Tartalom
Ön elvégezte az összes hagyományos intézkedést, kipróbálta az Ad-Aware-t, a Spybotot és a HijackThis-t, és még mindig van spyware a számítógépen. És most? Megpróbálhatja követni ezt a kézi eltávolítási útmutatót. Nem kezdőknek szól, és kevésbé is könnyű fájlokat készíteni, a merevlemez formázását és a Windows újratelepítését egyszerűbbé tenni. Ennek a módszernek a használatához teljes hozzáférésre van szüksége egy tiszta számítógéphez, hogy megjavítsa a fertőzött számítógépet.
Lépések
- Kapcsolja ki a fertőzött számítógépet. Nyissa ki a tokot, és távolítsa el a fő merevlemez-meghajtót (amely tartalmazza a partíciót az operációs rendszerrel).
-
Ha rendelkezik USB / IEEE1394 külső merevlemez-tokkal, akkor a következő két lépés helyett a fertőzött meghajtót a tiszta számítógéphez csatlakoztathatja. - Tisztítsa le a számítógépet. Nyissa meg a tokot, és csatlakoztassa a fertőzött lemezt.
-
Kapcsolja be a számítógépet. Teljesen biztos, hogy a tiszta operációs rendszerből indul, nem pedig a fertőzött lemezről! A legtöbb számítógép rendelkezik egy indítási menüvel, amely az F11 vagy az Esc megnyomásával érhető el, közvetlenül a bekapcsolás után. -
Győződjön meg arról, hogy az összes fájlt látja. Miután elindult a tiszta számítógép operációs rendszere, törölnie kell a fertőzött lemezen lévő ideiglenes fájlokat a keresés megkönnyítése érdekében. Először azonban meg kell néznie az összes fájlt, még a rejtett és a rendszerfájlokat is. Lépjen a "Vezérlőpult" -> "Mappabeállítások" elemre, majd kattintson a "Nézetmód" fülre a "Mappabeállítások" ablak tetején. A következő beállításokat módosítania kell:- Jelölje be a Rendszermappák tartalmának megjelenítése lehetőséget
- Jelölje be a Mappák és a rejtett fájlok és mappák megjelenítése lehetőséget
- Távolítsa el az ismert fájltípusok kiterjesztéseinek elrejtése opciót
- Törölje a védett operációs rendszerfájlok elrejtése jelölőnégyzetet.
- Vegye figyelembe a fertőzött lemez betűjét. Valószínűleg E: vagy F: a tiszta számítógépén lévő merevlemezek, partíciók és CD / DVD meghajtók számától függően. Tegyük fel, hogy az útmutató F-lemezével foglalkozunk.
- Tisztítsa meg az ideiglenes fájlmappákat. Az ideiglenes fájlmappák tisztítása után sokkal kevesebb fájl lesz beolvasható. Ennek a következő lépéseket kevésbé fárasztóvá kell tennie. A következő mappák némelyike nem létezik, mások eltérő helyeken találhatók. Fontos, hogy minden felhasználónál megtalálja és törölje az összes böngésző (IE / Netscape / Firefox / Opera) gyorsítótárát! Ellenőrizze a következő mappákat, és törölje azok tartalmát, de ne a mappákat.
- F: TEMP
- F: Windows TEMP vagy F: WINNT Temp (Csak az NT4 és a Windows 2000 használja a "WinNT")
- F: WINNT profilok felhasználónév helyi beállítások ideiglenes
- F: WINNT profilok felhasználónév helyi beállítások ideiglenes internetes fájlok
- F: WINNT Profilok Felhasználónév Helyi beállítások Alkalmazási adatok Mozilla Firefox Profilok SomeRandomName.default Gyorsítótár
- F: Dokumentumok és beállítások Felhasználónév Helyi beállítások Temp
- F: Dokumentumok és beállítások Felhasználónév Helyi beállítások Ideiglenes internetes fájlok
- F: Dokumentumok és beállítások Felhasználónév Helyi beállítások Alkalmazási adatok Mozilla Firefox Profilok SomeRandomName.default Gyorsítótár
- Ellenőrizze, hogy a kuka üres-e.
- Próbáljon biztonsági másolatot készíteni a fertőzött lemezről a számítógép egy tiszta mappájára, ha van szabad hely. Ha a teljes lemezről biztonsági másolatot készíthet, akkor tegye meg. Ellenkező esetben elegendő, ha csak a „Dokumentumok és beállítások” mappát, és talán néhány játékmappát is készíthet biztonsági másolatot (néhány játék az elmentett játékokat, térképeket, eredmények stb. Tárolja a programmappában).
- Komplett szkennelés a vírusirtó és kémprogram-elhárító programokkal a számítógépen. Remélhetőleg ez meg fogja találni a fertőzött F: lemezzel kapcsolatos problémákat és eltávolítja azokat.
- Töltse le és telepítse a Spybot Search and Destroy és a Lavasoft Adaware szoftvereket. Fontos, hogy mindkét programot használja, mivel együttes használatakor általában több rosszindulatú programot találnak meg.
- Frissítse a definíciós fájlokat, amikor a rendszer kéri.
- Vizsgálja át számítógépét (ez eltarthat egy ideig).
- Távolítsa el a megtalált kémprogramokat.
- Ellenőrizze, hogy van-e telepítve és frissítve víruskereső program. Végezzen teljes rendszer-ellenőrzést, és távolítsa el a talált vírusokat, trójai és férgeket.
- Amikor az összes szkennelés befejeződött, lépjen a „C: Program Files "(a tiszta számítógép lemezen), és másolja a Spybot, Ad-Aware és az antivírus program teljes mappáit a fertőzött lemez új mappájába," F: Clean ". Másolja a telepítő fájlokat a ezt a mappát, később szüksége lehet rájuk.
- A fájlkeresési ablak megnyitásához nyomja meg a WindowsKey + F gombot. Ha megjelenik egy kis rajz egy kutyáról, akkor az a legjobb, ha bezárja, mert ez még jobban irritálja a keresési folyamatot. Az elvégzendő keresésekhez az "Összes mappában és fájlban való keresés" opciót kell használni, a következő "Speciális beállítások" engedélyezve:
- Keresési rendszer mappákban
- Rejtett fájlok és mappák keresése
- Keresés almappákban
- Csak az F lemezen nézzen: az ". exe" fájlt tartalmazó fájlnevekkel, amelyeket az elmúlt héten módosítottak. Írja be a " *. Exe" kifejezést, és adja meg a "az elmúlt héten" lehetőséget. Kipróbálhatja a „múlt hónapban” való keresést is, attól függően, hogy a számítógép milyen hosszú ideig fertőzött.
- Futtassa a keresést, és várja meg, amíg befejeződik.
- Vizsgálja meg a talált fájlokat. Néhányat felismerheti, különösen, ha néhány programot nemrég telepített. Például, ha nemrég telepítette vagy frissítette a Lavasoft Ad-Aware szoftvert, láthatja az "F: Program Files Lavasoft Ad-Aware SE Personal Ad-Aware.exe" listát ebben a listában. Hagyja figyelmen kívül az ilyen típusú fájlt. A keresett fájltípus általában F: Windows system32, kevesebb mint 100KB méretű és furcsa névvel, például "lkaljya.exe".
- A talált fájlokat át kell helyezni egy ideiglenes mappába, amíg meg nem tudja győződni arról, hogy azok jogszerűek. Létrehozhat például egy "F: karantén" mappát, és áthelyezheti őket egy "F: karantén Windows system32" almappába.
- Néhány rosszindulatú fájl el lehet rejtve az F: Windows system32 illesztőprogram mappában, és furcsa nevekkel is rendelkeznek, mint például "lkaljya.sys".
- A talált fájlokat át kell helyezni egy ideiglenes mappába, amíg meg nem tudja győződni arról, hogy azok jogszerűek. Létrehozhat például egy "F: karantén" mappát, és áthelyezheti őket egy "F: karantén Windows system32 illesztőprogramok" almappába.
- Ha van egy víruskereső program, amely azt jelzi, hogy fenyegetést talált, amikor a gyanús fájlt választotta ki. Ha ez történik, ne pazarolja az időt a fájl áthelyezésére a karantén mappába, hagyja, hogy az antivírus törölje.
- Különös figyelmet kell fordítani a *. Véletlenszerű vagy igényes nevekkel rendelkező exe fájlokra. Az igényes nevek fontosnak tűnnek, mivel hasonlítanak a valódi programnevekhez. Például egy legitim program az "svchost.exe", míg egy gyanús program az "scvhost.exe".
- Egy másik jó módszer a legitim programok megkülönböztetésére a káros programoktól: kattintson a jobb gombbal a futtatható fájlra, válassza a "Tulajdonságok", majd a "Verzió" fület (ha van). Ha a fájlt egy cég digitálisan aláírja, akkor ezen a lapon "Cégnév" tulajdonsággal rendelkezik, például "Microsoft Corporation" vagy "Apple Computer Inc" vagy "Logitech" stb. Ezek a fájlok valószínűleg jogszerűek. Ha a fájl nincs aláírva, folytatnia kell a vizsgálatot.
- Ha kétségei vannak, lépjen a Google-ba, és írja be például a gyanús futtatható fájl teljes nevét: "scvhost.exe". Tekintse át a keresési eredményeket. Gyakran olyan linkeket fog látni, mint "scvhost.exe, jó vagy rossz?" vagy "Mit csinál ez a fájl?" és láthatja, hogy szükséges fájl-e.
- Különös figyelmet kell fordítania minden *. Exe fájlra, amelyet az F: Windows system32 könyvtárban és (különösen) az F: Dokumentumok és beállítások bárhol található. A "Dokumentumok és beállítások" mappában nem lehet sok (vagy egyáltalán) végrehajtható fájl.
- Ismételje meg az előző lépést, de keresse meg a " *. Dll" mintájú fájlneveket.
- Ismételje meg az előző lépést, de keresse meg a " *. Sys" mintájú fájlneveket.
- Ez az utolsó lépés bonyolultabb, de általában még a legsúlyosabb veszélyeket is képes megtisztítani. Figyelem, és ne hagyja ki.
- Lépjen a Start-> Futtatás elemre, írja be a „regedit” lehetőséget, és nyomja meg az Enter billentyűt.
- Töltse be a fertőzött számítógép "SZOFTVER" szakaszát, és távolítsa el a helytelen "futtatás bejelentkezéskor" rekordokat.
- Válassza ki a HKEY_LOCAL_MACHINE elemet, ha rákattint a bal oldali gombra.
- Lépjen a Fájl menübe, és válassza a „Szekció betöltése” lehetőséget.
- Keresse meg az F: Windows System32 Config menüpontot, és válassza a „SZOFTVER” nevű fájlt.
- Meg kell adnia a kulcsnevet. Írja be az "INFECTED_SOFTWARE" kifejezést, és nyomja meg az Enter billentyűt.
- Kattintson a HKEY_LOCAL_MACHINE melletti pluszjelre az "INFECTED_SOFTWARE" gomb feltárásához.
- Keresse meg a HKEY_LOCAL_MACHINE INFECTED_SOFTWARE Microsoft Windows CurrentVersion Run mappát.
- Készítsen biztonsági másolatot! Kattintson a jobb gombbal a "Futtatás" elemre, válassza az "Adatok exportálása" lehetőséget, és mentse a fájlt "INFECTED_SOFTWARE, RUN.reg" néven a karantén mappába. Vegye figyelembe, hogy ha később vissza kell állítania ezt a biztonsági másolatot, miközben a fertőzött számítógép fut, akkor a reg fájlt meg kell nyitnia egy szövegszerkesztőben, és egy apró változtatást kell végrehajtania a kulcs elérési útjában. A HKEY_LOCAL_MACHINE INFECTED_SOFTWARE-t például HKEY_LOCAL_MACHINE SOFTWARE-ra kell cserélni. Ha azt szeretné, hogy azonnal visszaállítsa a reg fájlt, miközben a tiszta számítógépen dolgozik, akkor nem kell szerkesztenie, csak győződjön meg arról, hogy a szakasz még mindig betöltődött, és kattintson duplán a reg fájlra, hogy újból beillesztse az értékeit a megfelelő helyekre.
- A jobb oldali lapon látnia kell a bejegyzések listáját. Ide tartoznak a Java frissítés, az AOL Instant Messenger, az MSN Messenger / Windows Live Messenger, az ICQ, a Trillian, az nVidia / ATI illesztőprogramok, a hangillesztők, a billentyűzet / egér illesztőprogramjai, az antivírusok, a tűzfal szoftverei stb.
- Gyakoroljon jó megfontolást, és használja a fent leírt módszereket a jó és a rossz elválasztására. Ha úgy gondolja, hogy valami nincs rendben, akkor vegye be a kulcs által feltüntetett EXE fájlt, és dobja egy mappába a karantén érdekében. Távolítson el minden gombot. A rendszer később bármikor helyreállíthatja a rendszerleíró adatbázis biztonsági másolatát.
- Ugyanazokat a lépéseket hajtsa végre a "RunOnce" és a "RunOnceEx" pontokban, a "Run" gomb mellett. Lehet, hogy vannak bejegyzéseik, vagy nem.
- Ha befejezte, fontos, hogy kattintson az „INFECTED_SOFTWARE” elemre, lépjen a Fájl menüre, és válassza a „Letöltés szakasz” lehetőséget.
- Töltse be a "DEFAULT" részt a fertőzött számítógépről (F: Windows System32 Config DEFAULT), és távolítson el minden rossz "bejelentkezéshez" rekordot. Használja ugyanazokat a lépéseket, mint a "SZOFTVER". Megjegyzés: Lehet, hogy a "DEFAULT" szakaszban nincs "Run" bejegyzés. Ha igen, hagyja ki ezt a részt. Töltse le az "INFECTED_DEFAULT" -t, amikor kész.
- Töltse be a fertőzött lemez minden felhasználói szakaszát. A szekciót itt találja: F: Dokumentumok és beállítások Felhasználónév NTUSER.DAT - töltse fel "INFECTED_NOMEDEUSUARIO" néven, és ellenőrizze a "Run / RunOnce / RunOnceEx" billentyűket. Már ismeri az eljárást, igaz? Ne felejtse el letölteni az egyes szakaszokat, amikor elkészült.
- Ha külső merevlemez-meghajtót használ, akkor a "Hardver biztonságos eltávolítása" segítségével távolítsa el a számítógépről, kapcsolja ki, és távolítsa el az újonnan megtisztított lemezt (vagy reméljük, hogy mégis). Egyébként le kell állítania a számítógépet, és le kell vennie a lemezt a tokból.
- Telepítse újra a tiszta lemezt az eredeti tokjába, és kapcsolja be a számítógépet.
- Ha a számítógép ezen a ponton megtagadja a rendszerindítást, akkor lehet, hogy nincs más választása, mint a lemez formázása és a Windows újratelepítése. Mielőtt ezt megtenné, győződjön meg arról, hogy biztonsági másolatot készített a fájljairól és a telepítő CD-ről.
- Ha a számítógép megfelelően indul, akkor azonnal indítsa el a víruskereső programokat a "Tisztítás" mappában. Ha még mindig vannak fenyegetések a számítógépen, akkor azok valószínűleg sebezhetőbb állapotban vannak, és most eltávolíthatók. Futtassa a számítógépére telepített víruskereső programot, vagy próbálja meg a víruskereső programot a „Tisztítás” mappából futtatni - előfordulhat, hogy nem működik.
- Ha biztos benne, hogy eltávolította az összes fenyegetést, folytathatja a Windows telepítését. Ha a teljesítmény romlik, akkor lehet, hogy nincs más választása, mint a rendszer újratelepítése. Egyes rosszindulatú programok annyira kitartóak, hogy praktikusabb egy új rendszerrel kezdeni.
tippek
- Ha nincs másik számítógépe, töltse le a Malwarebytes Chameleon fájlt. Ez a program leállítja a http://www.malwarebytes.org/downloads/#tools> Malwarebytes Chameleon futó vírusokat
- Amikor új számítógépet vásárol, állítsa be kettős kettős rendszerindítással. Ez azt jelenti, hogy két különböző operációs rendszert kell telepíteni ugyanarra a számítógépre. Amikor a Windows vírussal fertőzött, dönthet úgy, hogy a számítógépet a másik operációs rendszerrel indítja el, és elvégezheti a tisztítást. Az Ubuntu a Linux egyik típusa, amely megkönnyíti az ilyen típusú telepítést. http://www.ubuntu.com
- Sokkal könnyebb módszer a Linux-verzióval fertőzött Windows számítógép indítása CD-n vagy USB-meghajtón. Ezután futtasson egy víruskereső programot a Windows számára, miközben a számítógépet Linux operációs rendszerrel működteti. Sok régebbi számítógép könnyen futtathatja a Linuxot, amely biztonságosabb és a legtöbb feladatot képes elvégezni.
- A Windows 95/98 / ME valószínűleg nem érdemes megjavítani. Biztonsági mentés, törlés és újratelepítés.
- Teljesen kerülje a pornográf és kalóz fájlokat tartalmazó webhelyeket (kivéve, ha Unix-alapú rendszert használ, például Linuxot vagy Solarist) - tele vannak fenyegetésekkel a számítógép megfertőzésére. Ha nem tud segíteni, akkor használja a Firefoxot, ha az Adblock és a Noscript engedélyezve van.
- A Windows NT és a Windows 2000 "WINNT" mappát használ a "WINDOWS" mappa helyett.
figyelmeztetések
- Megfertőzheti egy MBR rootkit-et. Ezeket viszonylag könnyű megjavítani, de a tanulási görbe meredek lehet. Az MBR rootkit a merevlemez indító szektorában található, és a Windows indítása előtt rosszindulatú programokat futtat. Nagyon lopakodók.
- Ne töltsön le fényes, feltűnő hirdetésekben hirdetett programokat. Ez valószínűleg megfertőzi a számítógépet.
- Legyen óvatos, amikor a fájlokra kattint. Ne kattintson duplán, nem akarja megfertőzni a számítógépét! Ha lehetősége van a fájlok egyetlen kattintással történő megnyitására, kapcsolja ki a fertőzött lemez megnyitása előtt.
- Ne töröljön fájlokat anélkül, hogy megbizonyosodott arról, hogy ártalmasak-e. Tegye őket egy speciális karanténmappába, de ügyeljen arra, hogy nem tudnak többet megfertőzni, ha végül nem olyan ártatlanok. Hagyja, hogy a víruskereső / kémprogram-elhárító programok karanténba helyezzék a fájlokat ahelyett, hogy személyesen törölnék őket.
Szükséges anyagok
- Egy másik számítógép. Ez a folyamat valójában nem fog működni, ha nem tudja eltávolítani a kémprogramokat inaktív állapotban.