Egy egyszerű és kényelmes AVZ segédprogram, amely nem csak segíteni fog, hanem tudja, hogyan kell visszaállítani a rendszert. Miért van rá szükség?
A helyzet az, hogy a vírusok inváziója után (előfordul, hogy az AVZ ezreket öl meg) néhány program megtagadja a munkát, a beállítások eltűntek valahol, és a Windows valahogy nem működik megfelelően.
Leggyakrabban ebben az esetben a felhasználók egyszerűen újratelepítik a rendszert. De a gyakorlat azt mutatja, hogy ez egyáltalán nem szükséges, mert ugyanazon AVZ segédprogram segítségével szinte minden sérült programot és adatot visszaállíthat.
A tisztább kép érdekében adok egy teljes listát arról, hogy mit lehet helyreállítaniAVZ.
Az anyagot az útmutatóból vettük átAVZ - http://www.z-oleg.com/secur/avz_doc/ (másolás és beillesztés ide címsor böngésző).
Az adatbázis jelenleg a következő firmware-t tartalmazza:
1. Állítsa vissza az indítási opciók.exe, .com, .pif fájlokat
Ez a firmware visszaállítja a rendszer válaszát az exe, com, pif, scr fájlokra.
Használati javallatok: a vírus eltávolítása után a programok leállnak.
2. Állítsa vissza a protokoll előtag beállításait internet böngésző szabványnak
Ez a firmware visszaállítja a protokoll előtag beállításait az Internet Explorerben
Használati javallatok: ha olyan címet ír be, mint például a www.yandex.ru, akkor a helyébe olyan cím kerül, mint a www.seque.com/abcd.php?url=www.yandex.ru
3. Helyreállítás Kezdőlap internet böngésző
Ez a firmware visszaállítja a kezdőlapot az Internet Explorerben
Használati javallatok: kezdőoldal változtatás
4. Állítsa vissza a beállításokat Internetes keresés Explorer szabványra
Ez a firmware visszaállítja a keresési beállításokat az Internet Explorerben
Használati javallatok: Ha rákattint a "Keresés" gombra az IE-ben, egy hívás érkezik egy idegen webhelyre
5. Állítsa vissza az asztali beállításokat
Ez a firmware visszaállítja az asztal beállításait.
A helyreállítás magában foglalja az összes aktív ActiveDesctop elem, háttérkép törlését, az asztali beállításokért felelős menü zárolásainak eltávolítását.
Használati javallatok: A „Megjelenítés tulajdonságai” ablakban eltűntek az asztali beállítások fülei, idegen feliratok vagy rajzok jelennek meg az asztalon
6. Az aktuális felhasználó összes szabályzatának (korlátozásának) eltávolítása
A Windows egy házirend nevű felhasználói műveletkorlátozó mechanizmust biztosít. Ezt a technológiát sok rosszindulatú program használja, mivel a beállításokat a rendszerleíró adatbázis tárolja, és könnyen létrehozható vagy módosítható.
Használati javallatok: A File Explorer funkciói vagy más rendszerfunkciók le vannak tiltva.
7. A WinLogon alatt megjelenő üzenet eltávolítása
A Windows NT és az NT sor további rendszerei (2000, XP) lehetővé teszik az indításkor megjelenő üzenet beállítását.
Ezt számos rosszindulatú program használja, és a rosszindulatú program megsemmisítése nem vezet az üzenet megsemmisüléséhez.
Használati javallatok: A rendszerindítás során egy idegen üzenet jelenik meg.
8. Az Explorer beállításainak visszaállítása
Ez a firmware számos File Explorer beállítást visszaállít az alapértelmezett beállításokra (a rosszindulatú programok által módosított beállításokat kell visszaállítani először).
Használati javallatok: Az Explorer beállításai megváltoztak
9. A rendszerfolyamat-hibakeresők eltávolítása
Debugger regisztráció rendszerfolyamat engedni fogja rejtett indítás alkalmazás, amelyet számos rosszindulatú program használ
Használati javallatok: Az AVZ felismeri a rendszerfolyamatok fel nem ismert hibakeresőit, a rendszerelemek indításával kapcsolatos problémákat, különösen az asztal eltűnését az újraindítás után.
10. Állítsa vissza a rendszerindítási beállításokat csökkentett módban
Egyes rosszindulatú programok, például a Bagle féreg, megrongálják a rendszerindítási beállításokat védett módban.
Ez a firmware visszaállítja a rendszerindítási beállításokat védett módban. Használati javallatok: A számítógép nem indul el csökkentett módban (SafeMode). Ezt a firmware-t kell használni csak védett módban történő indítási problémák esetén .
11. Oldja fel a Feladatkezelőt
A Feladatkezelő blokkolását a rosszindulatú programok a folyamatok észlelésének és eltávolításának megakadályozására használják. Ennek megfelelően ennek a mikroprogramnak a végrehajtása megszünteti a zárolást.
Használati javallatok: A Feladatkezelő blokkolva, amikor megpróbálja felhívni a Feladatkezelőt, a „Feladatkezelőt letiltotta a rendszergazda” üzenet jelenik meg.
12. A HijackThis Ignore List törlése
A HijackThis segédprogram számos beállítást tárol a beállításjegyzékben, különösen a kizárások listáját. Ezért ahhoz, hogy álcázza magát a HijackThis elől, a rosszindulatú programnak csak regisztrálnia kell futtatható fájlok a kizárási listán.
Jelenleg számos rosszindulatú programról ismert, hogy kihasználja ezt a biztonsági rést. Micro AVZ program törli a HijackThis segédprogram kizárási listáját
Használati javallatok: Felmerült a gyanú, hogy a HijackThis segédprogram nem jelenít meg minden információt a rendszerről.
13. A Hosts fájl törlése
A Hosts fájl megtisztítása annyit jelent, hogy meg kell keresni a Hosts fájlt, eltávolítani belőle az összes fontos sort, és hozzáadni a szabványos „127.0.0.1 localhost” sort.
Használati javallatok: Felmerült a gyanú, hogy a Hosts fájlt rosszindulatú program módosította. A tipikus tünetek a víruskereső szoftverek blokkolása.
A Hosts fájl tartalmát a kezelővel szabályozhatja fájlgazda beépítve az AVZ-be.
14. Az SPl/LSP beállítások automatikus korrekciója
Elvégzi az SPI-beállítások elemzését, és ha hibát talál, automatikusan kijavítja a talált hibákat.
Ez a firmware korlátlan számú alkalommal újraindítható. Javasoljuk, hogy a firmware futtatása után indítsa újra a számítógépet. Jegyzet! Ez a firmware nem futtatható terminálmunkamenetről
Használati javallatok: Az internet-hozzáférés a kártevő eltávolítása után megszűnt.
15. Állítsa vissza az SPI/LSP és a TCP/IP beállításokat (XP+)
Ez a firmware csak XP, Windows 2003 és Vista rendszeren működik. Működési elve az SPI/LSP és TCP/IP beállítások alaphelyzetbe állításán és újbóli létrehozásán alapul a Windowshoz mellékelt szabványos netsh segédprogrammal.
Jegyzet! Csak akkor használjon gyári visszaállítást, ha szükséges, ha a rosszindulatú programok eltávolítása után helyrehozhatatlan problémái vannak az internet-hozzáféréssel!
Használati javallatok: A rosszindulatú program eltávolítása után az internet-hozzáférés és a firmware „14. Az SPl/LSP beállítások automatikus javítása" nem működik.
16. Az Explorer indítóbillentyűjének visszaállítása
Visszaállítja a Fájlkezelő elindításáért felelős rendszerleíró kulcsokat.
Használati javallatok: Az Explorer nem indul el a rendszerindítás során, de lehetséges az explorer.exe manuális elindítása.
17. Oldja fel a Rendszerleíróadatbázis-szerkesztőt
Feloldja a Rendszerleíróadatbázis-szerkesztőt a futását megakadályozó házirend eltávolításával.
Használati javallatok: Nem lehet elindítani a Rendszerleíróadatbázis-szerkesztőt, próbálkozáskor egy üzenet jelenik meg arról, hogy az indítását a rendszergazda letiltotta.
18. SPI beállítások teljes újraalkotása
Előadja biztonsági mentés SPI / LSP beállításokat, majd megsemmisíti azokat, és az adatbázisban tárolt szabvány szerint létrehozza őket.
Használati javallatok: Az SPI-beállítások súlyos károsodása, amelyet a 14. és 15. szkript nem javíthat. Csak szükség esetén jelentkezz!
19. Törölje az alap MountPoint-okat
Megtisztítja a MountPoints és a MountPoints2 adatbázist a beállításjegyzékben. Ez a művelet gyakran segít abban az esetben, ha egy Flash vírussal való fertőzés után a lemezeket nem lehet megnyitni az Explorerben
A helyreállítás végrehajtásához ki kell választania egy vagy több elemet, és kattintson a "Megjelölt műveletek végrehajtása" gombra. Az OK gombra kattintva bezárja az ablakot.
Megjegyzés:
A helyreállítás haszontalan, ha a rendszer fut trójai amely ilyen újrakonfigurálást hajt végre – először el kell távolítania rosszindulatú majd állítsa vissza a rendszerbeállításokat
Megjegyzés:
A legtöbb gépeltérítő nyomainak eltüntetéséhez három firmware-t kell futtatnia: "Az Internet Explorer keresési beállításainak visszaállítása az alapértelmezett értékekre", "Az Internet Explorer kezdőlapjának visszaállítása", "Az Internet Explorer protokoll előtag beállításainak visszaállítása alapértelmezettre"
Megjegyzés:
Bármelyik firmware futtatható többször egymás után a rendszer károsodása nélkül. Kivételek – „5.
Asztali beállítások visszaállítása” (a firmware futtatása visszaállítja az összes asztali beállítást, és újra ki kell választania az asztal színét és háttérképét) és a „10.
Rendszerindítási beállítások visszaállítása csökkentett módban" (ez a firmware újra létrehozza a rendszerindításért felelős rendszerleíró kulcsokat biztonságos mód).
A helyreállítás elindításához először töltse le, csomagolja ki és futtassa hasznosság. Ezután kattintson a Fájl - Rendszer-visszaállítás lehetőségre. Mellesleg azt is megteheti
Jelölje be a szükséges négyzeteket, és kattintson a Műveletek indítása gombra. Mindenki, várom a megvalósítást :-) A következő cikkekben részletesebben megvizsgáljuk azokat a problémákat, amelyeket az avz firmware rendszer-helyreállítása segít megoldani. Szóval sok sikert neked.
Bizonyos helyzetekben szükséges lehet a kernel hibakereső letiltása. Ez a művelet nem javasolt tapasztalatlan felhasználóknak az esetleges stabilitási problémák miatt. operációs rendszer Microsoft Windows.
Nyomja meg a "Start" gombot a rendszer főmenüjének megjelenítéséhez, és írja be a cmd-t a keresési karakterláncba, hogy elindítsa a kernel hibakereső letiltását.
hívás helyi menü megtalálta a "Parancssor" eszközt az egér jobb gombjával, és válassza ki a "Futtatás rendszergazdaként" parancsot.
Adja meg a Kdbgctrl.exe -d értéket a parancssori segédprogram szövegmezőjében a kernel hibakeresési eljárásának letiltásához az aktuális munkamenetben, majd nyomja meg az Enter softkey-t a parancs megerősítéséhez.
Használja a bcdedit /debug off értéket a parancssori szövegmezőben a processzormag hibakeresési folyamatának letiltásához minden munkamenetben Windows Vista és Windows 7 operációs rendszereken, majd nyomja meg az Enter softkey-t a választás megerősítéséhez.
Írja be a dir /ASH parancssori szövegmezőbe, hogy megkeresse a rendszermeghajtón található rejtett biztonságos boot.ini fájlt, és letiltja a kernel hibakeresőt az összes munkamenetre vonatkozóan. korai változatai Microsoft Windows operációs rendszert, és nyissa meg a talált fájlt a Jegyzettömbben.
Paraméterek törlése:
- /debug;
-debugport;
- /átviteli sebesség
és indítsa újra a számítógépet a kiválasztott módosítások alkalmazásához.
Kattintson a Folytatás gombra a párbeszédpanelen, ha hibakeresési műveletet szeretne végrehajtani a rendszerprocesszor magján, és várja meg, amíg az eljárás befejeződik.
Használja a gn parancsot a Kernel Debugger ablak szövegmezőjében, ha User break kivétel (Int 3) hibaüzenetet kap.
Használja a Hibakeresési módot a számítógép csökkentett módban történő indításakor a kernel hibakereső szolgáltatásának engedélyezéséhez.
A kernel hibakereső egy speciális szoftver, amely a személyi számítógép teljes operációs rendszerének kernel szintjén fut. Az "operációs rendszer kernelének hibakeresése" a rendszermag különböző hibáinak vizsgálatára szolgáló eljárásra vonatkozik. Amikor dolgozik Démon eszközök Gyakran inicializálási hiba... A kernel hibakeresőjét deaktiválni kell Hiba történik. Megjavíthatja a kernel hibakereső letiltásával.
Ha ez a figyelmeztetés az alkalmazás telepítésekor jelent meg, akkor le kell tiltania a Machine debug manager nevű szolgáltatást. Ehhez indítsa el a "Vezérlőpultot", és lépjen az "Adminisztráció" részre. Ezután kattintson a "Szolgáltatások" parancsikonra. Keresse meg a Machine Debug Managert a listában. Kattintson a névre az egérgombbal, majd kattintson a "Stop" gombra.
Tiltsa le a hibakeresési folyamatokat a „Feladatkezelőben”. Ehhez kattintson a gombra Jobb klikk egérrel egy szabad területen, és válassza a "Feladatkezelő" lehetőséget. Lenyomhatja az Alt + Ctrl + Delete billentyűkombinációt. Kattintson a Folyamatok fülre, és tiltsa le az összes mdm.exe, dumprep.exe és drwatson.exe folyamatot. Ha nem keresi őket a listában, kattintson a Képnév fülre a lista név szerinti rendezéséhez. Az ilyen műveleteket általában manuálisan hajtják végre a személyi számítógép rendszergazdája nevében.
A hibajelentési rendszert is le kell tiltani, hogy a hibakeresési információk rögzítése leálljon. Ehhez lépjen a "Vezérlőpultra". Válassza a "Rendszer" részt, és kattintson a "Speciális" gombra. Ezután kattintson a "Hibajelentés" gombra. Jelölje be a „Hibajelentés letiltása” jelölőnégyzetet. Ezután lépjen az "Indítás és helyreállítás" fülre, és törölje a jelölést az "Adminisztrációs riasztás küldése" és az "Esemény naplózása a rendszernaplóba" melletti négyzetből.
Távolítsa el a Daemon Tools alkalmazást az automatikus indításból. Ehhez kattintson a "Start" gombra. Ezután kattintson a "Futtatás" gombra, és írja be az msconfig parancsot. Miután megjelenik a rendszerablak, törölje a jelet a Daemon Tools alkalmazás melletti négyzetből. A program telepítése közben kapcsolja ki a víruskereső szoftvert. Ha a leírt hiba előfordul, az alkalmazás telepítését újra kell indítani, miután minden okot megszüntettünk személyi számítógép.
Hasznos tanács
A fenti műveletek némelyike rendszergazdai hozzáférést igényel a rendszererőforrásokhoz.
Egyszerű, könnyű és kényelmes módja a teljesítmény visszaállítása az ehhez szükséges képesítések és készségek nélkül is lehetséges az AVZ víruskereső segédprogramnak köszönhetően. Az úgynevezett "firmware" (az AVZ víruskereső segédprogram terminológiája) használata lehetővé teszi a teljes folyamat minimálisra csökkentését.
Annak érdekében, hogy minden működjön a laptopjában, ez biztosítja az akkumulátort asus laptop, és az operációs rendszer összes „fogaskerekének” megfelelő működéséhez az AVZ funkcionalitása nem lesz az utolsó.
A leggyakoribb felhasználói problémákhoz súgó áll rendelkezésre. A firmware összes funkciója a menüből hívható meg "Fájl -> Rendszer-visszaállítás".
Néhány hasznos tipp:
Az AVZ-nek szentelve szeretnék megosztani veletek néhány további ismeretet ennek a csodálatos segédprogramnak a képességeiről.
Ma azokról a rendszer-helyreállító eszközökről fogunk beszélni, amelyek gyakran megmenthetik a számítógép életét, miután megfertőződtek vírusokkal és az élet egyéb szörnyűségeivel, valamint számos olyan rendszerproblémát is megoldanak, amelyek bizonyos hibák következtében jelentkeznek.
Mindenki számára hasznos lesz.
Mielőtt folytatná, hagyományosan kétféle anyagformátumot szeretnék ajánlani, nevezetesen: videó vagy szöveges formátumot. Videó itt:
Nos, a szöveg lent van. Nézze meg saját szemével, melyik lehetőség áll közelebb Önhöz.
Mik ezek a helyreállítási eszközök? Ez olyan mikroprogramok és szkriptek készlete, amelyek segítenek bizonyos rendszerfunkciók működőképes állapotának helyreállításában. Melyik például? Nos, mondjuk, térjen vissza a rendszerleíró adatbázis szerkesztőjébe, törölje a hosts fájlt vagy állítsa vissza az IE beállításait. Általában teljes egészében és leírással adom (hogy ne találjam újra a kereket):
Hasznos, nem?
Most arról, hogyan kell használni.
Valójában minden egyszerű.
Itt vannak a dolgok.
Azt kell mondanom, hogy dörömbölve működik, és kiküszöböli a felesleges gesztusokat. Úgymond minden kéznél van, gyorsan, egyszerűen és hatékonyan.
Köszönöm a figyelmet;)
Víruskereső programok, még rosszindulatú programok észlelésekor és eltávolításakor is szoftver, nem mindig állítja vissza a rendszer teljes teljesítményét. Gyakran egy vírus eltávolítása után a számítógép-felhasználó üres asztalt kap, az internethez való hozzáférés teljes hiányát (vagy blokkolja a hozzáférést bizonyos webhelyekhez), egy nem működő egeret stb. Ennek általában az az oka, hogy a kártevő által módosított egyes rendszer- vagy felhasználói beállítások érintetlenek maradtak.
A segédprogram ingyenes, telepítés nélkül működik, meglepően működőképes, és sokféle helyzetben segített. A vírus általában módosítja a rendszerleíró adatbázist (hozzáadja az indításhoz, módosítja a programindítási paramétereket stb.). Annak érdekében, hogy ne mélyedjen el a rendszerben, manuálisan javítva a vírus nyomait, érdemes az AVZ-ben elérhető "rendszer-visszaállítás" műveletet használni (bár a segédprogram vírusirtónak nagyon-nagyon jó, még a lemezeket is érdemes ellenőrizni segédprogrammal rendelkező vírusok esetén).
A helyreállítás elindításához futtassa a segédprogramot. Ezután kattintson a Fájl - Rendszer-visszaállítás lehetőségre
és egy olyan ablak nyílik meg előttünk
jelölje be a szükséges jelölőnégyzeteket, és kattintson a "Megjelölt műveletek végrehajtása" gombra.
A HijackThis segédprogram számos beállítást tárol a beállításjegyzékben, különösen a kizárások listáját. Ezért ahhoz, hogy álcázza magát a HijackThis elől, a rosszindulatú programnak csak a futtatható fájljait kell regisztrálnia a kizárási listán. Jelenleg számos rosszindulatú programról ismert, hogy kihasználja ezt a biztonsági rést. Az AVZ firmware megtisztítja a HijackThis segédprogramok kizárási listáját
Elvégzi az SPI-beállítások elemzését, és ha hibát talál, automatikusan kijavítja a talált hibákat. Ez a firmware korlátlan számú alkalommal újraindítható. Javasoljuk, hogy a firmware futtatása után indítsa újra a számítógépet.
Ez a firmware csak XP, Windows 2003 és Vista rendszeren működik. Működési elve az SPI/LSP és TCP/IP beállítások alaphelyzetbe állításán és újbóli létrehozásán alapul a Windowshoz mellékelt szabványos netsh segédprogrammal. Jegyzet! Csak akkor használjon gyári visszaállítást, ha szükséges, ha a rosszindulatú programok eltávolítása után helyrehozhatatlan problémái vannak az internet-hozzáféréssel!
Bármelyik firmware futtatható többször egymás után a rendszer károsodása nélkül. Ez alól kivétel az "5. Az asztali beállítások visszaállítása" (a firmware működése visszaállítja az összes asztali beállítást, és újra ki kell választania az asztal színét és háttérképét) és a "10. Rendszerindítási beállítások visszaállítása csökkentett módban” (ez a firmware újra létrehozza a rendszerleíró kulcsokat, amelyek a csökkentett módban történő indításért felelősek).
Mint
Mint
csipog
Vannak univerzálisak Svájci kés programokat. A cikkem hőse pont ilyen "univerzális". A neve AVZ(Zaitsev vírusirtó). Ennek segítségével ingyenes Elkaphatja a víruskeresőt és a vírusokat, optimalizálhatja a rendszert és kijavíthatja a problémákat.
Arról, hogy mi az víruskereső program, már elmondtam. Az AVZ, mint egyszeri vírusirtó (pontosabban anti-rootkit) munkáját jól leírja a súgója, de megmutatom a program másik oldalát: a beállítások ellenőrzését és visszaállítását.
Mit lehet "javítani" az AVZ-vel:
Biztonsági ellenőrzésre is használható Windows beállítások(a vírusok elleni jobb védelem érdekében), valamint optimalizálja a rendszert az indítás megtisztításával.
Az AVZ letöltési oldala található.
A program ingyenes.
Az AVZ programnak van Nagyon számos funkció befolyásolja Windows működik. Ez veszélyes, mert hiba esetén baj történhet. Kérjük, figyelmesen olvassa el a szöveget és segítsen, mielőtt bármit is tenne. A cikk szerzője nem vállal felelősséget az Ön tetteiért.
Azért írtam ezt a fejezetet, hogy az AVZ-vel végzett gondatlan munka után "mindent úgy tudjak visszaadni, ahogy volt".
Ez egy kötelező lépés, tulajdonképpen egy "visszavonulás" létrehozása gondatlan cselekvések esetén - a visszaállítási pontnak köszönhetően lehetőség nyílik a beállítások, a Windows rendszerleíró adatbázis korábbi állapotra való visszaállítására.
Rendszer Windows helyreállítás- a Windows összes verziójának kötelező összetevője, a Windows ME-től kezdve. Kár, hogy általában nem emlékeznek rá, és időt pazarolnak a Windows és a programok újratelepítésére, bár néhányszor lehetett kattintani az egérrel, és elkerülni minden problémát.
Ha a kár súlyos (például bizonyos rendszerfájlokat töröltek), akkor a Rendszer-visszaállítás nem segít. Más esetekben - ha rosszul konfigurálta a Windows rendszert, "átverte" a rendszerleíró adatbázist, olyan programot telepített, amelyről a Windows nem indul el, helytelenül használta az AVZ programot - a "Rendszer-visszaállítás" segít.
Munka után az AVZ almappákat hoz létre biztonsági másolatokkal a mappájában:
/biztonsági mentés- tárolják biztonsági mentések Regisztráció.
/Fertőzött- az eltávolított vírusok másolatai.
/karantén- gyanús fájlok másolatai.
Ha a problémák az AVZ futása után kezdődtek (például meggondolatlanul használta az AVZ System Restore eszközt, és az internet leállt) és a helyreállítás Windows rendszerek nem gördítette vissza az elvégzett változtatásokat, a mappából megnyithatja a rendszerleíró adatbázis biztonsági másolatait biztonsági mentés.
Menjünk-hoz Start - Vezérlőpult - Rendszer - Rendszervédelem:
Kattintson a "Rendszervédelem" elemre a "Rendszer" ablakban.
Nyomja meg a "Létrehozás" gombot.
A visszaállítási pont létrehozásának folyamata akár tíz percig is eltarthat. Ekkor megjelenik egy ablak:
A visszaállítási pont létrejön. Mellesleg, ezek automatikusan létrejönnek a programok és illesztőprogramok telepítésekor, de nem mindig. Ezért a veszélyes műveletek (a rendszer beállítása, tisztítása) előtt jobb, ha még egyszer létrehoz egy visszaállítási pontot, hogy megdicsérje magát az előrelátásért baj esetén.
Két lehetőség van a Rendszer-visszaállítás elindítására – alulról Windows rendszert futtatvaés a telepítőlemez használatával.
Menjünk-hoz Start - Minden program - Tartozékok - Rendszereszközök - Rendszer-visszaállítás:
kezdődni fog Válasszon másik visszaállítási pontotés nyomja meg További. Megnyílik a visszaállítási pontok listája. Válassza ki a kívántat:
A számítógép automatikusan újraindul. A letöltés után az összes beállítás, a rendszerleíró adatbázis és néhány fontos fájl visszaáll.
Kell egy "telepítő" lemez Windows 7-el vagy Windows 8-al. Hol lehet beszerezni (vagy letölteni), beírtam.
Indítjuk a lemezt (le van írva, hogy hogyan indítsunk rendszerindító lemezről), és válassza ki:
A Windows telepítése helyett válassza a „Rendszer-visszaállítás” lehetőséget
Minden művelet előtt szabaduljon meg a vírusoktól, például használatával. Ellenkező esetben nem lesz értelme - a javított beállításokat ismét "összetöri" a futó vírus.
Ha egy vírus blokkolta bármely program indítását, akkor az AVZ segít. Természetesen magát az AVZ-t is el kell indítani, de ez nagyon egyszerű:
Először megyünk Kezelőpanel- bármilyen típusú nézet beállítása, kivéve a kategóriát - Mappák beállításai - Kilátás- törölje a pipát Regisztrált fájltípusok kiterjesztésének elrejtése - OK. Most minden fájl rendelkezik kiterjesztés- néhány karakter a név utolsó pontja után. Programok általában .alkalmazásÉs .com. Az AVZ víruskereső futtatásához olyan számítógépen, ahol a programok tiltottak, nevezze át a kiterjesztést cmd-re vagy pif-re:
Ezután elindul az AVZ. Ezután magában a program ablakában nyomja meg a gombot Fájl - :
Megjegyzendő pontok:
1. Állítsa vissza a launch options.exe, .com, .pif fájlokat(valójában megoldja a programok futtatásának problémáját)
6. Távolítsa el az aktuális felhasználó összes szabályzatát (korlátozását).(néhány ritka esetben ez az elem is segít megoldani a programok indításának problémáját, ha a vírus nagyon káros)
9. Rendszerfolyamat-hibakeresők eltávolítása(Ezt az elemet nagyon kívánatos megjegyezni, mert még ha vírusirtóval ellenőrizte is a rendszert, akkor is maradhat valami a vírusból. Az is segít, ha a rendszer indulásakor nem jelenik meg az Asztal)
Megerősítjük a műveletet, megjelenik egy ablak a "Rendszer-visszaállítás befejeződött" szöveggel. Ezt követően a számítógép újraindítása marad - a programok indításával kapcsolatos probléma megoldódik!
Elég gyakori probléma, hogy a rendszer indításakor nem jelenik meg az asztal.
Fuss Asztali ezt megteheti: nyomja meg a Ctrl + Alt + Del billentyűket, indítsa el a Feladatkezelőt, ott megnyomjuk Fájl - Új feladat (Futtatás...) - belép explorer.exe:
rendben- Az asztal elindul. De ez csak ideiglenes megoldás a problémára - a számítógép következő bekapcsolásakor mindent meg kell ismételnie.Annak érdekében, hogy ezt ne tegye meg minden alkalommal, vissza kell állítania a programindító kulcsot felfedező("Explorer", amely a mappák tartalmának szabványos megtekintéséért és az Asztal munkájáért felelős). Az AVZ-ben megnyomjuk Fájl- és jelölje meg az elemet
Végezze el a megjelölt műveleteket, erősítse meg a műveletet, nyomja meg a gombot RENDBEN. Most, amikor elindítja a számítógépet, az asztal a szokásos módon indul el.Ha a vírus blokkolta a fent említett két program indulását, a tiltás az AVZ program ablakán keresztül szüntethető meg. Csak ellenőrizze két dolgot:
11. Oldja fel a Feladatkezelőt
17. Oldja fel a Rendszerleíróadatbázis-szerkesztőt
És nyomja meg Hajtsa végre a megjelölt műveleteket.
Programok AVZ tudja, hogyan kell megtisztítani a számítógépet felesleges fájlok. Ha a merevlemez-tisztító program nincs telepítve a számítógépre, akkor az AVZ megteszi, mivel számos lehetőség van:
Bővebben a pontokról:
Attól függően, hogy a telepített programokat, a pontok száma eltérő lesz. Például, ha telepítve van Opera böngésző, törölheti a gyorsítótárát is.
A számítógép indításának és sebességének felgyorsításának biztos módja az automatikus indítási lista törlése. Ha felesleges programokat nem indul el, akkor a számítógép nem csak gyorsabban bekapcsol, hanem gyorsabban is működik - a felszabaduló erőforrások miatt, amelyek nem veszik el a háttérben futó programokat.
Az AVZ képes megtekinteni a Windows szinte minden kiskapuját, amelyen keresztül a programok elindulnak. Az automatikus futtatási listát az Eszközök - Autorun Manager menüben tekintheti meg:
Egy hétköznapi felhasználónak egyáltalán nincs haszna az ilyen nagy teljesítményű funkcióknak, ezért kérem ne kapcsolj ki mindent. Elég csak két pontot megnézni - Autorun mappákÉs fuss*.
Az AVZ nem csak a felhasználó, hanem az összes többi profil esetében is megjeleníti az automatikus indítást:
fejezetben fuss* jobb, ha nem tiltja le a részben található programokat HKEY_USERS- ez megzavarhatja más felhasználói profilokat és magát az operációs rendszert. fejezetben Autorun mappák mindent kikapcsolhatsz, amire nincs szükséged.
A zölddel jelölt vonalakat az antivírus ismeri fel. Ez magában foglalja mindkettőt rendszerprogramok Digitálisan aláírt Windows és harmadik féltől származó programok.
Az összes többi program feketével van jelölve. Ez nem azt jelenti, hogy az ilyen programok vírusok vagy bármi hasonló, csak azt, hogy nem minden program van digitálisan aláírva.
Ne felejtse el szélesebbre nyújtani az első oszlopot, hogy láthassa a program nevét. A szokásos törlés ideiglenesen letiltja a program automatikus futtatását (majd újra kipipálhatod), a tétel kiválasztása és a fekete kereszttel jelölt gomb megnyomása örökre törli a bejegyzést (illetve addig, amíg a program újra nem írja ki magát az autorun-nak).
Felmerül a kérdés: hogyan lehet meghatározni, hogy mit lehet letiltani és mi nem? Két megoldás létezik:
Először is van józan ész: a program .exe fájljának neve alapján dönthet. Például, Skype program telepítéskor létrehoz egy bejegyzést, amely automatikusan elindul a számítógép bekapcsolásakor. Ha nincs rá szüksége, törölje a jelölést a skype.exe végződésű négyzetből. Egyébként sok program (beleértve a Skype-ot is) eltávolíthatja magát az indításból, csak törölje a megfelelő elem jelölését magának a programnak a beállításaiban.
Másodszor, az interneten kereshet információkat a programról. A kapott információk alapján el kell dönteni, hogy eltávolítjuk-e az automatikus futtatásból vagy sem. Az AVZ megkönnyíti a pontokkal kapcsolatos információk megtalálását: csak kattintson a jobb gombbal az elemre, és válassza ki kedvenc keresőjét:
A szükségtelen programok letiltásával észrevehetően felgyorsítja a számítógép indítását. Nem kívánatos azonban mindent egymás után letiltani - ez tele van azzal a ténnyel, hogy elveszíti az elrendezésjelzőt, letiltja a víruskeresőt stb.
Csak azokat a programokat tiltsa le, amelyeket biztosan ismer – ezekre nincs szükség az automatikus futtatásnál.
Amit a cikkben írtam, az elvileg hasonlít a szögek mikroszkóppal történő kalapálására - az AVZ program alkalmas Windows optimalizálás, de általában ez egy összetett és hatékony eszköz, amely a legtöbb teljesítményre alkalmas különböző feladatokat. Ahhoz azonban, hogy az AVZ-t a lehető legteljesebb mértékben használhassa, alaposan ismernie kell a Windowst, így kicsiben kezdheti – mégpedig azzal, amit fentebb leírtam.
Ha bármilyen kérdése, észrevétele van - a cikkek alatt van egy kommentblokk, ahol írhat nekem. Követem a hozzászólásokat, és igyekszem a lehető leghamarabb válaszolni.
Kapcsolódó hozzászólások:
Mint
Mint
A vírusok semlegesítésének legegyszerűbb módjairól fogunk beszélni, különösen az asztal blokkolásával Windows felhasználó 7 (Trojan.Winlock víruscsalád). Az ilyen vírusok abban különböznek, hogy nem rejtik el jelenlétüket a rendszerben, hanem éppen ellenkezőleg, demonstrálják azt, ami a lehető legnehezebbé teszi a műveletek végrehajtását, kivéve egy speciális "feloldó kód" bevitelét, amelyhez állítólag bizonyos összeget át kell utalni a támadóknak SMS-ben vagy újratöltéssel mobiltelefon fizetési terminálon keresztül. Itt csak egy cél van - hogy a felhasználó fizessen, és néha egészen tisztességes pénzt. Megjelenik egy ablak egy félelmetes figyelmeztetéssel arról, hogy a számítógépet le kell tiltani engedély nélküli szoftverek használata vagy nemkívánatos webhelyek látogatása miatt, és valami hasonló, általában a felhasználó megijesztésére. Ezenkívül a vírus nem enged semmilyen műveletet a készülékben munkakörnyezet Windows - blokkolja a speciális billentyűkombinációk lenyomását a Start gomb menüjének, a Futtatás parancsnak, a feladatkezelőnek stb. Az egérmutatót nem lehet a vírusablakon kívülre mozgatni. Általában ugyanez a kép figyelhető meg a Windows csökkentett módban történő betöltésekor. A helyzet reménytelennek tűnik, főleg, ha nincs más számítógép, nincs lehetőség másik operációs rendszerre, vagy cserélhető adathordozóról (LIVE CD, ERD Commander, víruskereső) bootolni. Ennek ellenére az esetek túlnyomó többségében van kiút.
A Windows Vista/Windows 7 rendszerben bevezetett új technológiák megnehezítették a rosszindulatú programok behatolását és teljes ellenőrzését a rendszer felett, valamint a felhasználók számára további jellemzők vírusirtó szoftver (szoftver) nélkül is viszonylag könnyen megszabadulhatunk tőlük. Ez körülbelül a rendszer csökkentett módban történő indításának lehetőségéről parancssori támogatással, és onnan futtatható szoftver eszközök ellenőrzés és helyreállítás. Nyilvánvalóan megszokásból, ennek a módnak az operációs rendszerek korábbi verzióiban való meglehetősen rossz megvalósítása miatt Windows családok, sok felhasználó egyszerűen nem használja. De hiába. BAN BEN parancs sor A Windows 7 nem rendelkezik a szokásos asztallal (amit egy vírus blokkolhat), de a legtöbb program futtatható - a rendszerleíró adatbázis-szerkesztő, a feladatkezelő, a rendszer-visszaállító segédprogram stb.
Vírus eltávolítása a rendszer visszaállításával visszaállítási pontra
A vírus egy közönséges program, és még akkor is, ha a számítógép merevlemezén található, de nem képes automatikusan elindulni a rendszer indításakor és a felhasználó regisztrálásakor, akkor is ugyanolyan ártalmatlan, mint például egy normál. szöveges fájl. Ha megoldódik a rosszindulatú program automatikus indításának blokkolásának problémája, akkor a rosszindulatú programok eltávolításának feladata befejezettnek tekinthető. A vírusok által használt fő automatikus indítási módszer a speciálisan kialakított regisztrációs bejegyzések, amelyek akkor jönnek létre, amikor beinjektálják a rendszerbe. Ha törli ezeket a bejegyzéseket, a vírus semlegesítettnek tekinthető. A legegyszerűbb módja a rendszer-visszaállítás egy ellenőrzőpontból. Az ellenőrzőpont fontos rendszerfájlok másolata, amely egy speciális könyvtárban ("Rendszerkötet-információ") van tárolva, és többek között rendszerfájlok másolatait tartalmazza. Windows rendszerleíró adatbázis. A rendszer visszaállítása egy olyan visszaállítási pontra, amelynek létrehozási dátuma megelőzi a vírusfertőzést, lehetővé teszi a rendszerleíró adatbázis állapotának lekérését a behurcolt vírus bejegyzései nélkül, és ezzel kizárja annak automatikus indulását, pl. megszabadulni a fertőzéstől még vírusirtó szoftver használata nélkül is. Ily módon egyszerűen és gyorsan megszabadulhat a legtöbb vírus által okozott rendszerfertőzéstől, beleértve azokat is, amelyek blokkolják az asztalt. Windows asztali. Természetesen egy blokkoló vírus, például egy módosítással rendszerindító szektorok merevlemez (MBRLock vírus) nem távolítható el ilyen módon, mivel a rendszer visszaállítása a visszaállítási pontra nem befolyásolja a lemezek rendszerindítási rekordjait, és nem lesz lehetőség a Windows csökkentett módban történő indítására parancssori támogatással, mivel a A vírus még azelőtt is betöltődik Windows rendszerbetöltő. Ahhoz, hogy megszabaduljon egy ilyen fertőzéstől, egy másik adathordozóról kell indítania, és vissza kell állítania a fertőzött rendszerindítási rekordokat. De viszonylag kevés ilyen vírus létezik, és a legtöbb esetben megszabadulhat a fertőzéstől, ha visszaállítja a rendszert egy visszaállítási pontra.
1. A letöltés legelején nyomja meg az F8 gombot. A képernyőn megjelenik a Windows rendszerbetöltő menü. lehetséges opciók rendszerindítás
2. Válassza a Windows rendszerindítási opciót – „Csökkentett mód parancssori támogatással”
A letöltés befejezése és a felhasználói regisztráció után a szokásos Windows asztal helyett a cmd.exe parancsfeldolgozó ablak jelenik meg
3. Futtassa a "Rendszer-visszaállítás" eszközt, amelyhez be kell írnia az rstrui.exe parancsot a parancssorba, majd nyomja le az ENTER billentyűt.
Állítsa az üzemmódot "Válasszon másik visszaállítási pontot"-ra, és a következő ablakban jelölje be az "Egyéb visszaállítási pontok megjelenítése" négyzetet.
A Windows visszaállítási pont kiválasztása után megtekintheti az érintett programok listáját, amikor visszaállítja a rendszert:
Az érintett programok listája a rendszer-visszaállítási pont létrehozása után telepített programok listája, amelyeket esetleg újra kell telepíteni, mert a rendszerleíró adatbázisban nem lesznek hozzájuk kapcsolódó bejegyzések.
A "Befejezés" gombra kattintás után elindul a rendszer-helyreállítási folyamat. A befejezés után a Windows újraindul.
Az újraindítás után egy üzenet jelenik meg a képernyőn a visszaállítás sikerességéről vagy sikertelenségéről, és ha sikeres, a Windows visszatér a visszaállítási pont létrehozásának dátumának megfelelő állapotba. Ha az asztal zárolása nem áll le, használhatja az alábbiakban bemutatott fejlettebb módszert.
Vírus eltávolítása a rendszer visszaállítása nélkül visszaállítási pontra
Előfordulhat, hogy a rendszer különböző okok miatt nem rendelkezik visszaállítási pontokkal, a visszaállítási eljárás hibával zárult, vagy a visszaállítás nem adott pozitív eredményt. Ebben az esetben használhatja az MSCONFIG.EXE rendszerkonfigurációs diagnosztikai segédprogramot. Az előző esethez hasonlóan a Windows rendszert csökkentett módban kell indítani parancssori támogatással, és a cmd.exe parancssori értelmező ablakba írja be az msconfig.exe parancsot, és nyomja le az ENTER billentyűt.
Az Általános lapon a következő Windows indítási módokat választhatja ki:
A rendszer indításakor csak a minimálisan szükséges rendszerszolgáltatások és felhasználói programok indulnak el.
Szelektív indítás- lehetővé teszi a beállítást kézi üzemmód a rendszerindítási folyamat során elinduló rendszerszolgáltatások és felhasználói programok listája.
A vírus eltávolításának legegyszerűbb módja a diagnosztikai indítás, amikor a segédprogram maga határozza meg az automatikusan induló programok készletét. Ha ebben az üzemmódban a vírus már nem blokkolja az asztalt, akkor tovább kell lépnie a következő lépéssel - annak meghatározásához, hogy melyik program vírus. Ehhez használhatja a szelektív indítási módot, amely lehetővé teszi az indítás be- és kikapcsolását. egyéni programokat kézi üzemmódban.
A "Szolgáltatások" fülön engedélyezheti vagy letilthatja a rendszerszolgáltatások elindítását, amelyek beállításaiban az indítási típus "Automatikus"-ra van állítva. A szolgáltatás neve előtti bejelöletlen négyzet azt jelenti, hogy a rendszer nem indul el a rendszerindítási folyamat során. Az MSCONFIG segédprogram ablakának alján található egy mező a "Ne jelenjen meg a Microsoft szolgáltatások" mód beállításához, ha engedélyezve van, csak a harmadik féltől származó szolgáltatások jelennek meg.
Megjegyzem, hogy a rendszer szolgáltatásként telepített vírussal való megfertőzésének valószínűsége, mikor alapbeállítások A biztonság a Windows Vista / Windows 7 környezetben nagyon alacsony, és meg kell keresnie a vírus nyomait az automatikusan induló felhasználói programok listájában ("Indítás" fül).
Akárcsak a Szolgáltatások lapon, itt is engedélyezheti vagy letilthatja az MSCONFIG által megjelenített listában megjelenő bármely program automatikus indítását. Ha egy vírus aktiválódik a rendszerben úgy, hogy speciális rendszerleíró kulcsokkal vagy a Startup mappa tartalmával automatikusan elindítja, akkor az msconfig segítségével nem csak semlegesítheti, hanem meghatározhatja a fertőzött fájl elérési útját és nevét is.
Az msconfig segédprogram egy egyszerű és kényelmes eszköz a Windows család operációs rendszereihez szabványos módon induló szolgáltatások és alkalmazások automatikus indításának konfigurálására. Nem ritka azonban, hogy a víruskészítők olyan trükköket alkalmaznak, amelyek lehetővé teszik a rosszindulatú programok futtatását szabványos automatikus futtatási pontok használata nélkül. Valószínűleg megszabadulhat egy ilyen vírustól a fent leírt módszerrel, hogy visszaállítsa a rendszert egy visszaállítási pontra. Ha a visszaállítás nem lehetséges, és az msconfig használata nem vezetett pozitív eredményre, használhatja a rendszerleíró adatbázis közvetlen szerkesztését.
A vírus elleni küzdelem során a felhasználónak gyakran hard reset-et kell végrehajtania alaphelyzetbe állítás (Reset) vagy az áramellátás kikapcsolásával. Ez olyan helyzethez vezethet, amikor a rendszer normálisan elindul, de nem éri el a felhasználói regisztrációt. A számítógép "lefagy" egyeseknél a logikai adatstruktúra megsértése miatt rendszerfájlokat, amely nem megfelelő leállás esetén fordul elő. A probléma megoldásához, az előző esetekhez hasonlóan, elindíthat csökkentett módba parancssori támogatással, és futtathatja a rendszerlemez ellenőrzésére szolgáló parancsot.
chkdsk C: /F - ellenőrizze a C lemezt: az észlelt hibák javításával (/F kapcsoló)
Mert a chkdsk futtatásakor rendszerlemez rendszerszolgáltatásokkal és alkalmazásokkal van elfoglalva, a chkdsk nem tud kizárólagos hozzáférést kapni hozzá tesztek végrehajtásához. Ezért a rendszer következő újraindításakor a felhasználó figyelmeztető üzenetet és egy teszt végrehajtására vonatkozó kérést kap. Az Y válasz után az adatok bekerülnek a rendszerleíró adatbázisba annak biztosítására, hogy a Windows újraindulásakor elinduljon a lemezellenőrzés. Az ellenőrzés befejezése után ezek az információk törlődnek, és a Windows normál újraindítása történik felhasználói beavatkozás nélkül.
Szüntesse meg a vírus indításának lehetőségét a rendszerleíróadatbázis-szerkesztővel.
A rendszerleíróadatbázis-szerkesztő elindításához, az előző esethez hasonlóan, csökkentett módban kell indítani a Windows-t parancssori támogatással, a parancssori értelmező ablakba írja be a regedit.exe-t, és nyomja le az ENTER billentyűt. A Windows 7 szabványos rendszerbiztonsági beállításokkal védett számos módszer a rosszindulatú programok indítására, amelyeket az operációs rendszerek korábbi verzióihoz használtak a Microsofttól. Illesztőprogramjaik és szolgáltatásaik vírusok általi telepítése, a WINLOGON szolgáltatás újrakonfigurálása saját futtatható modulok csatlakoztatásával, az összes felhasználóhoz kapcsolódó regisztrációs kulcsok javítása stb. - mindezek a módszerek a Windows 7 környezetben vagy nem működnek, vagy olyan komoly munkát igényelnek olyan költségeket, amelyeket gyakorlatilag nem fedeznek. A rendszerleíró adatbázisban a vírus futását lehetővé tévő változtatások általában csak az aktuális felhasználó jogosultságaival összefüggésben hajtódnak végre, pl. HKEY_CURRENT_USER alatt
Az asztal legegyszerűbb zárolási mechanizmusának bemutatása érdekében a felhasználói shell (shell) helyettesítésével, valamint az MSCONFIG segédprogram képtelenségének bemutatása vírus észlelésére és eltávolítására, elvégezheti a következő kísérletet - vírus helyett, függetlenül korrigálja a rendszerleíró adatbázis adatait, hogy például egy parancssort kapjon az asztal helyett. Egy ismerős asztal jön létre Windows Intéző(Explorer.exe program) a felhasználó shelljeként fut. Ezt a rendszerleíró kulcsokban található Shell paraméter értékei biztosítják
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – minden felhasználó számára.
- az aktuális felhasználó számára.
A Shell paraméter egy karakterlánc a program nevével, amely shellként lesz használva, amikor a felhasználó bejelentkezik a rendszerbe. Általában nincs Shell-paraméter az aktuális felhasználó kulcsában (röviden HKEY_CURRENT_USER vagy HKCU), és az összes felhasználó beállításkulcsának értéke (röviden HKEY_LOCAL_MACHINE\ vagy HKLM) kerül felhasználásra.
Így néz ki a rendszerleíró kulcs HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon szabvány szerint Windows telepítés 7
Ha ehhez a szakaszhoz hozzáadja a Shell karakterlánc paramétert, amely "cmd.exe" értéket vesz fel, akkor a következő alkalommal, amikor az aktuális felhasználó bejelentkezik a rendszerbe, a szokásos Explorer alapú felhasználói shell helyett a cmd.exe shell lesz elindul, és a szokásos Windows asztal helyett egy parancssori ablak jelenik meg .
Természetesen így bármilyen rosszindulatú program elindítható, és a felhasználó pornó bannert, blokkolót és egyéb mocskot kap az asztal helyett.
Az összes felhasználó kulcsának módosítása (HKLM. . .) rendszergazdai jogosultságokat igényel, ezért a vírusprogramok általában módosítják az aktuális felhasználó rendszerleíró kulcsának (HKCU . . .) beállításait.
Ha a kísérlet folytatásaként futtatja az msconfig segédprogramot, megbizonyosodhat arról, hogy a cmd.exe nem szerepel-e felhasználói shellként az automatikusan induló programok listájában. A rendszer visszaállítása természetesen lehetővé teszi a rendszerleíró adatbázis eredeti állapotának visszaállítását, és megszabadulhat a vírus automatikus elindulásától, de ha ez valamilyen okból nem lehetséges, akkor csak a rendszerleíró adatbázis közvetlen szerkesztése marad. A normál asztalhoz való visszatéréshez egyszerűen távolítsa el a Shell paramétert, vagy módosítsa az értékét "cmd.exe"-ről "explorer.exe"-re, és regisztrálja újra a felhasználót (jelentkezzen ki, majd jelentkezzen be újra), vagy indítsa újra. A rendszerleíró adatbázis szerkesztését a regedit.exe rendszerleíróadatbázis-szerkesztő parancssorból történő futtatásával vagy a REG.EXE konzolsegédprogram használatával végezheti el. Parancssori példa a Shell opció eltávolítására:
REG törlése "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell
A felhasználói shell megváltoztatásának fenti példája messze az egyik leggyakoribb trükk, amelyet a vírusok használnak a Windows 7 operációs rendszer környezetében. A szabványos rendszerbeállításokkal rendelkező, meglehetősen magas szintű biztonság nem teszi lehetővé a rosszindulatú programok számára, hogy hozzáférjenek a Windows XP és korábbi verzióiban a fertőzésre használt rendszerleíró kulcsokhoz. Még ha az aktuális felhasználó a Rendszergazdák csoport tagja is, a fertőzéshez használt beállításjegyzék-beállítások túlnyomó többségéhez való hozzáféréshez rendszergazdaként kell futtatni a programot. Ez az oka annak, hogy a rosszindulatú programok módosítják azokat a rendszerleíró kulcsokat, amelyekhez az aktuális felhasználó hozzáférhet (HKCU . . . szakasz). A második fontos tényező a programfájlok rendszerkönyvtárakba való írásának nehézsége. Ez az oka annak, hogy a Windows 7 környezetben a legtöbb vírus a futtatható fájlok (.exe) elindítását használja az aktuális felhasználó ideiglenes fájlok könyvtárából (Temp). Amikor a rendszerleíró adatbázisban a programok automatikus indításának pontjait elemezzük, mindenekelőtt az ideiglenes fájlok könyvtárában található programokra kell figyelni. Ez általában egy könyvtár C:\FELHASZNÁLÓK\felhasználónév\AppData\Local\Temp. Az ideiglenes fájlok könyvtárának pontos elérési útja megtekinthető a vezérlőpulton keresztül a rendszer tulajdonságainál - "Környezeti változók". Vagy a parancssorban:
beállított tempó
vagy
visszhang %temp%
Ezenkívül az ideiglenes fájlok könyvtárnevének vagy a %TEMP% változónak megfelelő karakterlánc keresése a rendszerleíró adatbázisban használható további pénzeszközök vírusok kimutatására. A törvényes programok soha nem indulnak el automatikusan a TEMP könyvtárból.
A lehetséges automatikus triggerpontok teljes listájához kényelmesen használható speciális program Autoruns a SysinternalsSuite csomagból.
A blokkolók eltávolításának legegyszerűbb módja az MBRLock családból
A rosszindulatú programok nemcsak az operációs rendszer megfertőzésével szerezhetik meg az irányítást a számítógép felett, hanem azáltal is, hogy módosítják annak a meghajtónak a rendszerindító szektor bejegyzéseit, amelyről a rendszer indul. A vírus lecseréli az aktív partíció rendszerindító szektorának adatait a programkódjára, így a Windows helyett egy egyszerű program töltődik be, amely a szélhámosokért pénzt követelő ransomware üzenetet jelenítené meg. Mivel a vírus már a rendszer elindulása előtt átveszi az irányítást, egyetlen módja van annak megkerülésére - más adathordozóról (CD / DVD, külső meghajtó, stb.) minden olyan operációs rendszerben, ahol lehetőség van a rendszerindító szektorok programkódjának visszaállítására. A legegyszerűbb módja a Live CD / Live USB használata, amelyet általában a legtöbb vírusirtó cég ingyenesen biztosít a felhasználóknak (Dr. web élőben CD, Kaspersky Rescue Disk, Avast! Rescue Disk, stb.) A rendszerindító szektorok helyreállítása mellett ezek a termékek is képesek ellenőrizni a fájlrendszert rosszindulatú programok után, és eltávolítani vagy fertőtleníteni a fertőzött fájlokat. Ha nem lehetséges használni Ily módon, akkor bármelyik egyszerű letöltésével boldogulhatsz Windows verziók PE ( telepítő lemez, ERD Commander Rescue Disk) a normál rendszerindítás visszaállításához. Általában még a parancssor egyszerű elérése és a parancs végrehajtása is elegendő:
bootsect /nt60 /mbr
bootsect /nt60 /mbr E:> - az E meghajtó rendszerindító szektorainak visszaállítása: Ennek a meghajtónak a betűjelét kell használnia, amelyet a vírus által megsérült rendszer indítóeszközeként használnak.
vagy Windows Vista előtt
bootsect /nt52 /mbr
A bootsect.exe segédprogram nemcsak a rendszerkönyvtárakban, hanem bármely cserélhető adathordozón is megtalálható, a Windows család bármely operációs rendszerén futtatható, és lehetővé teszi a rendszerindító szektorok programkódjának visszaállítását a partíciós tábla befolyásolása nélkül, fájlrendszer. Az /mbr kapcsolóra általában nincs szükség, mert visszaállítja az MBR fő rendszerindító rekord programkódját, amit a vírusok nem módosítanak (talán még nem is módosítanak).
Egy egyszerű és kényelmes AVZ segédprogram, amely nemcsak segít, hanem tudja is, hogyan kell visszaállítani a rendszert. Miért van rá szükség?
A helyzet az, hogy a vírusok inváziója után (előfordul, hogy az AVZ ezreket öl meg) néhány program megtagadja a munkát, a beállítások eltűntek valahol, és a Windows valahogy nem működik megfelelően.
Leggyakrabban ebben az esetben a felhasználók egyszerűen újratelepítik a rendszert. De a gyakorlat azt mutatja, hogy ez egyáltalán nem szükséges, mert ugyanazon AVZ segédprogram segítségével szinte minden sérült programot és adatot visszaállíthat.
A világosabb kép érdekében teljes listát adok arról, hogy mit tud visszaállítani az AVZ.
Az anyagot az útmutatóból vettük át AVZ - http://www.z-oleg.com/secur/avz_doc/ (másolja ki és illessze be a böngésző címsorába).
Az adatbázis jelenleg a következő firmware-t tartalmazza:
1. Állítsa vissza az indítási opciók.exe, .com, .pif fájlokat
Ez a firmware visszaállítja a rendszer válaszát az exe, com, pif, scr fájlokra.
Használati javallatok: a vírus eltávolítása után a programok leállnak.
2. Állítsa vissza az Internet Explorer protokoll előtag beállításait szabványosra
Ez a firmware visszaállítja a protokoll előtag beállításait az Internet Explorerben
Használati javallatok: ha olyan címet ír be, mint például a www.yandex.ru, akkor a helyébe olyan cím kerül, mint a www.seque.com/abcd.php?url=www.yandex.ru
3. Az Internet Explorer kezdőlapjának visszaállítása
Ez a firmware visszaállítja a kezdőlapot az Internet Explorerben
Használati javallatok: kezdőoldal változtatás
4. Állítsa vissza az Internet Explorer keresési beállításait az alapértelmezettre
Ez a firmware visszaállítja a keresési beállításokat az Internet Explorerben
Használati javallatok: Ha rákattint a "Keresés" gombra az IE-ben, egy hívás érkezik egy idegen webhelyre
5. Állítsa vissza az asztali beállításokat
Ez a firmware visszaállítja az asztal beállításait.
A helyreállítás magában foglalja az összes aktív ActiveDesctop elem, háttérkép törlését, az asztali beállításokért felelős menü zárolásainak eltávolítását.
Használati javallatok: A „Megjelenítés tulajdonságai” ablakban eltűntek az asztali beállítások fülei, idegen feliratok vagy rajzok jelennek meg az asztalon
6. Az aktuális felhasználó összes szabályzatának (korlátozásának) eltávolítása
A Windows egy házirend nevű felhasználói műveletkorlátozó mechanizmust biztosít. Ezt a technológiát sok rosszindulatú program használja, mivel a beállításokat a rendszerleíró adatbázis tárolja, és könnyen létrehozható vagy módosítható.
Használati javallatok: A File Explorer funkciói vagy más rendszerfunkciók le vannak tiltva.
7. A WinLogon alatt megjelenő üzenet eltávolítása
A Windows NT és az NT sor további rendszerei (2000, XP) lehetővé teszik az indításkor megjelenő üzenet beállítását.
Ezt számos rosszindulatú program használja, és a rosszindulatú program megsemmisítése nem vezet az üzenet megsemmisüléséhez.
Használati javallatok: A rendszerindítás során egy idegen üzenet jelenik meg.
8. Az Explorer beállításainak visszaállítása
Ez a firmware számos File Explorer beállítást visszaállít az alapértelmezett beállításokra (a rosszindulatú programok által módosított beállításokat kell visszaállítani először).
Használati javallatok: Az Explorer beállításai megváltoztak
9. A rendszerfolyamat-hibakeresők eltávolítása
A rendszerfolyamat-hibakereső regisztrálása lehetővé teszi az alkalmazás láthatatlan elindítását, amelyet számos rosszindulatú program használ.
Használati javallatok: Az AVZ felismeri a rendszerfolyamatok fel nem ismert hibakeresőit, a rendszerelemek indításával kapcsolatos problémákat, különösen az asztal eltűnését az újraindítás után.
10. Állítsa vissza a rendszerindítási beállításokat csökkentett módban
Egyes rosszindulatú programok, például a Bagle féreg, megrongálják a rendszerindítási beállításokat védett módban.
Ez a firmware visszaállítja a rendszerindítási beállításokat védett módban. Használati javallatok: A számítógép nem indul el csökkentett módban (SafeMode). Ezt a firmware-t kell használni csak védett módban történő indítási problémák esetén .
11. Oldja fel a Feladatkezelőt
A Feladatkezelő blokkolását a rosszindulatú programok a folyamatok észlelésének és eltávolításának megakadályozására használják. Ennek megfelelően ennek a mikroprogramnak a végrehajtása megszünteti a zárolást.
Használati javallatok: A Feladatkezelő blokkolva, amikor megpróbálja felhívni a Feladatkezelőt, a „Feladatkezelőt letiltotta a rendszergazda” üzenet jelenik meg.
12. A HijackThis Ignore List törlése
A HijackThis segédprogram számos beállítást tárol a beállításjegyzékben, különösen a kizárások listáját. Ezért ahhoz, hogy álcázza magát a HijackThis elől, a rosszindulatú programnak csak a futtatható fájljait kell regisztrálnia a kizárási listán.
Jelenleg számos rosszindulatú programról ismert, hogy kihasználja ezt a biztonsági rést. Az AVZ firmware megtisztítja a HijackThis segédprogramok kizárási listáját
Használati javallatok: Felmerült a gyanú, hogy a HijackThis segédprogram nem jelenít meg minden információt a rendszerről.
13. A Hosts fájl törlése
A Hosts fájl megtisztítása annyit jelent, hogy meg kell keresni a Hosts fájlt, eltávolítani belőle az összes fontos sort, és hozzáadni a szabványos „127.0.0.1 localhost” sort.
Használati javallatok: Felmerült a gyanú, hogy a Hosts fájlt rosszindulatú program módosította. A tipikus tünetek a víruskereső szoftverek blokkolása.
A Hosts fájl tartalmát az AVZ-be épített Hosts fájlkezelővel szabályozhatja.
14. Az SPl/LSP beállítások automatikus korrekciója
Elvégzi az SPI-beállítások elemzését, és ha hibát talál, automatikusan kijavítja a talált hibákat.
Ez a firmware korlátlan számú alkalommal újraindítható. Javasoljuk, hogy a firmware futtatása után indítsa újra a számítógépet. Jegyzet! Ez a firmware nem futtatható terminálmunkamenetről
Használati javallatok: Az internet-hozzáférés a kártevő eltávolítása után megszűnt.
15. Állítsa vissza az SPI/LSP és a TCP/IP beállításokat (XP+)
Ez a firmware csak XP, Windows 2003 és Vista rendszeren működik. Működési elve az SPI/LSP és TCP/IP beállítások alaphelyzetbe állításán és újbóli létrehozásán alapul a Windowshoz mellékelt szabványos netsh segédprogrammal.
Jegyzet! Csak akkor használjon gyári visszaállítást, ha szükséges, ha a rosszindulatú programok eltávolítása után helyrehozhatatlan problémái vannak az internet-hozzáféréssel!
Használati javallatok: A rosszindulatú program eltávolítása után az internet-hozzáférés és a firmware „14. Az SPl/LSP beállítások automatikus javítása" nem működik.
16. Az Explorer indítóbillentyűjének visszaállítása
Visszaállítja a Fájlkezelő elindításáért felelős rendszerleíró kulcsokat.
Használati javallatok: Az Explorer nem indul el a rendszerindítás során, de lehetséges az explorer.exe manuális elindítása.
17. Oldja fel a Rendszerleíróadatbázis-szerkesztőt
Feloldja a Rendszerleíróadatbázis-szerkesztőt a futását megakadályozó házirend eltávolításával.
Használati javallatok: Nem lehet elindítani a Rendszerleíróadatbázis-szerkesztőt, próbálkozáskor egy üzenet jelenik meg arról, hogy az indítását a rendszergazda letiltotta.
18. SPI beállítások teljes újraalkotása
Biztonsági mentést végez az SPI/LSP beállításokról, majd megsemmisíti azokat és létrehozza az adatbázisban tárolt szabvány szerint.
Használati javallatok: Az SPI-beállítások súlyos károsodása, amelyet a 14. és 15. szkript nem javíthat. Csak szükség esetén jelentkezz!
19. Törölje az alap MountPoint-okat
Megtisztítja a MountPoints és a MountPoints2 adatbázist a beállításjegyzékben. Ez a művelet gyakran segít abban az esetben, ha egy Flash vírussal való fertőzés után a lemezeket nem lehet megnyitni az Explorerben
A helyreállítás végrehajtásához ki kell választania egy vagy több elemet, és kattintson a "Megjelölt műveletek végrehajtása" gombra. Az OK gombra kattintva bezárja az ablakot.
Megjegyzés:
A visszaállítás hiábavaló, ha egy trójai program fut a rendszeren, amely ilyen újrakonfigurálást végez – először el kell távolítania a rosszindulatú programot, majd vissza kell állítania a rendszerbeállításokat.
Megjegyzés:
A legtöbb gépeltérítő nyomainak eltüntetéséhez három firmware-t kell futtatnia: "Az Internet Explorer keresési beállításainak visszaállítása szabványosra", "Az Internet Explorer kezdőlapjának visszaállítása", "Az Internet Explorer protokoll előtag beállításainak visszaállítása szabványosra"
Megjegyzés:
Bármelyik firmware futtatható többször egymás után a rendszer károsodása nélkül. Kivételek – „5.
Asztali beállítások visszaállítása” (a firmware futtatása visszaállítja az összes asztali beállítást, és újra ki kell választania az asztal színét és háttérképét) és a „10.
Rendszerindítási beállítások visszaállítása csökkentett módban” (ez a firmware újra létrehozza a rendszerleíró kulcsokat, amelyek a csökkentett módban történő indításért felelősek).
A helyreállítás elindításához először töltse le, csomagolja ki és futtassa hasznosság. Ezután kattintson a Fájl - Rendszer-visszaállítás lehetőségre. Mellesleg azt is megteheti
Jelölje be a szükséges négyzeteket, és kattintson a Műveletek indítása gombra. Mindenki, várom a megvalósítást :-)
A következő cikkekben részletesebben megvizsgáljuk azokat a problémákat, amelyeket az avz firmware rendszer-helyreállítása segít megoldani. Szóval sok sikert neked.