Удаление вирусов в папке windows. Как удалить вирус вручную с компьютера? Как найти вирусы в компьютере вручную? Проверяем недавно установленные программы
При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.
В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:
1. В автозагрузке операционной системы
Проверить это можно с помощью команды msconfig , запущенной через меню Пуск - Выполнить
В столбце "Команда" не должно быть подозрительных элементов, например C:\Program Files\novirus.exe
Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце "Расположение").
Как альтернативe команде msconfig можно использовать программу .
В разделе "Система" перейти на закладку "Загрузка системы", прокрутить скроллом немного вниз до заголовка "Автозагрузка". Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.
Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows - уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE
Данный способ загрузки вируса - самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.
Дополнительно:
Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp , C:\WINDOWS\Temp , C:\Documents and Settings\user\Local Settings\Temp , т.к. существует очень большая вероятность загрузки вируса из этих папок.
Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) - типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
При нахождении в них подозрительных элементов - мочить гадов! :)
2. Вместо проводника
Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:
В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения "explorer.exe
" заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe
или подобную хрень.
Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба - launcher.exe . Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.
Более действенный и быстрый способ - загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.
Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , исправить "хрень" у записи параметра Shell (reg_sz) на "explorer.exe " и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.
3. Вместе с userinit.exe или uihost.exe
В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.
Userinit.exe - программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe . Размер оригинального файла составляет 26,0 КБ (26 624 байт) , на диске: 28,0 КБ (28 672 байт) .
Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit , UIHost и Shell , расположенных по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Оригинальные параметры записи в реестре должны быть следующими
:
Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe
Вирус может прописать себя например так :
Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\gertinw.exe
В данном примере файл gertinw.exe - это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!
После удаления нужно заменить файлы userinit.exe , logonui.exe (находятся в C:\WINDOWS\system32\ ) и explorer.exe (находится в C:\WINDOWS\ ) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или .
После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts . Удалить все после строки 127.0.0.1 localhost
Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера 001 или 002}\Services\Tcpip\Parameters \PersistentRoutes
Удалить их содержимое полностью кроме строки "По умолчанию" с неприсвоенным значением.
Итак, сегодня мы поговорим с вами о том, как удалить вирус вручную с компьютера. Помимо этого, посмотрим, какие могут встречаться трояны, как они проявляют себя и откуда могут быть занесены на компьютер. Давайте же поскорее приступим к изучению нашей сегодняшней темы.
Виды вирусов
Что ж, но перед тем, как удалить вирус вручную с компьютера, стоит поговорить с вами о том, какая зараза вообще встречается на компьютере. Ведь в большинстве случаев именно от этого зависит то, каким образом следует проводить лечение. Так что, давайте начнем.
Первый вирус - это троян. Из себя представляет вредоносный файл, который "селится" в операционной системе, да еще и вредит ей. Например, повреждает или уничтожает важные документы. Сейчас их очень много.
Второй довольно распространенный вид вируса - это разнообразные шифровальщики. Это такие файлы, которые попадают в систему и блокируют ее. Но не разрушая, а всего лишь зашифровывая документы. В конце такого шифра, как правило, оставляется e-mail создателя, на который надо перевести энную сумму денег ради возврата документов в первоначальный вид.
Третий вирус, который можно подцепить - это, конечно же, разнообразные надстройки браузера, или спам. Как правило, они очень сильно да еще и мешают работе в интернете. Это происходит из-за того, что у пользователя может смениться стартовая страница, плюс ко всему, в браузере всюду будут расположены рекламные баннеры. Когда пользователи видят эту картину, то они задумываются, как найти вирусы в компьютере вручную, а потом убрать их. Сейчас мы попытаемся разобраться с этим.
Признаки заражения
Итак, перед тем как найти вирусы вручную и избавиться от них раз и навсегда, давайте попробуем разобраться, что может указывать вам на наличие компьютерной заразы в системе. Ведь если вовремя обнаружить сигналы, то можно избежать повреждения большого количества файлов и потери "операционки".
Первый, наиболее явный признак - это не что иное, как сообщения вашей антивирусной программы. Она будет "ругаться" на какие-то документы и файлы, выдавая вам название предполагаемого вируса. Правда, иногда антивирус так ведет себя по отношению к различным крякам и "таблеткам" к компьютерным играм. Тем не менее, без внимания это оставлять нельзя.
Второй вариант развития событий - у вас начинает "тормозить" компьютер. Именно тогда пользователи начинают активно думать, как удалить вирус вручную, особенно, если у них нет антивируса. Так что, как только вы заметили, что ваша система стала "тугодумом", начинайте бить тревогу.
Очередной вариант развития событий - на компьютере стали появляться новые программы, которые вы не устанавливали. Довольно распространенный ход среди компьютерной заразы.
Кроме того, на инфицирование компьютера может указывать еще и реклама в браузере. Смена стартовой страницы без возможности восстановления, рекламные баннеры везде и всюду - все это довольно тревожные сигналы. Так что, давайте поскорее посмотрим, как происходит с компьютера вручную.
Поиск
Что ж, первым делом стоит начать с поиска тех мест, где кроется зараза. Иногда сделать это очень трудно. Особенно, если у вас нет антивирусной программы. В общем, давайте посмотрим, что можно сделать в сложившейся ситуации.
Итак, когда вы решили самостоятельно побороть вирус, то вам придется найти папку на компьютере, в которой он хранится. Иногда зараза сама выдает себя, создав свои процессы в Откройте его (Ctrl + Alt + Del), после чего перейдите во вкладку "процессы". Теперь найдите там любую подозрительную строчку (она будет как-то странно называться, или вообще подписана иероглифами) и нажмите на кнопку "показать расположение файла". Готово, вирус найден.
Правда, не все всегда так легко и просто. Если вы думаете, как удалить вирус вручную с компьютера, то вам стоит знать и то, что компьютерная зараза зачастую хорошо скрывается. В отображении папок отметьте пункт "отображать и папки". Теперь осуществлять поиск будет значительно проще.
Помните и то, что очень часто "оседают" в папке Windows. Например, большинство троянов встречается в System32. Некоторая зараза способна "прописаться" в файл host. Излюбленные места вирусов мы знаем. Но как же избавиться от них?
Проверки
Первый вариант развития событий - это удаление заразы автоматически. Точнее, полуавтоматически. Речь идет о на наличие вирусов при помощи антивирусной программы.
Для того чтобы обеспечить себе надежную защиту данных, запаситесь хорошим антивирусом. Отлично подходит Dr.Web. Если он вам не понравился, можете испробовать еще и Nod32. Он тоже довольно хорошо справляется с задачей.
Проведите глубокую проверку. После того, как программа выдаст вам результаты, постарайтесь вылечить документы автоматически. Не получилось? Тогда сотрите их. Правда, если вы думаете, как удалить вирус вручную с компьютера, то, скорее всего, проверки антивирусом вам не помогли. Давайте посмотрим, что же еще можно сделать.
Стираем программы
Второй шаг на пути к исцелению системы - это, конечно же, удаление разнообразного контента, который вам наставил вирус. Это довольно частое явление. Так что, загляните в "панель управления", а оттуда проследуйте в "установку и удаление программ". Немного подождите, пока завершится проверка контента на компьютере.
Когда перед вами появится список программ, удалите все, чем вы не пользуетесь. Особое внимание уделите контенту, который вы не устанавливали. Или же тому, что появился "прицепом" после завершения установки какой-нибудь другой "проги". Кликните по нужной строчке правой кнопкой мышки, после чего выберите команду "удалить". Готово? Тогда можно думать дальше, как удалить вирус вручную с компьютера.
Тотальное сканирование
А теперь давайте прибегнем к некоторым службам и приемам, которые обязательно помогут нам. Если вы знаете название вируса (особенно, если вы столкнулись со спамом), то вам подойдет поиск заразы при помощи компьютерного реестра.
Для того чтобы перейти в необходимую службу, нажмите сочетание клавиш Win + R, а затем выполните команду "regedit". Посмотрите, что перед вами появится. С левой стороны окна расположены папки с длинными и непонятными названиями. Именно в них зачастую прячутся вирусы. Но мы немного упростим себе задачу по поиску. Достаточно зайти в "правку", а затем нажать на "поиск". Наберите имя вируса, после чего осуществите проверку.
После получения результатов все появившиеся строки требуется стереть. Для этого кликайте поочередно на каждую из них, после чего выбирайте необходимую команду. Все готово? Тогда перезагрузите компьютер. Теперь вы знаете, как удалить вирус вручную с компьютера.
Содержание статьи:
Буквально вчера, один мой знакомый попросил меня помочь ему решить аналогичную проблему. Windows 7 моего приятеля во первых долго загружается, а во вторых работает с сильными зависаниями, установленный антивирус не обновлялся уже год, так как моему другу просто лень продлить подписку. Последним доводом для обращения моего приятеля ко мне стало то, что его жена не смогла попасть на сайт одноклассники.Итак друзья в первую очередь при таких проблемах вы можете применить или загрузить компьютер с антивирусного диска и просканировать всю вашу систему на вирусы, о том как скачать такой диск, прожечь на болванку и удалить вирусы из системы Windows, у нас есть несколько пошаговых статей: , антивирусными дисками трёх различных производителей.
Мы же с вами попробуем удалить вирус вручную, так интереснее. Включаем компьютер моего друга, загрузка операционной системы на самом деле происходит довольно долго, вспомним первое правило вируса попасть в Автозагрузку, а затем уже производить свои деструктивные действия, мне кажется ему это удалось.
В первую очередь проверяем папку Автозагрузка, но в ней ничего нет
C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Далее проверяем автозагрузку с помощью встроенной в Windows утилиты для управления автозапускаемыми программами, которая называется MSConfig , идём Пуск ->Выполнить , набираем msconfig
и вот пожалуйста неизвестный элемент со странным названием userinit находится в Автозагрузке,
Исполняемый файл находится по адресу
Данное название вируса matadd.exe случайно сгенерированное системой, можете не заострять на нём внимание, в вашем случае оно будет обязательно другим, но знайте, называется вирус на самом деле Win32/Spy.Shiz.NCF
и представляет собой троянскую программу. Пройдём в данную папку и попытаемся его удалить, но к сожалению пока вирус активен у нас ничего не получится или вирусный файл вам удалить удастся, но он через пару секунд воссоздаст себя вновь.
В окне утилиты msconfig снимем галочку с данного элемента userinit
,
То есть исключим его из Автозагрузки. К сожалению в большинстве случаев это не будет обозначать то, что вирус при следующей загрузке операционной системы не загрузит свои файлы вновь, так как вирусный файл из папки C:\Windows\AppPatch нам удалить не удалось.
Для успешной борьбы с вирусом нам нужен помощник, который:
- Во-первых сможет нам показать файл вируса находящийся в автозагрузке
- Во-вторых покажет нам изменения внесённые вирусом в реестр
Для того что бы увидеть всё что у вас творится в Автозагрузке нужна специальная программа AnVir Task Manager или другая, например AutoRuns от Марка Руссиновича, обе они бесплатны, предлагаю воспользоваться утилитой AnVir Task Manager, так как я давно заметил начинающим пользователям она нравится больше. Скачиваем её здесь
http://www.anvir.net/ и устанавливаем.
Полное описание работы с утилитой можно прочесть вот в этой нашей статье
Единственное предостережение, в самом начале установки НЕ выбирайте полную установку, как рекомендуется, а выберите Настройка параметров
и снимите галочки со всего, что вам не нужно, оставьте только на пункте Запустить AnVir Task Manager (рекомендуется) и Добавить иконку на рабочий стол
.
После установки программы запускаем её и видим такую картину, вирусом в реестр внесено целых пять изменений. Снять галочки и тем самым удалить изменения произведённые вирусом в реестре не получается.
Давайте узнаем насколько вирус проник в нашу систему. Наводим мышь на имя вирусного ключа Load , щёлкаем правой мышью и выбираем в меню Перейти->Показать файл в проводнике
И сразу попадаем в нашу папку с вирусным файлом C:\Windows\AppPatch\matadd.exe .
Так же смотрим расположение записей вируса в реестре. Видим вирусная программа внесла свои изменения в два раздела реестра, смотрим подробно и сразу удаляем
.
Щёлкаем правой мышью на созданном вирусом ключе Load
и выбираем в меню Перейти->Открыть расположение записи в реестре.
Раздел
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows
Добавлено два ключа, удаляем их
Load REG_SZ
C:\WINDOWS\apppatch\matadd.exe
Run REG_SZ
C:\WINDOWS\apppatch\matadd.exe
Щёлкаем правой мышью на созданном вирусом ключе userinit
и выбираем в меню Перейти->Открыть расположение записи в реестре
Раздел
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Добавлен ключ, так же удаляем его
userinit REG_SZ
C:\Windows\apppatch\matadd.exe
При удалении созданных вирусной программой ключей реестра, вирус тут же попытается создать их вновь, о чём нас сразу предупредит наш AnVir Task Manager таким вот окном, нажмём Удалить и защитим реестр.
Не будь у нас программы AnVir или подобной ей, мы бы никак не смогли воспрепятствовать созданию новых вирусных ключей в реестре.
После удаления данных записей в реестре, обратите внимание как выглядит наша Автозагрузка, в ней ничего кроме нашей программы AnVir Task Manager нет.
Но это ещё не всё друзья, сейчас нам нужно проверить весь реестр на название нашего вируса matadd.exe , щёлкаем на разделе реестра, который мы ещё не смотрели HKEY_LOCAL_MACHINE правой кнопкой мыши и выбираем Найти , вставляем поле поиска названия нашего вируса matadd.exe и жмём Найти далее
И такие ключи находятся в разделе реестра, ответственного за параметры загрузки операционной системы - Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Примечание: Вирусом изменены ключи ответственные за загрузку системы, но совсем ключи system и userinit из реестра удалять как в предыдущих случаях нельзя, из них нужно удалить неверные параметры :
Userinit REG_SZ C:\Windows\system32\userinit.exe, C:\WINDOWS\apppatch\matadd.exe
Должно быть, вот так
System REG_SZ
Userinit REG_SZ C:\Windows\system32\userinit.exe,
остальное удаляем и два наши параметра реестра должны выглядеть вот так.
После очистки реестра обязательно перезагружаемся и запросто удаляем вирусный файл matadd.exe из папки C:\WINDOWS\apppatch .
Так же просматриваем папки временных файлов, откуда очень часто запускают исполняемые файлы вирусы.
C:\USERS\имя пользователя\AppData\Local\Temp , кстати из папки Temp удалите всё.
Корень системного диска, обычно (С:)
. Ну и конечно нужно проверить всю систему своим антивирусом. Или или антивирусными утилитами от Microsoft.
Теперь, можно сказать мы избавили нашу операционную систему от вируса, даже не прибегая к безопасному режиму. Если у вас не получится удалить вирусный файл из папки C:\Windows\AppPatch, значит вы не полностью очистили реестр, что то пропустили.
Так же можно всё сделать проще, удалить вирус из папки C:\Windows\AppPatch загрузившись с любого Live CD , а затем почистить реестр.
Всё это хорошо, но многие пользователи зададут вопрос: Как вирус попал в папку C:\Windows\AppPatch?
Друзья почти все вирусы приходят к нам из интернета, поэтому скачивая что-либо, будьте очень осторожны, не выключайте никогда свою голову. Возьмём например два письма, содержание которых я привёл в начале статьи, наши читатели почти были уверены, что скачивают не то, что нужно, но всё равно довели дело до конца и словили вирус. Бесплатный сыр только в мышеловке.
Если Вам нужна какая-нибудь книга для учёбы, подумайте об её авторе, ведь что бы написать её для Вас, писатель оторвал время у себя и у своей семьи и может всё-таки её купить.
Ну и под конец несколько пожеланий. Не выключайте никогда восстановление системы. Во вторых всегда имейте на вашем компьютере, конечно с последними обновлениями антивирусных баз. Создавайте периодически . Не работайте под учетной записью администратора компьютера, создайте себе учётную запись с ограниченными правами.
В данной статье я расскажу вам как очистить ваш компьютер от вирусов
с 99% гарантией, ведь не один современный антивирус не может обеспечить
100% защиту. Если не хотите долго читать или ошибиться можете
посмотреть наше видео внизу.
Включаем
рабочий стол --> нажимаем кнопку пуск --> панель управления
--> вверху справа мелкие значки --> параметры папок --> вкладка
вид --> опускаем бегунок вниз и убираем галочки: Скрывать
защищенные системные файлы, скрывать расширение для зарегистрированных
типов файлов и ставим точку напротив Показывать скрытые файлы и папки
--> нажимаем применить потом ОК.
Снова
мой компьютер --> диск ц --> пользователи --> папка с именем
вашего пользователя --> AppData --> Local --> Temp --> снова
выделяем все файлы и удаляем их --> возвращаемся в папку Local
опускаем в самый низ и удаляем все файлы(папки не трогаем будьте внимательны
), кроме тех у которых окончание
DAT, ini.
Скачиваем malwarebytes anti malware устанавливаем программу в конце установки снимаем галочку пробный период PRO. После первого запуска программы потребуется выполнить обновление, дождитесь окончания обновления в открывшемся окне поставьте точку возле надписи Полная проверка. Дождитесь окончания проверки вашего компьютера на наличие вирусов. Если вирусы будут найдены то после сканирования требуется выполнить их удаление. В появившемся окне с списком вирусов отметьте галочками все и нажмите кнопку Удалить угрозы. Программа может потребовать перезагрузку компьютера для удаления вирусов. Выполните перезагрузку и начните проверку снова, если вирусу будут обнаружены опять, сделайте еще несколько проверок но не больше 4. Если после 4 проверки вирусы будут найдены, то удалить их будет не возможно, они уже сильно интегрировались в вашу систему, проще сделать переустановку Windows. Если у вас все таки получилось удалить все угрозы. Для большей уверенности вы можете проверить компьютер вашим стандартным антивирусом.
После выполнения всех этих действий в большинстве случаев ваш компьютер начнет работать быстрее, будет полностью очищен от вирусов. Еще можно
Всем доброе время суток! Сегодня хотел бы поговорить о вирусе который распространяется через Интернет, локальную сеть, flash
-носители. Данный вирус обладает характеристиками руткита, трояна, сетевого червя. Определяется данный вирус как:
— Trojan.Siggen2.28594
в drWEB Antivirus.
— W32/Dx.VUM!tr
в Fortinet Antivirus.
— Worm.Win32.AutoRun.hdf
в Kaspersky Lab.
Данный вирус был разработан Российскими программистами и предназначен для 32-битной платформы ОС Windows
с процессором x86
(файл типа - Portable Executable
,PE
).
Данный вирус содержит в себе несколько основных файлов.
Как сделать видимыми скрытые вирусом файлы и папки смотрите в статье =>> <<=
. mdhevw.exe (необязательный, может быть любой *.exe файл) атрибуты у данного файла:
—Скрытый ,
—Системный ,
—Только чтение .
Производит импорт системной библиотеки kernel32.dll (LoadLibraryA , GetProcAddress );
. sdata.dll (в основном постоянный файл при любых модификациях). Упакован UPX . Атрибуты у данного файла:
-Скрытый ,
-Системный ,
-Только чтение .
Осуществляет импорт системных библиотек: KERNEL32.DLL (LoadLibraryA , GetProcAddress , VirtualProtect , VirtualAlloc , VirtualFree ),
advapi32.dll (RegCloseKey ), ntdll.dll (ZwOpenProcess ), oleaut32.dll (SysFreeString ), user32.dll (CharNextA );
. aUtoRuN.iNF (обязательный файл, является основным для распространения). Атрибуты у данного файла:
—Скрытый ,
—Только чтение .
Содержимое файла aUtoRuN.iNF :
Open=mdhevw.exe -flash
UseAutoPlay=1
Action=Открыть папку для просмотра файлов
shell\open\Command=mdhevw.exe -flash
shell\open\Default=1
shell\explore\Command=mdhevw.exe -flash
где искать?
- вирус внедряется в (Windows XP ) или \Users\All Users\ (Windows Vista и Windows 7 ) создает каталог ;
В создаются файлы mdhevw.exe и sdata.dll ;
- mdhevw.exe и aUtoRuN.iNF копируются в корневые директории всех локальных и съемных дисков;
-mdhevw.exe и aUtoRuN.iNF так же копируются в корень вновь подключенных съемных дисков.
Так же в реестре данный вирус создает себе почву для дальнейших действий.
создается параметр со значением
(вWindows Vista и Windows 7 - );
Так же вирус блокирует загрузку ОС Windows в Безопасном режиме, удаляя соответствующие ключи Реестра ;
- вирус так же препятствует отключению съемных дисков (с помощью значка Безопасное извлечение устройства );
Вообщем очень не хороший вирус и очень надоедливый и постоянно напоминает о себе во время подключения сменных носителей. В вузе в котором я работаю на момент написания данной статьи он везде и всюду, так как господа студенты являются “разнощиками” этой заразы… Но сейчас не об этом.
С помощью чего определить вирус sdata . dll / ?
AutoRuns находит наличие подозрительного файла в автозагрузке.
Как удалить вирус sdata. dll ? если антивирус не справляеться.
Для удаления вируса sdata/srtserv из операционной системы есть много путей. Мы рассмотрим пару методов.
Способ номер раз: удаление вируса sdata/ вручную.
1) Для того что бы удалить вирус вручную нам понадобиться утилита AutoRuns. Она нам подробно показывает что и откуда запускается. Находим зловредный процесс и удаляем его.
C:\Documents and Settings\All Users\Application Data\srtserv\
В Windows Vista и Windows 7 :
C :\ Users \ AllUsers \ \
Либо можно произвести перезагрузку Операционной системы и загрузиться уже без данного процесса, так как Мы его удалили из автозагрузки.
Важно! В корневых директориях всех локальных дисков и сменных носителей необходимо удалить файлы mdhevw.exe и aUtoRuN.iNF .
Ну и на последок проверить антивирусной программой с обновленными базами ваш компьютер на наличие вирусов для того что бы удостовериться все ли удалили.
Способ номер два: удаление вируса sdata/ при помощи Live CD (загрузочный диск).
В данное время великое множество Live CD типа Windows miniPE или ERD Commander ;
Я приведу пример с диском ERD Commander.
Вставляем диск с ERD Commander в CD-ROM и перезагружаем Компьютер;
Во время загрузки заходим в BIOS(Клавиша del, F2, Esc);
Установите загрузку с CD/DVD привода и сохраняемся;
В окне Welcome to ERD Commander выбераем Операционную системуи нажимаем OK ;
После загрузки Рабочего Стола , заходим в My Computer ;
В каталоге
\Documents and Settings\All Users\Application Data\ (Windows XP )
\Users\All Users\ (Windows Vista и Windows 7 )
удаляем каталог (вместе с файлами mdhevw . exe и sdata . dll );
В корневых директориях всех локальных дисков тоже удаляем файлы mdhevw.exe и aUtoRuN.iNF ;
Нажимам Start - Administrative Tools - RegEdit ;
Переходим в ветку реестра
;
Теперь необходимо удалить параметр со значением
C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exe
в Windows Vista и Windows 7
C:\Users\All Users\srtserv\mdhevw.exe
;
Необходимо проверить значение параметра Shell (значение должно быть Explorer.exe );
Так же проверяем значение параметра Userinit (должно быть C:\Windows\system32\userinit.exe) ;
Перезагружаем Компьютер.
Загружаем Windows в обычном режиме;
Если после перезагрузки появится сообщение, что профиль пользователя не найден, Выполняем следующее:
Пуск -> Выполнить… -> в поле Открыть введите regedit -> OK ;
Раскрываем ветвь реестра
;
Удаляем параметр со значением
C:\Documents and Settings\All Users\Application Data\srtserv\mdhevw.exe
в Windows Vista и Windows 7
C:\Users\All Users\srtserv\mdhevw.exe
Закройте Редактор реестра ;
Пререходим:
Пуск -> Выполнить… -> вводим regsvr32 /i shell32.dll -> OK ;
Появится окно RegSvr32 с сообщением «DllRegisterServer and DllInstall в shell32.dll завершено успешно» , нажмите OK ;
Для того чтобы система повторно не самозаразилась отключаем восстановление системы (или вручную очищаем папку System Volume Information );
Чистим кэш интернет-файлов;
Перезагружаемся;
Теперь просканируем систему антивирусом со свежими базами.
Способ номер три: удаление вируса sdata/ при пмощи утилиты AVZ .
Более удобный, так как все происходит автоматически.
Для данного метода нам понадобиться утилита AVZ.
И так скачиваем AVZ, распаковываем, запускаем от имени Администратора файл avz.exe.
И вставляем скрипт приведенный ниже:
_________________________
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile("C:\Documents and Settings\All Users\Application Data\srtserv\slmvsrv.exe","");
QuarantineFile("C:\Documents and Settings\All Users\Application Data\msuwarn\slgssrv.exe","");
QuarantineFile("C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll","");
TerminateProcessByName("c:\documents and settings\all users\application data\srtserv\slmvsrv.exe");
slmvsrv.exe");
DeleteFile("C:\Documents and Settings\All Users\Application Data\srtserv\sdata.dll
");
DeleteFile("C:\Documents and Settings\All Users\Application Data\msuwarn\slgssrv.exe
");
msuwarn
");
DeleteFile("C:\Documents and Settings\All Users\Application Data\srtserv\slmvsrv.exe
");
RegKeyParamDel("HKEY_LOCAL_MACHINE","Software\Microsoft\Windows\CurrentVersion\Run","");
DeleteFile("C:\WINDOWS\system32\cmdow.exe");
DeleteFileMask("C:\Documents and Settings\All Users\Application Data\msuwarn
", "*.*", true);
DeleteDirectory("C:\Documents and Settings\All Users\Application Data\msuwarn
");
DeleteFileMask(":\Documents and Settings\All Users\Application Data\", "*.*", true);
DeleteDirectory(":\Documents and Settings\All Users\Application Data\");
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
RebootWindows(true);
end.
_________________________
Примечание: Имена файлов выделенные жирным шрифтом в данном скрипте могут отличаться так как вирус постоянно модифицируется, поэтому будьте внимательны и воизбежании ошибок корректно указывайте имена файлов которые в свою очередь находятся в каталоге
Вот несколько методов для того что бы сделать этот мир чище!
Что же на этом следует заканчивать. Думаю данная статья окажется полезной и поможет многим людям.
Так же прошу оставить комментарий по этой статье как она помогла вам или же какие нибудь уточнения. Буду рад помочь!
Удаляем вирус который скрывает папки и распространяется на флешках
