke er vanskelige å lage eller endre.

Indikasjoner for bruk: Utforsker eller andre systemfunksjoner er blokkert.

7.Slett meldingen som vises under WinLogon

Windows NT og nyere systemer i NT-linjen (2000, XP) lar deg angi meldingen som vises under oppstart. En rekke ondsinnede programmer utnytter dette, og å drepe det skadelige programmet ødelegger ikke meldingen.

Indikasjoner for bruk: En ekstern melding introduseres under systemoppstart.

8.Gjenopprette Explorer-innstillinger

Denne fastvaren tilbakestiller en rekke Explorer-innstillinger til standard (først av alt, innstillingene endret av skadelig programvare tilbakestilles).

Indikasjoner for bruk: Utforskerinnstillingene endret

9.Fjern systemprosessfeilsøkere

Registrering av en systemprosessfeilsøker vil tillate applikasjonen å kjøre skjult, som brukes av en rekke ondsinnede programmer.

Indikasjoner for bruk: AVZ oppdager ukjente debuggere av systemprosesser, det er problemer med å starte systemkomponenter, spesielt etter en omstart forsvinner skrivebordet.

10.Gjenopprette oppstartsinnstillinger i sikkermodus

Noe skadelig programvare, spesielt Bagle-ormen, ødelegger oppstartsinnstillingene til systemet i beskyttet modus. Denne fastvaren gjenoppretter oppstartsinnstillinger i sikker modus.

Indikasjoner for bruk: Datamaskinen starter ikke i sikkermodus. Denne fastvaren bør brukes bare i tilfelle problemer med oppstart i beskyttet modus .

11. Lås opp Task Manager

Oppgavebehandlingsblokkering brukes av skadelig programvare for å beskytte prosesser mot gjenkjenning og sletting. Følgelig fjerner kjøringen av dette mikroprogrammet låsen.

Indikasjoner for bruk: Blokkerer oppgavebehandlingen, når du prøver å ringe oppgavebehandlingen, vises meldingen "Oppgavebehandlingen er blokkert av administratoren".

12.Slett ignoreringslisten til HijackThis-verktøyet

HijackThis-verktøyet lagrer en rekke av innstillingene i registeret, spesielt listen over ekskluderinger. Derfor, for å skjule seg fra HijackThis, trenger et ondsinnet program bare å registrere sine kjørbare filer i ekskluderingslisten. En rekke ondsinnede programmer er for tiden kjent for å utnytte dette sikkerhetsproblemet. AVZ-fastvaren sletter ekskluderingslisten til HijackThis-verktøyet

Indikasjoner for bruk: Mistanker om at HijackThis-verktøyet ikke viser all informasjon om systemet.

13. Rydder opp i Hosts-filen

Å tømme Hosts-filen tilsvarer å finne Hosts-filen, fjerne alle meningsfulle linjer fra den og legge til standardstrengen "127.0.0.1 localhost".

Indikasjoner for bruk: Mistanke om at Hosts-filen har blitt endret av skadelig programvare. Typiske symptomer er blokkering avr. Du kan kontrollere innholdet i Hosts-filen ved å bruke Hosts-filbehandlingen innebygd i AVZ.

14. Automatisk korrigering av SPl / LSP-innstillinger

Den analyserer SPI-innstillingene, og hvis noen feil blir funnet, retter den automatisk opp feilene som er funnet. Denne fastvaren kan kjøres på nytt et ubegrenset antall ganger. Etter å ha kjørt denne fastvaren, anbefales det at du starter datamaskinen på nytt. Merk! Denne fastvaren kan ikke startes fra en terminaløkt

Indikasjoner for bruk: Internett-tilgang gikk tapt etter at skadelig programvare ble fjernet.

15. Tilbakestill SPI / LSP og TCP / IP-innstillinger (XP +)

Denne fastvaren fungerer kun på XP, Windows 2003 og Vista. Driftsprinsippet er basert på å tilbakestille og gjenskape SPI / LSP og TCP / IP-innstillinger ved å bruke standard netsh-verktøyet som følger med Windows.Merk! Du bør bare bruke en fabrikktilbakestilling om nødvendig hvis det er uopprettelige problemer med Internett-tilgang etter fjerning av skadelig programvare!

Indikasjoner for bruk: Etter at skadelig programvare ble fjernet, tilgang til Internett og utførelse av "14. Automatisk korrigering av SPl / LSP-innstillinger "har ingen effekt.

16. Gjenopprette Explorer-oppstartsnøkkelen

Gjenoppretter systemregisternøkler som er ansvarlige for å starte Explorer.

Indikasjoner for bruk: Utforsker starter ikke under systemoppstart, men det er mulig å starte explorer.exe manuelt.

17. Låse opp Registerredigering

Låser opp Registerredigering ved å fjerne policyen som hindrer den i å kjøre.

Indikasjoner for bruk: Kan ikke starte Registerredigering, når du prøver, får du en melding om at det ble blokkert av administratoren.

18. Fullfør gjenoppretting av SPI-innstillinger

Den sikkerhetskopierer SPI / LSP-innstillingene, ødelegger dem og lager dem i henhold til referansen som er lagret i databasen.

Indikasjoner for bruk: Alvorlig skade på SPI-innstillinger, kan ikke gjenopprettes av skript 14 og 15. Bruk kun om nødvendig!

19. Fjern basemonteringspunkter

Tømmer MountPoints- og MountPoints2-databasen i registeret. Denne operasjonen hjelper ofte i tilfelle disker ikke åpnes i Explorer etter å ha blitt infisert med et Flash-virus.

For å utføre restaureringen må ett eller flere elementer kontrolleres og knappen "Utfør merkede operasjoner" må trykkes inn. Ved å trykke på "OK"-knappen lukkes vinduet.

På en notis:

Gjenoppretting er ubrukelig hvis systemet kjører en trojansk hest som utfører slike rekonfigurasjoner - du må først fjerne skadelig programvare og deretter gjenopprette systeminnstillingene

På en notis:

For å eliminere sporene etter de fleste kaprere, må du kjøre tre fastvare - "Tilbakestill Internet Explorer-søkeinnstillinger til standard", "Gjenopprett Internet Explorer-startside", "Tilbakestill Internet Explorer Protocol Prefix Settings til standard"

På en notis:

Hvilken som helst av fastvaren kan kjøres flere ganger på rad uten å påvirke systemet. Unntak er "5. Gjenopprette skrivebordsinnstillinger" (driften av denne fastvaren vil tilbakestille alle skrivebordsinnstillinger og du må velge skrivebordsfarge og bakgrunnsbilde på nytt) og "10. Gjenopprette oppstartsinnstillinger i SafeMode "(denne fastvaren gjenskaper registernøklene som er ansvarlige for oppstart i SafeMode).