Restauration du système. Nous réparons et optimisons à l'aide du programme AVZ Comment restaurer le système à l'aide d'avz

Les programmes antivirus, même lorsqu'ils détectent et suppriment des logiciels malveillants, ne restaurent pas toujours l'intégralité des fonctionnalités du système. Souvent, après avoir supprimé un virus, un utilisateur d'ordinateur reçoit un bureau vide, une absence totale d'accès à Internet (ou l'accès à certains sites est bloqué), une souris non fonctionnelle, etc. Cela est généralement dû au fait que certains paramètres système ou utilisateur modifiés par le programme malveillant restent intacts.

L'utilitaire est gratuit, fonctionne sans installation, est étonnamment fonctionnel et m'a aidé dans diverses situations. En règle générale, un virus apporte des modifications au registre système (ajout au démarrage, modification des paramètres de lancement du programme, etc.). Afin de ne pas plonger dans le système en corrigeant manuellement les traces du virus, il vaut la peine d'utiliser l'opération "restauration du système" disponible dans AVZ (bien que l'utilitaire soit très, très bon comme antivirus, il est très bon de vérifier les disques pour les virus avec l'utilitaire).

Pour démarrer la récupération, exécutez l'utilitaire. Cliquez ensuite sur fichier - restauration du système

et une telle fenêtre s'ouvrira devant nous

cochez les cases dont nous avons besoin et cliquez sur « Effectuer les opérations sélectionnées »

Ce firmware restaure la réponse du système à fichiers exe, com, pif, scr.

Indications pour l'utilisation: Une fois le virus supprimé, les programmes cessent de fonctionner.

Ce firmware restaure les paramètres de préfixe de protocole dans Internet Explorer

Indications pour l'utilisation: lorsque vous entrez une adresse comme www.yandex.ru, elle est remplacée par quelque chose comme www.seque.com/abcd.php?url=www.yandex.ru

Ce firmware restaure la page de démarrage dans Internet Explorer

Indications pour l'utilisation: substitution page d'accueil

Ce firmware restaure les paramètres de recherche dans Internet Explorer

Indications pour l'utilisation: Lorsque vous cliquez sur le bouton « Rechercher » dans IE, vous êtes dirigé vers un site tiers.

Ce firmware restaure les paramètres du bureau. La restauration implique la suppression de tous les éléments ActiveDesctop actifs, du fond d'écran et le déblocage du menu responsable des paramètres du bureau.

Indications pour l'utilisation: Les signets des paramètres du bureau dans la fenêtre « Propriétés d'affichage » ont disparu ; des inscriptions ou des images superflues sont affichées sur le bureau.

Windows fournit un mécanisme permettant de restreindre les actions des utilisateurs, appelé stratégies. De nombreux logiciels malveillants utilisent cette technologie car les paramètres sont stockés dans le registre et sont faciles à créer ou à modifier.

Indications pour l'utilisation: Les fonctions de l'explorateur ou d'autres fonctions système sont bloquées.

Windows NT et les systèmes ultérieurs de la gamme NT (2000, XP) vous permettent de définir le message affiché au démarrage. Un certain nombre de personnes l'utilisent malware, et la destruction du programme malveillant n'entraîne pas la destruction de ce message.

Indications pour l'utilisation: Un message superflu est entré lors du démarrage du système.

Ce micrologiciel réinitialise un certain nombre de paramètres de l'Explorateur aux paramètres standard (les paramètres modifiés par un logiciel malveillant sont d'abord réinitialisés).

Indications pour l'utilisation: Paramètres de l'explorateur modifiés

L'enregistrement d'un débogueur de processus système vous permettra de lancement caché application, qui est utilisée par un certain nombre de logiciels malveillants

Indications pour l'utilisation: AVZ détecte les débogueurs de processus système non identifiés, des problèmes surviennent lors du lancement des composants du système, en particulier, le bureau disparaît après un redémarrage.

Certains malwares, notamment le ver Bagle, corrompent les paramètres de démarrage du système en mode protégé. Ce firmware restaure les paramètres de démarrage en mode protégé.

Indications pour l'utilisation: .

Le blocage du Gestionnaire des tâches est utilisé par les logiciels malveillants pour protéger les processus contre la détection et la suppression. En conséquence, l'exécution de ce microprogramme supprime le verrou.

Indications pour l'utilisation: Le gestionnaire de tâches est bloqué ; lorsque vous essayez d'appeler le gestionnaire de tâches, le message « Le gestionnaire de tâches est bloqué par l'administrateur » s'affiche.

L'utilitaire HijackThis stocke un certain nombre de ses paramètres dans le registre, notamment une liste d'exceptions. Par conséquent, pour se camoufler de HijackThis, le programme malveillant n'a besoin que d'enregistrer ses fichiers exécutables dans la liste d'exclusion. DANS actuellement Un certain nombre de programmes malveillants exploitent cette vulnérabilité. Le micrologiciel AVZ efface la liste d'exceptions de l'utilitaire HijackThis

Indications pour l'utilisation: On soupçonne que l'utilitaire HijackThis n'affiche pas toutes les informations sur le système.

13. Nettoyage du fichier Hosts

Nettoyer le fichier Hosts implique de trouver le fichier Hosts, de supprimer toutes les lignes importantes et d'ajouter la ligne standard « 127.0.0.1 localhost ».

Indications pour l'utilisation: On soupçonne que le fichier Hosts a été modifié par un logiciel malveillant. Les symptômes typiques bloquent la mise à jour des programmes antivirus. Vous pouvez contrôler le contenu du fichier Hosts à l'aide du gestionnaire de fichiers Hosts intégré à AVZ.

Effectue une analyse des paramètres SPI et, si des erreurs sont détectées, corrige automatiquement les erreurs trouvées. Ce firmware peut être réexécuté un nombre illimité de fois. Après avoir exécuté ce firmware, il est recommandé de redémarrer votre ordinateur.

Indications pour l'utilisation: Après avoir supprimé le programme malveillant, j'ai perdu l'accès à Internet.

Ce firmware ne fonctionne que sous XP, Windows 2003 et Vista. Son principe de fonctionnement est basé sur la réinitialisation et la recréation des paramètres SPI/LSP et TCP/IP à l'aide de l'utilitaire netsh standard inclus dans Windows. Note! Vous ne devez utiliser une réinitialisation d'usine que si nécessaire si vous rencontrez des problèmes irrécupérables avec l'accès à Internet après la suppression des logiciels malveillants !

Indications pour l'utilisation: Après avoir supprimé le programme malveillant, accès à Internet et exécution du firmware « 14. La correction automatique des paramètres SPl/LSP ne fonctionne pas.

Restaure les clés de registre système responsables du lancement de l'Explorateur.

Indications pour l'utilisation: Lors du démarrage du système, l'Explorateur ne démarre pas, mais il est possible de lancer explorer.exe manuellement.

Débloque l'Éditeur du Registre en supprimant la stratégie qui l'empêche de s'exécuter.

Indications pour l'utilisation: Il est impossible de démarrer l'Éditeur du Registre ; lorsque vous essayez, un message s'affiche indiquant que son lancement est bloqué par l'administrateur.

Effectue sauvegarde Paramètres SPI/LSP, après quoi il les détruit et les crée selon la norme stockée dans la base de données.

Indications pour l'utilisation:

Nettoie la base de données MountPoints et MountPoints2 dans le registre. Cette opération est souvent utile lorsque, après une infection par un virus Flash, les disques ne s'ouvrent pas dans l'Explorateur

Pour effectuer une récupération, vous devez sélectionner un ou plusieurs éléments et cliquer sur le bouton « Effectuer les opérations sélectionnées ». Un clic sur le bouton "OK" ferme la fenêtre.

Sur une note :

La restauration est inutile si le système exécute un cheval de Troie qui effectue de telles reconfigurations - vous devez d'abord supprimer le programme malveillant, puis restaurer les paramètres du système.

Sur une note :

Pour éliminer les traces de la plupart des pirates de l'air, vous devez exécuter trois micrologiciels : "Réinitialiser les paramètres de recherche d'Internet Explorer à la norme", "Restaurer le démarrage Pages Internet Explorer", "Réinitialisation des paramètres de préfixe du protocole Internet Explorer par défaut"

Sur une note :

N'importe quel micrologiciel peut être exécuté plusieurs fois de suite sans endommager le système. Les exceptions sont « 5. Restauration des paramètres du bureau » (l'exécution de ce micrologiciel réinitialisera tous les paramètres du bureau et vous devrez resélectionner la couleur et le fond d'écran du bureau) et « 10. Restauration des paramètres de démarrage en SafeMode" (ce firmware recrée les clés de registre responsables du démarrage dans mode sans échec).

Comme

Comme

Tweeter

Il existe des programmes aussi universels qu’un couteau suisse. Le héros de mon article est justement un tel « break ». Il s'appelle AVZ(Antivirus Zaitsev). Avec l'aide de ceci gratuit Les antivirus et les virus peuvent être détectés, le système peut être optimisé et les problèmes peuvent être résolus.

Capacités AVZ

À propos de ce que c'est programme antivirus, je l'ai déjà dit. Le travail d'AVZ en tant qu'antivirus ponctuel (plus précisément, anti-rootkit) est bien décrit dans son aide, mais je vais vous montrer une autre facette du programme : vérifier et restaurer les paramètres.

Ce qui peut être « réparé » avec AVZ :

• Restaurer le démarrage des programmes (fichiers .exe, .com, .pif)
• Réinitialiser les paramètres d'Internet Explorer par défaut
• Restaurer les paramètres du bureau
• Supprimer les restrictions de droits (par exemple, si un virus a bloqué le lancement de programmes)
• Supprimer une bannière ou une fenêtre qui apparaît avant de vous connecter
• Supprimez les virus qui peuvent s'exécuter avec n'importe quel programme
• Débloquez le gestionnaire de tâches et l'éditeur de registre (si le virus les a empêchés de s'exécuter)
• Effacer le fichier
• Interdire l'exécution automatique des programmes à partir de lecteurs flash et de disques
• Supprimez les fichiers inutiles de disque dur
• Résoudre les problèmes de bureau
• Et beaucoup plus

Vous pouvez également l'utiliser pour vérifier la sécurité Paramètres Windows(afin de mieux se protéger contre les virus), et également d'optimiser le système en nettoyant le démarrage.

La page de téléchargement AVZ se trouve.

Le programme est gratuit.

Tout d’abord, protégeons votre Windows des actions imprudentes.

Le programme AVZ a Très de nombreuses fonctions affectant Fonctionnement de Windows. Ce dangereux, car s’il y a une erreur, un désastre peut arriver. Veuillez lire attentivement le texte et aider avant de faire quoi que ce soit. L'auteur de l'article n'est pas responsable de vos actes.

Afin de pouvoir « tout rendre tel qu'il était » après un travail négligent avec AVZ, j'ai écrit ce chapitre.

Il s'agit d'une étape obligatoire, créant essentiellement une « issue de secours » en cas d'actions imprudentes - grâce au point de restauration, il sera possible de restaurer les paramètres et le registre Windows à un état antérieur.

Système Récupération Windows- un composant obligatoire de toutes les versions de Windows, à commencer par Windows ME. C'est dommage qu'ils ne s'en souviennent généralement pas et perdent du temps à réinstaller Windows et les programmes, même si vous pouvez simplement cliquer plusieurs fois et éviter tous les problèmes.

Si les dommages sont graves (par exemple, certains fichiers système ont été supprimés), la restauration du système ne sera d'aucune utilité. Dans d'autres cas - si vous avez mal configuré Windows, modifié le registre, installé un programme qui empêche Windows de démarrer ou utilisé le programme AVZ de manière incorrecte - la restauration du système devrait vous aider.

Après AVZ fonctionne crée des sous-dossiers avec des copies de sauvegarde dans son dossier :

/Sauvegarde- y sont stockés sauvegardes enregistrement

/Infecté- des copies de virus supprimés.

/Quarantaine- des copies de fichiers suspects.

Si des problèmes ont commencé après l'exécution d'AVZ (par exemple, vous avez utilisé inconsidérément l'outil de restauration du système AVZ et Internet a cessé de fonctionner) et que la restauration du système Windows n'a pas annulé les modifications apportées, vous pouvez ouvrir les sauvegardes du registre à partir du dossier Sauvegarde.

Comment créer un point de restauration

Allons à Démarrer - Panneau de configuration - Système - Protection du système :

Cliquez sur « Protection du système » dans la fenêtre « Système ».

Cliquez sur le bouton « Créer ».

Le processus de création d'un point de restauration peut prendre dix minutes. Ensuite une fenêtre apparaîtra :

Un point de restauration sera créé. À propos, ils sont automatiquement créés lors de l'installation de programmes et de pilotes, mais pas toujours. Par conséquent, avant les actions dangereuses (configuration, nettoyage du système), il est préférable de créer à nouveau un point de restauration, afin qu'en cas de problème, vous puissiez vous féliciter de votre prévoyance.

Comment restaurer votre ordinateur à l'aide d'un point de restauration

Il existe deux options pour exécuter la restauration du système : par le bas exécutant Windows et en utilisant le disque d'installation.

Option 1 - si Windows démarre

Allons à Démarrer - Tous les programmes - Accessoires - Outils système - Restauration du système :

Va commencer Sélectionnez un autre point de restauration et appuyez sur Plus loin. Une liste de points de restauration s'ouvrira. Sélectionnez celui dont vous avez besoin :

L'ordinateur redémarrera automatiquement. Après le téléchargement, tous les paramètres, son registre et certains fichiers importants seront restaurés.

Option 2 - si Windows ne démarre pas

Vous avez besoin d'un disque « d'installation » avec Windows 7 ou Windows 8. J'ai écrit où l'obtenir (ou le télécharger).

Démarrez à partir du disque (comment démarrer à partir des disques de démarrage est écrit) et sélectionnez :

Sélectionnez "Restauration du système" au lieu d'installer Windows

Réparer le système après des virus ou des actions ineptes avec l'ordinateur

Avant toute action, débarrassez-vous des virus, par exemple en utilisant. Sinon, cela n'aura aucun sens - paramètres corrigés virus en cours d'exécution va "casser" à nouveau.

Restauration des lancements de programmes

Si un virus a bloqué le lancement d'un programme, AVZ vous aidera. Bien sûr, vous devez toujours lancer AVZ lui-même, mais c'est assez simple :

Nous allons d'abord à Panneau de contrôle- définir tout type de visualisation, sauf Catégorie - Paramètres des dossiers - Voir- décocher Masquer les extensions pour les types de fichiers enregistrés - OK. Vous pouvez maintenant voir pour chaque fichier extension- plusieurs caractères après le dernier point du nom. C'est généralement le cas des programmes. .exe Et .com. Pour exécuter l'antivirus AVZ sur un ordinateur où l'exécution de programmes est interdite, renommez l'extension en cmd ou pif :

Ensuite, AVZ démarrera. Ensuite, dans la fenêtre du programme elle-même, cliquez sur Déposer - :

Points à noter :

1. Restauration des paramètres de démarrage des fichiers .exe, .com, .pif(en fait, cela résout le problème du lancement des programmes)

6. Suppression de toutes les politiques (restrictions) de l'utilisateur actuel(dans de rares cas, cet élément permet également de résoudre le problème du démarrage de programmes si le virus est très dangereux)

9. Suppression des débogueurs de processus système(il est très conseillé de noter ce point, car même si vous avez vérifié le système avec un antivirus, quelque chose du virus pourrait rester. Cela aide également si le bureau n'apparaît pas au démarrage du système)

Nous confirmons l'action, une fenêtre apparaît avec le texte « Restauration du système terminée ». Ensuite, il ne reste plus qu'à redémarrer l'ordinateur - le problème de lancement des programmes sera résolu !

Restauration du lancement du bureau

Un problème assez courant est que le bureau n'apparaît pas au démarrage du système.

Lancement Bureau vous pouvez faire ceci : appuyez sur Ctrl+Alt+Suppr, lancez le Gestionnaire des tâches, puis appuyez sur Fichier - Nouvelle tâche (Exécuter...) - entrer explorer.exe:

D'ACCORD- Le bureau va démarrer. Mais ce n'est qu'une solution temporaire au problème - la prochaine fois que vous allumerez l'ordinateur, vous devrez tout répéter.

Pour éviter de faire cela à chaque fois, vous devez restaurer la clé de lancement du programme explorateur(«Explorateur», responsable de la visualisation standard du contenu des dossiers et du fonctionnement du bureau). Dans AVZ cliquez Déposer- et marquez l'article

Effectuer des opérations marquées, confirmez l'action, appuyez sur D'ACCORD. Désormais, lorsque vous démarrez votre ordinateur, le bureau se lancera normalement.

Déverrouillage du Gestionnaire des tâches et de l'Éditeur du Registre

Si un virus a bloqué le lancement des deux programmes mentionnés ci-dessus, vous pouvez supprimer l'interdiction via la fenêtre du programme AVZ. Vérifiez simplement deux points :

11. Déverrouillez le gestionnaire de tâches

17. Déverrouillage de l'éditeur de registre

Et appuyez sur Effectuez les opérations marquées.

Problèmes avec Internet (les sites VKontakte, Odnoklassniki et antivirus ne s'ouvrent pas)

Nettoyer le système des fichiers inutiles

Programmes AVZ sait comment nettoyer votre ordinateur fichiers inutiles. Si aucun programme de nettoyage de disque dur n'est installé sur votre ordinateur, AVZ fera l'affaire, car il existe de nombreuses options :

Plus de détails sur les points :

1. Effacer le cache système- nettoyer le dossier avec des informations sur les fichiers à charger à l'avance Démarrage rapide programmes. L'option est inutile, car Windows lui-même surveille avec succès le dossier Prefetch et le nettoie si nécessaire.
2. Supprimer les fichiers journaux Windows- vous pouvez effacer diverses bases de données et fichiers qui stockent divers enregistrements sur les événements survenant dans le système d'exploitation. Cette option est utile si vous devez libérer une douzaine ou deux mégaoctets d'espace sur votre disque dur. C'est-à-dire que l'avantage de son utilisation est négligeable, l'option est inutile.
3. Supprimer les fichiers de vidage de la mémoire- en cas de problème critique Erreurs Windows interrompt son travail et affiche BSOD ( écran bleu décès), tout en préservant les informations sur programmes en cours d'exécution et les pilotes dans un fichier pour analyse ultérieure par des programmes spéciaux afin d'identifier le coupable de l'échec. L'option est quasiment inutile, car elle ne permet de gagner que dix mégaoctets espace libre. La suppression des fichiers de vidage de la mémoire n'endommage pas le système.
4. Effacer la liste des documents récents- curieusement, l'option efface la liste des documents récents. Cette liste se trouve dans le menu Démarrer. Vous pouvez également effacer la liste manuellement en cliquant avec le bouton droit sur cet élément dans le menu Démarrer et en sélectionnant « Effacer la liste des éléments récents ». L'option est utile : j'ai remarqué qu'effacer la liste des documents récents permet au menu Démarrer d'afficher ses menus un peu plus rapidement. Cela ne nuira pas au système.
5. Effacement du dossier TEMP- Le Saint Graal pour ceux qui recherchent la raison de la disparition de l'espace libre sur le lecteur C:. Le fait est que de nombreux programmes stockent des fichiers dans le dossier TEMP pour une utilisation temporaire, oubliant de « nettoyer après eux » plus tard. Un exemple typique est celui des archiveurs. Ils y décompresseront les fichiers et oublieront de les supprimer. Effacer le dossier TEMP ne nuit pas au système, cela peut libérer beaucoup d'espace (dans les cas particulièrement avancés, le gain d'espace libre atteint cinquante gigaoctets !).
6. Adobe Flash Player - suppression des fichiers temporaires- "Flash Player" peut enregistrer des fichiers pour une utilisation temporaire. Ils peuvent être supprimés. Parfois (rarement) l'option aide à lutter contre les problèmes Lecteur Flash. Par exemple, avec des problèmes de lecture vidéo et audio sur le site Web VKontakte. Il n'y a aucun danger lié à l'utilisation.
7. Vider le cache du client du terminal- pour autant que je sache, cette option efface les fichiers temporaires d'un composant Windows appelé "Remote Desktop Connection" ( accès à distance aux ordinateurs via le protocole RDP). Option il semble ne fait pas de mal, libère au mieux une douzaine de mégaoctets d'espace. Cela ne sert à rien de l'utiliser.
8. IIS - Suppression du journal des erreurs HTTP- il faut beaucoup de temps pour expliquer de quoi il s'agit. Permettez-moi simplement de dire qu'il est préférable de ne pas activer l'option de suppression des journaux IIS. Dans tous les cas, cela ne fait aucun mal, ni aucun bénéfice non plus.
9. Lecteur Macromédia Flash- articles en double "Adobe Flash Player - suppression des fichiers temporaires", mais affecte les versions plutôt anciennes de Flash Player.
10. Java - vider le cache- vous fait gagner quelques mégaoctets sur votre disque dur. Je n'utilise pas de programmes Java, je n'ai donc pas vérifié les conséquences de l'activation de l'option. Je ne recommande pas de l'allumer.
11. Vider la corbeille- le but de cet article ressort clairement de son nom.
12. Supprimer les journaux d'installation des mises à jour du système- Windows tient un journal mises à jour installées. L'activation de cette option efface le journal. L’option est inutile car il n’y a aucun gain d’espace libre.
13. Supprimer le protocole Windows Update- similaire au point précédent, mais les autres fichiers sont supprimés. C'est aussi une option inutile.
14. Effacer la base de données MountPoints- si lorsque vous connectez un lecteur flash ou un disque dur, les icônes avec ceux-ci ne sont pas créées dans la fenêtre Ordinateur, cette option peut vous aider. Je vous conseille de l'activer uniquement si vous rencontrez des problèmes pour connecter des lecteurs flash et des disques.
15. Internet Explorer - vider le cache- nettoie les fichiers temporaires d'Internet Explorer. L’option est sûre et utile.
16. Microsoft Office- vider le cache- nettoie les fichiers temporaires des programmes Microsoft Office - Word, Excel, PowerPoint et autres. Je ne peux pas vérifier les options de sécurité car je n'ai pas Microsoft Office.
17. Vider le cache du système de gravure de CD- une option utile qui vous permet de supprimer les fichiers que vous avez préparés pour la gravure sur disques.
18. Nettoyage du dossier TEMP du système- contrairement au dossier utilisateur TEMP (voir point 5), le nettoyage de ce dossier n'est pas toujours sécurisé, et libère généralement peu d'espace. Je ne recommande pas de l'allumer.
19. MSI - nettoyage du dossier Config.Msi- Ce dossier stocke divers fichiers créés par les installateurs de programmes. Le dossier est volumineux si les installateurs n'ont pas terminé leur travail correctement, le nettoyage du dossier Config.Msi est donc justifié. Cependant, je vous préviens : des problèmes peuvent survenir lors de la désinstallation de programmes utilisant des programmes d'installation .msi (par exemple, Microsoft Office).
20. Effacer les journaux du planificateur de tâches- Le Planificateur de tâches Windows conserve un journal dans lequel il enregistre des informations sur les tâches terminées. Je ne recommande pas d'activer cet élément, car il n'y a aucun avantage, mais cela ajoutera des problèmes - le Planificateur de tâches Windows est un composant plutôt bogué.
21. Supprimer les journaux d'installation de Windows- gagner une place n'a pas d'importance, cela ne sert à rien de supprimer.
22. Windows - vider le cache des icônes- utile si vous rencontrez des problèmes avec les raccourcis. Par exemple, lorsque le Bureau apparaît, les icônes n'apparaissent pas immédiatement. L'activation de cette option n'affectera pas la stabilité du système.
23. Google Chrome- vider le cache- une option très utile. Google Chrome stocke des copies de pages dans un dossier désigné pour permettre d'ouvrir les sites plus rapidement (les pages sont chargées à partir de votre disque dur au lieu d'être téléchargées via Internet). Parfois, la taille de ce dossier atteint un demi-gigaoctet. Le nettoyage est utile car il libère de l'espace sur votre disque dur ; il n'affecte pas la stabilité de Windows ou de Google Chrome.
24. Mozilla Firefox- nettoyage du dossier CrashReports- chaque fois que Navigateur Firefox un problème survient et il se ferme anormalement, des fichiers de rapport sont créés. Cette option supprime les fichiers de rapport. Le gain d'espace libre atteint quelques dizaines de mégaoctets, c'est-à-dire que l'option est peu utile, mais elle est là. N'affecte pas la stabilité de Windows et Mozilla Firefox.

En fonction de la programmes installés, le nombre d'articles varie. Par exemple, si le navigateur Opera est installé, vous pouvez également vider son cache.

Nettoyer la liste des programmes de démarrage

Un moyen infaillible d'accélérer le démarrage et la vitesse de votre ordinateur consiste à nettoyer la liste de démarrage. Si programmes inutiles ne démarrera pas, alors l'ordinateur s'allumera non seulement plus rapidement, mais fonctionnera également plus rapidement - en raison des ressources libérées, qui ne seront pas utilisées par les programmes exécutés en arrière-plan.

AVZ peut visualiser presque toutes les failles de Windows par lesquelles les programmes sont lancés. Vous pouvez afficher la liste d'exécution automatique dans le menu Outils - Autorun Manager :

L'utilisateur moyen n'a absolument pas besoin de fonctionnalités aussi puissantes, c'est pourquoi j'exhorte n'éteins pas tout. Il suffit de regarder seulement deux points - Dossiers à exécution automatique Et Courir*.

AVZ affiche l'exécution automatique non seulement pour votre utilisateur, mais également pour tous les autres profils :

Au chapitre Courir* Il vaut mieux ne pas désactiver les programmes situés dans la section HKEY_USERS- cela peut perturber le fonctionnement d'autres profils d'utilisateurs et le système opérateur. Au chapitre Dossiers à exécution automatique vous pouvez désactiver tout ce dont vous n'avez pas besoin.

Les lignes identifiées par l'antivirus comme connues sont marquées en vert. Cela inclut à la fois programmes système Programmes Windows et tiers dotés d'une signature numérique.

Tous les autres programmes sont marqués en noir. Cela ne signifie pas que ces programmes sont des virus ou quelque chose du genre, mais simplement que tous les programmes ne sont pas signés numériquement.

N'oubliez pas d'élargir la première colonne pour que le nom du programme soit visible. Décocher simplement la case désactivera temporairement l'exécution automatique du programme (vous pourrez alors cocher à nouveau la case), mettre l'élément en surbrillance et appuyer sur le bouton avec une croix noire supprimera l'entrée pour toujours (ou jusqu'à ce que le programme s'enregistre à nouveau en exécution automatique).

La question se pose : comment déterminer ce qui peut être désactivé et ce qui ne peut pas l'être ? Il existe deux solutions :

Tout d'abord, il y a du bon sens : vous pouvez prendre une décision en fonction du nom du fichier .exe du programme. Par exemple, Programme Skype lors de l'installation, crée une entrée pour démarrage automatique lorsque vous allumez l'ordinateur. Si vous n’en avez pas besoin, décochez la case se terminant par skype.exe. À propos, de nombreux programmes (y compris Skype) peuvent se supprimer eux-mêmes du démarrage : il suffit de décocher l'élément correspondant dans les paramètres du programme lui-même.

Deuxièmement, vous pouvez rechercher sur Internet des informations sur le programme. Sur la base des informations reçues, il reste à prendre une décision : le supprimer ou non de l'exécution automatique. AVZ facilite la recherche d'informations sur les éléments : faites simplement un clic droit sur l'élément et sélectionnez votre moteur de recherche préféré :

En désactivant les programmes inutiles, vous accélérerez considérablement le démarrage de votre ordinateur. Cependant, il n'est pas conseillé de tout désactiver - cela risque de perdre l'indicateur de mise en page, de désactiver l'antivirus, etc.

Désactivez uniquement les programmes dont vous êtes sûr - vous n'en avez pas besoin au démarrage.

Conclusion

En principe, ce que j'ai écrit dans l'article s'apparente à enfoncer des clous avec un microscope - le programme AVZ convient pour optimiser Windows, mais en général, il s'agit d'un outil complexe et puissant adapté à l'exécution d'une grande variété de tâches. Cependant, pour utiliser AVZ au maximum, vous devez connaître parfaitement Windows afin de pouvoir commencer petit - à savoir ce que j'ai décrit ci-dessus.

Si vous avez des questions ou des commentaires, il y a une section commentaires sous les articles où vous pouvez m'écrire. Je surveille les commentaires et essaierai de vous répondre le plus rapidement possible.

Articles Similaires:

Comme

Comme

Nous parlerons des moyens les plus simples de neutraliser les virus, en particulier ceux qui bloquent le bureau de l'utilisateur Windows 7 (famille de virus Trojan.Winlock). Ces virus se distinguent par le fait qu'ils ne cachent pas leur présence dans le système, mais au contraire la démontrent, ce qui rend extrêmement difficile l'exécution d'actions autres que la saisie d'un "code de déverrouillage" spécial, pour l'obtenir, prétendument , vous devez transférer un certain montant aux attaquants en envoyant un SMS ou en rechargeant téléphone mobile via un terminal de paiement. L'objectif ici est un : forcer l'utilisateur à payer, et parfois de l'argent tout à fait décent. Une fenêtre apparaît à l'écran avec un avertissement menaçant concernant le blocage de l'ordinateur pour l'utilisation de logiciels sans licence ou la visite de sites indésirables, et quelque chose de ce genre, généralement pour effrayer l'utilisateur. De plus, le virus ne vous permet d'effectuer aucune action dans l'environnement de travail Windows - il bloque l'appui sur des combinaisons de touches spéciales pour appeler le menu du bouton Démarrer, la commande Exécuter, le gestionnaire de tâches, etc. Le pointeur de la souris ne peut pas être déplacé en dehors de la fenêtre du virus. En règle générale, la même image est observée lors du chargement de Windows en mode sans échec. La situation semble désespérée, surtout s'il n'y a pas d'autre ordinateur, la possibilité de démarrer sur un autre système d'exploitation ou à partir d'un support amovible (LIVE CD, ERD Commander, scanner antivirus). Mais néanmoins, dans la grande majorité des cas, il existe une issue.

Les nouvelles technologies mises en œuvre dans Windows Vista / Windows 7 ont rendu beaucoup plus difficile la pénétration des logiciels malveillants et la prise de contrôle total du système, et ont également fourni aux utilisateurs des opportunités supplémentaires pour s'en débarrasser relativement facilement, même sans logiciel antivirus (logiciel ). Il s'agit de sur la possibilité de démarrer le système en mode sans échec avec support ligne de commande et lancez-le logiciel contrôle et récupération. Évidemment, par habitude, en raison de la mise en œuvre plutôt médiocre de ce mode dans les versions précédentes des systèmes d'exploitation de la famille Windows, de nombreux utilisateurs ne l'utilisent tout simplement pas. Mais en vain. Dans l'équipe Ligne Windows 7 n'a pas le bureau habituel (qui peut être bloqué par un virus), mais il est possible de lancer la plupart des programmes - éditeur de registre, gestionnaire de tâches, utilitaire de récupération du système, etc.

Supprimer un virus en ramenant le système à un point de restauration

Un virus est un programme ordinaire, et même s'il se trouve sur le disque dur de l'ordinateur, mais n'a pas la capacité de démarrer automatiquement au démarrage du système et à l'enregistrement de l'utilisateur, il est alors aussi inoffensif que, par exemple, un virus ordinaire. fichier texte. Si vous résolvez le problème du blocage du lancement automatique d'un programme malveillant, la tâche de suppression des logiciels malveillants peut être considérée comme terminée. La principale méthode de démarrage automatique utilisée par les virus consiste à utiliser des entrées de registre spécialement créées lors de leur introduction dans le système. Si vous supprimez ces entrées, le virus peut être considéré comme neutralisé. Le moyen le plus simple consiste à effectuer une restauration du système à l'aide des données de point de contrôle. Un point de contrôle est une copie de fichiers système importants, stockée dans un répertoire spécial ("System Volume Information") et contenant, entre autres, des copies de fichiers système Registre Windows. Effectuer une restauration du système vers un point de restauration dont la date de création précède l'infection virale vous permet d'obtenir l'état du registre système sans les entrées effectuées par le virus envahisseur et ainsi d'exclure son démarrage automatique, c'est-à-dire débarrassez-vous de l’infection même sans utiliser de logiciel antivirus. De cette façon, vous pouvez simplement et rapidement empêcher le système d'être infecté par la plupart des virus, y compris ceux qui bloquent le travailleur. Bureau Windows. Naturellement, un virus bloquant utilisant, par exemple, la modification des secteurs de démarrage d'un disque dur (virus MBRLock) ne peut pas être supprimé de cette manière, car la restauration du système jusqu'à un point de restauration n'affecte pas les enregistrements de démarrage des disques, et il ne sera pas possible de démarrer Windows en mode sans échec avec la prise en charge de la ligne de commande car le virus est chargé avant le chargeur de démarrage Windows. Pour vous débarrasser d'une telle infection, vous devrez démarrer à partir d'un autre support et restaurer les enregistrements de démarrage infectés. Mais il existe relativement peu de virus de ce type et dans la plupart des cas, vous pouvez vous débarrasser de l'infection en ramenant le système jusqu'à un point de restauration.

1. Au tout début du chargement, appuyez sur le bouton F8. Le menu du chargeur de démarrage Windows apparaîtra à l'écran, avec options possibles démarrage du système

2. Sélectionnez l'option de démarrage Windows - "Mode sans échec avec prise en charge de la ligne de commande"

Une fois le téléchargement terminé et l'utilisateur enregistré, au lieu du bureau Windows habituel, la fenêtre du processeur de commandes cmd.exe s'affichera

3. Exécutez l'outil de restauration du système en tapant rstrui.exe dans la ligne de commande et en appuyant sur ENTRÉE.

Basculez le mode sur "Sélectionner un autre point de récupération" et dans la fenêtre suivante cochez la case "Afficher les autres points de récupération"

Après avoir sélectionné un point de restauration Windows, vous pouvez afficher une liste des programmes concernés lors d'une restauration du système :

La liste des programmes concernés est une liste de programmes qui ont été installés après la création du point de restauration du système et qui peuvent nécessiter une réinstallation car leurs entrées de registre associées seront manquantes.

Après avoir cliqué sur le bouton "Terminer", le processus de récupération du système commencera. Une fois terminé, Windows redémarrera.

Après le redémarrage, un message s'affichera indiquant le succès ou l'échec de la restauration et, en cas de succès, Windows reviendra à l'état qui correspondait à la date de création du point de restauration. Si le verrouillage du bureau ne s'arrête pas, vous pouvez utiliser une méthode plus avancée présentée ci-dessous.

Supprimer un virus sans restaurer le système à un point de restauration

Une situation est possible lorsque le système manque, selon raisons diverses, les données du point de récupération, la procédure de récupération terminée avec une erreur ou la restauration n'a pas donné de résultat positif. Dans ce cas, vous pouvez utiliser l'utilitaire de diagnostic de configuration système MSCONFIG.EXE. Comme dans le cas précédent, vous devez faire chargement de Windows en mode sans échec avec prise en charge de la ligne de commande et dans la fenêtre de l'interpréteur de ligne de commande cmd.exe, tapez msconfig.exe et appuyez sur ENTRÉE

Dans l'onglet Général, vous pouvez sélectionner les modes de démarrage Windows suivants :

Lorsque le système démarre, seuls les services système et les programmes utilisateur minimum requis seront lancés.
Lancement sélectif- vous permet de spécifier manuellement une liste de services système et de programmes utilisateur qui seront lancés pendant le processus de démarrage.

Pour éliminer un virus, le moyen le plus simple consiste à utiliser un lancement de diagnostic, lorsque l'utilitaire détermine lui-même un ensemble de programmes qui démarrent automatiquement. Si, dans ce mode, le virus cesse de bloquer le bureau, vous devez alors passer à l'étape suivante : déterminer quel programme est un virus. Pour ce faire, vous pouvez utiliser le mode de démarrage sélectif, qui vous permet d'activer ou de désactiver le démarrage programmes individuels en mode manuel.

L'onglet "Services" permet d'activer ou de désactiver le lancement des services système dont le type de démarrage est défini sur "Automatique". Une case non cochée devant le nom du service signifie qu'il ne sera pas lancé lors du démarrage du système. Au bas de la fenêtre de l'utilitaire MSCONFIG, il y a un champ pour définir le mode "Ne pas afficher les services Microsoft", qui, lorsqu'il est activé, affichera uniquement les services tiers.

Je note que la probabilité qu'un système soit infecté par un virus installé en tant que service système, avec des paramètres de sécurité standard dans Windows Vista / Windows 7, est très faible et vous devrez rechercher des traces du virus dans la liste des programmes utilisateur lancés automatiquement (l'onglet "Démarrage").

Tout comme dans l'onglet Services, vous pouvez activer ou désactiver le lancement automatique de tout programme présent dans la liste affichée par MSCONFIG. Si un virus est activé dans le système par lancement automatique à l'aide de clés de registre spéciales ou du contenu du dossier de démarrage, alors en utilisant msconfig, vous pouvez non seulement le neutraliser, mais également déterminer le chemin et le nom du fichier infecté.

L'utilitaire msconfig est un outil simple et pratique pour configurer le démarrage automatique des services et des applications qui démarrent de manière standard pour les systèmes d'exploitation de la famille Windows. Cependant, les auteurs de virus utilisent souvent des techniques qui leur permettent de lancer des programmes malveillants sans utiliser les points d'exécution automatique standards. Vous pouvez très probablement vous débarrasser d'un tel virus en utilisant la méthode décrite ci-dessus en ramenant le système à un point de restauration. Si la restauration n'est pas possible et que l'utilisation de msconfig n'a pas conduit à résultat positif, vous pouvez utiliser l'édition directe du registre.

Dans le processus de lutte contre un virus, l'utilisateur doit souvent effectuer un redémarrage brutal en réinitialisant (Reset) ou en coupant l'alimentation. Cela peut conduire à une situation dans laquelle le système démarre normalement, mais n'atteint pas l'enregistrement de l'utilisateur. L'ordinateur se bloque en raison d'une violation de la structure logique des données dans certains fichiers système, qui se produit lors d'un arrêt incorrect. Pour résoudre le problème, de la même manière que dans les cas précédents, vous pouvez démarrer en mode sans échec avec la prise en charge de la ligne de commande et exécuter la commande check system disk

chkdsk C: /F - vérifie le lecteur C: et corrige les erreurs détectées (clé /F)

Étant donné que le disque système est occupé par les services et les applications système lors de l'exécution de chkdsk, chkdsk ne peut pas y obtenir un accès exclusif pour effectuer des tests. Par conséquent, l'utilisateur recevra un message d'avertissement et sera invité à effectuer des tests au prochain redémarrage du système. Après avoir répondu Y, les informations seront saisies dans le registre pour garantir que la vérification du disque démarrera au redémarrage de Windows. Une fois la vérification terminée, ces informations sont supprimées et Windows redémarre normalement sans intervention de l'utilisateur.

Éliminer la possibilité qu'un virus s'exécute à l'aide de l'éditeur de registre.

Pour lancer l'éditeur de registre, comme dans le cas précédent, vous devez démarrer Windows en mode sans échec avec prise en charge de la ligne de commande, tapez regedit.exe dans la fenêtre de l'interpréteur de ligne de commande et appuyez sur ENTRÉE. Windows 7, avec les paramètres de sécurité système standard, est protégé contre de nombreuses méthodes de lancement de programmes malveillants utilisés pour Versions précédentes systèmes d'exploitation de Microsoft. Virus installant leurs propres pilotes et services, reconfigurant le service WINLOGON en connectant leurs propres modules exécutables, corrigeant les clés de registre pertinentes pour tous les utilisateurs, etc. - toutes ces méthodes soit ne fonctionnent pas sous Windows 7, soit nécessitent des coûts de main-d'œuvre si importants qu'elles sont pratiquement impossibles à rencontrer. En règle générale, les modifications apportées au registre permettant à un virus de s'exécuter sont effectuées uniquement dans le contexte des autorisations existantes pour l'utilisateur actuel, c'est-à-dire dans la section HKEY_CURRENT_USER

Afin de démontrer le mécanisme le plus simple pour bloquer un bureau en remplaçant le shell utilisateur (shell) et l'impossibilité d'utiliser l'utilitaire MSCONFIG pour détecter et supprimer un virus, vous pouvez mener l'expérience suivante - au lieu d'un virus, vous-même corrigez les données du registre afin d'obtenir, par exemple, une ligne de commande au lieu d'un bureau. Un bureau familier est créé par l'Explorateur Windows (le programme Explorer.exe) lancé en tant que shell de l'utilisateur. Ceci est assuré par les valeurs du paramètre Shell dans les clés de registre

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - pour tous les utilisateurs.
- pour l'utilisateur actuel.

Le paramètre Shell est une chaîne avec le nom du programme qui sera utilisé comme shell lorsque l'utilisateur se connectera. Généralement, dans la section destinée à l'utilisateur actuel (HKEY_CURRENT_USER ou en abrégé HKCU), le paramètre Shell est manquant et la valeur de la clé de registre pour tous les utilisateurs est utilisée (HKEY_LOCAL_MACHINE\ ou en abrégé HKLM)

Voici à quoi ressemble la clé de registre HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon avec norme Installation de Windows 7

Si vous ajoutez le paramètre de chaîne Shell prenant la valeur « cmd.exe » à cette section, la prochaine fois que l'utilisateur actuel se connectera au système, au lieu du shell utilisateur standard basé sur l'Explorateur, le shell cmd.exe sera lancé et au lieu du bureau Windows habituel, la fenêtre de ligne de commande sera affichée .

Naturellement, n'importe quel programme malveillant peut être lancé de cette manière et l'utilisateur recevra une bannière pornographique, un bloqueur et d'autres éléments désagréables au lieu d'un bureau.
Apporter des modifications à la clé pour tous les utilisateurs (HKLM...) nécessite des privilèges administratifs, donc les programmes antivirus modifient généralement les paramètres de la clé de registre de l'utilisateur actuel (HKCU...)

Si, pour continuer l'expérience, vous exécutez l'utilitaire msconfig, vous pouvez vous assurer que cmd.exe n'est pas inclus en tant que shell utilisateur dans la liste des programmes lancés automatiquement. Un rollback du système vous permettra naturellement de revenir l'état initial registre et supprimez le démarrage automatique du virus, mais si pour une raison quelconque cela est impossible, la seule option est de modifier directement le registre. Pour revenir au bureau standard, supprimez simplement le paramètre Shell, ou modifiez sa valeur de "cmd.exe" à "explorer.exe" et réenregistrez l'utilisateur (déconnectez-vous et reconnectez-vous) ou redémarrez. Vous pouvez modifier le registre en exécutant l'éditeur de registre regedit.exe à partir de la ligne de commande ou en utilisant l'utilitaire de console REG.EXE. Exemple de ligne de commande pour supprimer le paramètre Shell :

REG supprime "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

L'exemple donné de substitution du shell de l'utilisateur est aujourd'hui l'une des techniques les plus couramment utilisées par les virus dans l'environnement du système d'exploitation Windows 7. Un niveau de sécurité assez élevé avec des paramètres système standard empêche les programmes malveillants d'accéder aux clés de registre utilisées pour infecter Windows XP et versions ultérieures. versions précédentes. Même si l'utilisateur actuel est membre du groupe Administrateurs, l'accès à la grande majorité des paramètres de registre utilisés pour l'infection nécessite l'exécution du programme en tant qu'administrateur. C'est pour cette raison que les logiciels malveillants modifient les clés de registre auxquelles l'utilisateur actuel est autorisé à accéder (section HKCU...) Le deuxième facteur important est la difficulté d'écrire les fichiers du programme dans les répertoires système. C'est pour cette raison que la plupart des virus de l'environnement Windows 7 utilisent le lancement de fichiers exécutables (.exe) à partir du répertoire de fichiers temporaires (Temp) de l'utilisateur actuel. Lors de l'analyse des points de lancement automatique des programmes dans le registre, vous devez tout d'abord faire attention aux programmes situés dans le répertoire des fichiers temporaires. Il s'agit généralement d'un répertoire C:\USERS\nom d'utilisateur\AppData\Local\Temp. Le chemin exact du répertoire des fichiers temporaires peut être consulté via le panneau de configuration dans les propriétés système - " Variables d'environnement". Ou sur la ligne de commande :

régler la température
ou
écho %temp%

De plus, la recherche dans le registre de la chaîne correspondant au nom du répertoire des fichiers temporaires ou de la variable %TEMP% peut être utilisée comme outil supplémentaire de détection des virus. Les programmes légitimes ne se lancent jamais automatiquement à partir du répertoire TEMP.

Pour obtenir une liste complète des points de démarrage automatique possibles, il est pratique d'utiliser programme spécial Exécution automatique à partir du package SysinternalsSuite.

Les moyens les plus simples de supprimer les bloqueurs de la famille MBRLock

Les programmes malveillants peuvent prendre le contrôle d'un ordinateur non seulement en infectant le système d'exploitation, mais également en modifiant les enregistrements du secteur de démarrage du disque à partir duquel le démarrage est effectué. Le virus remplace les données du secteur de démarrage de la partition active par son code de programme de sorte qu'au lieu de Windows, un simple programme soit chargé, qui affiche un message de ransomware sur l'écran exigeant de l'argent pour les escrocs. Étant donné que le virus prend le contrôle avant le démarrage du système, il n'existe qu'un seul moyen de le contourner : démarrer à partir d'un autre support (CD/DVD, disque externe, etc.) dans tout système d'exploitation où il est possible de restaurer le code de programme des secteurs de démarrage. Le plus simple est d'utiliser le Live CD/Live USB, généralement fourni gratuitement aux utilisateurs par la plupart des éditeurs d'antivirus (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk, etc.). En plus de récupérer les secteurs de démarrage, ces produits peut également effectuer et vérifier le système de fichiers à la recherche de logiciels malveillants et supprimer ou désinfecter les fichiers infectés. S'il n'est pas possible d'utiliser cette méthode, alors vous pouvez vous débrouiller en chargeant simplement n'importe quel Versions Windows PE ( disque d'installation, disque de récupération d'urgence ERD Commander), qui vous permet de restaurer le démarrage normal du système. Habituellement, il suffit de pouvoir accéder à la ligne de commande et exécuter la commande :

bootsect /nt60 /mbr

bootsect /nt60 /mbr E:> - restaurer les secteurs de démarrage du lecteur E : La lettre du lecteur utilisé comme périphérique de démarrage du système endommagé par le virus doit être utilisée ici.

ou pour Windows antérieur à Windows Vista

bootsect /nt52 /mbr

L'utilitaire bootsect.exe peut être situé non seulement dans les répertoires système, mais également sur n'importe quel support amovible, peut être exécuté dans n'importe quel système d'exploitation Windows et vous permet de restaurer le code du programme des secteurs de démarrage sans affecter la table de partition et système de fichiers. La clé /mbr, en règle générale, n'est pas nécessaire, car elle restaure le code de programme de l'enregistrement de démarrage principal du MBR, que les virus ne modifient pas (peut-être ne le modifient-ils pas encore).

Un utilitaire AVZ simple et pratique qui peut non seulement aider, mais également restaurer le système. Pourquoi est-ce nécessaire ?

Le fait est qu'après l'invasion des virus (il arrive qu'AVZ en tue des milliers), certains programmes refusent de fonctionner, les paramètres ont tous disparu quelque part et Windows ne fonctionne pas tout à fait correctement.

Le plus souvent, dans ce cas, les utilisateurs réinstallent simplement le système. Mais comme le montre la pratique, cela n'est pas du tout nécessaire, car en utilisant le même utilitaire AVZ, vous pouvez restaurer presque tous les programmes et données endommagés.

Afin de vous donner une image plus claire, je vous propose liste complète qui peut restaurer AVZ.

Matériel tiré de l'ouvrage de référence AVZ - http://www.z-oleg.com/secur/avz_doc/ (copier et coller dans la barre d'adresse du navigateur).

Actuellement, la base de données contient le firmware suivant :

1. Restauration des paramètres de démarrage des fichiers .exe, .com, .pif

Ce firmware restaure la réponse du système aux fichiers exe, com, pif, scr.

Indications pour l'utilisation: Une fois le virus supprimé, les programmes cessent de fonctionner.

2. Réinitialisez les paramètres de préfixe du protocole Internet Explorer à la norme

Ce firmware restaure les paramètres de préfixe de protocole dans Internet Explorer

Indications pour l'utilisation: lorsque vous entrez une adresse comme www.yandex.ru, elle est remplacée par quelque chose comme www.seque.com/abcd.php?url=www.yandex.ru

3. Restauration de la page de démarrage d'Internet Explorer

Ce firmware restaure la page de démarrage dans Internet Explorer

Indications pour l'utilisation: remplacement de la page de démarrage

4.Réinitialisez les paramètres de recherche d'Internet Explorer à la norme

Ce firmware restaure les paramètres de recherche dans Internet Explorer

Indications pour l'utilisation: Lorsque vous cliquez sur le bouton « Rechercher » dans IE, vous êtes dirigé vers un site tiers.

5.Restaurer les paramètres du bureau

Ce firmware restaure les paramètres du bureau.

La restauration implique la suppression de tous les éléments ActiveDesctop actifs, du fond d'écran et le déblocage du menu responsable des paramètres du bureau.

Indications pour l'utilisation: Les signets des paramètres du bureau dans la fenêtre « Propriétés d'affichage » ont disparu ; des inscriptions ou des images superflues sont affichées sur le bureau.

6.Suppression de toutes les politiques (restrictions) de l'utilisateur actuel

Windows fournit un mécanisme permettant de restreindre les actions des utilisateurs, appelé stratégies. De nombreux logiciels malveillants utilisent cette technologie car les paramètres sont stockés dans le registre et sont faciles à créer ou à modifier.

Indications pour l'utilisation: Les fonctions de l'explorateur ou d'autres fonctions système sont bloquées.

7.Suppression du message affiché lors de WinLogon

Windows NT et les systèmes ultérieurs de la gamme NT (2000, XP) vous permettent de définir le message affiché au démarrage.

Un certain nombre de programmes malveillants en profitent, et la destruction du programme malveillant n'entraîne pas la destruction de ce message.

Indications pour l'utilisation: Un message superflu est entré lors du démarrage du système.

8. Restauration des paramètres de l'Explorateur

Ce micrologiciel réinitialise un certain nombre de paramètres de l'Explorateur aux paramètres standard (les paramètres modifiés par un logiciel malveillant sont d'abord réinitialisés).

Indications pour l'utilisation: Paramètres de l'explorateur modifiés

9. Suppression des débogueurs de processus système

L'enregistrement d'un débogueur de processus système vous permettra de lancer une application cachée, utilisée par un certain nombre de programmes malveillants.

Indications pour l'utilisation: AVZ détecte les débogueurs de processus système non identifiés, des problèmes surviennent lors du lancement des composants du système, en particulier, le bureau disparaît après un redémarrage.

10. Restauration des paramètres de démarrage en SafeMode

Certains malwares, notamment le ver Bagle, corrompent les paramètres de démarrage du système en mode protégé.

Ce firmware restaure les paramètres de démarrage en mode protégé. Indications pour l'utilisation: L'ordinateur ne démarre pas en SafeMode. Ce firmware doit être utilisé uniquement en cas de problèmes de démarrage en mode protégé .

11.Déverrouillez le gestionnaire de tâches

Le blocage du Gestionnaire des tâches est utilisé par les logiciels malveillants pour protéger les processus contre la détection et la suppression. En conséquence, l'exécution de ce microprogramme supprime le verrou.

Indications pour l'utilisation: Le gestionnaire de tâches est bloqué ; lorsque vous essayez d'appeler le gestionnaire de tâches, le message « Le gestionnaire de tâches est bloqué par l'administrateur » s'affiche.

12.Effacer la liste des ignorés de l'utilitaire HijackThis

L'utilitaire HijackThis stocke un certain nombre de ses paramètres dans le registre, notamment une liste d'exceptions. Par conséquent, pour se camoufler de HijackThis, le programme malveillant n'a besoin que d'enregistrer ses fichiers exécutables dans la liste d'exclusion.

Il existe actuellement un certain nombre de programmes malveillants connus qui exploitent cette vulnérabilité. Le micrologiciel AVZ efface la liste d'exceptions de l'utilitaire HijackThis

Indications pour l'utilisation: On soupçonne que l'utilitaire HijackThis n'affiche pas toutes les informations sur le système.

13. Nettoyage du fichier Hosts

Nettoyer le fichier Hosts implique de trouver le fichier Hosts, de supprimer toutes les lignes importantes et d'ajouter la ligne standard « 127.0.0.1 localhost ».

Indications pour l'utilisation: On soupçonne que le fichier Hosts a été modifié par un logiciel malveillant. Les symptômes typiques bloquent la mise à jour des programmes antivirus.

Vous pouvez contrôler le contenu du fichier Hosts à l'aide du gestionnaire de fichiers Hosts intégré à AVZ.

14. Correction automatique des paramètres SPl/LSP

Effectue une analyse des paramètres SPI et, si des erreurs sont détectées, corrige automatiquement les erreurs trouvées.

Ce firmware peut être réexécuté un nombre illimité de fois. Après avoir exécuté ce firmware, il est recommandé de redémarrer votre ordinateur. Note! Ce firmware ne peut pas être exécuté à partir d'une session de terminal

Indications pour l'utilisation: Après avoir supprimé le programme malveillant, j'ai perdu l'accès à Internet.

15. Réinitialiser les paramètres SPI/LSP et TCP/IP (XP+)

Ce firmware ne fonctionne que sous XP, Windows 2003 et Vista. Son principe de fonctionnement est basé sur la réinitialisation et la recréation des paramètres SPI/LSP et TCP/IP à l'aide de l'utilitaire netsh standard inclus dans Windows.

Note! Vous ne devez utiliser une réinitialisation d'usine que si nécessaire si vous rencontrez des problèmes irrécupérables avec l'accès à Internet après la suppression des logiciels malveillants !

Indications pour l'utilisation: Après avoir supprimé le programme malveillant, accès à Internet et exécution du firmware « 14. La correction automatique des paramètres SPl/LSP ne fonctionne pas.

16. Récupération de la clé de lancement de l'Explorateur

Restaure les clés de registre système responsables du lancement de l'Explorateur.

Indications pour l'utilisation: Lors du démarrage du système, l'Explorateur ne démarre pas, mais il est possible de lancer explorer.exe manuellement.

17. Déverrouillage de l'éditeur de registre

Débloque l'Éditeur du Registre en supprimant la stratégie qui l'empêche de s'exécuter.

Indications pour l'utilisation: Il est impossible de démarrer l'Éditeur du Registre ; lorsque vous essayez, un message s'affiche indiquant que son lancement est bloqué par l'administrateur.

18. Recréation complète des paramètres SPI

Effectue une copie de sauvegarde des paramètres SPI/LSP, après quoi il les détruit et les crée selon la norme stockée dans la base de données.

Indications pour l'utilisation: Graves dommages aux paramètres SPI qui ne peuvent pas être réparés par les scripts 14 et 15. A utiliser uniquement si nécessaire !

19. Effacer la base de données MountPoints

Nettoie la base de données MountPoints et MountPoints2 dans le registre. Cette opération est souvent utile lorsque, après une infection par un virus Flash, les disques ne s'ouvrent pas dans l'Explorateur

Pour effectuer une récupération, vous devez sélectionner un ou plusieurs éléments et cliquer sur le bouton « Effectuer les opérations sélectionnées ». Un clic sur le bouton "OK" ferme la fenêtre.

Sur une note :

La restauration est inutile si le système exécute un cheval de Troie qui effectue de telles reconfigurations - vous devez d'abord supprimer le programme malveillant, puis restaurer les paramètres du système.

Sur une note :

Pour éliminer les traces de la plupart des pirates de l'air, vous devez exécuter trois micrologiciels : "Réinitialiser les paramètres de recherche d'Internet Explorer à la norme", "Restaurer la page de démarrage d'Internet Explorer", "Réinitialiser les paramètres de préfixe du protocole Internet Explorer à la norme".

Sur une note :

N'importe quel micrologiciel peut être exécuté plusieurs fois de suite sans endommager le système. Exceptions - « 5.

Restauration des paramètres du bureau" (l'exécution de ce firmware réinitialisera tous les paramètres du bureau et vous devrez resélectionner la couleur et le fond d'écran du bureau) et "10.

Restauration des paramètres de démarrage en SafeMode" (ce firmware recrée les clés de registre responsables du démarrage en mode sans échec).

Pour démarrer la récupération, téléchargez, décompressez et exécutez d'abord utilitaire. Cliquez ensuite sur Fichier - Restauration du système. D'ailleurs, vous pouvez aussi faire

Cochez les cases dont vous avez besoin et cliquez sur Démarrer les opérations. Ça y est, nous attendons avec impatience la fin :-)

Dans les articles suivants, nous examinerons plus en détail les problèmes que le firmware nous aidera à résoudre. récupération avz systèmes. Alors bonne chance à vous.

AVZ est un utilitaire gratuit conçu pour rechercher et supprimer les virus, ainsi que pour restaurer les paramètres du système après les actions de programmes malveillants.

Préparation au travail

1. Téléchargez l'utilitaire AVZ sur le site officiel : http://z-oleg.com/avz4.zip

2. Décompressez l'archive

3. Exécutez le fichier à partir de l'archive avz.exe

4. Allez dans le menu Déposer et sélectionnez Mise à jour de la base de données

Cliquez sur Commencer pour démarrer le processus de mise à jour :

La base de données antivirus est en cours de mise à jour :

Lorsque les bases de données seront mises à jour, ce message apparaîtra. Cliquez sur D'ACCORD:

Vérification des virus

Pour rechercher des virus, vérifiez tous les lecteurs de l'ordinateur à gauche et cochez la case à droite. Effectuer un traitement, et cliquez sur le bouton ci-dessous Commencer:

Restauration du système

Une fonction très utile de l'utilitaire AVZ est la récupération du système. Cela sera utile après la suppression des logiciels malveillants pour en éliminer les traces. Pour démarrer la restauration du système, cliquez sur Déposer -> Restauration du système:

Cochez les cases requises et cliquez sur le bouton Effectuer des opérations marquées:

Confirmez votre intention :

Nettoyer les navigateurs avec AVZ

Dans le menu principal, sélectionnez Déposer.

Sélectionnez un élément Assistant de dépannage :

Sur le terrain Niveau de danger sélectionner Tous les problèmes.

Cliquez sur Commencer.

Cochez les cases suivantes :

• Effacement du dossier TEMP ;
• Adobe Flash Player - nettoyage des fichiers temporaires ;
• Macromedia Flash Player - effacement des caches ;
• Nettoyage du dossier TEMP du système ;
• Effacer les caches de tous les navigateurs installés ;

Cliquez sur le bouton Résoudre les problèmes signalés.

Dans certaines situations, il peut être nécessaire de désactiver le débogueur du noyau. Cette opération n'est pas recommandée aux utilisateurs inexpérimentés en raison de la menace potentielle pour la stabilité du système d'exploitation. Systèmes Microsoft Les fenêtres.

Instructions

Cliquez sur le bouton "Démarrer" pour ouvrir le menu principal du système et entrez cmd dans la barre de recherche pour lancer la procédure de désactivation du débogueur du noyau.

Appel menu contextuel trouvé l'outil « Invite de commandes » en cliquant avec le bouton droit et en spécifiant la commande « Exécuter en tant qu'administrateur ».

Spécifiez Kdbgctrl.exe -d dans la zone de texte de l'utilitaire de ligne de commande pour désactiver le débogage du noyau dans la session en cours et appuyez sur la touche de fonction Entrée pour confirmer la commande.

Utilisez la valeur bcdedit /debug off dans la zone de texte de la ligne de commande pour désactiver le processus de débogage du cœur du processeur pour toutes les sessions sur les systèmes d'exploitation Windows Vista et Windows 7, puis appuyez sur la touche de fonction Entrée pour confirmer votre choix.

Entrez dir /ASH dans la zone de texte de la ligne de commande pour rechercher un fichier boot.ini caché et protégé situé sur le lecteur système afin de désactiver le débogueur du noyau pour toutes les sessions sur toutes les versions antérieures du système d'exploitation. Microsoft Windows et ouvrez le fichier trouvé dans le Bloc-notes.

Supprimez les paramètres :

- /débogage ;
- port de débogage ;
- /débit en bauds

et redémarrez votre ordinateur pour appliquer les modifications sélectionnées.

Cliquez sur le bouton "Continuer" dans la boîte de dialogue d'invite si vous devez effectuer une opération de débogage sur le cœur du processeur du système et attendez la fin de la procédure.

Utilisez la commande gn dans le champ de texte de la fenêtre du débogueur du noyau lorsqu'un message d'erreur d'exception d'interruption de l'utilisateur (Int 3) apparaît.

Utilisez le mode débogage lors du démarrage de votre ordinateur en mode sans échec pour activer le service de débogage du noyau.

Le débogueur du noyau est un outil spécial logiciel, qui fonctionne au niveau du noyau de l'ensemble du système d'exploitation d'un ordinateur personnel. Le processus de « débogage du noyau du système d'exploitation » fait référence à la procédure d'analyse de diverses erreurs dans le noyau du système. Lorsque vous travaillez avec Daemon Tools, une erreur d'initialisation... Le débogueur du noyau doit être désactivé se produit souvent. Vous pouvez résoudre ce problème en désactivant le débogueur du noyau.

Tu auras besoin de

• Droits d'administrateur.

Instructions

Si cet avertissement apparaît pendant le processus d'installation de l'application, vous devez désactiver le service appelé Gestionnaire de débogage de la machine. Pour cela, lancez le « Panneau de configuration » et rendez-vous dans la rubrique « Administration ». Ensuite, cliquez sur le raccourci « Services ». Recherchez Machine Debug Manager dans la liste. Cliquez sur le nom avec le bouton de la souris et cliquez sur « Stop ».

Désactivez les processus du débogueur dans le Gestionnaire des tâches. Pour ce faire, faites un clic droit dans une zone libre et sélectionnez « Gestionnaire des tâches ». Vous pouvez appuyer sur la combinaison de touches Alt + Ctrl + Suppr. Accédez à l'onglet Processus et désactivez tous les processus mdm.exe, dumprep.exe et drwatson.exe. Si vous ne vous sentez pas à l'aise pour les rechercher dans la liste, cliquez sur l'onglet Nom de l'image pour trier la liste par nom. En règle générale, ces opérations sont effectuées manuellement, pour le compte de l'administrateur de l'ordinateur personnel.

Le système de rapport d'erreurs doit également être désactivé pour enregistrer informations de débogage a été interrompu. Pour ce faire, allez dans le « Panneau de configuration ». Sélectionnez la section "Système" et cliquez sur le bouton "Avancé". Ensuite, cliquez sur le bouton « Rapport d'erreur ». Cochez la case à côté de « Désactiver le rapport d'erreurs ». Accédez ensuite à l'onglet « Démarrage et récupération » et décochez les cases « Envoyer une alerte administrative » et « Consigner l'événement dans le journal système ».

Supprimez l'application Daemon Tools du démarrage. Pour ce faire, cliquez sur le bouton "Démarrer". Ensuite, cliquez sur Exécuter et entrez la commande msconfig. Une fois la fenêtre système affichée, décochez la case à côté de l'application Daemon Tools. Lors de l'installation du programme, désactivez votre logiciel antivirus. Si l'erreur décrite se produit, l'installation de l'application doit être redémarrée, après avoir éliminé toutes les raisons de ordinateur personnel.

Conseil utile

L'exécution de certaines des opérations ci-dessus nécessite un accès administratif aux ressources système.

Un moyen simple, facile et pratique de restaurer des fonctionnalités même sans les qualifications et les compétences nécessaires pour le faire est possible grâce à l'utilitaire antivirus AVZ. L'utilisation de ce que l'on appelle le « firmware » (terminologie de l'utilitaire antivirus AVZ) vous permet de réduire l'ensemble du processus au minimum.

Pour que tout fonctionne dans votre ordinateur portable, cela sera assuré par une batterie pour ordinateur portable asus, et pour le bon fonctionnement de tous les « rouages ​​» du système d’exploitation, la fonctionnalité AVZ ne sera pas la moindre importante.

L'aide est possible avec la plupart problèmes typiques apparaissant devant l'utilisateur. Toutes les fonctionnalités du firmware sont appelées depuis le menu "Fichier -> Restauration du système".

1. Restauration des paramètres de démarrage des fichiers .exe, .com, .pif
   Restauration de la réponse standard du système aux fichiers avec l'extension exe, com, pif, scr.
   Après le traitement contre le virus, tous les programmes et scripts ont cessé de fonctionner.
2. Réinitialisation des paramètres de préfixe du protocole Internet Explorer par défaut
   Récupération paramètres standards préfixes de protocole dans navigateur Internet Explorateur
   Recommandations d'utilisation : lorsque vous entrez une adresse Web, par exemple www.yandex.ua, elle est remplacée par une adresse telle que www.seque.com/abcd.php?url=www.yandex.ua
3. Restauration de la page de démarrage d'Internet Explorer
   Renvoyez simplement la page de démarrage dans Internet Explorer
   Recommandations d'utilisation : si la page d'accueil a été modifiée
4. Réinitialiser les paramètres de recherche d'Internet Explorer par défaut
   Restaure les paramètres de recherche dans Internet Explorer
   Recommandations d'utilisation : Le bouton "Rechercher" mène aux sites "de gauche"
5. Restauration des paramètres du bureau
   Supprime tous les éléments et fonds d'écran ActiveDesktop actifs et déverrouille le menu des paramètres du bureau.
   Recommandations d'utilisation : afficher des inscriptions et/ou des dessins de tiers sur le bureau
6. Suppression de toutes les politiques (restrictions) de l'utilisateur actuel
   suppression des restrictions sur les actions des utilisateurs causées par les modifications des politiques.
   Recommandations d'utilisation : La fonctionnalité de l'Explorateur ou une autre fonctionnalité du système a été bloquée.
7. Suppression de la sortie du message pendant WinLogon
   Restauration du message standard au démarrage du système.
   Recommandations d'utilisation : Pendant le processus de démarrage du système, un message tiers est observé.
8. Restauration des paramètres de l'explorateur de fichiers
   Renvoie tous les paramètres de l'Explorateur à leur forme standard.
   Recommandations d'utilisation : Paramètres de l'Explorateur inappropriés
9. Suppression des débogueurs de processus système
   Les débogueurs de processus système sont lancés en secret, ce qui est très bénéfique pour les virus.
   Recommandations d'utilisation : par exemple, après le démarrage, le bureau disparaît.
10. Restauration des paramètres de démarrage en SafeMode
    Réanime les effets des vers comme Bagle, etc.
    Recommandations d'utilisation : problèmes de chargement en mode protégé (SafeMode), sinon il n'est pas recommandé de l'utiliser.
11. Déverrouillage du gestionnaire de tâches
    Débloque toute tentative d'appel du gestionnaire de tâches.
    Recommandations d'utilisation : si à la place du gestionnaire de tâches vous voyez le message "Le gestionnaire de tâches est bloqué par l'administrateur"
12. Effacement de la liste des ignorés de l'utilitaire HijackThis
    L'utilitaire HijackThis enregistre ses paramètres dans le registre système, en particulier, une liste d'exceptions y est stockée. Les virus se faisant passer pour HijackThis sont enregistrés dans cette liste d'exclusion.
    Recommandations d'utilisation : Vous pensez que l'utilitaire HijackThis n'affiche pas toutes les informations sur le système.
13. 
    Toutes les lignes non commentées sont supprimées et la seule ligne significative "127.0.0.1 localhost" est ajoutée.
    Recommandations d'utilisation : Le fichier hosts a été modifié. Vous pouvez vérifier le fichier Hosts à l'aide du gestionnaire de fichiers Hosts intégré à AVZ.
14. Correction automatique des paramètres SPl/LSP
    Les paramètres SPI sont analysés et, si nécessaire, les erreurs trouvées sont automatiquement corrigées. Le firmware peut être réexécuté plusieurs fois en toute sécurité. Après exécution, un redémarrage de l'ordinateur est requis. Attention!!! Le firmware ne peut pas être utilisé depuis une session de terminal
    Recommandations d'utilisation : Après un traitement contre le virus, j'ai perdu l'accès à Internet.
15. Réinitialisation des paramètres SPI/LSP et TCP/IP (XP+)
    Le firmware fonctionne exclusivement sous XP, Windows 2003 et Vista. L'utilitaire standard « netsh » de Windows est utilisé. Décrit en détail dans la base de connaissances Microsoft - http://support.microsoft.com/kb/299357
    Recommandations d'utilisation : Après traitement contre le virus, j'ai perdu l'accès à Internet et le firmware n°14 n'a pas aidé.
16. Récupération de la clé de lancement de l'Explorateur
    Restauration des clés de registre système responsables du lancement de l'Explorateur.
    Recommandations d'utilisation : Une fois le système démarré, vous ne pouvez lancer explorer.exe que manuellement.
17. Déverrouillage de l'éditeur de registre
    Débloquer l'Éditeur du Registre en supprimant la stratégie qui l'empêche de s'exécuter.
    Recommandations d'utilisation : Lorsque vous essayez de lancer l'Éditeur du Registre, vous recevez un message indiquant que votre administrateur a bloqué son exécution.
18. Recréation complète des paramètres SPI
    Effectue une copie de sauvegarde de tous les paramètres SPI/LSP, après quoi il les crée selon la norme située dans la base de données.
    Recommandations d'utilisation : Lors de la restauration des paramètres SPI, les firmwares n°14 et n°15 ne vous ont pas aidé. Dangereux, utilisez à vos risques et périls !
19. Effacer la base de données MountPoints
    La base de données du registre système pour MountPoints et MountPoints2 est effacée.
    Recommandations d'utilisation : par exemple, il est impossible d'ouvrir des lecteurs dans l'Explorateur.
20. Remplacez le DNS de toutes les connexions par Google Public DNS
    Nous changeons toutes les adresses DNS des serveurs utilisés en 8.8.8.8

Quelques conseils utiles :

• La plupart des problèmes liés au pirate de l'air peuvent être traités avec trois microprogrammes - n° 4 « Réinitialisation des paramètres de recherche d'Internet Explorer à la norme », n° 3 « Restauration de la page de démarrage d'Internet Explorer » et n° 2 « Réinitialisation des paramètres de préfixe du protocole Internet Explorer à la norme ».
• Tous les micrologiciels, à l'exception des numéros 5 et 10, peuvent être exécutés plusieurs fois en toute sécurité.
• Et bien sûr, il est inutile de réparer quoi que ce soit sans supprimer au préalable le virus.

Le lancement de l'utilitaire AVZ peut être nécessaire lorsque vous contactez le support technique de Kaspersky Lab.
À l'aide de l'utilitaire AVZ, vous pouvez :

• recevoir un rapport sur les résultats de l'étude du système ;
• exécuter un script fourni par un spécialiste soutien technique Kaspersky Lab
  pour créer une quarantaine et supprimer les fichiers suspects.

L'utilitaire AVZ n'envoie pas de statistiques, ne traite pas les informations et ne les transmet pas à Kaspersky Lab. Le rapport est enregistré sur l'ordinateur sous forme de fichiers HTML et XML, qui peuvent être consultés sans utiliser de programmes spéciaux.

L'utilitaire AVZ peut créer automatiquement une quarantaine et y placer des copies des fichiers suspects et de leurs métadonnées.

Les objets placés en quarantaine ne sont pas traités, ne sont pas transférés à Kaspersky Lab et sont stockés sur l'ordinateur. Nous vous déconseillons de restaurer les fichiers depuis la quarantaine ; ils peuvent endommager votre ordinateur.

Quelles données sont contenues dans le rapport de l'utilitaire AVZ

Le rapport de l'utilitaire AVZ contient :

• Informations sur la version et la date de sortie de l'utilitaire AVZ.
• Des informations sur bases de données antivirus Utilitaire AVZ et ses paramètres de base.
• Informations sur la version du système d'exploitation, la date de son installation et les droits d'utilisateur avec lesquels l'utilitaire a été lancé.
• Résultats de recherche de rootkits et de programmes qui interceptent les principales fonctions du système d'exploitation.
• Résultats de recherche pour les processus suspects et informations sur ces processus.
• Résultats de recherche de logiciels malveillants courants en fonction de leurs propriétés caractéristiques.
• Informations sur les erreurs trouvées lors de l'analyse.
• Résultats de recherche pour les programmes qui interceptent les événements du clavier, de la souris ou de la fenêtre.
• Résultats de recherche pour les ports TCP et UDP ouverts utilisés par les logiciels malveillants.
• Informations sur les clés de registre système suspectes, les noms de fichiers disque et les paramètres système.
• Résultats de recherche pour les vulnérabilités potentielles du système d’exploitation et les problèmes de sécurité.
• Informations sur les paramètres du système d'exploitation endommagés.

Comment exécuter un script à l'aide de l'utilitaire AVZ

Utilisez l'utilitaire AVZ uniquement sous la direction d'un spécialiste du support technique de Kapersky Lab dans le cadre de votre demande. Le faire vous-même pourrait endommager le système d’exploitation et entraîner une perte de données.

1. Téléchargez le fichier exécutable de l'utilitaire AVZ.
2. Exécutez avz5.exe sur votre ordinateur. Si Windows Defender SmartScreen a empêché l'exécution de avz5.exe, cliquez sur Plus de détails → Exécuter quand même dans la fenêtre Système Windows protégé votre ordinateur.
3. Aller à la rubrique Déposer→ Exécuter le script.

1. Collez dans le champ de saisie le script que vous avez reçu du spécialiste du support technique du laboratoire Kapersky.
2. Cliquez sur Lancement.

1. Attendez la fin de l'utilitaire et suivez les recommandations supplémentaires du spécialiste du support technique de Kapersky Lab.