Systemåterställning. Vi fixar och optimerar med AVZ-programmet Hur man återställer systemet med avz

Antivirusprogram återställer inte alltid hela systemets funktionalitet, även när de upptäcker och tar bort skadlig programvara. Ofta, efter att ha tagit bort ett virus, får en datoranvändare ett tomt skrivbord, en fullständig brist på tillgång till Internet (eller åtkomst till vissa webbplatser är blockerad), en icke-fungerande mus, etc. Detta orsakas vanligtvis av det faktum att vissa system- eller användarinställningar som ändrats av det skadliga programmet förblir orörda.

Verktyget är gratis, fungerar utan installation, är förvånansvärt funktionellt och har hjälpt mig i en mängd olika situationer. Ett virus gör som regel ändringar i systemregistret (lägger till vid start, ändrar programstartparametrar, etc.). För att inte fördjupa sig i systemet och manuellt korrigera spår av viruset är det värt att använda "systemåterställning" -operationen som är tillgänglig i AVZ (även om verktyget är väldigt, väldigt bra som antivirus, är det väldigt bra att kontrollera diskarna för virus med verktyget).

Starta återställningen genom att köra verktyget. Klicka sedan på fil - systemåterställning

och ett sådant fönster kommer att öppnas framför oss

markera rutorna vi behöver och klicka på "Utför valda operationer"

Denna firmware återställer systemets svar på exe-filer, com, pif, scr.

Indikationer för användning: När viruset har tagits bort slutar programmen att köras.

Denna firmware återställer protokollets prefixinställningar i Internet Explorer

Indikationer för användning: när du anger en adress som www.yandex.ru ersätts den med något som www.seque.com/abcd.php?url=www.yandex.ru

Denna firmware återställer startsidan i Internet Explorer

Indikationer för användning: utbyte startsida

Denna firmware återställer sökinställningar i Internet Explorer

Indikationer för användning: När du klickar på "Sök"-knappen i IE, dirigeras du till någon tredje parts webbplats

Denna firmware återställer skrivbordsinställningarna. Återställning innebär att ta bort alla aktiva ActiveDesctop-element, bakgrundsbilder och avblockera menyn som ansvarar för skrivbordsinställningar.

Indikationer för användning: Bokmärkena för skrivbordsinställningar i fönstret "Visningsegenskaper" har försvunnit; främmande inskriptioner eller bilder visas på skrivbordet

Windows tillhandahåller en mekanism för att begränsa användaråtgärder som kallas policyer. Många skadliga program använder denna teknik eftersom inställningarna lagras i registret och är lätta att skapa eller ändra.

Indikationer för användning: Utforskarfunktioner eller andra systemfunktioner är blockerade.

Windows NT och efterföljande system i NT-raden (2000, XP) låter dig ställa in meddelandet som visas under uppstart. Ett antal personer använder detta skadlig programvara, och förstörelsen av det skadliga programmet leder inte till att det här meddelandet förstörs.

Indikationer för användning: Ett främmande meddelande anges under systemstart.

Denna firmware återställer ett antal Explorer-inställningar till standard (inställningarna som ändras av skadlig programvara återställs först).

Indikationer för användning: Utforskarens inställningar ändrade

Registrering av en systemprocessfelsökning gör att du kan dold lansering applikation, som används av ett antal skadliga program

Indikationer för användning: AVZ upptäcker oidentifierade systemprocessfelsökare, problem uppstår med att starta systemkomponenter, i synnerhet försvinner skrivbordet efter en omstart.

Vissa skadliga program, särskilt Bagle-masken, korrumperar systemets startinställningar i skyddat läge. Denna firmware återställer startinställningar i skyddat läge.

Indikationer för användning: .

Blockering av Aktivitetshanteraren används av skadlig programvara för att skydda processer från upptäckt och borttagning. Följaktligen tas låset bort om du kör detta mikroprogram.

Indikationer för användning: Aktivitetshanteraren är blockerad, när du försöker ringa upp aktivitetshanteraren visas meddelandet "Task Manager blockeras av administratören".

Verktyget HijackThis lagrar ett antal av sina inställningar i registret, särskilt en lista med undantag. Därför, för att kamouflera sig själv från HijackThis, behöver det skadliga programmet bara registrera sina körbara filer i undantagslistan. I för närvarande Ett antal skadliga program är kända som utnyttjar denna sårbarhet. AVZ-firmware rensar HijackThis-undantagslistan

Indikationer för användning: Det finns misstankar om att verktyget HijackThis inte visar all information om systemet.

13. Rengöring av Hosts-filen

Att rensa upp Hosts-filen innebär att hitta Hosts-filen, ta bort alla viktiga rader från den och lägga till standardraden "127.0.0.1 localhost".

Indikationer för användning: Det misstänks att Hosts-filen har modifierats av skadlig programvara. Typiska symtom är att blockera uppdateringen av antivirusprogram. Du kan styra innehållet i Hosts-filen med hjälp av Hosts-filhanteraren inbyggd i AVZ.

Utför analys av SPI-inställningar och, om fel upptäcks, korrigerar de hittade felen automatiskt. Denna firmware kan köras om ett obegränsat antal gånger. När du har kört denna firmware rekommenderas det att du startar om din dator.

Indikationer för användning: Efter att ha tagit bort det skadliga programmet förlorade jag åtkomsten till Internet.

Denna firmware fungerar endast på XP, Windows 2003 och Vista. Dess funktionsprincip är baserad på att återställa och återskapa SPI/LSP- och TCP/IP-inställningar med hjälp av standardverktyget netsh som ingår i Windows. Notera! Du bör endast använda en fabriksåterställning om det behövs om du har oåterställbara problem med internetåtkomst efter att du har tagit bort skadlig programvara!

Indikationer för användning: Efter att ha tagit bort det skadliga programmet, åtkomst till Internet och körning av firmware "14. Automatisk korrigering av SPl/LSP-inställningar fungerar inte.

Återställer systemregisternycklar som ansvarar för att starta Explorer.

Indikationer för användning: Under systemstart startar inte Explorer, men det är möjligt att starta explorer.exe manuellt.

Avblockerar registerredigeraren genom att ta bort policyn som hindrar den från att köras.

Indikationer för användning: Det är omöjligt att starta Registereditorn; när du försöker visas ett meddelande om att dess start blockeras av administratören.

Uppträder säkerhetskopiering SPI/LSP-inställningar, varefter den förstör dem och skapar dem enligt standarden, som lagras i databasen.

Indikationer för användning:

Rensar databasen MountPoints och MountPoints2 i registret. Denna operation hjälper ofta när, efter infektion med ett Flash-virus, diskar inte öppnas i Utforskaren

För att utföra en återställning måste du välja ett eller flera objekt och klicka på knappen "Utför valda åtgärder". Genom att klicka på knappen "OK" stängs fönstret.

På en notis:

Återställning är värdelös om systemet kör ett trojanskt program som utför sådana omkonfigurationer - du måste först ta bort det skadliga programmet och sedan återställa systeminställningarna

På en notis:

För att eliminera spår av de flesta kapare måste du köra tre firmware - "Återställ Internet Explorer sökinställningar till standard", "Återställ startup Internetsidor Explorer", "Återställer Internet Explorer-protokollets prefixinställningar till standard"

På en notis:

Vilken som helst firmware kan köras flera gånger i rad utan att skada systemet. Undantag är "5.Återställa skrivbordsinställningar" (att köra denna firmware återställer alla skrivbordsinställningar och du måste välja skrivbordsfärg och bakgrundsbild igen) och "10. Återställer startinställningar i SafeMode" (denna firmware återskapar registernycklarna som ansvarar för uppstart i säkert läge).

Tycka om

Tycka om

Tweet

Det finns program som är lika universella som en schweizisk armékniv. Hjälten i min artikel är just en sådan "kombi". Hans namn är AVZ(Zaitsev Antivirus). Med hjälp av detta fri Antivirus och virus kan fångas, systemet kan optimeras och problem kan fixas.

AVZ-funktioner

Om vad det är antivirusprogram, har jag redan berättat. AVZ:s arbete som ett engångsantivirus (mer exakt, ett anti-rootkit) beskrivs väl i hjälpen, men jag kommer att visa dig en annan sida av programmet: kontrollera och återställa inställningar.

Vad kan "fixas" med AVZ:

• Återställ start av program (.exe, .com, .pif-filer)
• Återställ Internet Explorer-inställningarna till standardinställningarna
• Återställ skrivbordsinställningar
• Ta bort rättighetsbegränsningar (till exempel om ett virus har blockerat program från att starta)
• Ta bort en banner eller ett fönster som dyker upp innan du loggar in
• Ta bort virus som kan köras tillsammans med alla program
• Avblockera aktivitetshanteraren och registerredigeraren (om viruset har hindrat dem från att köras)
• Rensa filen
• Förbjud automatisk körning av program från flash-enheter och diskar
• Ta bort onödiga filer från hårddisk
• Fixa skrivbordsproblem
• Och mycket mer

Du kan också använda den för att kontrollera säkerheten Windows-inställningar(för att bättre skydda mot virus), och även optimera systemet genom att rensa uppstart.

AVZ-nedladdningssidan finns.

Programmet är gratis.

Låt oss först skydda din Windows från slarviga handlingar.

AVZ-programmet har Mycket många funktioner som påverkar Windows-drift. Detta farlig, för om det är ett misstag kan en katastrof hända. Läs texten och hjälp noga innan du gör något. Författaren till artikeln är inte ansvarig för dina handlingar.

För att kunna "återställa allt som det var" efter slarvigt arbete med AVZ skrev jag detta kapitel.

Detta är ett obligatoriskt steg, som i huvudsak skapar en "flyktväg" i händelse av slarviga åtgärder - tack vare återställningspunkten kommer det att vara möjligt att återställa inställningar och Windows-registret till ett tidigare tillstånd.

Systemet Windows återställning- en obligatorisk komponent i alla versioner av Windows, från och med Windows ME. Det är synd att de vanligtvis inte kommer ihåg det och slösar tid på att installera om Windows och program, även om du bara kan klicka ett par gånger och undvika alla problem.

Om skadan är allvarlig (till exempel vissa systemfiler har raderats) hjälper inte systemåterställning. I andra fall - om du har konfigurerat Windows felaktigt, krånglat med registret, installerat ett program som hindrar Windows från att starta eller använde AVZ-programmet felaktigt - bör systemåterställning hjälpa.

Efter AVZ fungerar skapar undermappar med säkerhetskopior i sin mapp:

/Säkerhetskopiering- förvaras där säkerhetskopior register

/Infekterad- kopior av raderade virus.

/Karantän- Kopior av misstänkta filer.

Om problem startade efter att du kört AVZ (till exempel använde du tanklöst verktyget AVZ Systemåterställning och Internet slutade fungera) och Windows Systemåterställning inte återställde ändringarna som gjorts, kan du öppna registersäkerhetskopior från mappen Säkerhetskopiering.

Hur man skapar en återställningspunkt

Låt oss gå till Start - Kontrollpanelen - System - Systemskydd:

Klicka på "Systemskydd" i fönstret "System".

Klicka på knappen "Skapa".

Processen att skapa en återställningspunkt kan ta tio minuter. Då kommer ett fönster upp:

En återställningspunkt kommer att skapas. De skapas förresten automatiskt när man installerar program och drivrutiner, men inte alltid. Därför, före farliga åtgärder (installation, rengöring av systemet), är det bättre att återigen skapa en återställningspunkt, så att du i händelse av problem kan berömma dig själv för din framsynthet.

Hur du återställer din dator med hjälp av en återställningspunkt

Det finns två alternativ för att köra Systemåterställning - underifrån kör Windows och använda installationsskivan.

Alternativ 1 - om Windows startar

Låt oss gå till Start - Alla program - Tillbehör - Systemverktyg - Systemåterställning:

Kommer att starta Välj en annan återställningspunkt och tryck Ytterligare. En lista med återställningspunkter öppnas. Välj den du behöver:

Datorn startar om automatiskt. Efter nedladdning kommer alla inställningar, dess register och några viktiga filer att återställas.

Alternativ 2 - om Windows inte startar

Du behöver en "installations"-skiva med Windows 7 eller Windows 8. Jag skrev var man kan få tag på den (eller ladda ner den).

Starta från disken (hur man startar från startskivor skrivs) och välj:

Välj "Systemåterställning" istället för att installera Windows

Reparera systemet efter virus eller odugliga åtgärder med datorn

Innan alla åtgärder, bli av med virus, till exempel med hjälp av. Annars blir det ingen mening - korrigerade inställningar kör virus kommer att "bryta" igen.

Återställningsprogram startar

Om ett virus har blockerat lanseringen av några program, kommer AVZ att hjälpa dig. Naturligtvis behöver du fortfarande starta AVZ själv, men det är ganska enkelt:

Först går vi till Kontrollpanel- ställ in alla typer av visning, utom kategori - Inställningar för mappar - Se- avmarkera Dölj tillägg för registrerade filtyper - OK. Nu kan du se för varje fil förlängning- flera tecken efter den sista punkten i namnet. Detta är vanligtvis fallet med program. .exe Och .com. För att köra AVZ-antivirus på en dator där det är förbjudet att köra program, byt namn på tillägget till cmd eller pif:

Sedan startar AVZ. Klicka sedan i själva programfönstret Fil - :

Punkter att notera:

1. Återställer startparametrar för .exe-, .com-, .pif-filer(faktiskt löser det problemet med att starta program)

6. Ta bort alla policyer (begränsningar) för den aktuella användaren(i vissa sällsynta fall hjälper det här objektet också till att lösa problemet med att starta program om viruset är mycket skadligt)

9. Ta bort systemprocessfelsökningar(det är mycket lämpligt att notera denna punkt, för även om du kontrollerade systemet med ett antivirusprogram kan något finnas kvar från viruset. Det hjälper också om skrivbordet inte visas när systemet startar)

Vi bekräftar åtgärden, ett fönster visas med texten "Systemåterställning slutförd." Efteråt återstår bara att starta om datorn - problemet med att starta program kommer att lösas!

Återställer skrivbordsstarten

Ett ganska vanligt problem är att skrivbordet inte visas när systemet startar.

Lansera Skrivbord du kan göra så här: tryck Ctrl+Alt+Del, starta Aktivitetshanteraren, tryck där Arkiv - Ny uppgift (Kör...) - stiga på explorer.exe:

OK- Skrivbordet startar. Men detta är bara en tillfällig lösning på problemet - nästa gång du slår på datorn måste du upprepa allt igen.

För att undvika att göra detta varje gång måste du återställa programstartnyckeln utforskare("Utforskaren", som ansvarar för standardvisning av innehållet i mappar och driften av skrivbordet). Klicka på AVZ Fil- och markera föremålet

Utför markerade operationer, bekräfta åtgärden, tryck OK. Nu när du startar din dator kommer skrivbordet att starta normalt.

Låser upp Task Manager och Registereditor

Om ett virus har blockerat lanseringen av de två ovan nämnda programmen kan du ta bort förbudet genom AVZ-programfönstret. Kontrollera bara två punkter:

11. Lås upp Aktivitetshanteraren

17. Låsa upp registerredigeraren

Och tryck Utför de markerade operationerna.

Problem med Internet (VKontakte, Odnoklassniki och antivirussajter öppnas inte)

Rengör systemet från onödiga filer

Program AVZ vet hur du rengör din dator onödiga filer. Om du inte har ett program för rengöring av hårddisken installerat på din dator, kommer AVZ att göra det, eftersom det finns många alternativ:

Mer information om punkterna:

1. Rensa systemcache Prefetch- rensa mappen med information om vilka filer som ska laddas i förväg för Snabbstart program. Alternativet är värdelöst, eftersom Windows själv ganska framgångsrikt övervakar Prefetch-mappen och rensar den vid behov.
2. Ta bort Windows-loggfiler- du kan rensa olika databaser och filer som lagrar olika register om händelser som inträffar i operativsystemet. Alternativet är användbart om du behöver frigöra ett dussin eller två megabyte utrymme på din hårddisk. Det vill säga, fördelen med att använda den är försumbar, alternativet är värdelöst.
3. Ta bort minnesdumpfiler- vid kritiska Windows-fel avbryter sitt arbete och visar BSOD ( blåskärm död), samtidigt bevara information om kör program och drivrutiner till en fil för efterföljande analys av speciella program för att identifiera orsaken till felet. Alternativet är nästan värdelöst, eftersom det gör att du bara kan vinna tio megabyte fritt utrymme. Att rensa minnesdumpfiler skadar inte systemet.
4. Rensa lista över senaste dokument- Konstigt nog rensar alternativet listan Senaste dokument. Denna lista finns i Start-menyn. Du kan också rensa listan manuellt genom att högerklicka på det här objektet i Start-menyn och välja "Rensa lista över senaste objekt." Alternativet är användbart: jag märkte att genom att rensa listan över de senaste dokumenten kan Start-menyn visa sina menyer lite snabbare. Det kommer inte att skada systemet.
5. Rensar mappen TEMP- Den heliga gralen för dem som letar efter orsaken till att ledigt utrymme försvinner på C:-enheten. Faktum är att många program lagrar filer i TEMP-mappen för tillfällig användning, och glömmer att "städa efter sig" senare. Ett typiskt exempel är arkivarier. De packar upp filerna där och glömmer att ta bort dem. Att rensa TEMP-mappen skadar inte systemet, det kan frigöra mycket utrymme (i särskilt avancerade fall når vinsten i ledigt utrymme femtio gigabyte!).
6. Adobe Flash Player - rensa temporära filer- "flash player" kan spara filer för tillfälligt bruk. De kan tas bort. Ibland (sällan) hjälper alternativet i kampen mot problem Flash spelare. Till exempel med problem med att spela upp video och ljud på VKontaktes webbplats. Det är ingen skada av användning.
7. Rensa terminalklientens cache- så vitt jag vet rensar det här alternativet de tillfälliga filerna för en Windows-komponent som heter "Anslutning till fjärrskrivbord" ( Fjärranslutning till datorer via RDP-protokoll). Alternativ det verkar gör ingen skada, frigör i bästa fall ett dussin megabyte utrymme. Det är ingen idé att använda den.
8. IIS - Ta bort HTTP-fellogg– det tar lång tid att förklara vad det är. Låt mig bara säga att det är bättre att inte aktivera alternativet IIS-loggrensning. Det gör i alla fall ingen skada, och ingen nytta heller.
9. Macromedia Flash Player- dubbletter av föremål "Adobe Flash Player - rensa temporära filer", men påverkar ganska gamla versioner av Flash Player.
10. Java - rensa cache- ger dig en vinst på ett par megabyte på din hårddisk. Jag använder inte Java-program, så jag har inte kontrollerat konsekvenserna av att aktivera alternativet. Jag rekommenderar inte att du slår på den.
11. Tömning av papperskorgen- syftet med denna artikel framgår helt klart av dess namn.
12. Ta bortoggar- Windows för en logg installerade uppdateringar. Om du aktiverar det här alternativet rensas loggen. Alternativet är värdelöst eftersom det inte finns någon vinst i ledigt utrymme.
13. Ta bort Windows Update Protocol- liknande föregående punkt, men andra filer raderas. Också ett värdelöst alternativ.
14. Rensa MountPoints databas- om ikoner med dem inte skapas i datorfönstret när du ansluter en flash-enhet eller hårddisk, kan det här alternativet hjälpa. Jag råder dig att aktivera det endast om du har problem med att ansluta flash-enheter och diskar.
15. Internet Explorer - rensa cacheminnet- rensar Internet Explorer temporära filer. Alternativet är säkert och användbart.
16. Microsoft Office- cacherensning- rensar tillfälliga filer från Microsoft Office-program - Word, Excel, PowerPoint och andra. Jag kan inte kontrollera säkerhetsalternativen eftersom jag inte har Microsoft Office.
17. Rensa cd-bränningssystemets cache- ett användbart alternativ som låter dig ta bort filer som du har förberett för att bränna till diskar.
18. Rengöring av systemets TEMP-mapp- till skillnad från användarens TEMP-mapp (se punkt 5) är det inte alltid säkert att rengöra denna mapp, och det frigör vanligtvis lite utrymme. Jag rekommenderar inte att du slår på den.
19. MSI - rengör mappen Config.Msi- Den här mappen lagrar olika filer som skapats av programinstallatörer. Mappen är stor om installatörerna inte slutförde sitt arbete korrekt, så det är motiverat att rengöra mappen Config.Msi. Jag varnar dig dock - det kan finnas problem med att avinstallera program som använder .msi-installationsprogram (till exempel Microsoft Office).
20. Rensa loggar för uppgiftsschemaläggning- Windows Task Scheduler för en logg där den registrerar information om slutförda uppgifter. Jag rekommenderar inte att du aktiverar det här objektet, eftersom det inte finns någon fördel, men det kommer att lägga till problem - Windows Task Scheduler är en ganska buggig komponent.
21. Ta bort Windows installationsloggar– att vinna en plats är obetydligt, det är ingen idé att radera.
22. Windows - rensa ikoncache- användbart om du har problem med genvägar. Till exempel, när skrivbordet visas, visas inte ikoner omedelbart. Att aktivera det här alternativet påverkar inte systemets stabilitet.
23. Google Chrome- cacherensning- ett mycket användbart alternativ. Google Chrome lagrar kopior av sidor i en avsedd mapp för att öppna webbplatser snabbare (sidor laddas från din hårddisk istället för att laddas ner via Internet). Ibland når storleken på den här mappen en halv gigabyte. Rengöring är användbart eftersom det frigör utrymme på din hårddisk; det påverkar inte stabiliteten i varken Windows eller Google Chrome.
24. Mozilla Firefox- rengöra mappen CrashReports- varje gång när Firefox webbläsare ett problem uppstår och det stängs onormalt, rapportfiler skapas. Det här alternativet tar bort rapportfiler. Vinsten i ledigt utrymme når ett par tiotals megabyte, det vill säga alternativet är till liten nytta, men det finns där. Påverkar inte stabiliteten i Windows och Mozilla Firefox.

Beroende på installerade program, kommer antalet artiklar att variera. Till exempel, om webbläsaren Opera är installerad kan du rensa dess cache också.

Rengör listan över startprogram

Ett säkert sätt att påskynda din dators start och hastighet är att rensa startlistan. Om onödiga program kommer inte att starta, då kommer datorn inte bara att slås på snabbare, utan också arbeta snabbare - på grund av de frigjorda resurserna, som inte tas upp av program som körs i bakgrunden.

AVZ kan se nästan alla kryphål i Windows genom vilka program startas. Du kan se autorunlistan i menyn Verktyg - Autorun Manager:

Den genomsnittliga användaren har absolut inget behov av så kraftfull funktionalitet, så jag uppmanar stäng inte av allt. Det räcker med att bara titta på två punkter - Autokör mappar Och Springa*.

AVZ visar autorun inte bara för din användare utan också för alla andra profiler:

I kapitel Springa* Det är bättre att inte inaktivera program som finns i avsnittet HKEY_USERS- detta kan störa funktionen för andra användarprofiler och operativ system. I kapitel Autokör mappar du kan stänga av allt du inte behöver.

Raderna som identifieras av antiviruset som kända är markerade med grönt. Detta inkluderar båda systemprogram Windows och tredjepartsprogram som har en digital signatur.

Alla andra program är markerade med svart. Det betyder inte att sådana program är virus eller något liknande, bara att inte alla program är digitalt signerade.

Glöm inte att göra den första kolumnen bredare så att programnamnet syns. Om du helt enkelt avmarkerar kryssrutan inaktiveras programmets autorun tillfälligt (du kan då markera rutan igen), markering av objektet och tryck på knappen med ett svart kryss raderar posten för alltid (eller tills programmet registrerar sig i autorun igen).

Frågan uppstår: hur man bestämmer vad som kan stängas av och vad som inte kan? Det finns två lösningar:

För det första finns det sunt förnuft: du kan fatta ett beslut baserat på namnet på programmets .exe-fil. Till exempel, Skype-programmet vid installation skapar en post för automatisk start när du slår på datorn. Om du inte behöver detta, avmarkera rutan som slutar med skype.exe. Förresten, många program (inklusive Skype) kan ta bort sig själva från start; avmarkera bara motsvarande objekt i inställningarna för själva programmet.

För det andra kan du söka på Internet efter information om programmet. Baserat på den mottagna informationen återstår det att fatta ett beslut: att ta bort den från autorun eller inte. AVZ gör det enkelt att hitta information om objekt: högerklicka bara på objektet och välj din favoritsökmotor:

Genom att inaktivera onödiga program kommer du att påskynda din datorstart avsevärt. Det är dock inte tillrådligt att inaktivera allt - detta riskerar att förlora layoutindikatorn, inaktivera antivirus, etc.

Inaktivera bara de program som du vet säkert - du behöver dem inte vid start.

Slutsats

I princip liknar det jag skrev om i artikeln att slå spikar med ett mikroskop - AVZ-programmet är lämpligt för att optimera Windows, men i allmänhet är det ett komplext och kraftfullt verktyg som lämpar sig för att utföra en mängd olika uppgifter. Men för att kunna använda AVZ till fullo måste du känna till Windows ordentligt, så att du kan börja smått - nämligen det jag beskrev ovan.

Om du har några frågor eller kommentarer finns det en kommentarsektion under artiklarna där du kan skriva till mig. Jag övervakar kommentarerna och kommer att försöka svara dig så snabbt som möjligt.

Relaterade inlägg:

Tycka om

Tycka om

Vi kommer att prata om de enklaste sätten att neutralisera virus, särskilt de som blockerar Windows 7-användarens skrivbord (Trojan.Winlock-virusfamiljen). Sådana virus kännetecknas av det faktum att de inte döljer sin närvaro i systemet, utan tvärtom demonstrerar det, vilket gör det extremt svårt att utföra andra åtgärder än att ange en speciell "upplåsningskod", för att erhålla vilken, påstås , måste du överföra ett visst belopp till angriparna genom att skicka ett SMS eller fylla på mobiltelefon genom en betalterminal. Målet här är ett - att tvinga användaren att betala, och ibland ganska anständiga pengar. Ett fönster dyker upp på skärmen med en hotfull varning om att blockera datorn för att använda olicensierad programvara eller besöka oönskade sajter, och något annat sådant, vanligtvis för att skrämma användaren. Dessutom tillåter viruset dig inte att utföra några åtgärder i Windows-arbetsmiljön - det blockerar att trycka på speciella tangentkombinationer för att ta fram startknappsmenyn, kommandot Kör, aktivitetshanteraren, etc. Muspekaren kan inte flyttas utanför virusfönstret. Som regel observeras samma bild när Windows laddas i säkert läge. Situationen verkar hopplös, speciellt om det inte finns någon annan dator, möjligheten att starta upp i ett annat operativsystem eller från flyttbara media (LIVE CD, ERD Commander, antivirusskanner). Men ändå finns det i de allra flesta fall en utväg.

Ny teknik implementerad i Windows Vista / Windows 7 har gjort det mycket svårare för skadlig programvara att tränga in och ta full kontroll över systemet, och även gett användarna ytterligare möjligheter att bli av med dem relativt enkelt, även utan antivirusprogram (programvara ). Det handlar om om möjligheten att starta upp systemet i säkert läge med support kommandorad och starta från den programvara kontroll och återhämtning. Uppenbarligen, av vana, på grund av den ganska dåliga implementeringen av detta läge i tidigare versioner av operativsystem i Windows-familjen, använder många användare det helt enkelt inte. Men förgäves. I laget Windows linje 7 har inte det vanliga skrivbordet (som kan blockeras av ett virus), men det är möjligt att starta de flesta program - registerredigerare, uppgiftshanterare, systemåterställningsverktyg, etc.

Ta bort ett virus genom att rulla tillbaka systemet till en återställningspunkt

Ett virus är ett vanligt program, och även om det finns på datorns hårddisk, men inte har möjlighet att automatiskt starta när systemet startar och användarregistrering, så är det lika ofarligt som till exempel en vanlig textfil. Om du löser problemet med att blockera den automatiska lanseringen av ett skadligt program, kan uppgiften att bli av med skadlig programvara anses vara avslutad. Den huvudsakliga metoden för automatisk start som används av virus är genom speciellt skapade registerposter som skapas när de introduceras i systemet. Om du tar bort dessa poster kan viruset anses vara neutraliserat. Det enklaste sättet är att utföra en systemåterställning med hjälp av kontrollpunktsdata. En kontrollpunkt är en kopia av viktiga systemfiler, lagrade i en speciell katalog ("System Volume Information") och innehåller bland annat kopior av systemfiler Windows-registret. Genom att utföra en systemåterställning till en återställningspunkt, vars skapelsedatum föregår virusinfektionen, kan du erhålla tillståndet för systemregistret utan de inmatningar som gjorts av det invaderande viruset och därigenom utesluta dess automatiska start, d.v.s. bli av med infektion även utan att använda antivirusprogram. På detta sätt kan du enkelt och snabbt bli av med systemet från att bli infekterat av de flesta virus, inklusive de som blockerar arbetaren Windows skrivbord. Naturligtvis kan ett blockerande virus som använder till exempel modifiering av startsektorer på en hårddisk (MBRLock-virus) inte tas bort på detta sätt, eftersom återställning av systemet till en återställningspunkt inte påverkar diskarnas startposter, och det kommer inte att vara möjligt att starta Windows i felsäkert läge med kommandoradsstöd eftersom viruset laddas före Windows bootloader. För att bli av med en sådan infektion måste du starta från ett annat medium och återställa infekterade startposter. Men det finns relativt få sådana virus och i de flesta fall kan du bli av med infektionen genom att rulla tillbaka systemet till en återställningspunkt.

1. I början av laddningen, tryck på F8-knappen. Windows boot loader-menyn visas på skärmen, med möjliga alternativ systemstart

2. Välj Windows startalternativ - "Säkert läge med kommandoradsstöd"

När nedladdningen är klar och användaren registrerar sig, i stället för det vanliga Windows-skrivbordet, visas kommandoprocessorfönstret cmd.exe

3. Kör verktyget Systemåterställning genom att skriva rstrui.exe på kommandoraden och trycka på RETUR.

Växla läget till "Välj en annan återställningspunkt" och i nästa fönster markera rutan "Visa andra återställningspunkter"

När du har valt en Windows-återställningspunkt kan du se en lista över berörda program under en systemåterställning:

Listan över berörda program är en lista över program som installerades efter att systemåterställningspunkten skapades och som kan kräva ominstallation eftersom deras tillhörande registerposter kommer att saknas.

Efter att ha klickat på "Slutför"-knappen börjar systemåterställningsprocessen. När det är klart kommer Windows att starta om.

Efter omstarten kommer ett meddelande att visas som indikerar att återställningen lyckades eller misslyckades och, om den lyckades, återgår Windows till det tillstånd som motsvarade det datum då återställningspunkten skapades. Om skrivbordslåset inte slutar kan du använda en mer avancerad metod som presenteras nedan.

Ta bort ett virus utan att rulla tillbaka systemet till en återställningspunkt

En situation är möjlig när systemet saknas, enl olika anledningar, återställningspunktsdata, återställningsproceduren slutfördes med ett fel eller återställningen gav inget positivt resultat. I det här fallet kan du använda diagnostikverktyget för systemkonfiguration MSCONFIG.EXE. Som i föregående fall måste du göra laddar Windows i felsäkert läge med kommandoradsstöd och i kommandoradstolkfönstret cmd.exe skriver du msconfig.exe och trycker på RETUR

På fliken Allmänt kan du välja följande Windows-startlägen:

När systemet startar kommer endast de minsta nödvändiga systemtjänsterna och användarprogrammen att startas.
Selektiv lansering- låter dig specificera manuellt en lista över systemtjänster och användarprogram som kommer att startas under uppstartsprocessen.

För att eliminera ett virus är det enklaste sättet att använda en diagnostisk start, när verktyget själv bestämmer en uppsättning program som startar automatiskt. Om viruset i det här läget slutar blockera skrivbordet, måste du gå vidare till nästa steg - bestäm vilket program som är ett virus. För att göra detta kan du använda det selektiva startläget, som låter dig aktivera eller inaktivera start individuella program i manuellt läge.

Fliken "Tjänster" låter dig aktivera eller inaktivera lanseringen av systemtjänster vars starttyp är inställd på "Automatisk". En omarkerad ruta framför tjänstens namn betyder att den inte kommer att startas under systemstart. Längst ner i verktygsfönstret för MSCONFIG finns ett fält för att ställa in läget "Visa inte Microsoft-tjänster", som, när det är aktiverat, endast visar tjänster från tredje part.

Jag noterar att sannolikheten för att ett system infekteras av ett virus som är installerat som en systemtjänst, med standardsäkerhetsinställningar i Windows Vista / Windows 7, är mycket låg, och du måste leta efter spår av viruset i listan av automatiskt startade användarprogram (fliken "Startup").

Precis som på fliken Tjänster kan du aktivera eller inaktivera automatisk start av alla program som finns i listan som visas av MSCONFIG. Om ett virus aktiveras i systemet genom automatisk start med hjälp av speciella registernycklar eller innehållet i startmappen, kan du med hjälp av msconfig inte bara neutralisera det, utan också bestämma sökvägen och namnet på den infekterade filen.

Verktyget msconfig är ett enkelt och bekvämt verktyg för att konfigurera automatisk start av tjänster och applikationer som startar på standardsätt för operativsystem i Windows-familjen. Men virusförfattare använder ofta tekniker som gör att de kan starta skadliga program utan att använda vanliga autorun-punkter. Du kan med största sannolikhet bli av med ett sådant virus med metoden som beskrivs ovan genom att rulla tillbaka systemet till en återställningspunkt. Om återställning inte är möjlig och att använda msconfig inte ledde till positivt resultat, kan du använda direktredigering av registret.

I processen att bekämpa ett virus måste användaren ofta utföra en hård omstart genom att återställa (Reset) eller stänga av strömmen. Detta kan leda till en situation där systemet startar normalt, men inte når användarregistrering. Datorn hänger sig på grund av ett brott mot den logiska datastrukturen i vissa systemfiler, vilket inträffar under en felaktig avstängning. För att lösa problemet, på samma sätt som i tidigare fall, kan du starta upp i felsäkert läge med kommandoradsstöd och köra kommandot check system disk

chkdsk C: /F - kontrollera enhet C: och korrigera upptäckta fel (nyckel /F)

Eftersom systemdisken är upptagen av systemtjänster och applikationer när chkdsk körs, kan chkdsk inte få exklusiv åtkomst till den för att utföra testning. Därför kommer användaren att få ett varningsmeddelande och uppmanas att utföra testning nästa gång systemet startas om. Efter att ha svarat Y kommer information att matas in i registret för att säkerställa att diskkontrollen startar när Windows startar om. Efter att kontrollen är klar raderas denna information och Windows startar om normalt utan användaringripande.

Eliminerar möjligheten att ett virus körs med hjälp av Registereditorn.

För att starta registerredigeraren, som i det föregående fallet, måste du starta Windows i felsäkert läge med kommandoradsstöd, skriv regedit.exe i kommandoradstolkfönstret och tryck RETUR Windows 7, med standardinställningar för systemsäkerhet, är skyddat från många metoder för att starta skadliga program program som används för tidigare versioner operativsystem från Microsoft. Virus som installerar sina egna drivrutiner och tjänster, konfigurerar om WINLOGON-tjänsten med att ansluta sina egna körbara moduler, korrigerar registernycklar som är relevanta för alla användare etc. - alla dessa metoder fungerar antingen inte i Windows 7 eller kräver så allvarliga arbetskostnader att de är praktiskt taget omöjliga att möta. Vanligtvis görs ändringar i registret som gör att ett virus kan köras endast i samband med de behörigheter som finns för den aktuella användaren, dvs. i avsnittet HKEY_CURRENT_USER

För att demonstrera den enklaste mekanismen för att blockera ett skrivbord med en ersättning av användarskalet (shell) och oförmågan att använda MSCONFIG-verktyget för att upptäcka och ta bort ett virus, kan du utföra följande experiment - istället för ett virus, du själv korrigera registerdata för att till exempel få en kommandorad istället för ett skrivbord . Ett välbekant skrivbord skapas av Windows Explorer (programmet Explorer.exe) som startas som användarens skal. Detta säkerställs av värdena för Shell-parametern i registernycklarna

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - för alla användare.
- för den aktuella användaren.

Shell-parametern är en sträng med namnet på programmet som kommer att användas som skal när användaren loggar in. Vanligtvis saknas Shell-parametern i avsnittet för den aktuella användaren (HKEY_CURRENT_USER eller förkortat HKCU) och värdet från registernyckeln för alla användare används (HKEY_LOCAL_MACHINE\ eller förkortat HKLM)

Så här ser registernyckeln ut HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon med standard Windows installation 7

Om du lägger till Shell-strängparametern med värdet "cmd.exe" till det här avsnittet, kommer cmd.exe-skalet att startas nästa gång den aktuella användaren loggar in i systemet istället för det vanliga Explorer-baserade användarskalet och istället för det vanliga Windows-skrivbordet, kommer kommandoradsfönstret att visas .

Naturligtvis kan alla skadliga program startas på detta sätt och användaren kommer att få en porrbanner, blockerare och andra otäcka saker istället för ett skrivbord.
Att göra ändringar i nyckeln för alla användare (HKLM...) kräver administrativa rättigheter, så virusprogram ändrar vanligtvis inställningarna för den aktuella användarens registernyckel (HKCU...)

Om du kör verktyget msconfig för att fortsätta experimentet kan du se till att cmd.exe inte ingår som ett användarskal i listan över automatiskt startade program. En återställning av systemet låter dig naturligtvis återvända initialtillståndet registret och bli av med den automatiska starten av viruset, men om det av någon anledning är omöjligt är det enda alternativet att direkt redigera registret. För att återgå till standardskrivbordet tar du helt enkelt bort Shell-parametern eller ändrar dess värde från "cmd.exe" till "explorer.exe" och registrerar om användaren (logga ut och logga in igen) eller starta om. Du kan redigera registret genom att köra registerredigeraren regedit.exe från kommandoraden eller använda konsolverktyget REG.EXE. Exempel på kommandorad för att ta bort Shell-parametern:

REG radera "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Det givna exemplet på att ersätta användarens skal är idag en av de vanligaste teknikerna som används av virus i operativsystemet Windows 7. En ganska hög säkerhetsnivå med standardsysteminställningar förhindrar skadliga program från att få tillgång till registernycklar som användes för att infektera i Windows XP och senare tidigare versioner. Även om den aktuella användaren är medlem i Administratörsgruppen, kräver åtkomst till de allra flesta registerinställningar som används för infektion att programmet körs som administratör. Det är av denna anledning som skadlig programvara modifierar registernycklar som den aktuella användaren får åtkomst till (avsnitt HKCU...) Den andra viktiga faktorn är svårigheten att skriva programfiler till systemkataloger. Det är av denna anledning som de flesta virus i Windows 7-miljön använder startande körbara filer (.exe) från den aktuella användarens katalog för temporära filer (Temp). När du analyserar de automatiska startpunkterna för program i registret måste du först och främst vara uppmärksam på programmen som finns i katalogen för temporära filer. Vanligtvis är detta en katalog C:\USERS\användarnamn\AppData\Local\Temp. Den exakta sökvägen till katalogen för temporära filer kan ses via kontrollpanelen i systemegenskaper - " Miljövariabler". Eller på kommandoraden:

sätta temperatur
eller
eko %temp%

Dessutom kan sökning i registret efter strängen som motsvarar katalognamnet för temporära filer eller variabeln %TEMP% användas som ett extra verktyg för att upptäcka virus. Legitima program startas aldrig automatiskt från TEMP-katalogen.

För att få en komplett lista över möjliga automatiska startpunkter är det bekvämt att använda specialprogram Autokörs från SysinternalsSuite-paketet.

De enklaste sätten att ta bort blockerare från MBRLock-familjen

Skadliga program kan få kontroll över en dator, inte bara genom att infektera operativsystemet, utan också genom att modifiera startsektorposterna för disken från vilken uppstarten utförs. Viruset ersätter startsektordata för den aktiva partitionen med dess programkod så att istället för Windows laddas ett enkelt program som visar ett ransomware-meddelande på skärmen och kräver pengar för skurkarna. Eftersom viruset får kontroll innan systemet startar, finns det bara ett sätt att kringgå det - starta från ett annat medium (CD/DVD, extern enhet, etc.) i alla operativsystem där det är möjligt att återställa programkoden för startsektorer. Det enklaste sättet är att använda Live CD / Live USB, vanligtvis tillhandahålls användarna gratis av de flesta antivirusföretag (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk, etc.) Förutom att återställa startsektorer, är dessa produkter kan också utföra och kontrollera filsystemet för skadlig programvara och ta bort eller desinficera infekterade filer. Om det inte går att använda den här metoden, då kan du klara dig med att bara ladda någon Windows-versioner PE ( installationsskiva, ERD Commander nödåterställningsskiva), som låter dig återställa normal systemstart. Vanligtvis räcker det att bara kunna komma åt kommandoraden och köra kommandot:

bootsect /nt60 /mbr

bootsect /nt60 /mbr E:> - återställ startsektorer för enhet E: Bokstaven för enheten som används som startenhet för systemet som skadats av viruset ska användas här.

eller för Windows före Windows Vista

bootsect /nt52 /mbr

Verktyget bootsect.exe kan finnas inte bara i systemkataloger utan också på alla flyttbara media, kan köras i alla Windows-operativsystem och låter dig återställa programkoden för startsektorer utan att påverka partitionstabellen och filsystem. /mbr-nyckeln behövs som regel inte, eftersom den återställer programkoden för MBR-huvudstartposten, som virus inte modifierar (kanske de inte modifierar den ännu).

Ett enkelt och bekvämt AVZ-verktyg som inte bara kan hjälpa, utan också kan återställa systemet. Varför är detta nödvändigt?

Faktum är att efter invasionen av virus (det händer att AVZ dödar tusentals av dem), vägrar vissa program att fungera, alla inställningar har försvunnit någonstans och Windows fungerar på något sätt inte riktigt korrekt.

Oftast, i det här fallet, installerar användare helt enkelt om systemet. Men som praxis visar är detta inte alls nödvändigt, för med samma AVZ-verktyg kan du återställa nästan alla skadade program och data.

För att ge dig en tydligare bild tillhandahåller jag full lista som kan återställa AVZ.

Material hämtat från uppslagsboken AVZ - http://www.z-oleg.com/secur/avz_doc/ (kopiera och klistra in i webbläsarens adressfält).

För närvarande innehåller databasen följande firmware:

1.Återställer startparametrar för .exe-, .com-, .pif-filer

Denna firmware återställer systemets svar på exe-, com-, pif-, scr-filer.

Indikationer för användning: När viruset har tagits bort slutar programmen att köras.

2. Återställ inställningarna för Internet Explorer-protokollets prefix till standard

Denna firmware återställer protokollprefixinställningar i Internet Explorer

Indikationer för användning: när du anger en adress som www.yandex.ru ersätts den med något som www.seque.com/abcd.php?url=www.yandex.ru

3.Återställer startsidan för Internet Explorer

Denna firmware återställer startsidan i Internet Explorer

Indikationer för användning: ersätter startsidan

4. Återställ sökinställningarna i Internet Explorer till standard

Denna firmware återställer sökinställningar i Internet Explorer

Indikationer för användning: När du klickar på "Sök"-knappen i IE, dirigeras du till någon tredje parts webbplats

5.Återställ skrivbordsinställningar

Denna firmware återställer skrivbordsinställningarna.

Återställning innebär att ta bort alla aktiva ActiveDesctop-element, bakgrundsbilder och avblockera menyn som ansvarar för skrivbordsinställningar.

Indikationer för användning: Bokmärkena för skrivbordsinställningar i fönstret "Visningsegenskaper" har försvunnit; främmande inskriptioner eller bilder visas på skrivbordet

6.Ta bort alla policyer (begränsningar) för den aktuella användaren

Windows tillhandahåller en mekanism för att begränsa användaråtgärder som kallas policyer. Många skadliga program använder denna teknik eftersom inställningarna lagras i registret och är lätta att skapa eller ändra.

Indikationer för användning: Utforskarfunktioner eller andra systemfunktioner är blockerade.

7.Ta bort meddelandet som visas under WinLogon

Windows NT och efterföljande system i NT-raden (2000, XP) låter dig ställa in meddelandet som visas under uppstart.

Ett antal skadliga program drar fördel av detta, och förstörelsen av det skadliga programmet leder inte till att det här meddelandet förstörs.

Indikationer för användning: Ett främmande meddelande anges under systemstart.

8.Återställa Explorer-inställningarna

Denna firmware återställer ett antal Explorer-inställningar till standard (inställningarna som ändras av skadlig programvara återställs först).

Indikationer för användning: Utforskarens inställningar ändrade

9.Ta bort systemprocessfelsökningar

Genom att registrera en systemprocessfelsökare kan du starta en applikation som är dold, vilket är vad som används av ett antal skadliga program

Indikationer för användning: AVZ upptäcker oidentifierade systemprocessfelsökare, problem uppstår med att starta systemkomponenter, i synnerhet försvinner skrivbordet efter en omstart.

10.Återställer startinställningar i SafeMode

Vissa skadliga program, särskilt Bagle-masken, korrumperar systemets startinställningar i skyddat läge.

Denna firmware återställer startinställningar i skyddat läge. Indikationer för användning: Datorn startar inte i SafeMode. Denna firmware bör användas endast vid problem med uppstart i skyddat läge .

11. Lås upp Aktivitetshanteraren

Blockering av Aktivitetshanteraren används av skadlig programvara för att skydda processer från upptäckt och borttagning. Följaktligen tas låset bort om du kör detta mikroprogram.

Indikationer för användning: Aktivitetshanteraren är blockerad, när du försöker ringa upp aktivitetshanteraren visas meddelandet "Task Manager blockeras av administratören".

12. Rensa ignoreringslistan för verktyget HijackThis

Verktyget HijackThis lagrar ett antal av sina inställningar i registret, särskilt en lista med undantag. Därför, för att kamouflera sig själv från HijackThis, behöver det skadliga programmet bara registrera sina körbara filer i undantagslistan.

Det finns för närvarande ett antal kända skadliga program som utnyttjar denna sårbarhet. AVZ-firmware rensar HijackThis-undantagslistan

Indikationer för användning: Det finns misstankar om att verktyget HijackThis inte visar all information om systemet.

13. Rengöring av Hosts-filen

Att rensa upp Hosts-filen innebär att hitta Hosts-filen, ta bort alla viktiga rader från den och lägga till standardraden "127.0.0.1 localhost".

Indikationer för användning: Det misstänks att Hosts-filen har modifierats av skadlig programvara. Typiska symtom är att blockera uppdateringen av antivirusprogram.

Du kan styra innehållet i Hosts-filen med hjälp av Hosts-filhanteraren inbyggd i AVZ.

14. Automatisk korrigering av SPl/LSP-inställningar

Utför analys av SPI-inställningar och, om fel upptäcks, korrigerar de hittade felen automatiskt.

Denna firmware kan köras om ett obegränsat antal gånger. När du har kört denna firmware rekommenderas det att du startar om din dator. Notera! Denna firmware kan inte köras från en terminalsession

Indikationer för användning: Efter att ha tagit bort det skadliga programmet förlorade jag åtkomsten till Internet.

15. Återställ SPI/LSP och TCP/IP-inställningar (XP+)

Denna firmware fungerar endast på XP, Windows 2003 och Vista. Dess funktionsprincip är baserad på att återställa och återskapa SPI/LSP- och TCP/IP-inställningar med hjälp av standardverktyget netsh som ingår i Windows.

Notera! Du bör endast använda en fabriksåterställning om det behövs om du har oåterställbara problem med internetåtkomst efter att du har tagit bort skadlig programvara!

Indikationer för användning: Efter att ha tagit bort det skadliga programmet, åtkomst till Internet och körning av firmware "14. Automatisk korrigering av SPl/LSP-inställningar fungerar inte.

16. Återställa startnyckeln för Explorer

Återställer systemregisternycklar som ansvarar för att starta Explorer.

Indikationer för användning: Under systemstart startar inte Explorer, men det är möjligt att starta explorer.exe manuellt.

17. Låsa upp registerredigeraren

Avblockerar registerredigeraren genom att ta bort policyn som hindrar den från att köras.

Indikationer för användning: Det är omöjligt att starta Registereditorn; när du försöker visas ett meddelande om att dess start blockeras av administratören.

18. Komplett återskapandet av SPI-inställningar

Utför en säkerhetskopia av SPI/LSP-inställningar, varefter den förstör dem och skapar dem enligt standarden, som lagras i databasen.

Indikationer för användning: Allvarliga skador på SPI-inställningar som inte kan repareras med skript 14 och 15. Använd endast vid behov!

19. Rensa MountPoints-databas

Rensar databasen MountPoints och MountPoints2 i registret. Denna operation hjälper ofta när, efter infektion med ett Flash-virus, diskar inte öppnas i Utforskaren

För att utföra en återställning måste du välja ett eller flera objekt och klicka på knappen "Utför valda åtgärder". Genom att klicka på knappen "OK" stängs fönstret.

På en notis:

Återställning är värdelös om systemet kör ett trojanskt program som utför sådana omkonfigurationer - du måste först ta bort det skadliga programmet och sedan återställa systeminställningarna

På en notis:

För att eliminera spår av de flesta kapare måste du köra tre firmware - "Återställ Internet Explorer sökinställningar till standard", "Återställ Internet Explorer startsida", "Återställ Internet Explorer protokoll prefixinställningar till standard"

På en notis:

Vilken som helst firmware kan köras flera gånger i rad utan att skada systemet. Undantag - "5.

Återställa skrivbordsinställningar" (att köra denna firmware återställer alla skrivbordsinställningar och du måste välja skrivbordsfärg och bakgrundsbild igen) och "10.

Återställer startinställningar i SafeMode" (denna firmware återskapar registernycklarna som ansvarar för uppstart i säkert läge).

För att starta återställningen, ladda först ned, packa upp och kör verktyg. Klicka sedan på Arkiv - Systemåterställning. Det kan du förresten också göra

Markera rutorna du behöver och klicka på starta operationer. Det var allt, vi ser fram emot att bli klara :-)

I följande artiklar kommer vi att titta mer i detalj på de problem som firmware hjälper oss att lösa. avz återhämtning system. Så lycka till.

AVZ är ett gratis verktyg utformat för att söka efter och ta bort virus, samt för att återställa systeminställningar efter åtgärder från skadliga program.

Förbereder för arbete

1. Ladda ner AVZ-verktyget från den officiella webbplatsen: http://z-oleg.com/avz4.zip

2. Packa upp arkivet

3. Kör filen från arkivet avz.exe

4. Gå till menyn Fil och välj Databasuppdatering

Klick Start för att starta uppdateringsprocessen :

Antivirusdatabasen uppdateras:

När databaserna är uppdaterade visas detta meddelande. Klick OK:

Viruskontroll

För att söka efter virus, kontrollera alla datorenheter till vänster och kryssa i rutan till höger Utför behandling och klicka på knappen nedan Start:

Systemåterställning

En mycket användbar funktion i AVZ-verktyget är systemåterställning. Det kommer att vara praktiskt efter att ha tagit bort skadlig programvara för att eliminera spår av det. För att starta Systemåterställning, klicka Fil -> Systemåterställning:

Markera de obligatoriska rutorna och klicka på knappen Utför markerade operationer:

Bekräfta din avsikt:

Rengör webbläsare med AVZ

Välj från huvudmenyn Fil.

Välj ett föremål Felsökningsguide:

I fält Faronivå Välj Alla problem.

Klick Start.

Markera följande rutor:

• Rensa TEMP-mappen;
• Adobe Flash Player - rensning av temporära filer;
• Macromedia Flash Player - rensa cacheminne;
• Rengöring av systemets TEMP-mapp;
• Rensa cacheminne för alla installerade webbläsare;

Klicka på knappen Åtgärda flaggade problem.

I vissa situationer kan det vara nödvändigt att inaktivera kärnfelsökaren. Denna operation rekommenderas inte för oerfarna användare på grund av det potentiella hotet mot operativsystemets stabilitet. Microsoft system Windows.

Instruktioner

Klicka på "Start"-knappen för att öppna huvudsystemets meny och ange cmd i sökfältet för att initiera proceduren för att inaktivera kärnfelsökningen.

Ring upp innehållsmeny hittade verktyget "Kommandotolken" genom att högerklicka och ange kommandot "Kör som administratör".

Ange Kdbgctrl.exe -d i kommandoradsverktygets textruta för att inaktivera kärnfelsökning i den aktuella sessionen och tryck på Enter-funktionstangenten för att bekräfta kommandot.

Använd bcdedit /debug off-värdet i kommandoradens textruta för att inaktivera felsökningsprocessen för processorkärnan för alla sessioner på Windows Vista och Windows 7 operativsystem, och tryck på Enter-funktionstangenten för att bekräfta ditt val.

Ange dir /ASH i kommandoradens textruta för att söka efter en dold, skyddad boot.ini-fil som finns på systemenheten för att inaktivera kärnfelsökaren för alla sessioner på alla tidigare versioner av operativsystemet Microsoft Windows och öppna den hittade filen i Anteckningar.

Ta bort parametrarna:

- /debug;
- debugport;
- /baudrate

och starta om datorn för att tillämpa de valda ändringarna.

Klicka på knappen "Fortsätt" i dialogrutan om du behöver utföra en felsökningsåtgärd på systemets processorkärna och vänta tills proceduren är klar.

Använd kommandot gn i textfältet i Kernel Debugger-fönstret när ett felmeddelande för User break-undantag (Int 3) visas.

Använd felsökningsläge när du startar din dator i säkert läge för att aktivera kärnfelsökningstjänsten.

Kärnfelsökaren är en speciell programvara, som fungerar på kärnnivån i hela operativsystemet på en persondator. Processen att "felsöka operativsystemets kärna" hänvisar till proceduren för att skanna olika fel i systemkärnan. När du arbetar med Daemon Tools uppstår ofta ett initieringsfel... Kärnfelsökaren måste avaktiveras. Du kan fixa detta genom att inaktivera kärnfelsökningen.

Du kommer behöva

• Administratörsrättigheter.

Instruktioner

Om denna varning visas under apmåste du inaktivera tjänsten som heter Machine debug manager. För att göra detta, starta "Kontrollpanelen" och gå till avsnittet "Administration". Klicka sedan på genvägen "Tjänster". Hitta Machine Debug Manager i listan. Klicka på namnet med musknappen och klicka på "Stopp".

Inaktivera felsökningsprocesser i Aktivitetshanteraren. För att göra detta, högerklicka i ett ledigt område och välj "Task Manager". Du kan trycka på tangentkombinationen Alt + Ctrl + Delete. Gå till fliken Processer och inaktivera alla mdm.exe-, dumprep.exe- och drwatson.exe-processer. Om du inte känner dig bekväm med att söka efter dem i listan, klicka på fliken Bildnamn för att få listan sorterad efter namn. Som regel utförs sådana operationer manuellt, på uppdrag av administratören av persondatorn.

Felrapporteringssystemet bör också vara inaktiverat för inspelning felsökningsinformation avbröts. För att göra detta, gå till "Kontrollpanelen". Välj avsnittet "System" och klicka på knappen "Avancerat". Klicka sedan på knappen "Felrapport". Markera rutan bredvid "Inaktivera felrapportering." Gå sedan till fliken "Boot and Recovery" och avmarkera rutorna bredvid "Skicka en administrativ varning" och "Logga händelse till systemlogg."

Ta bort programmet Daemon Tools från start. För att göra detta, klicka på "Start"-knappen. Klicka sedan på Kör och ange kommandot msconfig. När systemfönstret visas avmarkerar du rutan bredvid programmet Daemon Tools. När du installerar programmet, inaktivera ditt antivirusprogram. Om det beskrivna felet uppstår, bör installationen av applikationen startas igen efter att ha eliminerat alla orsaker till personlig dator.

Användbara råd

Att utföra några av ovanstående åtgärder kräver administrativ åtkomst till systemresurser.

Ett enkelt, enkelt och bekvämt sätt att återställa funktionalitet även utan kvalifikationer och färdigheter för att göra det är möjligt tack vare antivirusprogrammet AVZ. Användningen av så kallad "firmware" (terminologi för AVZ-antivirusverktyget) gör att du kan reducera hela processen till ett minimum.

För att allt ska fungera i din bärbara dator kommer detta att säkerställas av ett batteri för asus bärbar dator, och för att alla "kuggar" i operativsystemet ska fungera korrekt, kommer AVZ-funktionalitet inte att vara det minsta viktiga.

Hjälp är möjlig med de flesta typiska problem visas inför användaren. All firmware-funktionalitet anropas från menyn "Arkiv -> Systemåterställning".

1. Återställer startparametrar för .exe-, .com-, .pif-filer
   Återställer systemets standardsvar på filer med tillägget exe, com, pif, scr.
   Efter behandling för viruset slutade alla program och skript att köras.
2. Återställer Internet Explorer-protokollets prefixinställningar till standard
   Återhämtning standardinställningar protokollprefix i webbläsare Utforskare
   Rekommendationer för användning: när du anger en webbadress, till exempel www.yandex.ua, ersätts den med en adress som www.seque.com/abcd.php?url=www.yandex.ua
3. Återställer startsidan för Internet Explorer
   Återgå bara till startsidan i Internet Explorer
   Rekommendationer för användning: om startsidan har ändrats
4. Återställ sökinställningarna i Internet Explorer till standardinställningarna
   Återställer sökinställningar i Internet Explorer
   Rekommendationer för användning:"Sök"-knappen leder till "vänster" webbplatser
5. Återställer skrivbordsinställningar
   Tar bort alla aktiva ActiveDesktop-objekt och bakgrundsbilder och låser upp skrivbordsinställningsmenyn.
   Rekommendationer för användning: visa inskriptioner och/eller ritningar från tredje part på skrivbordet
6. Ta bort alla policyer (begränsningar) för den aktuella användaren
   ta bort begränsningar för användaråtgärder orsakade av ändringar i policyer.
   Rekommendationer för användning: Utforskarfunktionalitet eller annan systemfunktionalitet blockerades.
7. Ta bort meddelandeutmatningen under WinLogon
   Återställer standardmeddelandet när systemet startar.
   Rekommendationer för användning: Under systemstartprocessen observeras ett meddelande från tredje part.
8. Återställer File Explorer-inställningar
   Återställer alla Explorer-inställningar till standardformen.
   Rekommendationer för användning: Olämpliga Explorer-inställningar
9. Ta bort systemprocessfelsökningar
   Systemprocessfelsökningar lanseras i hemlighet, vilket är mycket fördelaktigt för virus.
   Rekommendationer för användning: till exempel, efter uppstart försvinner skrivbordet.
10. Återställer startinställningar i SafeMode
    Återupplivar effekterna av maskar som Bagle, etc.
    Rekommendationer för användning: problem med att ladda in i skyddat läge (SafeMode), annars rekommenderas det inte att använda det.
11. Låser upp Task Manager
    Avblockerar alla försök att anropa aktivitetshanteraren.
    Rekommendationer för användning: om du istället för Aktivitetshanteraren ser meddelandet "Task Manager är blockerad av administratören"
12. Rensa ignoreringslistan för HijackThis-verktyget
    Verktyget HijackThis sparar sina inställningar i systemregistret, särskilt en lista med undantag lagras där. Virus som maskerar sig som HijackThis registreras i denna undantagslista.
    Rekommendationer för användning: Du misstänker att verktyget HijackThis inte visar all information om systemet.
13. 
    Alla okommenterade rader tas bort och den enda meningsfulla raden "127.0.0.1 localhost" läggs till.
    Rekommendationer för användning: Hosts-filen har ändrats. Du kan kontrollera Hosts-filen med hjälp av Hosts-filhanteraren inbyggd i AVZ.
14. Automatisk korrigering av SPl/LSP-inställningar
    SPI-inställningar analyseras och vid behov korrigeras fel som hittas automatiskt. Den fasta programvaran kan säkert köras om många gånger. Efter körning krävs en omstart av datorn. Uppmärksamhet!!! Den fasta programvaran kan inte användas från en terminalsession
    Rekommendationer för användning: Efter behandling för viruset förlorade jag tillgången till Internet.
15. Återställa SPI/LSP och TCP/IP-inställningar (XP+)
    Den fasta programvaran körs uteslutande på XP, Windows 2003 och Vista. Standardverktyget "netsh" från Windows används. Beskrivs i detalj i Microsofts kunskapsbas - http://support.microsoft.com/kb/299357
    Rekommendationer för användning: Efter behandling för viruset förlorade jag tillgången till Internet och firmware nr 14 hjälpte inte.
16. Återställer startnyckeln för Explorer
    Återställer systemregisternycklar som ansvarar för att starta Explorer.
    Rekommendationer för användning: Efter att systemet har startats kan du bara starta explorer.exe manuellt.
17. Låser upp Registereditorn
    Avblockera Registereditorn genom att ta bort policyn som hindrar den från att köras.
    Rekommendationer för användning: När du försöker starta Registereditorn får du ett meddelande som indikerar att din administratör har blockerat den från att köras.
18. Komplett återskapande av SPI-inställningar
    Gör en säkerhetskopia av alla SPI/LSP-inställningar, varefter den skapar dem till standarden, som finns i databasen.
    Rekommendationer för användning: När du återställde SPI-inställningarna hjälpte inte firmware nr 14 och nr 15. Farligt, använd på egen risk och risk!
19. Rensa MountPoints databas
    Databasen i systemregistret för MountPoints och MountPoints2 rensas.
    Rekommendationer för användning: till exempel är det omöjligt att öppna enheter i Explorer.
20. Ersätt DNS för alla anslutningar med Google Public DNS
    Vi ändrar alla DNS-adresser för använda servrar till 8.8.8.8

Några användbara tips:

• De flesta problem med kapare kan behandlas med tre mikroprogram - nr 4 "Återställer Internet Explorer sökinställningar till standard", nr 3 "Återställer Internet Explorer startsida" och nr 2 "Återställer Internet Explorer-protokollets prefixinställningar till standard".
• All firmware utom #5 och #10 kan köras säkert flera gånger.
• Och naturligtvis är det meningslöst att fixa något utan att först ta bort viruset.

Det kan krävas att AVZ-verktyget startas när du kontaktar Kaspersky Labs tekniska support.
Med hjälp av AVZ-verktyget kan du:

• få en rapport om resultaten av systemstudien;
• köra ett manus från en specialist teknisk support Kaspersky Lab
  för att skapa karantän och ta bort misstänkta filer.

AVZ-verktyget skickar inte statistik, bearbetar inte information och överför den inte till Kaspersky Lab. Rapporten sparas på datorn i form av HTML- och XML-filer, som är tillgängliga för visning utan användning av speciella program.

AVZ-verktyget kan automatiskt skapa en karantän och placera kopior av misstänkta filer och deras metadata i den.

Objekt placerade i karantän bearbetas inte, överförs inte till Kaspersky Lab och lagras på datorn. Vi rekommenderar inte att du återställer filer från Quarantine, de kan skada din dator.

Vilka data finns i AVZ-verktygsrapporten

AVZ-verktygsrapporten innehåller:

• Information om version och releasedatum för AVZ-verktyget.
• Information om antivirusdatabaser AVZ-verktyget och dess grundläggande inställningar.
• Information om versionen av operativsystemet, datumet för installationen och användarrättigheterna med vilka verktyget startades.
• Sökresultat för rootkits och program som fångar upp operativsystemets huvudfunktioner.
• Sökresultat för misstänkta processer och information om dessa processer.
• Sökresultat för vanliga skadliga program baserat på deras karakteristiska egenskaper.
• Information om fel som hittats under skanningen.
• Sökresultat för program som fångar upp tangentbords-, mus- eller fönsterhändelser.
• Sökresultat för öppna TCP- och UDP-portar som används av skadlig programvara.
• Information om misstänkta systemregisternycklar, diskfilnamn och systeminställningar.
• Sökresultat för potentiella operativsystemsårbarheter och säkerhetsproblem.
• Information om skadade operativsysteminställningar.

Hur man kör ett skript med hjälp av AVZ-verktyget

Använd AVZ-verktyget endast under ledning av en teknisk supportspecialist från Kapersky Lab som en del av din begäran. Att göra det själv kan skada operativsystemet och orsaka dataförlust.

1. Ladda ner den körbara filen för AVZ-verktyget.
2. Kör avz5.exe på din dator. Om Windows Defender SmartScreen hindrade avz5.exe från att köras, klicka Fler detaljer → Utför ändå i fönstret Windows-system skyddade din dator.
3. Gå till avsnittet Fil→ Kör skript.

1. Klistra in skriptet som du fick från Kapersky Laboratorys tekniska supportspecialist i inmatningsfältet.
2. Klick Lansera.

1. Vänta tills verktyget är klart och följ de ytterligare rekommendationerna från Kapersky Labs tekniska supportspecialist.