Systemgjenoppretting. Vi fikser og optimaliserer ved hjelp av AVZ-programmet Hvordan gjenopprette systemet ved hjelp av avz

Antivirusprogrammer, selv når de oppdager og fjerner skadelig programvare, gjenoppretter ikke alltid full systemfunksjonalitet. Ofte, etter å ha fjernet et virus, mottar en datamaskinbruker et tomt skrivebord, en fullstendig mangel på tilgang til Internett (eller tilgang til noen nettsteder er blokkert), en ikke-funksjonell mus, etc. Dette er vanligvis forårsaket av det faktum at noen system- eller brukerinnstillinger endret av det skadelige programmet forblir urørt.

Verktøyet er gratis, fungerer uten installasjon, er overraskende funksjonelt og har hjulpet meg i en rekke situasjoner. Et virus gjør som regel endringer i systemregisteret (legger til oppstart, endrer programstartparametere, etc.). For ikke å dykke ned i systemet og manuelt korrigere spor av viruset, er det verdt å bruke "systemgjenoppretting" -operasjonen tilgjengelig i AVZ (selv om verktøyet er veldig, veldig bra som antivirus, er det veldig bra å sjekke diskene for virus med verktøyet).

For å starte gjenopprettingen, kjør verktøyet. Klikk deretter fil - systemgjenoppretting

og et slikt vindu vil åpne seg foran oss

merk av i boksene vi trenger og klikk "Utfør valgte operasjoner"

Denne fastvaren gjenoppretter systemets respons på exe-filer, com, pif, scr.

Indikasjoner for bruk: Etter at viruset er fjernet, slutter programmene å kjøre.

Denne fastvaren gjenoppretter protokollprefiksinnstillingene i Internet Explorer

Indikasjoner for bruk: når du skriver inn en adresse som www.yandex.ru, erstattes den med noe sånt som www.seque.com/abcd.php?url=www.yandex.ru

Denne fastvaren gjenoppretter startsiden i Internet Explorer

Indikasjoner for bruk: substitusjon hjemmeside

Denne fastvaren gjenoppretter søkeinnstillingene i Internet Explorer

Indikasjoner for bruk: Når du klikker på "Søk"-knappen i IE, blir du dirigert til en tredjepartsside

Denne fastvaren gjenoppretter skrivebordsinnstillingene. Gjenoppretting innebærer å slette alle aktive ActiveDesctop-elementer, bakgrunnsbilde og fjerne blokkering av menyen som er ansvarlig for skrivebordsinnstillingene.

Indikasjoner for bruk: Bokmerkene for skrivebordsinnstillinger i vinduet "Visningsegenskaper" har forsvunnet; fremmede inskripsjoner eller bilder vises på skrivebordet

Windows har en mekanisme for å begrense brukerhandlinger kalt retningslinjer. Mange skadelig programvare bruker denne teknologien fordi innstillingene er lagret i registeret og er enkle å opprette eller endre.

Indikasjoner for bruk: Utforskerfunksjoner eller andre systemfunksjoner er blokkert.

Windows NT og påfølgende systemer i NT-linjen (2000, XP) lar deg angi meldingen som vises under oppstart. En rekke personer bruker dette skadevare, og ødeleggelsen av det skadelige programmet fører ikke til ødeleggelsen av denne meldingen.

Indikasjoner for bruk: En ekstern melding legges inn under systemoppstart.

Denne fastvaren tilbakestiller en rekke Explorer-innstillinger til standard (innstillingene som endres av skadelig programvare, tilbakestilles først).

Indikasjoner for bruk: Explorer-innstillingene endret

Registrering av en systemprosessfeilsøker vil tillate deg skjult lansering applikasjon, som brukes av en rekke skadelig programvare

Indikasjoner for bruk: AVZ oppdager uidentifiserte systemprosessfeilsøkere, det oppstår problemer med å starte systemkomponenter, spesielt forsvinner skrivebordet etter en omstart.

Noe skadelig programvare, spesielt Bagle-ormen, ødelegger systemets oppstartsinnstillinger i beskyttet modus. Denne fastvaren gjenoppretter oppstartsinnstillinger i beskyttet modus.

Indikasjoner for bruk: .

Oppgavebehandlingsblokkering brukes av skadelig programvare for å beskytte prosesser mot oppdagelse og fjerning. Følgelig fjerner kjøringen av dette mikroprogrammet låsen.

Indikasjoner for bruk: Oppgavebehandlingen er blokkert; når du prøver å ringe til oppgavebehandlingen, vises meldingen "Oppgavebehandling er blokkert av administratoren".

HijackThis-verktøyet lagrer en rekke av innstillingene i registeret, spesielt en liste over unntak. Derfor, for å kamuflere seg fra HijackThis, trenger det ondsinnede programmet bare å registrere sine kjørbare filer i ekskluderingslisten. I for tiden Det er kjent en rekke skadelige programmer som utnytter dette sikkerhetsproblemet. AVZ-fastvare sletter unntakslisten for HijackThis-verktøyet

Indikasjoner for bruk: Det er mistanke om at HijackThis-verktøyet ikke viser all informasjon om systemet.

13. Rengjøring av Hosts-filen

Å rydde opp i Hosts-filen innebærer å finne Hosts-filen, fjerne alle viktige linjer fra den og legge til standard "127.0.0.1 localhost"-linjen.

Indikasjoner for bruk: Det er mistanke om at Hosts-filen har blitt modifisert av skadelig programvare. Typiske symptomer er blokkering av oppdatering av antivirusprogrammer. Du kan kontrollere innholdet i Hosts-filen ved å bruke Hosts-filbehandlingen innebygd i AVZ.

Utfører analyse av SPI-innstillinger og, hvis feil oppdages, korrigerer feilene som er funnet automatisk. Denne fastvaren kan kjøres på nytt et ubegrenset antall ganger. Etter å ha kjørt denne fastvaren, anbefales det å starte datamaskinen på nytt.

Indikasjoner for bruk: Etter å ha fjernet det skadelige programmet, mistet jeg tilgangen til Internett.

Denne fastvaren fungerer kun på XP, Windows 2003 og Vista. Driftsprinsippet er basert på å tilbakestille og gjenskape SPI/LSP- og TCP/IP-innstillinger ved å bruke standard netsh-verktøy som er inkludert i Windows. Merk! Du bør bare bruke en tilbakestilling av fabrikken hvis det er nødvendig hvis du har uopprettelige problemer med Internett-tilgang etter å ha fjernet skadelig programvare!

Indikasjoner for bruk: Etter å ha fjernet det skadelige programmet, tilgang til Internett og kjøring av fastvaren "14. Automatisk korrigering av SPl/LSP-innstillinger fungerer ikke.

Gjenoppretter systemregisternøkler som er ansvarlige for å starte Explorer.

Indikasjoner for bruk: Under systemoppstart starter ikke Explorer, men det er mulig å starte explorer.exe manuelt.

Fjerner blokkeringen av Registerredigering ved å fjerne policyen som hindrer den i å kjøre.

Indikasjoner for bruk: Det er umulig å starte Registerredigering; når du prøver, vises en melding om at oppstarten er blokkert av administratoren.

Utfører backup SPI/LSP-innstillinger, hvoretter den ødelegger dem og lager dem i henhold til standarden, som er lagret i databasen.

Indikasjoner for bruk:

Rydder opp i MountPoints- og MountPoints2-databasen i registeret. Denne operasjonen hjelper ofte når disker ikke åpnes i Utforsker etter infeksjon med et Flash-virus

For å utføre en gjenoppretting, må du velge ett eller flere elementer og klikke på "Utfør valgte operasjoner"-knappen. Ved å klikke på "OK"-knappen lukkes vinduet.

På en notis:

Gjenoppretting er ubrukelig hvis systemet kjører et trojansk program som utfører slike rekonfigurasjoner - du må først fjerne det skadelige programmet og deretter gjenopprette systeminnstillingene

På en notis:

For å eliminere spor etter de fleste kaprere, må du kjøre tre fastvare - "Tilbakestill Internet Explorer søkeinnstillinger til standard", "Gjenopprett oppstart" Internett-sider Explorer", "Tilbakestiller Internet Explorer-protokollprefiksinnstillingene til standard"

På en notis:

Hvilken som helst av fastvaren kan kjøres flere ganger på rad uten å skade systemet. Unntak er "5.Restoring desktop settings" (å kjøre denne fastvaren vil alle skrivebordsinnstillinger tilbakestilles, og du må velge skrivebordsfarge og bakgrunnsbilde på nytt) og "10. Gjenoppretter oppstartsinnstillinger i SafeMode" (denne fastvaren gjenskaper registernøklene som er ansvarlige for oppstart i sikkerhetsmodus).

Som

Som

kvitring

Det finnes programmer som er like universelle som en sveitsisk hærkniv. Helten i artikkelen min er akkurat en slik "stasjonsvogn". Navnet hans er AVZ(Zaitsev Antivirus). Ved hjelp av dette gratis Antivirus og virus kan fanges, systemet kan optimaliseres og problemer kan fikses.

AVZ-funksjoner

Om hva det er antivirusprogram, fortalte jeg allerede. Arbeidet til AVZ som et engangs-antivirus (mer presist, et anti-rootkit) er godt beskrevet i hjelpen, men jeg vil vise deg en annen side av programmet: sjekke og gjenopprette innstillinger.

Hva kan "fikses" med AVZ:

• Gjenopprett oppstart av programmer (.exe, .com, .pif-filer)
• Tilbakestill Internet Explorer-innstillingene til standard
• Gjenopprett skrivebordsinnstillinger
• Fjern rettighetsbegrensninger (for eksempel hvis et virus har blokkert programmer fra å starte)
• Fjern et banner eller et vindu som dukker opp før du logger på
• Fjern virus som kan kjøre sammen med alle programmer
• Fjern blokkering av oppgavebehandling og registerredigering (hvis viruset har forhindret dem i å kjøre)
• Tøm filen
• Forby automatisk kjøring av programmer fra flash-stasjoner og disker
• Fjern unødvendige filer fra harddisk
• Løs skrivebordsproblemer
• Og mye mer

Du kan også bruke den til å sjekke for sikkerhet Windows-innstillinger(for å bedre beskytte mot virus), og også optimalisere systemet ved å rense oppstart.

AVZ-nedlastingssiden er lokalisert.

Programmet er gratis.

Først, la oss beskytte Windows mot uforsiktige handlinger.

AVZ-programmet har Veldig mange funksjoner som påvirker Windows-drift. Dette farlig, fordi hvis det er en feil, kan katastrofe skje. Les teksten og hjelp nøye før du gjør noe. Forfatteren av artikkelen er ikke ansvarlig for dine handlinger.

For å kunne "returnere alt som det var" etter uforsiktig arbeid med AVZ, skrev jeg dette kapittelet.

Dette er et obligatorisk trinn, som i hovedsak oppretter en "fluktvei" i tilfelle uforsiktige handlinger - takket være gjenopprettingspunktet vil det være mulig å gjenopprette innstillinger og Windows-registeret til en tidligere tilstand.

System Windows gjenoppretting- en nødvendig komponent i alle versjoner av Windows, fra og med Windows ME. Det er synd at de vanligvis ikke husker det og kaster bort tid på å installere Windows og programmer på nytt, selv om du bare kan klikke et par ganger og unngå alle problemene.

Hvis skaden er alvorlig (for eksempel noen systemfiler har blitt slettet), vil ikke Systemgjenoppretting hjelpe. I andre tilfeller – hvis du konfigurerte Windows feil, rotet rundt med registeret, installerte et program som hindrer Windows i å starte opp, eller brukte AVZ-programmet feil – burde Systemgjenoppretting hjelpe.

Etter AVZ fungerer oppretter undermapper med sikkerhetskopier i mappen:

/Sikkerhetskopiering- er lagret der sikkerhetskopier register

/Smittet- kopier av slettede virus.

/Karantene- kopier av mistenkelige filer.

Hvis problemer startet etter å ha kjørt AVZ (du brukte for eksempel ubetenksomt AVZ System Restore-verktøyet og Internett sluttet å fungere) og Windows System Restore ikke rullet tilbake endringene som ble gjort, kan du åpne registersikkerhetskopier fra mappen Sikkerhetskopiering.

Hvordan lage et gjenopprettingspunkt

La oss gå til Start - Kontrollpanel - System - Systembeskyttelse:

Klikk på "System Protection" i "System"-vinduet.

Klikk på "Opprett"-knappen.

Prosessen med å opprette et gjenopprettingspunkt kan ta ti minutter. Da vises et vindu:

Et gjenopprettingspunkt vil bli opprettet. De blir forresten automatisk opprettet ved installasjon av programmer og drivere, men ikke alltid. Derfor, før farlige handlinger (oppsett, rengjøring av systemet), er det bedre å lage et gjenopprettingspunkt igjen, slik at du i tilfelle problemer kan prise deg selv for fremsynet.

Hvordan gjenopprette datamaskinen ved hjelp av et gjenopprettingspunkt

Det er to alternativer for å kjøre Systemgjenoppretting - fra under kjører Windows og bruke installasjonsplaten.

Alternativ 1 - hvis Windows starter

La oss gå til Start - Alle programmer - Tilbehør - Systemverktøy - Systemgjenoppretting:

Vil starte Velg et annet gjenopprettingspunkt og trykk Lengre. En liste over gjenopprettingspunkter åpnes. Velg den du trenger:

Datamaskinen starter automatisk på nytt. Etter nedlasting vil alle innstillinger, registret og noen viktige filer gjenopprettes.

Alternativ 2 - hvis Windows ikke starter

Du trenger en "installasjonsdisk" med Windows 7 eller Windows 8. Jeg skrev hvor jeg kan få tak i den (eller laste den ned).

Boot fra disken (hvordan starte opp fra oppstartsdisker står skrevet) og velg:

Velg "Systemgjenoppretting" i stedet for å installere Windows

Reparere systemet etter virus eller udugelige handlinger med datamaskinen

Før alle handlinger, bli kvitt virus, for eksempel ved å bruke. Ellers vil det ikke være noen mening - korrigerte innstillinger kjører virus vil "bryte" igjen.

Gjenopprettingsprogram starter

Hvis et virus har blokkert lanseringen av noen programmer, vil AVZ hjelpe deg. Selvfølgelig må du fortsatt starte AVZ selv, men det er ganske enkelt:

Først går vi til Kontrollpanel- angi hvilken som helst type visning, unntatt kategori - Mappeinnstillinger - Utsikt- fjern merket Skjul utvidelser for registrerte filtyper - OK. Nå kan du se for hver fil Utvidelse- flere tegn etter den siste prikken i navnet. Dette er vanligvis tilfellet med programmer. .exe Og .com. For å kjøre AVZ antivirus på en datamaskin der det er forbudt å kjøre programmer, endre navn på utvidelsen til cmd eller pif:

Deretter starter AVZ. Klikk deretter i selve programvinduet Fil - :

Punkter å merke seg:

1. Gjenopprette oppstartsparametere for .exe-, .com-, .pif-filer(faktisk løser det problemet med å starte programmer)

6. Fjerne alle retningslinjer (restriksjoner) for gjeldende bruker(i noen sjeldne tilfeller hjelper dette elementet også med å løse problemet med å starte programmer hvis viruset er svært skadelig)

9. Fjerning av systemprosessfeilsøkere(det er veldig lurt å merke seg dette punktet, for selv om du sjekket systemet med et antivirus, kan det være noe igjen fra viruset. Det hjelper også hvis skrivebordet ikke vises når systemet starter)

Vi bekrefter handlingen, et vindu vises med teksten "Systemgjenoppretting fullført." Etterpå gjenstår det bare å starte datamaskinen på nytt - problemet med å starte programmer vil bli løst!

Gjenoppretter skrivebordsstarten

Et ganske vanlig problem er at skrivebordet ikke vises når systemet starter.

Lansering Skrivebord du kan gjøre dette: trykk Ctrl+Alt+Del, start Oppgavebehandling, trykk der Fil - Ny oppgave (Kjør...) - Tast inn explorer.exe:

OK- Skrivebordet starter. Men dette er bare en midlertidig løsning på problemet - neste gang du slår på datamaskinen må du gjenta alt på nytt.

For å unngå å gjøre dette hver gang, må du gjenopprette programstartnøkkelen utforsker("Utforsker", som er ansvarlig for standardvisning av innholdet i mapper og driften av skrivebordet). Klikk på AVZ Fil- og merk varen

Utfør merkede operasjoner, bekreft handlingen, trykk OK. Nå når du starter datamaskinen, starter skrivebordet normalt.

Låser opp Task Manager og Registerredigering

Hvis et virus har blokkert lanseringen av de to ovennevnte programmene, kan du fjerne forbudet gjennom AVZ-programvinduet. Bare sjekk to punkter:

11. Lås opp oppgavebehandling

17. Låse opp registerredigeringsprogrammet

Og trykk Utfør de merkede operasjonene.

Problemer med Internett (VKontakte, Odnoklassniki og antivirussider åpnes ikke)

Rensing av systemet fra unødvendige filer

Programmer AVZ vet hvordan du rengjør datamaskinen unødvendige filer. Hvis du ikke har et program for rengjøring av harddisken installert på datamaskinen din, vil AVZ gjøre det, siden det er mange alternativer:

Flere detaljer om punktene:

1. Tøm systembufferen Prefetch- rydde mappen med informasjon om hvilke filer som skal lastes på forhånd for hurtigstart programmer. Alternativet er ubrukelig, fordi Windows selv overvåker Prefetch-mappen og renser den når det er nødvendig.
2. Slett Windows-loggfiler- du kan slette ulike databaser og filer som lagrer ulike poster om hendelser som skjer i operativsystemet. Alternativet er nyttig hvis du trenger å frigjøre et dusin eller to megabyte plass på harddisken. Det vil si at fordelen ved å bruke den er ubetydelig, alternativet er ubrukelig.
3. Slett minnedumpfiler- ved kritiske Windows feil avbryter arbeidet og viser BSOD ( Blå skjerm død), samtidig bevare informasjon om kjører programmer og drivere inn i en fil for påfølgende analyse av spesielle programmer for å identifisere årsaken til feilen. Alternativet er nesten ubrukelig, siden det lar deg vinne bare ti megabyte ledig plass. Sletting av minnedumpfiler skader ikke systemet.
4. Tøm liste over nylige dokumenter- Merkelig nok sletter alternativet listen over siste dokumenter. Denne listen finner du i Start-menyen. Du kan også tømme listen manuelt ved å høyreklikke på dette elementet i Start-menyen og velge "Tøm liste over nylige elementer." Alternativet er nyttig: Jeg la merke til at når du tømmer listen over nylige dokumenter, kan Start-menyen vise menyene litt raskere. Det vil ikke skade systemet.
5. Tømmer TEMP-mappen- Den hellige gral for de som leter etter årsaken til forsvinningen av ledig plass på C:-stasjonen. Faktum er at mange programmer lagrer filer i TEMP-mappen for midlertidig bruk, og glemmer å "rydde opp etter seg" senere. Et typisk eksempel er arkivere. De vil pakke ut filene der og glemme å slette dem. Å tømme TEMP-mappen skader ikke systemet; det kan frigjøre mye plass (i spesielt avanserte tilfeller når gevinsten i ledig plass femti gigabyte!).
6. Adobe Flash Spiller - sletter midlertidige filer- "flash player" kan lagre filer for midlertidig bruk. De kan fjernes. Noen ganger (sjelden) hjelper alternativet i kampen mot feil Flash Player. For eksempel med problemer med å spille av video og lyd på nettstedet VKontakte. Det er ingen skade ved bruk.
7. Tømme terminalklientbufferen- så vidt jeg vet, sletter dette alternativet de midlertidige filene til en Windows-komponent kalt "Eksternt skrivebordstilkobling" ( fjerntilgang til datamaskiner via RDP-protokoll). Alternativ ser det ut til gjør ingen skade, frigjør i beste fall et dusin megabyte plass. Det er ingen vits i å bruke det.
8. IIS - Sletter HTTP-feillogg– det tar lang tid å forklare hva det er. La meg bare si at det er bedre å ikke aktivere alternativet for sletting av IIS-logg. Det gjør i alle fall ingen skade, og ingen fordel heller.
9. Macromedia Flash Player- duplikater av varer "Adobe Flash Player - sletter midlertidige filer", men påvirker ganske gamle versjoner av Flash Player.
10. Java - tømme cache- gir deg en gevinst på et par megabyte på harddisken. Jeg bruker ikke Java-programmer, så jeg har ikke sjekket konsekvensene av å aktivere alternativet. Jeg anbefaler ikke å slå den på.
11. Tømme papirkurven- formålet med denne gjenstanden er helt klart fra navnet.
12. Fjernogger- Windows fører en logg installerte oppdateringer. Aktivering av dette alternativet sletter loggen. Alternativet er ubrukelig fordi det ikke er noen gevinst i ledig plass.
13. Fjern Windows Update Protocol- ligner på forrige punkt, men andre filer slettes. Også et ubrukelig alternativ.
14. Tøm MountPoints-databasen- hvis det ikke opprettes ikoner med dem i datamaskinvinduet når du kobler til en flash-stasjon eller harddisk, kan dette alternativet hjelpe. Jeg anbefaler deg å aktivere det bare hvis du har problemer med å koble til flash-stasjoner og disker.
15. Internet Explorer - tømme cache- renser midlertidige filer i Internet Explorer. Alternativet er trygt og nyttig.
16. Microsoft Office- tømming av cache- renser midlertidige filer fra Microsoft Office-programmer - Word, Excel, PowerPoint og andre. Jeg kan ikke sjekke sikkerhetsalternativene fordi jeg ikke har Microsoft Office.
17. Tømmer CD-brenningssystembufferen- et nyttig alternativ som lar deg slette filer du har forberedt for å brenne til disker.
18. Rengjøring av systemets TEMP-mapp- i motsetning til brukerens TEMP-mappen (se punkt 5), er det ikke alltid trygt å rense denne mappen, og frigjør vanligvis lite plass. Jeg anbefaler ikke å slå den på.
19. MSI - renser Config.Msi-mappen- Denne mappen lagrer ulike filer laget av programinstallatører. Mappen er stor hvis installatørene ikke fullførte arbeidet på riktig måte, så det er berettiget å rense Config.Msi-mappen. Jeg advarer deg imidlertid - det kan være problemer med å avinstallere programmer som bruker .msi-installasjonsprogrammer (for eksempel Microsoft Office).
20. Tøm oppgaveplanleggerlogger- Windows Task Scheduler fører en logg der den registrerer informasjon om fullførte oppgaver. Jeg anbefaler ikke å aktivere dette elementet, fordi det ikke er noen fordel, men det vil legge til problemer - Windows Task Scheduler er en ganske buggy komponent.
21. Fjern Windows-oppsettlogger– å vinne en plass er uvesentlig, det er ingen vits i å slette.
22. Windows - tømme ikonbuffer- nyttig hvis du har problemer med snarveier. For eksempel, når skrivebordet vises, vises ikke ikoner umiddelbart. Aktivering av dette alternativet vil ikke påvirke systemstabiliteten.
23. Google Chrome- tømming av cache- et veldig nyttig alternativ. Google Chrome lagrer kopier av sider i en bestemt mappe for å åpne nettsteder raskere (sider lastes fra harddisken din i stedet for å lastes ned over Internett). Noen ganger når størrelsen på denne mappen en halv gigabyte. Rengjøring er nyttig fordi det frigjør plass på harddisken din; det påvirker ikke stabiliteten til verken Windows eller Google Chrome.
24. Mozilla Firefox- rengjøring av CrashReports-mappen- hver gang når Firefox nettleser et problem oppstår og det lukkes unormalt, rapportfiler opprettes. Dette alternativet sletter rapportfiler. Gevinsten i ledig plass når et par titalls megabyte, det vil si at alternativet er til liten nytte, men det er der. Påvirker ikke stabiliteten til Windows og Mozilla Firefox.

Avhengig av installerte programmer, vil antallet varer variere. For eksempel, hvis Opera-nettleseren er installert, kan du også tømme bufferen.

Rengjør listen over oppstartsprogrammer

En sikker måte å øke hastigheten på datamaskinens oppstart og hastighet er å rense oppstartslisten. Hvis unødvendige programmer vil ikke starte, vil datamaskinen ikke bare slå seg på raskere, men også fungere raskere - på grunn av de frigjorte ressursene, som ikke vil bli tatt opp av programmer som kjører i bakgrunnen.

AVZ kan se nesten alle smutthull i Windows som programmer startes gjennom. Du kan se autorun-listen i Verktøy - Autorun Manager-menyen:

Den gjennomsnittlige brukeren har absolutt ikke behov for så kraftig funksjonalitet, så jeg oppfordrer ikke slå av alt. Det er nok å se på bare to punkter - Autokjør mapper Og Løpe*.

AVZ viser autorun ikke bare for brukeren din, men også for alle andre profiler:

I kapittel Løpe* Det er bedre å ikke deaktivere programmer som ligger i seksjonen HKEY_USERS- dette kan forstyrre driften av andre brukerprofiler og operativsystem. I kapittel Autokjør mapper du kan slå av alt du ikke trenger.

Linjene identifisert av antiviruset som kjent er merket med grønt. Dette inkluderer begge deler systemprogrammer Windows og tredjepartsprogrammer som har en digital signatur.

Alle andre programmer er merket med svart. Dette betyr ikke at slike programmer er virus eller noe sånt, bare at ikke alle programmer er digitalt signert.

Ikke glem å gjøre den første kolonnen bredere slik at programnavnet er synlig. Bare å fjerne merket i avmerkingsboksen vil midlertidig deaktivere programmets autorun (du kan da merke av i boksen igjen), markere elementet og trykke på knappen med et svart kryss vil slette oppføringen for alltid (eller til programmet registrerer seg selv i autorun igjen).

Spørsmålet oppstår: hvordan bestemme hva som kan slås av og hva som ikke kan? Det er to løsninger:

For det første er det sunn fornuft: du kan ta en avgjørelse basert på navnet på .exe-filen til programmet. For eksempel, Skype-programmet ved installasjon oppretter en oppføring for automatisk start når du slår på datamaskinen. Hvis du ikke trenger dette, fjerner du merket for boksen som slutter med skype.exe. Forresten, mange programmer (inkludert Skype) kan fjerne seg selv fra oppstart; bare fjern merket for det tilsvarende elementet i innstillingene til selve programmet.

For det andre kan du søke på Internett for informasjon om programmet. Basert på informasjonen som er mottatt, gjenstår det å ta en beslutning: å fjerne den fra autorun eller ikke. AVZ gjør det enkelt å finne informasjon om elementer: bare høyreklikk på elementet og velg din favorittsøkemotor:

Ved å deaktivere unødvendige programmer vil du øke hastigheten på oppstarten av datamaskinen betydelig. Det er imidlertid ikke tilrådelig å deaktivere alt - dette risikerer å miste layoutindikatoren, deaktivere antiviruset, etc.

Deaktiver bare de programmene du vet sikkert - du trenger dem ikke ved oppstart.

Bunnlinjen

I prinsippet er det jeg skrev om i artikkelen som å hamre spiker med et mikroskop - AVZ-programmet er egnet for å optimalisere Windows, men generelt er det et komplekst og kraftig verktøy som er egnet for å utføre en lang rekke oppgaver. Men for å bruke AVZ til det fulle, må du kjenne Windows grundig, slik at du kan begynne i det små - nemlig det jeg beskrev ovenfor.

Hvis du har spørsmål eller kommentarer, er det en kommentarseksjon under artiklene hvor du kan skrive til meg. Jeg overvåker kommentarene og vil prøve å svare deg så raskt som mulig.

Relaterte innlegg:

Som

Som

Vi vil snakke om de enkleste måtene å nøytralisere virus, spesielt de som blokkerer Windows 7-brukerens skrivebord (Trojan.Winlock-virusfamilien). Slike virus utmerker seg ved det faktum at de ikke skjuler sin tilstedeværelse i systemet, men tvert imot demonstrerer det, noe som gjør det ekstremt vanskelig å utføre andre handlinger enn å skrive inn en spesiell "opplåsningskode", for å få som angivelig , må du overføre et visst beløp til angriperne ved å sende en SMS eller påfyll mobiltelefon gjennom en betalingsterminal. Målet her er ett - å tvinge brukeren til å betale, og noen ganger ganske anstendige penger. Et vindu vises på skjermen med en truende advarsel om blokkering av datamaskinen for å bruke ulisensiert programvare eller besøke uønskede nettsteder, og noe annet sånt, vanligvis for å skremme brukeren. I tillegg tillater ikke viruset deg å utføre noen handlinger i Windows-arbeidsmiljøet - det blokkerer å trykke spesielle tastekombinasjoner for å hente frem Start-knappmenyen, Kjør-kommandoen, oppgavebehandlingen, etc. Musepekeren kan ikke flyttes utenfor virusvinduet. Som regel observeres det samme bildet når du laster Windows i sikker modus. Situasjonen virker håpløs, spesielt hvis det ikke er noen annen datamaskin, muligheten til å starte opp i et annet operativsystem, eller fra flyttbare medier (LIVE CD, ERD Commander, antivirusskanner). Men likevel, i de aller fleste tilfeller er det en vei ut.

Nye teknologier implementert i Windows Vista / Windows 7 har gjort det mye vanskeligere for skadelig programvare å trenge inn og ta full kontroll over systemet, og også gitt brukere ytterligere muligheter til å bli kvitt dem relativt enkelt, selv uten antivirusprogramvare (programvare). ). Det handler om om muligheten til å starte opp systemet i sikker modus med støtte kommandolinje og starte fra den programvare kontroll og gjenoppretting. Åpenbart, av vane, på grunn av den ganske dårlige implementeringen av denne modusen i tidligere versjoner av operativsystemer til Windows-familien, bruker mange brukere den rett og slett ikke. Men til ingen nytte. I laget Windows linje 7 har ikke det vanlige skrivebordet (som kan være blokkert av et virus), men det er mulig å starte de fleste programmer - registerredigering, oppgavebehandling, systemgjenopprettingsverktøy, etc.

Fjerne et virus ved å rulle tilbake systemet til et gjenopprettingspunkt

Et virus er et vanlig program, og selv om det ligger på datamaskinens harddisk, men ikke har mulighet til å starte automatisk når systemet starter opp og brukerregistrering, så er det like ufarlig som for eksempel en vanlig tekstfil. Hvis du løser problemet med å blokkere den automatiske lanseringen av et ondsinnet program, kan oppgaven med å bli kvitt skadelig programvare anses som fullført. Hovedmetoden for automatisk oppstart som brukes av virus er gjennom spesiallagde registeroppføringer som opprettes når de introduseres i systemet. Hvis du sletter disse oppføringene, kan viruset anses som nøytralisert. Den enkleste måten er å utføre en systemgjenoppretting ved hjelp av sjekkpunktdata. Et sjekkpunkt er en kopi av viktige systemfiler, lagret i en spesiell katalog ("System Volume Information") og inneholder blant annet kopier av systemfiler Windows-registeret. Å utføre en tilbakerulling av systemet til et gjenopprettingspunkt, hvis opprettelsesdato går foran virusinfeksjonen, lar deg få statusen til systemregisteret uten oppføringene fra det invaderende viruset og dermed utelukke dets automatiske start, dvs. bli kvitt infeksjon selv uten å bruke antivirusprogramvare. På denne måten kan du enkelt og raskt bli kvitt systemet fra å bli infisert av de fleste virus, inkludert de som blokkerer arbeideren Windows skrivebord. Naturligvis kan et blokkerende virus som bruker for eksempel modifikasjon av oppstartssektorer på en harddisk (MBRLock-virus) ikke fjernes på denne måten, siden tilbakerulling av systemet til et gjenopprettingspunkt ikke påvirker oppstartspostene til diskene, og det vil ikke være mulig å starte opp Windows i sikker modus med kommandolinjestøtte fordi viruset er lastet inn før Windows bootloader. For å bli kvitt en slik infeksjon, må du starte opp fra et annet medium og gjenopprette infiserte oppstartsposter. Men det er relativt få slike virus, og i de fleste tilfeller kan du bli kvitt infeksjonen ved å rulle tilbake systemet til et gjenopprettingspunkt.

1. Helt i begynnelsen av lasting, trykk på F8-knappen. Windows boot loader-menyen vises på skjermen, med mulige alternativer systemoppstart

2. Velg Windows-oppstartsalternativet - "Sikker modus med kommandolinjestøtte"

Etter at nedlastingen er fullført og brukeren registrerer seg, i stedet for det vanlige Windows-skrivebordet, vil cmd.exe-kommandoprosessorvinduet vises

3. Kjør systemgjenopprettingsverktøyet ved å skrive rstrui.exe på kommandolinjen og trykke ENTER.

Bytt modus til "Velg et annet gjenopprettingspunkt" og i neste vindu merker du av for "Vis andre gjenopprettingspunkter"

Etter at du har valgt et Windows-gjenopprettingspunkt, kan du se en liste over berørte programmer under tilbakeføring av systemet:

Listen over berørte programmer er en liste over programmer som ble installert etter at systemgjenopprettingspunktet ble opprettet, og som kan kreve ominstallering fordi de tilknyttede registeroppføringene vil mangle.

Etter å ha klikket på "Fullfør"-knappen, vil systemgjenopprettingsprosessen begynne. Etter fullføring vil Windows starte på nytt.

Etter omstart vil det vises en melding som indikerer at tilbakestillingen var vellykket eller mislykket, og hvis den lykkes, vil Windows gå tilbake til tilstanden som tilsvarte datoen gjenopprettingspunktet ble opprettet. Hvis skrivebordslåsen ikke stopper, kan du bruke en mer avansert metode presentert nedenfor.

Fjerne et virus uten å rulle tilbake systemet til et gjenopprettingspunkt

En situasjon er mulig når systemet mangler, iht forskjellige årsaker, gjenopprettingspunktdata, gjenopprettingsprosedyren fullført med en feil, eller tilbakeføringen ga ikke et positivt resultat. I dette tilfellet kan du bruke diagnoseverktøyet for systemkonfigurasjon MSCONFIG.EXE. Som i forrige tilfelle, må du gjøre laster inn Windows i sikker modus med kommandolinjestøtte og i cmd.exe kommandolinjetolker-vinduet skriver du inn msconfig.exe og trykker ENTER

I kategorien Generelt kan du velge følgende Windows-oppstartsmoduser:

Når systemet starter, vil bare minimumskravene til systemtjenestene og brukerprogrammene bli lansert.
Selektiv lansering- lar deg spesifisere manuelt en liste over systemtjenester og brukerprogrammer som vil bli lansert under oppstartsprosessen.

For å eliminere et virus er den enkleste måten å bruke en diagnostisk start, når verktøyet selv bestemmer et sett med programmer som starter automatisk. Hvis viruset i denne modusen slutter å blokkere skrivebordet, må du gå videre til neste trinn - finne ut hvilket program som er et virus. For å gjøre dette kan du bruke den selektive oppstartsmodusen, som lar deg aktivere eller deaktivere oppstart individuelle programmer i manuell modus.

"Tjenester"-fanen lar deg aktivere eller deaktivere lanseringen av systemtjenester hvis oppstartstype er satt til "Automatisk". En umerket boks foran tjenestenavnet betyr at den ikke vil bli lansert under systemoppstart. Nederst i MSCONFIG-verktøyvinduet er det et felt for innstilling av "Ikke vis Microsoft-tjenester"-modus, som, når den er aktivert, bare vil vise tredjepartstjenester.

Jeg legger merke til at sannsynligheten for at et system blir infisert av et virus som er installert som en systemtjeneste, med standard sikkerhetsinnstillinger i Windows Vista / Windows 7, er svært lav, og du må se etter spor av viruset i listen av automatisk lanserte brukerprogrammer (fanen "Oppstart").

Akkurat som i kategorien Tjenester, kan du aktivere eller deaktivere automatisk oppstart av ethvert program som er til stede i listen vist av MSCONFIG. Hvis et virus aktiveres i systemet ved automatisk oppstart ved hjelp av spesielle registernøkler eller innholdet i oppstartsmappen, kan du ved å bruke msconfig ikke bare nøytralisere det, men også bestemme banen og navnet på den infiserte filen.

Msconfig-verktøyet er et enkelt og praktisk verktøy for å konfigurere automatisk oppstart av tjenester og applikasjoner som starter på standardmåten for operativsystemer i Windows-familien. Virusforfattere bruker imidlertid ofte teknikker som lar dem starte ondsinnede programmer uten å bruke standard autorun-punkter. Du kan mest sannsynlig bli kvitt et slikt virus ved å bruke metoden beskrevet ovenfor ved å rulle tilbake systemet til et gjenopprettingspunkt. Hvis tilbakerulling ikke er mulig og bruk av msconfig ikke førte til positivt resultat, kan du bruke direkte redigering av registeret.

I prosessen med å bekjempe et virus, må brukeren ofte utføre en hard omstart ved å tilbakestille (Reset) eller slå av strømmen. Dette kan føre til en situasjon hvor systemet starter normalt, men ikke når brukerregistrering. Datamaskinen henger på grunn av et brudd på den logiske datastrukturen i noen systemfiler, som oppstår under en feil avslutning. For å løse problemet, på samme måte som i tidligere tilfeller, kan du starte opp i sikker modus med kommandolinjestøtte og kjøre kommandoen sjekk systemdisk

chkdsk C: /F - sjekk stasjon C: og korriger oppdagede feil (nøkkel /F)

Siden systemdisken er okkupert av systemtjenester og applikasjoner når chkdsk kjører, kan ikke chkdsk få eksklusiv tilgang til den for å utføre testing. Derfor vil brukeren bli presentert med en advarsel og bedt om å utføre testing neste gang systemet startes på nytt. Etter å ha svart Y, vil informasjon legges inn i registret for å sikre at disksjekken starter når Windows starter på nytt. Etter at kontrollen er fullført, slettes denne informasjonen og Windows starter normalt på nytt uten brukerinnblanding.

Eliminerer muligheten for at et virus kjører ved hjelp av Registerredigering.

For å starte registerredigering, som i forrige tilfelle, må du starte Windows i sikker modus med kommandolinjestøtte, skriv inn regedit.exe i kommandolinjetolkervinduet og trykk ENTER Windows 7, med standard systemsikkerhetsinnstillinger, er beskyttet mot mange metoder for å starte skadelige programmer programmer som brukes til tidligere versjoner operativsystemer fra Microsoft. Virus som installerer sine egne drivere og tjenester, rekonfigurerer WINLOGON-tjenesten med å koble til sine egne kjørbare moduler, korrigerer registernøkler som er relevante for alle brukere osv. - alle disse metodene fungerer enten ikke i Windows 7 eller krever så store arbeidskostnader at de er praktisk talt umulig å møte. Vanligvis gjøres endringer i registeret som gjør det mulig for et virus å kjøre, kun i sammenheng med tillatelsene som eksisterer for gjeldende bruker, dvs. i delen HKEY_CURRENT_USER

For å demonstrere den enkleste mekanismen for å blokkere et skrivebord ved å bruke en erstatning av brukerskallet (skall) og manglende evne til å bruke MSCONFIG-verktøyet til å oppdage og fjerne et virus, kan du utføre følgende eksperiment - i stedet for et virus, du selv korriger registerdataene for å få for eksempel en kommandolinje i stedet for et skrivebord . Et kjent skrivebord er opprettet av Windows Utforsker (Explorer.exe-programmet) lansert som brukerens skall. Dette sikres av verdiene til Shell-parameteren i registernøklene

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - for alle brukere.
- for gjeldende bruker.

Shell-parameteren er en streng med navnet på programmet som skal brukes som skall når brukeren logger på. Vanligvis mangler Shell-parameteren i delen for gjeldende bruker (HKEY_CURRENT_USER eller forkortet HKCU), og verdien fra registernøkkelen for alle brukere brukes (HKEY_LOCAL_MACHINE\ eller forkortet HKLM)

Slik ser registernøkkelen ut HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon med standard Windows installasjon 7

Hvis du legger til Shell-strengparameteren med verdien "cmd.exe" i denne delen, vil cmd.exe-skallet bli lansert neste gang den nåværende brukeren logger på systemet, i stedet for det standard Explorer-baserte brukerskallet. i stedet for det vanlige Windows-skrivebordet, vil kommandolinjevinduet vises.

Naturligvis kan ethvert skadelig program startes på denne måten, og brukeren vil motta et pornobanner, blokkering og andre ekle ting i stedet for et skrivebord.
Å gjøre endringer i nøkkelen for alle brukere (HKLM...) krever administrative rettigheter, så virusprogrammer endrer vanligvis innstillingene til gjeldende brukers registernøkkel (HKCU...)

Hvis du kjører msconfig-verktøyet for å fortsette eksperimentet, kan du forsikre deg om at cmd.exe ikke er inkludert som et brukerskall i listen over automatisk lanserte programmer. En tilbakerulling av systemet vil naturligvis tillate deg å returnere den opprinnelige tilstanden registret og bli kvitt den automatiske starten av viruset, men hvis det av en eller annen grunn er umulig, er det eneste alternativet å redigere registret direkte. For å gå tilbake til standard skrivebordet, fjern ganske enkelt Shell-parameteren, eller endre verdien fra "cmd.exe" til "explorer.exe" og registrer brukeren på nytt (logg ut og logg på igjen) eller start på nytt. Du kan redigere registret ved å kjøre registerredigeringsprogrammet regedit.exe fra kommandolinjen eller bruke konsollverktøyet REG.EXE. Eksempel på kommandolinje for å fjerne Shell-parameteren:

REG slett "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Det gitte eksemplet på å erstatte brukerens skall er i dag en av de vanligste teknikkene som brukes av virus i Windows 7-operativsystemmiljøet. Et ganske høyt sikkerhetsnivå med standard systeminnstillinger forhindrer ondsinnede programmer i å få tilgang til registernøkler som ble brukt til å infisere i Windows XP og senere tidligere versjoner. Selv om den nåværende brukeren er medlem av Administrator-gruppen, krever tilgang til de aller fleste registerinnstillingene som brukes for infeksjon å kjøre programmet som administrator. Det er av denne grunn at skadelig programvare endrer registernøkler som gjeldende bruker har tilgang til (seksjon HKCU...) Den andre viktige faktoren er vanskeligheten med å skrive programfiler til systemkataloger. Det er av denne grunn at de fleste virus i Windows 7-miljøet bruker oppstartende kjørbare filer (.exe) fra gjeldende brukers katalog for midlertidige filer (Temp). Når du analyserer de automatiske startpunktene til programmer i registeret, må du først og fremst ta hensyn til programmene som ligger i katalogen for midlertidige filer. Vanligvis er dette en katalog C:\USERS\brukernavn\AppData\Local\Temp. Den nøyaktige banen til den midlertidige filkatalogen kan sees gjennom kontrollpanelet i systemegenskaper - " Miljøvariabler". Eller på kommandolinjen:

still inn temp
eller
ekko %temp%

I tillegg kan søk i registret etter strengen som tilsvarer katalognavnet for midlertidige filer eller %TEMP%-variabelen brukes som et ekstra verktøy for å oppdage virus. Legitime programmer starter aldri automatisk fra TEMP-katalogen.

For å få en fullstendig liste over mulige automatiske startpunkter, er det praktisk å bruke spesialprogram Autokjører fra SysinternalsSuite-pakken.

De enkleste måtene å fjerne blokkere fra MBRLock-familien

Ondsinnede programmer kan få kontroll over en datamaskin, ikke bare ved å infisere operativsystemet, men også ved å endre oppstartssektorpostene til disken som oppstarten utføres fra. Viruset erstatter oppstartssektordataene til den aktive partisjonen med sin programkode, slik at i stedet for Windows, lastes et enkelt program inn, som viser en løsepengemelding på skjermen som krever penger til skurkene. Siden viruset får kontroll før systemet starter opp, er det bare én måte å omgå det - oppstart fra et annet medium (CD/DVD, ekstern stasjon, etc.) i et hvilket som helst operativsystem der det er mulig å gjenopprette programkoden for oppstartssektorer. Den enkleste måten er å bruke Live CD / Live USB, vanligvis gitt til brukere gratis av de fleste antivirusselskaper (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk, etc.) I tillegg til å gjenopprette oppstartssektorer, er disse produktene kan også utføre og sjekke filsystemet for skadelig programvare og fjerne eller desinfisere infiserte filer. Hvis det ikke er mulig å bruke denne metoden, så kan du klare deg med å bare laste inn hvilken som helst Windows-versjoner PE ( installasjonsdisk, ERD Commander nødgjenopprettingsdisk), som lar deg gjenopprette normal systemoppstart. Vanligvis er det nok å bare få tilgang til kommandolinjen og kjøre kommandoen:

bootsect /nt60 /mbr

bootsect /nt60 /mbr E:> - gjenopprett oppstartssektorer for stasjon E: Bokstaven for stasjonen som brukes som oppstartsenhet for systemet som er skadet av viruset, skal brukes her.

eller for Windows før Windows Vista

bootsect /nt52 /mbr

Bootsect.exe-verktøyet kan ikke bare finnes i systemkataloger, men også på alle flyttbare medier, kan kjøres i et hvilket som helst Windows-operativsystem og lar deg gjenopprette programkoden for oppstartssektorer uten å påvirke partisjonstabellen og filsystem. /mbr-nøkkelen er som regel ikke nødvendig, siden den gjenoppretter programkoden til MBR-hovedoppstartsposten, som virus ikke endrer (kanskje de ikke endrer den ennå).

Et enkelt og praktisk AVZ-verktøy som ikke bare kan hjelpe, men også kan gjenopprette systemet. Hvorfor er dette nødvendig?

Faktum er at etter invasjonen av virus (det skjer at AVZ dreper tusenvis av dem), nekter noen programmer å fungere, innstillingene har alle forsvunnet et sted og Windows fungerer på en eller annen måte ikke helt riktig.

Oftest, i dette tilfellet, installerer brukere ganske enkelt systemet på nytt. Men som praksis viser, er dette ikke i det hele tatt nødvendig, for ved å bruke det samme AVZ-verktøyet kan du gjenopprette nesten alle skadede programmer og data.

For å gi deg et klarere bilde gir jeg deg full liste som kan gjenopprette AVZ.

Materiale hentet fra oppslagsboken AVZ - http://www.z-oleg.com/secur/avz_doc/ (kopier og lim inn i nettleserens adresselinje).

For øyeblikket inneholder databasen følgende fastvare:

1. Gjenopprette oppstartsparametere for .exe-, .com-, .pif-filer

Denne fastvaren gjenoppretter systemets respons på exe-, com-, pif-, scr-filer.

Indikasjoner for bruk: Etter at viruset er fjernet, slutter programmene å kjøre.

2. Tilbakestill Internet Explorer-protokollprefiksinnstillingene til standard

Denne fastvaren gjenoppretter protokollprefiksinnstillinger i Internet Explorer

Indikasjoner for bruk: når du skriver inn en adresse som www.yandex.ru, erstattes den med noe sånt som www.seque.com/abcd.php?url=www.yandex.ru

3.Gjenopprette startsiden for Internet Explorer

Denne fastvaren gjenoppretter startsiden i Internet Explorer

Indikasjoner for bruk: erstatte startsiden

4. Tilbakestill søkeinnstillingene for Internet Explorer til standard

Denne fastvaren gjenoppretter søkeinnstillingene i Internet Explorer

Indikasjoner for bruk: Når du klikker på "Søk"-knappen i IE, blir du dirigert til en tredjepartsside

5.Gjenopprett skrivebordsinnstillinger

Denne fastvaren gjenoppretter skrivebordsinnstillingene.

Gjenoppretting innebærer å slette alle aktive ActiveDesctop-elementer, bakgrunnsbilde og fjerne blokkering av menyen som er ansvarlig for skrivebordsinnstillingene.

Indikasjoner for bruk: Bokmerkene for skrivebordsinnstillinger i vinduet "Visningsegenskaper" har forsvunnet; fremmede inskripsjoner eller bilder vises på skrivebordet

6.Sletting av alle retningslinjer (restriksjoner) for gjeldende bruker

Windows har en mekanisme for å begrense brukerhandlinger kalt retningslinjer. Mange skadelig programvare bruker denne teknologien fordi innstillingene er lagret i registeret og er enkle å opprette eller endre.

Indikasjoner for bruk: Utforskerfunksjoner eller andre systemfunksjoner er blokkert.

7.Slette meldingen som vises under WinLogon

Windows NT og påfølgende systemer i NT-linjen (2000, XP) lar deg angi meldingen som vises under oppstart.

En rekke ondsinnede programmer utnytter dette, og ødeleggelsen av det ondsinnede programmet fører ikke til ødeleggelse av denne meldingen.

Indikasjoner for bruk: En ekstern melding legges inn under systemoppstart.

8.Gjenopprette Explorer-innstillinger

Denne fastvaren tilbakestiller en rekke Explorer-innstillinger til standard (innstillingene som endres av skadelig programvare, tilbakestilles først).

Indikasjoner for bruk: Explorer-innstillingene endret

9.Fjerning av systemprosessfeilsøkere

Registrering av en systemprosessfeilsøker vil tillate deg å starte et skjult program, som er det som brukes av en rekke ondsinnede programmer

Indikasjoner for bruk: AVZ oppdager uidentifiserte systemprosessfeilsøkere, det oppstår problemer med å starte systemkomponenter, spesielt forsvinner skrivebordet etter en omstart.

10.Gjenopprette oppstartsinnstillinger i sikkermodus

Noe skadelig programvare, spesielt Bagle-ormen, ødelegger systemets oppstartsinnstillinger i beskyttet modus.

Denne fastvaren gjenoppretter oppstartsinnstillinger i beskyttet modus. Indikasjoner for bruk: Datamaskinen starter ikke opp i SafeMode. Denne fastvaren bør brukes bare i tilfelle problemer med oppstart i beskyttet modus .

11. Lås opp oppgavebehandling

Oppgavebehandlingsblokkering brukes av skadelig programvare for å beskytte prosesser mot oppdagelse og fjerning. Følgelig fjerner kjøringen av dette mikroprogrammet låsen.

Indikasjoner for bruk: Oppgavebehandlingen er blokkert; når du prøver å ringe til oppgavebehandlingen, vises meldingen "Oppgavebehandling er blokkert av administratoren".

12.Sletting av ignoreringslisten til HijackThis-verktøyet

HijackThis-verktøyet lagrer en rekke av innstillingene i registeret, spesielt en liste over unntak. Derfor, for å kamuflere seg fra HijackThis, trenger det ondsinnede programmet bare å registrere sine kjørbare filer i ekskluderingslisten.

Det er for tiden en rekke kjente skadelige programmer som utnytter dette sikkerhetsproblemet. AVZ-fastvare sletter unntakslisten for HijackThis-verktøyet

Indikasjoner for bruk: Det er mistanke om at HijackThis-verktøyet ikke viser all informasjon om systemet.

13. Rengjøring av Hosts-filen

Å rydde opp i Hosts-filen innebærer å finne Hosts-filen, fjerne alle viktige linjer fra den og legge til standard "127.0.0.1 localhost"-linjen.

Indikasjoner for bruk: Det er mistanke om at Hosts-filen har blitt modifisert av skadelig programvare. Typiske symptomer er blokkering av oppdatering av antivirusprogrammer.

Du kan kontrollere innholdet i Hosts-filen ved å bruke Hosts-filbehandlingen innebygd i AVZ.

14. Automatisk korrigering av SPl/LSP-innstillinger

Utfører analyse av SPI-innstillinger og, hvis feil oppdages, korrigerer feilene som er funnet automatisk.

Denne fastvaren kan kjøres på nytt et ubegrenset antall ganger. Etter å ha kjørt denne fastvaren, anbefales det å starte datamaskinen på nytt. Merk! Denne fastvaren kan ikke kjøres fra en terminaløkt

Indikasjoner for bruk: Etter å ha fjernet det skadelige programmet, mistet jeg tilgangen til Internett.

15. Tilbakestill SPI/LSP og TCP/IP-innstillinger (XP+)

Denne fastvaren fungerer kun på XP, Windows 2003 og Vista. Driftsprinsippet er basert på å tilbakestille og gjenskape SPI/LSP- og TCP/IP-innstillinger ved å bruke standard netsh-verktøy som er inkludert i Windows.

Merk! Du bør bare bruke en tilbakestilling av fabrikken hvis det er nødvendig hvis du har uopprettelige problemer med Internett-tilgang etter å ha fjernet skadelig programvare!

Indikasjoner for bruk: Etter å ha fjernet det skadelige programmet, tilgang til Internett og kjøring av fastvaren "14. Automatisk korrigering av SPl/LSP-innstillinger fungerer ikke.

16. Gjenopprette Explorer-startnøkkelen

Gjenoppretter systemregisternøkler som er ansvarlige for å starte Explorer.

Indikasjoner for bruk: Under systemoppstart starter ikke Explorer, men det er mulig å starte explorer.exe manuelt.

17. Låse opp registerredigeringsprogrammet

Fjerner blokkeringen av Registerredigering ved å fjerne policyen som hindrer den i å kjøre.

Indikasjoner for bruk: Det er umulig å starte Registerredigering; når du prøver, vises en melding om at oppstarten er blokkert av administratoren.

18. Fullfør gjenoppretting av SPI-innstillinger

Utfører en sikkerhetskopi av SPI/LSP-innstillinger, hvoretter den ødelegger dem og lager dem i henhold til standarden, som er lagret i databasen.

Indikasjoner for bruk: Alvorlig skade på SPI-innstillinger som ikke kan repareres av skript 14 og 15. Bruk kun om nødvendig!

19. Tøm MountPoints-databasen

Rydder opp i MountPoints- og MountPoints2-databasen i registeret. Denne operasjonen hjelper ofte når disker ikke åpnes i Utforsker etter infeksjon med et Flash-virus

For å utføre en gjenoppretting, må du velge ett eller flere elementer og klikke på "Utfør valgte operasjoner"-knappen. Ved å klikke på "OK"-knappen lukkes vinduet.

På en notis:

Gjenoppretting er ubrukelig hvis systemet kjører et trojansk program som utfører slike rekonfigurasjoner - du må først fjerne det skadelige programmet og deretter gjenopprette systeminnstillingene

På en notis:

For å eliminere spor etter de fleste kaprere, må du kjøre tre fastvare - "Tilbakestill Internet Explorer-søkeinnstillinger til standard", "Gjenopprett Internet Explorer-startside", "Tilbakestill Internet Explorer-protokollprefiksinnstillinger til standard"

På en notis:

Hvilken som helst av fastvaren kan kjøres flere ganger på rad uten å skade systemet. Unntak - "5.

Gjenopprette skrivebordsinnstillinger" (å kjøre denne fastvaren vil alle skrivebordsinnstillinger tilbakestilles, og du må velge skrivebordsfarge og bakgrunnsbilde på nytt) og "10.

Gjenoppretter oppstartsinnstillinger i SafeMode" (denne fastvaren gjenskaper registernøklene som er ansvarlige for oppstart i sikker modus).

For å starte gjenopprettingen må du først laste ned, pakke ut og kjøre nytte. Klikk deretter på Fil - Systemgjenoppretting. Det kan du forresten også gjøre

Merk av i boksene du trenger, og klikk på start operasjoner. Det er det, vi gleder oss til å bli ferdig :-)

I de følgende artiklene vil vi se mer detaljert på problemene som fastvaren vil hjelpe oss med å løse. avz utvinning systemer. Så lykke til til deg.

AVZ er et gratis verktøy designet for å søke etter og fjerne virus, samt for å gjenopprette systeminnstillinger etter handlinger fra ondsinnede programmer.

Forberedelse til arbeid

1. Last ned AVZ-verktøyet fra det offisielle nettstedet: http://z-oleg.com/avz4.zip

2. Pakk ut arkivet

3. Kjør filen fra arkivet avz.exe

4. Gå til menyen Fil og velg Databaseoppdatering

Klikk Start for å starte oppdateringsprosessen :

Antivirusdatabasen blir oppdatert:

Når databasene er oppdatert vil denne meldingen vises. Klikk OK:

Virussjekk

For å søke etter virus, sjekk alle datamaskinstasjoner til venstre og merk av i boksen til høyre Utfør behandling, og klikk på knappen nedenfor Start:

Systemgjenoppretting

En veldig nyttig funksjon av AVZ-verktøyet er systemgjenoppretting. Det vil komme godt med etter fjerning av skadelig programvare for å eliminere spor av det. For å starte Systemgjenoppretting, klikk Fil -> Systemgjenoppretting:

Merk av for de nødvendige boksene og klikk på knappen Utfør merkede operasjoner:

Bekreft intensjonen din:

Rengjør nettlesere med AVZ

Velg fra hovedmenyen Fil.

Velg en gjenstand Feilsøkingsveiviser:

I felt Farenivå plukke ut Alle problemene.

Klikk Start.

Merk av for følgende bokser:

• Sletting av TEMP-mappen;
• Adobe Flash Player - rengjøring av midlertidige filer;
• Macromedia Flash Player - tømme cacher;
• Rengjøring av systemets TEMP mappe;
• Tømme cacher for alle installerte nettlesere;

Klikk på knappen Løs flaggede problemer.

I visse situasjoner kan det være nødvendig å deaktivere kjernefeilsøkeren. Denne operasjonen anbefales ikke for uerfarne brukere på grunn av den potensielle trusselen mot stabiliteten til operativsystemet. Microsoft-systemer Windows.

Bruksanvisning

Klikk på "Start"-knappen for å åpne hovedsystemmenyen og skriv inn cmd i søkefeltet for å starte prosedyren for å deaktivere kjernefeilsøkeren.

Anrop kontekstmenyen fant "Ledetekst"-verktøyet ved å høyreklikke og spesifisere kommandoen "Kjør som administrator".

Spesifiser Kdbgctrl.exe -d i kommandolinjeverktøyets tekstboks for å deaktivere kjernefeilsøking i gjeldende økt, og trykk på Enter-funksjonstasten for å bekrefte kommandoen.

Bruk bcdedit /debug off-verdien i kommandolinjetekstboksen for å deaktivere prosessorkjernefeilsøkingsprosessen for alle økter på Windows Vista og Windows 7 operativsystemer, og trykk på Enter-funksjonstasten for å bekrefte valget.

Skriv inn dir /ASH i kommandolinjetekstboksen for å søke etter en skjult, beskyttet boot.ini-fil som ligger på systemstasjonen for å deaktivere kjernefeilsøkeren for alle økter på alle tidligere versjoner av operativsystemet Microsoft Windows og åpne filen som ble funnet i Notisblokk.

Slett parameterne:

- /debug;
- debugport;
- /baudrate

og start datamaskinen på nytt for å bruke de valgte endringene.

Klikk på "Fortsett"-knappen i dialogboksen hvis du trenger å utføre en feilsøkingsoperasjon på systemets prosessorkjerne og vent til prosedyren er fullført.

Bruk gn-kommandoen i tekstfeltet i Kernel Debugger-vinduet når en feilmelding for brukerbrudd (Int 3) vises.

Bruk feilsøkingsmodus når du starter datamaskinen i sikker modus for å aktivere kjernefeilsøkingstjenesten.

Kjernefeilsøkeren er en spesiell programvare, som opererer på kjernenivået til hele operativsystemet til en personlig datamaskin. Prosessen med å "feilsøke operativsystemkjernen" refererer til prosedyren for å skanne ulike feil i systemkjernen. Når du arbeider med Daemon Tools, oppstår det ofte en initialiseringsfeil... Kjernefeilsøker må deaktiveres. Du kan fikse dette ved å deaktivere kjernefeilsøkeren.

Du vil trenge

• Administratorrettigheter.

Bruksanvisning

Hvis denne advarselen vises under installasjonsprosessen for applikasjonen, må du deaktivere tjenesten kalt Maskinfeilsøkingsbehandling. For å gjøre dette, start "Kontrollpanel" og gå til "Administrasjon" -delen. Klikk deretter på snarveien "Tjenester". Finn Machine Debug Manager i listen. Klikk på navnet med museknappen og klikk "Stopp".

Deaktiver feilsøkingsprosesser i Oppgavebehandling. For å gjøre dette, høyreklikk i et ledig område og velg "Oppgavebehandling". Du kan trykke på tastekombinasjonen Alt + Ctrl + Delete. Gå til fanen Prosesser og deaktiver alle mdm.exe-, dumprep.exe- og drwatson.exe-prosesser. Hvis du ikke føler deg komfortabel med å søke etter dem i listen, klikker du på Bildenavn-fanen for å få listen sortert etter navn. Som regel utføres slike operasjoner manuelt, på vegne av administratoren av den personlige datamaskinen.

Feilrapporteringssystemet bør også være deaktivert for registrering feilsøkingsinformasjon ble avviklet. For å gjøre dette, gå til "Kontrollpanel". Velg "System"-delen og klikk på "Avansert"-knappen. Klikk deretter på "Feilrapport"-knappen. Merk av i boksen ved siden av «Deaktiver feilrapportering». Gå deretter til fanen "Boot and Recovery" og fjern merket for "Send et administrativt varsel" og "Logg hendelse til systemlogg."

Fjern Daemon Tools-applikasjonen fra oppstart. For å gjøre dette, klikk på "Start"-knappen. Klikk deretter Kjør og skriv inn msconfig-kommandoen. Når systemvinduet vises, fjerner du merket i boksen ved siden av Daemon Tools-applikasjonen. Når du installerer programmet, deaktiver antivirusprogramvaren. Hvis den beskrevne feilen oppstår, bør installasjonen av applikasjonen startes på nytt, etter å ha eliminert alle årsakene til personlig datamaskin.

Nyttige råd

Å utføre noen av operasjonene ovenfor krever administrativ tilgang til systemressurser.

En enkel, enkel og praktisk måte å gjenopprette funksjonalitet selv uten kvalifikasjoner og ferdigheter til å gjøre det, er mulig takket være AVZ antivirusverktøy. Bruken av såkalt "firmware" (terminologi for AVZ-antivirusverktøyet) lar deg redusere hele prosessen til et minimum.

For at alt skal fungere i din bærbare, vil dette sikres av et batteri for asus bærbar PC, og for riktig funksjon av alle "tannhjulene" til operativsystemet, vil AVZ-funksjonalitet ikke være minst viktig.

Hjelp er mulig med de fleste typiske problemer vises foran brukeren. All fastvarefunksjonalitet kalles opp fra menyen "Fil -> Systemgjenoppretting".

1. Gjenoppretter oppstartsparametere for .exe-, .com-, .pif-filer
   Gjenopprette systemets standardrespons på filer med utvidelsen exe, com, pif, scr.
   Etter behandling for viruset sluttet alle programmer og skript å kjøre.
2. Tilbakestiller Internet Explorer-protokollprefiksinnstillingene til standard
   Gjenoppretting standardinnstillinger protokollprefikser i nettleser Utforsker
   Anbefalinger for bruk: når du skriver inn en nettadresse, for eksempel www.yandex.ua, erstattes den med en adresse som www.seque.com/abcd.php?url=www.yandex.ua
3. Gjenoppretter startsiden for Internet Explorer
   Bare gå tilbake til startsiden i Internet Explorer
   Anbefalinger for bruk: hvis startsiden er endret
4. Tilbakestill søkeinnstillingene for Internet Explorer til standard
   Gjenoppretter søkeinnstillinger i Internet Explorer
   Anbefalinger for bruk:"Søk"-knappen fører til "venstre" nettsteder
5. Gjenoppretter skrivebordsinnstillinger
   Fjerner alle aktive ActiveDesktop-elementer og bakgrunnsbilder, og låser opp skrivebordsinnstillingsmenyen.
   Anbefalinger for bruk: vise tredjeparts inskripsjoner og/eller tegninger på skrivebordet
6. Fjerner alle retningslinjer (restriksjoner) for gjeldende bruker
   fjerning av restriksjoner på brukerhandlinger forårsaket av endringer i retningslinjer.
   Anbefalinger for bruk: Utforskerfunksjonalitet eller annen systemfunksjonalitet ble blokkert.
7. Fjerner meldingsutdata under WinLogon
   Gjenoppretter standardmeldingen når systemet starter opp.
   Anbefalinger for bruk: Under systemoppstartsprosessen observeres en tredjepartsmelding.
8. Gjenoppretter File Explorer-innstillinger
   Returnerer alle Explorer-innstillingene til standardformen.
   Anbefalinger for bruk: Upassende Explorer-innstillinger
9. Fjerning av systemprosessfeilsøkere
   Systemprosessfeilsøkere lanseres i hemmelighet, noe som er veldig gunstig for virus.
   Anbefalinger for bruk: for eksempel, etter oppstart forsvinner skrivebordet.
10. Gjenoppretter oppstartsinnstillinger i SafeMode
    Reanimerer effekten av ormer som Bagle, etc.
    Anbefalinger for bruk: problemer med å laste inn i beskyttet modus (SafeMode), ellers anbefales det ikke å bruke det.
11. Låser opp Task Manager
    Fjerner blokkeringen av alle forsøk på å ringe oppgavebehandlingen.
    Anbefalinger for bruk: hvis du i stedet for oppgavebehandling ser meldingen "Oppgavebehandling er blokkert av administratoren"
12. Fjerner ignoreringslisten for HijackThis-verktøyet
    HijackThis-verktøyet lagrer innstillingene i systemregisteret, spesielt en liste over unntak er lagret der. Virus som maskerer seg som HijackThis er registrert i denne ekskluderingslisten.
    Anbefalinger for bruk: Du mistenker at HijackThis-verktøyet ikke viser all informasjon om systemet.
13. 
    Alle ukommenterte linjer fjernes og den eneste meningsfulle linjen "127.0.0.1 localhost" legges til.
    Anbefalinger for bruk: Hosts-filen er endret. Du kan sjekke Hosts-filen ved å bruke Hosts-filbehandlingen innebygd i AVZ.
14. Automatisk korrigering av SPl/LSP-innstillinger
    SPI-innstillinger blir analysert, og om nødvendig blir feil funnet automatisk rettet. Fastvaren kan trygt kjøres på nytt mange ganger. Etter utførelse kreves en omstart av datamaskinen. Merk følgende!!! Fastvaren kan ikke brukes fra en terminaløkt
    Anbefalinger for bruk: Etter behandling for viruset mistet jeg tilgangen til Internett.
15. Tilbakestilling av SPI/LSP og TCP/IP-innstillinger (XP+)
    Fastvaren kjører utelukkende på XP, Windows 2003 og Vista. Standard "netsh"-verktøyet fra Windows brukes. Beskrevet i detalj i Microsofts kunnskapsbase - http://support.microsoft.com/kb/299357
    Anbefalinger for bruk: Etter behandling for viruset mistet jeg tilgangen til Internett og fastvare nr. 14 hjalp ikke.
16. Gjenoppretter startnøkkelen for Explorer
    Gjenoppretter systemregisternøkler som er ansvarlige for å starte Explorer.
    Anbefalinger for bruk: Etter at systemet har startet opp, kan du bare starte explorer.exe manuelt.
17. Låser opp Registerredigering
    Opphev blokkeringen av Registerredigering ved å fjerne policyen som hindrer den i å kjøre.
    Anbefalinger for bruk: Når du prøver å starte Registerredigering, mottar du en melding som indikerer at administratoren har blokkert den fra å kjøre.
18. Fullfør gjenoppretting av SPI-innstillinger
    Tar en sikkerhetskopi av alle SPI/LSP-innstillinger, hvoretter den oppretter dem til standarden, som ligger i databasen.
    Anbefalinger for bruk: Ved gjenoppretting av SPI-innstillinger hjalp ikke fastvare nr. 14 og nr. 15. Farlig, bruk på egen risiko og risiko!
19. Tøm MountPoints-databasen
    Databasen i systemregisteret for MountPoints og MountPoints2 tømmes.
    Anbefalinger for bruk: for eksempel er det umulig å åpne stasjoner i Explorer.
20. Erstatt DNS for alle tilkoblinger med Google offentlig DNS
    Vi endrer alle DNS-adresser til brukte servere til 8.8.8.8

Noen nyttige tips:

• De fleste problemer med Hijacker kan behandles med tre mikroprogrammer - nr. 4 "Tilbakestille Internet Explorer søkeinnstillinger til standard", nr. 3 "Gjenopprette Internet Explorer startside" og nr. 2 "Tilbakestille Internet Explorer-protokollprefiksinnstillinger til standard".
• All fastvare unntatt #5 og #10 kan trygt kjøres flere ganger.
• Og selvfølgelig er det nytteløst å fikse noe uten først å fjerne viruset.

Det kan være nødvendig å starte AVZ-verktøyet når du kontakter teknisk støtte for Kaspersky Lab.
Ved å bruke AVZ-verktøyet kan du:

• motta en rapport om resultatene av systemstudien;
• utføre et skript levert av en spesialist teknisk støtte Kaspersky Lab
  for å opprette karantene og slette mistenkelige filer.

AVZ-verktøyet sender ikke statistikk, behandler ikke informasjon og overfører det ikke til Kaspersky Lab. Rapporten lagres på datamaskinen i form av HTML- og XML-filer, som er tilgjengelige for visning uten bruk av spesielle programmer.

AVZ-verktøyet kan automatisk opprette en karantene og plassere kopier av mistenkelige filer og deres metadata i den.

Objekter plassert i karantene blir ikke behandlet, blir ikke overført til Kaspersky Lab og lagres på datamaskinen. Vi anbefaler ikke å gjenopprette filer fra karantene; de ​​kan skade datamaskinen din.

Hvilke data finnes i AVZ-verktøyrapporten

AVZ-verktøyrapporten inneholder:

• Informasjon om versjonen og utgivelsesdatoen for AVZ-verktøyet.
• Informasjon om antivirus databaser AVZ-verktøyet og dets grunnleggende innstillinger.
• Informasjon om versjonen av operativsystemet, datoen for installasjonen og brukerrettighetene som verktøyet ble lansert med.
• Søkeresultater for rootkits og programmer som fanger opp hovedfunksjonene til operativsystemet.
• Søkeresultater for mistenkelige prosesser og informasjon om disse prosessene.
• Søkeresultater for vanlig skadelig programvare basert på deres karakteristiske egenskaper.
• Informasjon om feil funnet under skanningen.
• Søkeresultater for programmer som fanger opp tastatur-, mus- eller vindushendelser.
• Søkeresultater for åpne TCP- og UDP-porter som brukes av skadelig programvare.
• Informasjon om mistenkelige systemregisternøkler, diskfilnavn og systeminnstillinger.
• Søkeresultater for mulige operativsystemsårbarheter og sikkerhetsproblemer.
• Informasjon om skadede operativsysteminnstillinger.

Hvordan kjøre et skript ved hjelp av AVZ-verktøyet

Bruk AVZ-verktøyet kun under veiledning av en teknisk støttespesialist fra Kapersky Lab som en del av forespørselen din. Å gjøre det selv kan skade operativsystemet og føre til tap av data.

1. Last ned den kjørbare filen til AVZ-verktøyet.
2. Kjør avz5.exe på datamaskinen. Hvis Windows Defender SmartScreen forhindret avz5.exe fra å kjøre, klikker du Mer informasjon → Utfør uansett i vinduet Windows-system beskyttet datamaskinen din.
3. Gå til seksjon Fil→ Utfør skript.

1. Lim inn skriptet du mottok fra Kapersky Laboratorys tekniske støttespesialist i inndatafeltet.
2. Klikk Lansering.

1. Vent til verktøyet er ferdig og følg de videre anbefalingene fra Kapersky Labs tekniske støttespesialist.