Szerző:
Virginia Floyd
A Teremtés Dátuma:
6 Augusztus 2021
Frissítés Dátuma:
9 Lehet 2024
Tartalom
Egyéb szakaszokTermészetesen sok általános alkalmazást letöltött a kémprogramok eltávolítására, de a hülye férgek, billentyűzárak és kémprogramok helyzete még mindig elakadt a személyi számítógépén. Csak a fájlok biztonsági mentése és első látásra történő újratelepítés nem sokat segít, hajtsa végre ezeket a lépéseket. Tegye ezt gondosan és helyesen.
Lépések
- Kapcsolja ki a fertőzött számítógépet. Nyissa ki a tokot, és távolítsa el annak fő merevlemezét (azt, amely az operációs rendszer partícióját tartalmazza).
-
Ha rendelkezik USB / IEEE1394 külső meghajtó házzal, akkor a következő két lépés elvégzése helyett a fertőzött meghajtót csatlakoztathatja ahhoz. -
Kapcsolja ki a tiszta számítógépet. Nyissa ki a tokot, és csatlakoztassa a fertőzött meghajtót. -
Kapcsolja be a tiszta számítógépet. Győződjön meg róla, hogy a tiszta operációs rendszerbe indul, és nem a fertőzött meghajtóról! A legtöbb számítógépen van egy indítási választási menü, amelyhez az F11 vagy az ESC billentyű segítségével lehet hozzáférni, nem sokkal a bekapcsolás után. - Győződjön meg róla, hogy az összes fájlt látja. Miután a tiszta számítógép operációs rendszere elindult, ki akarja törölni a temp fájlokat a fertőzött meghajtóról a megkeresés megkönnyítése érdekében. Először azonban meg akarja tekinteni az összes fájlt, még a rejtett és a rendszerfájlokat is. Lépjen a "Vezérlőpult" -> "Mappa beállítások" elemre, és kattintson a "Mappa beállításai" ablak tetején található "Nézet" fülre. A következő lehetőségeket szeretné megváltoztatni:
- Bekapcsolás: Jelöljön be egy jelölőnégyzetet a Rendszermappák tartalmának megjelenítéséhez
- Bekapcsolás: Válassza ki a rejtett fájlok és mappák megjelenítéséhez
- Kikapcsolás: Törölje a jelet az ismert fájltípusok kiterjesztéseinek elrejtéséből.
- Kikapcsolás: Törölje a védett operációs rendszer fájlok elrejtésének jelölését (ajánlott)
- Vegye figyelembe a fertőzött meghajtó betűjelét. Valószínűleg E: vagy F: lesz, a tiszta számítógépben lévő merevlemezek, partíciók és CD / DVD-meghajtók számától függően. Tegyük fel, hogy a cikk F-meghajtójával foglalkozunk.
- Törölje az ideiglenes fájlmappákat. Az ideiglenes fájlmappák törlése után sokkal kevesebb fájl kereshető. Ez egy kicsit kevésbé fárasztóvá teszi a következő lépéseket. A következő helyek némelyike nem létezhet, mások némileg eltérő helyeken találhatók. Fontos, hogy megtalálja és törölje az összes böngésző (IE / Netscape / Firefox / Opera) gyorsítótárát, és törölje minden felhasználó számára! Ellenőrizze a következő mappákat, és törölje azok tartalmát, de ne magukat a könyvtárakat.
- F: TEMP
- F: Windows TEMP vagy F: WINNT Temp (Csak az NT4 és a Windows 2000 használja a "WinNT" szót)
- F: WINNT Profiles Felhasználónév Local Settings Temp
- F: WINNT Profiles Felhasználónév Local Settings Temporary Internet Files
- F: WINNT Profiles Felhasználónév Local Settings Application Data Mozilla Firefox Profiles SomeRandomName.default Cache
- F: Documents and Settings Felhasználónév Helyi beállítások Hőm
- F: Documents and Settings Felhasználónév Local Settings Temporary Internet Files
- F: Documents and Settings Felhasználónév Helyi beállítások Alkalmazásadatok Mozilla Firefox Profiles SomeRandomName.default Cache
- Győződjön meg róla, hogy a lomtárban nincsenek fájlok.
- Csak akkor próbáljon biztonsági másolatot készíteni a fertőzött meghajtóról a számítógép tiszta részén található mappába, ha van elegendő hely erre. Ha a teljes meghajtóról biztonsági másolatot készít, akkor azt kell tennie. Ellenkező esetben képesnek kell lennie a "Dokumentumok és beállítások" mappára ("Profilok" az NT4 alatt), és talán néhány számítógépes játék mappájára (néhány játék valóban tárolja a mentett játékokat, a térképeket, pontszámokat stb. a programmappájukban).
- Végezze el a számítógép teljesen víruskereső és kémprogram-ellenőrző programját. Remélhetőleg ez talál néhány dolgot a fertőzött F: meghajtón és eltávolítja őket.
- Töltse le és telepítse a Spybot Search and Destroy és a Lavasoft Adaware programokat. Fontos, hogy mindkét segédprogramot használja, mivel gyakran több rosszindulatú programot találnak együtt.
- Frissítse a definíciós fájlokat, amikor a rendszer kéri.
- Vizsgálja át a gépét (ez eltarthat egy ideig).
- Távolítsa el a talált kémprogramokat.
- Győződjön meg arról, hogy telepítve van egy víruskereső program és naprakész. Végezzen el teljes ellenőrzést a rendszerben, és távolítsa el a program által talált vírusokat, trójai programokat és férgeket.
- Amikor a rosszindulatú programok összes vizsgálata befejeződött, lépjen a "C: Program Files "(a tiszta PC-n lévő meghajtón), és másolja a Spybot, Ad-Aware és az antivírusok számára készült teljes programkönyvtárakat a meghajtón egy fertőzött új könyvtárba, az úgynevezett" F: Cleaners " Másolja ezen programok telepítőit az "F: Cleaners" mappába is. Később szükség lehet rájuk.
- Nyomja meg a Windows Key + F billentyűkombinációt a fájlkereső ablak megjelenítéséhez. Ha lát egy kis animációs kutyát, érdemes kikapcsolnia, mert sokkal idegesítőbbé teszi a keresést. Az általunk végrehajtott keresésekhez használni kívánt keresési opciók a "Minden fájl és mappa keresése", a következő "Speciális beállítások" be van kapcsolva:
- Keresés a rendszer mappáiban
- Rejtett fájlokban és mappákban kereshet
- Keresés az almappákban
- Csak az F-ben nézzen: meghajtó az " *. exe" fájlnak megfelelő fájlnevekhez, amelyeket az elmúlt héten módosítottak. Egyszerűen írja be az " *. Exe" szót: "csillag periódus exe", és adja meg az "utolsó héten belül" kifejezést. Érdemes megkeresni az "elmúlt hónap" kifejezést is, attól függően, hogy meddig fertőzött a számítógép.
- Futtassa a keresést. Hagyja futni, amíg be nem fejeződik.
- Vizsgálja meg a talált fájlokat. Néhányat felismerhet, különösen, ha nemrég telepített bizonyos programokat. Például, ha nemrég frissítette vagy telepítette a Lavasoft Ad-Aware szoftvert, akkor ezekben a listákban megjelenhet az "F: Program Files Lavasoft Ad-Aware SE Personal Ad-Aware.exe". Hagyja figyelmen kívül ezt a fájltípust. Az a fajta fájl, amelyet keres, általában az F: Windows system32 fájlban található, mérete kisebb, mint 100 KB, és olyan vicces neve van, mint "lkaljya.exe"
- Minden megtalált fájlt át kell helyezni egy ideiglenes könyvtárba, amíg meg nem tudja bizonyosodni arról, hogy azok jogosak-e. Például létrehozhat egy "F: karantén" mappát, és áthelyezheti őket egy "F: karantén Windows system32" almappába.
- Egyes rosszindulatú fájlok szintén el vannak rejtve az F: Windows system32 drivers könyvtárban, és olyan vicces neveik is lesznek, mint a "lkaljya.sys".
- Minden megtalált fájlt át kell helyezni egy ideiglenes könyvtárba, amíg meg nem tudja győződni arról, hogy jogszerűek-e. Például létrehozhat egy "F: karantén" mappát, és áthelyezheti őket egy "F: karantén Windows system32 meghajtók" almappába.
- Ha van hozzáférhető vírusirtó programja, akkor valójában panaszkodhat, hogy a gyanús fájl kiválasztásakor másodszor talált trójai programot. Ha mégis, akkor ne foglalkozzon karanténba helyezésével, csak hagyja, hogy az antivírus eltávolítsa.
- Különös figyelmet fordítson az *. Exe fájlokra, véletlenszerű vagy igényes nevekkel. Az igényes nevek azzal próbálnak fontosnak tűnni, hogy nagyon közel vannak a tényleges, valódi hasznos programokhoz. Például egy hasznos program az "svchost.exe", míg egy gyanús program lehet "scvhost.exe"
- A jó termékek és a rosszak azonosításának másik jó módja: kattintson a jobb gombbal a futtatható fájlra, és kattintson a "Tulajdonságok" elemre, majd válassza a "Verzió" fület (ha van ilyen). Ha a fájlt bármely vállalat digitálisan aláírja, akkor ezen a bizonyos fülön "Vállalat neve" tulajdonság lesz, például "Microsoft Corporation" vagy "Apple Computer Inc" vagy "Logitech" stb. Ezek a fájlok valószínűleg biztonságosak és biztonságosak és jó. Ha a fájl nincs aláírva, akkor vizsgálja meg tovább és így tovább.
- Ha kétségei vannak, keresse fel a Google-t, és írja be például a gyanús futtatható fájl teljes nevét: "scvhost.exe". Vizsgálja meg a keresési eredményeket. Gyakran olyan linkeket fog látni, mint "scvhost.exe, jó vagy rossz?" vagy "Mit csinál ez a fájl?" és láthatja, hogy ez egy szükséges fájl vagy egy veszélyes trójai program.
- Fordítson különös figyelmet minden olyan *. Exe fájlra, amelyet az F: windows system32 és (különösen) az F: Documents and Settings fájlban talál. A "Dokumentumok és beállítások" mappában valójában nem lehet sok / semmilyen futtatható fájl.
- Ismételje meg az előző lépést, de inkább a " *. Dll" mintának megfelelő fájlneveket keresse?.
- Ismételje meg az előző lépést, de ehelyett keresse meg a " *. Sys" mintának megfelelő fájlneveket.
- Ez az utolsó lépés meglehetősen bonyolult, de általában sikeres megszabadulni a legmakacsabb férgektől és trójaiaktól, annyira megvetendőek. Figyelj nagyon és nagyon figyelj, és ne cseszd el.
- Válassza a Start-> Futtatás parancsot, írja be a "regedit" parancsot, és nyomja meg az Enter billentyűt.
- Töltse be a "SZOFTVER" kaptárat a fertőzött számítógépről, és távolítsa el a "futtatás bejelentkezéskor" hibákat.
- Válassza a HKEY_LOCAL_MACHINE parancsot bal egérgombbal.
- Menjen a Fájl menübe, és kattintson a "Hive betöltése" gombra.
- Keresse meg az F: Windows System32 Config elemet, és töltse be a "SZOFTVER" nevű fájlt.
- Kulcsnevet fog kérni tőled. Írja be az "INFECTED_SOFTWARE" szót, és nyomja meg az Enter billentyűt.
- Kattintson a pluszjelre a HKEY_LOCAL_MACHINE oldalán, hogy felfedje az "INFECTED_SOFTWARE" kulcsát.
- Keresse meg a HKEY_LOCAL_MACHINE INFECTED_SOFTWARE Microsoft Microsoft Windows CurrentVersion Run parancsot.
- Készítsen biztonsági másolatot !!!!!! Kattintson a jobb gombbal a "Futtatás" elemre, válassza az "Adatok exportálása" lehetőséget, és mentse el az "INFECTED_SOFTWARE, RUN.reg" fájlt a karantén mappájába. Ne feledje, hogy ha később vissza kell állítania ezt a biztonsági másolatot, akkor a fertőzött a számítógép még mindig fut, meg kell nyitnia a reg fájlt egy szövegszerkesztőben, és kissé meg kell változtatnia a kulcs elérési útját. A HKEY_LOCAL_MACHINE INFECTED_SOFTWARE-t például HKEY_LOCAL_MACHINE SOFTWARE-re kell változtatni. Ha egyszerűen vissza kívánja állítani ezt a reg fájlt, miközben a tiszta számítógépen fut, akkor nem kell szerkesztenie ezt a fájlt; csak 100% -osan győződjön meg arról, hogy a kaptár még mindig betöltve van, és kattintson duplán a reg fájlra, hogy újból beilleszthesse annak kulcsait / értékeit a megfelelő helyekre.
- A jobb oldali ablaktáblában látnia kell a # bejegyzés sok listáját. Ezek egy része tartalmazhat olyan programokat, mint a Java Update, az AOL Instant Messenger, az MSN Messenger / Windows Live Messenger, az ICQ, a Trillian, az nVidia / ATI illesztőprogramok, a hangillesztők, a billentyűzet / egér illesztőprogramjai, a víruskereső, a tűzfal szoftverek stb.
- Még egyszer használd a legjobb megítélésedet és a korábban leírt módszereket a jó és a rossz megkülönböztetésére. Ha megállapítja, hogy valami rossz, ragadja meg a kulcsra mutatott EXE fájlt, dobja be a karantén mappába, és törölje a kulcsot. Később bármikor visszaállíthatja a rendszerleíró adatbázis biztonsági másolatával.
- Ugyanezeket a lépéseket hajtsa végre a "RunOnce" és a "RunOnceEx" alatt, közvetlenül a "Run" gomb mellett. Lehet, hogy nincs bennük bejegyzés.
- Ha végzett, fontos, hogy rákattint az "INFECTED_SOFTWARE" elemre, majd a Fájl menübe válassza a "Hive mentése" lehetőséget.
- Töltse be a "DEFAULT" kaptárat a fertőzött számítógépről (F: Windows System32 Config DEFAULT), és távolítsa el a "bejelentkezéskor futtatott" hibákat. Ugyanazokat a lépéseket hajtsa végre, mint a "SZOFTVER" lépésben. Megjegyzés: a "DEFAULT" kaptárban még lehet, hogy nincs "Run" kulcs. Ha ez a helyzet, hagyja ki. Ha végzett, feltétlenül töltse le az „INFECTED_DEFAULT” elemet.
- Töltse be az egyes felhasználók kaptárát a fertőzött meghajtóról. A kaptárat az F: Documents and Settings Felhasználónév NTUSER.DAT címen találja meg - töltse be "INFECTED_USERNAME" néven, majd a hibás bejegyzések esetén menjen át a "Run / RunOnce / RunOnceEx" kulcsokon. Már ismeri a fúrót, igaz? Ne felejtse el kirakni az egyes kaptárakat, ha elkészült.
- Ha külső merevlemez-burkolatot használ, akkor a "Hardver biztonságos eltávolítása" segítségével távolítsa el azt a számítógépről, kapcsolja ki, majd távolítsa el a (remélhetőleg mára) megtisztított meghajtót. Ellenkező esetben le kell kapcsolnia a tiszta számítógépet, és ki kell vennie a megtisztított meghajtót a tokból.
- Telepítse újra a megtisztított meghajtót a saját tokjában, és kapcsolja be a megtisztított számítógépet.
- Ha a számítógépe ezen a ponton teljesen elutasítja az indítást, lehet, hogy nincs más választása, mint a meghajtó tisztára törölése és a Windows újratelepítése. Mielőtt ezt megtenné, győződjön meg róla, hogy minden biztonsági másolatot készít, és minden újratelepített CD-jét és licenckulcsát kéznél van.
- Ha számítógépe elindul, azonnal futtassa a kémprogram-elhárító programokat a "Tisztítók" mappában. Ha maradt kémprogram a számítógépén, valószínűleg ezen a ponton gyengült állapotban van, és most megadhatja magát. Futtassa a jelenleg telepített víruskereső programot is, vagy próbálja meg futtatni a vírusirtó programot a "Cleaners" mappából; lehet, hogy nem működik.
- Ha biztos abban, hogy eltávolított minden rosszindulatú programot, folytathatja a Windows telepítését. Ha azonban a teljesítmény elfogadhatatlan, akkor nincs más választása, mint újratelepíteni. Egyes rosszindulatú programok annyira kitartóak, hogy kevesebb erőfeszítést jelent, ha egyszerűen tiszta lappal kezdjük az egészet.
Közösségi kérdések és válaszok
Tippek
- A Windows NT és a Windows 2000 "WINNT" mappát használ a "WINDOWS" mappa helyett.
- Sokkal könnyebb módszer a fertőzött Windows számítógép Linuxos indítása CD-n vagy USB-meghajtón. Ezután futtasson egy Windows víruskereső programot, miközben a számítógépet Linux operációs rendszerrel üzemelteti. Sok régebbi számítógép könnyen futtathatja a biztonságos Linuxot és a legtöbb feladatot ellátó Linuxot.
- Teljesen kerülje a warez, crack és porn webhelyeket (hacsak nem Unix alapú operációs rendszert futtat, mint például Linux vagy Solaris) - ezek melegágyak a számítógép megfertőzéséhez. Ha szükséges, akkor használja a Firefoxot, ha az Adblock és a Noscript be van kapcsolva.
- Valószínűleg a Windows 95/98 / ME, főleg a 95-ös és a 98-as kisebb mértékben nem érdemes javítani. Csak készítsen biztonsági másolatot, tisztítsa meg és telepítse újra.
- Ha nincs másik számítógépe, szerezze be a Malwarebytes Chameleont. Ez megszünteti a futó vírusokat.
- Amikor új számítógépet kap, állítsa be kettős rendszerindításként. Ez azt jelenti, hogy két operációs rendszert kell telepíteni ugyanarra a számítógépre. Amikor a Windows vírusfertőzésbe kerül, választhatja a számítógép indítását a másik operációs rendszerrel, és elvégezheti a javítást. Az Ubuntu a Linux egyik típusa, amely megkönnyíti ezt a telepítést.
Figyelmeztetések
- Csak akkor törölje a fájlokat, ha biztos benne, hogy rosszak. Helyezze őket egy speciális karantén mappába, de bizonyosodjon meg arról, hogy nem engedi meg, hogy bármit is megfertőzzenek, ha kiderül, hogy nem ilyen jóindulatú. Hagyja a víruskereső / kémprogram-elhárító szoftver számára, hogy karanténba helyezze a fájlokat, ahol csak lehetséges, ahelyett, hogy törölné őket.
- Ne töltsön le fényes, pislogó szalaghirdetésekben hirdetett szoftvert. Ez valószínűleg megfertőz.
- A fájlokra kattintva legyen óvatos. Ne kattintson duplán, nem akarja megfertőzni a tiszta számítógépét! Ha az egyetlen kattintással megnyitja a fájlmegnyitást, kapcsolja ki, mielőtt a fertőzött meghajtót böngészné.
- Megfertőződhet egy MBR rootkit. Ezek viszonylag könnyen javíthatók, de a tanulási görbe meredek lehet. MBR rootkitek a merevlemez Master Boot Record-jában található. Még a Windows indítása előtt elindítanak rosszindulatú programokat. Nagyon lopakodnak.
- A rootkit eltávolításához használjon olyan programot, mint a Norton Power Eraser a rootkit vizsgálat futtatásához.
Amire szüksége lesz
- Egy másik számítógép. Ez a folyamat csak akkor fog működni, ha meg tudja ölni a kémprogramokat, amíg azok inaktívak.