Вирус на windows 7

Ïîèñê è óäàëåíèå âèðóñîâ âðó÷íóþ. Êàê îáíàðóæèòü è óäàëèòü âèðóñ. Àíàëèç ñèñòåìû. Îáíàðóæåíèå íà ëåòó. Êàê ñîìîìó ñïðàâèòüñÿ ñ âèðóñîì ëè òðîÿíîì. Ãäå ïðÿ÷åòñÿ âèðóñ.

Àâòîð: Shturmovik
Èñòî÷íèê:

[Áðåäèñëîâèå]

Или есть ситуация еще хуже, включится какая — нибудь подписка и Ваши денежки каждый день будут списываться с Вашего мобильного счета.

И пока Вы там заподозрите неладное и решите проверить это, сколько времени пройдет.

Потом надо связаться с мобильным оператором, потратить не мало времени и нервов… В общем ситуация крайне не приятная. Давайте разберемся, что же такое происходит и почему?

svchost.exe в семействе операционных систем Microsoft Windows (2000, XP, Vista, Seven) — главный процесс (англ. Host process) для служб, загружаемых из динамических библиотек
Iexplore.exe – процесс браузера Microsoft Internet Explorer. Процесс не является критическим и может быть безопасно завершен. Однако завершая работу процесса, одно или несколько окон Internet Explorer будет закрыто и все данные будут потеряны.
Iexplore.exe запущен всегда под текущим пользователем и никогда не может быть запущен под системой. Так как браузер используется во всех версиях Windows, вирусописатели часто скрывают свои программы, выдавая их за Internet Explorer.

Да пусть удалит может на одного меньше будет с тупыми вопросами


Как удалить вирус с компьютера, если его возможно загрузить
в безопасный режим.

Начнем пожалуй с самого простого случая, когда компьютер
возможно загрузить и в обычном и в безопасном режиме. И так
приступим к лечению компьютера!

1. Загружаем компьютер
в безопасном режиме

2. Редактируем реестр.
Теперь нужно включить редактор реестра. Первая тонкость заключается в том, что реестр нужно естественно редактировать зараженной Windows. Но бывает, что многие редакторы по умолчанию включают реестр самой системы, которую вы только что загрузили с диска. Поэтому нужно загрузить зараженный следующим образом: лучше всего если в меню пуск вы найдете вкладку ERD commander, в ней сперва выбираем Root boot или просто Boot, в открывшемся окне выбираем C:\windows. После этого опять заходим в меню ERD и выбираем regedit.

  
Для запуска редактора реестра, как и в предыдущем случае, нужно выполнить загрузку Windows в безопасном режиме с поддержкой командной строки, в окне интерпретатора командной строки набрать regedit.exe и нажать ENTER


  
Windows 7, при стандартных настройках безопасности системы, защищена от многих методов запуска вредоносных программ, применявшихся для предыдущих версий операционных систем от Майкрософт . Установка вирусами своих драйверов и служб, перенастройка службы WINLOGON с подключением собственных исполняемых модулей, исправление ключей реестра, имеющих отношение ко всем пользователям и т.п - все эти методы в среде Windows 7 либо не работают, либо требуют настолько серьезных трудозатрат, что практически не встречаются. Как правило, изменения в реестре, обеспечивающие запуск вируса, выполняются только в контексте разрешений, существующих для текущего пользователя, т.е. в разделе HKEY_CURRENT_USER

Для того, чтобы продемонстрировать простейший механизм блокировки рабочего стола с использованием подмены оболочки пользователя (shell) и невозможности использования утилиты MSCONFIG для обнаружения и удаления вируса можно провести следующий эксперимент - вместо вируса самостоятельно подправить данные реестра, чтобы вместо рабочего стола получить, например, командную строку. Привычный рабочий стол создается проводником Windows (программа Explorer.exe) запускаемым в качестве оболочки пользователя. Это обеспечивается значениями параметра Shell в разделах реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - для всех пользователей.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - для текущего пользователя.

Параметр Shell представляет собой строку с именем программы, которая будет использоваться в качестве оболочки при входе пользователя в систему. Обычно в разделе для текущего пользователя (HKEY_CURRENT_USER или сокращенно - HKCU) параметр Shell отсутствует и используется значение из раздела реестра для всех пользователей (HKEY_LOCAL_MACHINE\ или в сокращенном виде - HKLM)

Так выглядит раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon при стандартной установке Windows 7

Что надо для уничтожение Enter Cod3 в Windows 7 (коротко):

  1. Любой диск c Windows 7 (без разницы сборка или нет)
  2. Выставить в bios First Boot Device [Cdrom]
  3. Загрузиться с диска с Windows  7 (Seven) -> после появления  синего экрана с текстом "Windows 7 Установить " нажать на Восстановление системы
  4. Выбрать свою операционную систему из списка и нажать Далее
  5. В появившемся окне выбрать Командная строка
  6. В чёрном окне, которое появилось набрать bootrec /fixmbr, нажать Enter
  7. Написать exit, нажать enter и высунуть диск из дисковода
  8. Готово!

Что надо для уничтожения блокиратора с Enter Cod3 в Windows 7 (подробно)

Вставляем диск с Windows в дисковод, перед  тем поставьте First boot device CDROM. Через пару минут появится окошко «Windows 7 Установить» Чуть ниже видим пункт Восстановление системы и выбираем его

— Опять идём в папку AppData, открываем папку Roaming. Ищем и удаляем папку Temp.

3. Убираем показ скрытых системных папок

После всех действий,  сейчас нужно убрать показ скрытых системных папок.  Как это сделать:

— нажимаем на кнопку Пуск ---> Панель управления ---> Параметры папок ---> Появится маленькое окошечко --->Вид ---> Прокручиваем ползунок в сам низ и убираем точку напротив «Показывать скрытые файлы, папки и диски и ставим её напротив «Не показывать скрытые файлы»  ---> Ставим две галочки напротив надписей:

— скрывать пустые диски в папке «Компьютер»
— скрывать защищённые системные файлы

Далее

Выбираем Проводник

Идём сразу в папку Автозагрузка: 
C:\Users\ Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup. Удаляем наш вирус.

Проверяем реестр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Второй способ описан в тексте статьи «Вирус — заставка просит отправить СМС«. Если ничего не помогает, пишем в комментарии и пробуем разобраться вместе.

Сейчас другие читают:

Наверх