• AVZ - vraćanje postavki sustava i uklanjanje virusa. Oporavak datoteka nakon ransomware virusa

    :: Uvod

    Nakon uklanjanja virusa, sustav se može pokvariti (ili se uopće ne može pokrenuti); pristup Internetu ili određenim stranicama može biti izgubljen, pa nakon što je antivirus prijavio " Svi virusi su uništeni"Korisnik ostaje sam s neispravnim sustavom. Probleme mogu uzrokovati i programske pogreške ili njihova nekompatibilnost s vašim sustavom. Pogledajmo mogućnosti rješavanja problema.

    :: Internet ne radi

    Uzrok problema s mrežom može biti posljedica virusa ili rada pokvarenog softvera. Postoji nekoliko opcija za rješavanje ovog problema. Pogledajmo jedan ovdje - AntiSMS uslužni program.

    Pokreni s administratorskim pravima i izvrši potpuni oporavak mrežne postavke. Rad uslužnog programa je jednostavan: jedan klik i gotovi ste.

    :: Standardni Windows oporavak sustava

    Ako oporavak sustava nije onemogućen u sustavu, koristite ovo standardna funkcionalnost Windows za rješavanje problema. Također ovu metodu Oporavak sustava učinkovit je ako je oštećenje sustava uzrokovano radnjama neiskusnih korisnika ili programskim pogreškama.

    Windows XP: Start -> Svi programi -> Standard -> Servis -> Vraćanje sustava. I odaberite točku vraćanja nekoliko dana prije pojave problema.
    : Otvorite System Restore klikom na gumb Start. U okvir za pretraživanje upišite vraćanje sustava, a zatim s popisa rezultata odaberite Vraćanje sustava. Unesite administratorsku lozinku ili potvrdite lozinku ako se to od vas zatraži. Slijedite upute čarobnjaka da odaberete točku vraćanja i vratite svoje računalo.

    Ako se vaše računalo neće pokrenuti, zatim pokušajte otići na Sef Windows način rada . Za odabir morate otići na servisni izbornik- za poziv pritisnite tipku više puta F8(ili F5) odmah nakon uključivanja računala. U sigurnom načinu rada također koristite " Start" za vraćanje sustava, kao što je gore napisano.

    Dobro je znati: u sustavu Windows 7, oporavak se može pozvati pomoću stavke "Rješavanje problema vašeg računala".

    Jelovnik dodatne opcije Pokretanje sustava Windows XP:

    Izbornik naprednih opcija pokretanja sustava Windows 7:

    Ako Safe Mode ne radi, zatim pokušajte otići na Siguran način rada s podrškom za naredbeni redak. U ovom načinu rada više neće biti gumba Start, pa ćete morati pozvati System Restore putem naredbeni redak, da biste to učinili, upišite redak u naredbeni redak:

    %SystemRoot%\system32\restore\rstrui.exe

    i pritisnite tipku Uđi. Ovo je za Windows XP!

    Za Windows verzije Vista/7/8 samo unesite naredbu rstrui.exe i pritisnite Uđi.

    Ako ne radi i imate bootable Windows disk , tada se možete pokrenuti s njega i pokušati vratiti sustav. Uzmimo Windows 7 kao primjer:

    Umetnite disk za pokretanje u svoje računalo i pokrenite ga s njega.

    Odaberite " Vraćanje sustava".

    Otvorit će se prozor s opcijama akcije.

    Odaberite " Oporavak pri pokretanju", a zatim se pokušajte pokrenuti na uobičajeni način. Ako to ne pomogne, odaberite " Vraćanje sustava" (ovo je analog vraćanja sustava, o kojem se gore govori) i odaberite točku vraćanja u to vrijeme normalan rad sustava. Pokušajte učitati normalno. Ako to ne pomogne, odaberite " Naredbeni redak" i upišite u naredbeni redak chkdsk c: /f /r i pritisnite Uđi- pokrenut će se provjera za teške greške disk, ova provjera može dati pozitivan rezultat.

    :: Vraćanje sistemskih datoteka naredbom sfc

    Ako nakon Tretman prozora onda će raditi s kvarovima Start -> Run, unesite naredbu:

    sfc /scannow

    i pritisnite Uđi- Windows će provjeriti integritet zaštićenih datoteka na vašem računalu. Za oporavak može biti potreban instalacijski disk OS-a.

    Ako ne pronađete gumb "Pokreni", možete ga pozvati tipkovnim prečacem [ Pobijediti] + [R]. Ako se sustav ne pokrene normalan način rada, zatim koristite Siguran način rada.

    Zatim ćemo analizirati seriju programi trećih strana za vraćanje sustava nakon virusa. preporučujem koristite ih u sigurnom načinu rada sustava Windows. Ne zaboravite na administratorska prava.

    :: Oporavak pomoću programa Windows Repair (All In One)

    Popravak sustava Windows (sve u jednom) je uslužni program koji će vam pomoći popraviti pogreške u registar sustava, vratiti izvorne postavke promijenjene kada je računalo bilo zaraženo ili su programi instalirani, vratiti stabilan rad preglednik Internet Explorer, Windows usluga Ažurirati, vatrozid Vatrozid za Windows i druge OS usluge i komponente.

    Raspakirajte preuzetu arhivu, zatim pokrenite program. Obavezno ažuriraj ga: Datoteka -> Ažuriraj baze podataka.

    trčanje" Čarobnjak za rješavanje problema" (u izborniku " File").

    kliknite " Start". Ako je AVZ pronašao bilo kakve probleme, potvrdite okvire za njih i kliknite " Riješite označene probleme".

    Zatim u izborniku " File"odaberi" Vraćanje sustava". Označite sve okvire, OSIM ove:

    • Automatska korekcija SPl/LSP postavki;
    • Reset SPI/LSP i TCP/IP postavki (XP+);
    • Potpuno ponovno stvaranje SPI postavki;
    • Zamijenite DNS svih veza s Google DNS-om

    Zatim kliknite " Izvedite označene radnje", pričekajte malo, zatvorite program i ponovno pokrenite računalo.

    Ako nakon zaraze računala imate problema s pristupom nekim stranicama, npr. društveni mediji Lažna prijava blokiranja ili iskače nekakva poruka lijevo oglašavanje, odnosno mogućnost zamjene DNS-a zlonamjernim - u ovom slučaju možete koristiti stavku " Zamijenite DNS svih veza s Google DNS-om"Ali to učinite tek nakon što provjerite računalo antivirusni skeneri(ako nisu pomogli). Također možete isprobati ovu stavku ako ne možete vratiti internet nakon infekcije.

    Paragraf " Automatska korekcija SPl/LSP postavki" može se koristiti ako se pristup Internetu izgubi nakon virusa (nakon aplikacije ponovno pokrenite računalo). Stavka " Ponovno postavljanje SPI/LSP i TCP/IP postavki (XP+)" također je namijenjen vraćanju pristupa mreži, ali ova se stavka može koristiti samo ako ništa drugo ne pomaže (nakon primjene, ponovno pokrenite računalo). Ako obje gornje točke nisu pomogle vratiti internet, postoji još jedna stavka " Potpuna rekreacija SPI postavki" - primijenite samo ako ništa drugo ne pomaže. Imajte na umu u vezi s ove tri točke da govorimo o činjenici da uopće nema pristupa mreži.

    :: Provjera tvrdog diska (chkdsk)

    Radi se o standardni program Windows za provjeru pogrešaka na tvrdom disku. otvori " Moje računalo" (u sustavu Windows "7 jednostavno " Računalo") uključeno Radna površina ili kroz izbornik " Start". Odaberite željenu particiju ili disk, desnom tipkom miša kliknite na nju, kliknite " Svojstva", odaberite karticu " Servis" i kliknite " Pokreni provjeru", potvrdite okvire za " Automatski popraviti sistemske greške "I" Skenirajte i popravite loše sektore". Ako provjerite sistemska particija, tada ćete morati zakazati provjeru za sljedeće pokretanje (morat ćete ponovno pokrenuti računalo za provjeru).

    Primjer pokretanja putem naredbenog retka: chkdsk c: /f /r

    :: Windows se ne pokreće ni u jednom načinu

    Windows se može srušiti zbog oštećenja registra ili sistemske datoteke. Morat ćete koristiti LiveCD - ovo je disk ili flash pogon koji zaobilazi sustav instaliran na računalu. Morat ćete preuzeti sliku (datoteku s nastavkom iso) na ispravno računalo i montirati je na disk ili flash pogon, a zatim s njega.

    Koristit ćemo se LiveCD AntiSMS: preuzimanje stranica za preuzimanje. Na stranici za preuzimanje postoji poseban program za snimanje na flash pogon.

    Nakon pokretanja s LiveCD-a na problematičnom računalu, vidjet ćete normalnu radnu površinu. Kliknite prečac " AntiSMS". Nakon što uslužni program AntiSMS javi da je sve u redu, uklonite LiveCD i pokrenite sustav na uobičajeni način. Uslužni program AntiSMS vraća neke grane registra i sistemske datoteke koje su potrebne za pravilan rad Windows - možda će to biti dovoljno za vraćanje sustava.

    Ako to ne pomogne, pokušajte vratiti registar iz sigurnosne kopije:

    Za Windows"7 : dignite s LiveCD AntiSMS i pokrenite Total Commander, koji je dostupan na ovom LiveCD-u. Idi u mapu Windows\System32\Config(Ovaj mapa Windows instaliran na problematičnom računalu). Datoteke SUSTAV I SOFTVER preimenovati u SUSTAV.loše I SOFTVER.loše prema tome. Zatim kopirajte datoteke iz mape SUSTAV I SOFTVER u mapu Windows\System32\Config Ovo bi trebalo pomoći, pokušajte pokrenuti računalo kao i obično.

    Za Windows XP : idi u mapu windows\system32\config, datoteke sustav I softver preimenovati u sustav.loše I softver.loše prema tome. Zatim kopirajte datoteke sustav I softver iz mape prozori\popravak u mapu windows\system32\config

    Za referencu: u mapi Windows\System32\Config\RegBack pohranjeno sigurnosne kopije matične košnice. Stvara ih Planer poslova svakih deset dana.

    Antivirusni programi, čak i kada otkrivaju i uklanjaju zlonamjerne softver, ne vraćaju uvijek punu funkcionalnost sustava. Često, nakon uklanjanja virusa, korisnik računala dobije praznu radnu površinu, potpuni nedostatak pristupa Internetu (ili je pristup nekim stranicama blokiran), nefunkcionalni miš itd. To je obično uzrokovano činjenicom da neke postavke sustava ili korisnika koje je zlonamjerni program promijenio ostaju nedirnute.

    Uslužni program je besplatan, radi bez instalacije, iznenađujuće je funkcionalan i pomogao mi je u raznim situacijama. Virus, u pravilu, čini promjene u registru sustava (dodavanje pokretanju, mijenjanje parametara pokretanja programa itd.). Kako ne biste ulazili u sustav, ručno ispravljajući tragove virusa, vrijedi koristiti operaciju "vraćanje sustava" dostupnu u AVZ-u (iako je uslužni program vrlo, vrlo dobar kao antivirus, vrlo je dobro provjeriti diskove za viruse s uslužnim programom).

    Za početak oporavka pokrenite uslužni program.

    Zatim kliknite datoteku - vraćanje sustava

    i takav će se prozor otvoriti pred nama

    1. Vraćanje parametara pokretanja .exe, .com, .pif datoteka
    Ovaj firmver vraća odgovor sustava na exe datoteke, com, pif, skr.
    Indikacije za upotrebu: Nakon uklanjanja virusa, programi prestaju raditi.
    2. Vratite postavke prefiksa protokola Internet Explorera na standardne
    Ovaj firmver vraća postavke prefiksa protokola u Internet Exploreru
    Indikacije za upotrebu: kada unesete adresu poput www.yandex.ru, ona se zamjenjuje s nečim poput www.seque.com/abcd.php?url=www.yandex.ru
    3.Oporavak početna stranica Internet Explorer
    Ovaj firmver vraća početnu stranicu u Internet Exploreru
    Indikacije za upotrebu: zamjena početne stranice
    4. Vratite postavke pretraživanja Internet Explorera na standardne
    Ovaj firmver vraća postavke pretraživanja u Internet Exploreru
    Indikacije za upotrebu: Kada kliknete gumb "Traži" u IE-u, bit ćete usmjereni na web mjesto treće strane
    5. Vratite postavke radne površine
    Ovaj firmver vraća postavke radne površine. Vraćanje uključuje brisanje svih aktivnih ActiveDesctop elemenata, pozadine i deblokiranje izbornika odgovornog za postavke radne površine.
    Indikacije za upotrebu: Oznake postavki radne površine u prozoru "Svojstva zaslona" su nestale; na radnoj površini se prikazuju strani natpisi ili slike
    6.Brisanje svih Politika (ograničenja) trenutnog korisnika
    Windows nudi mehanizam za ograničavanje korisničkih radnji koji se naziva Pravila. Mnogi zlonamjerni softver koristi ovu tehnologiju jer su postavke pohranjene u registru i lako ih je izraditi ili izmijeniti.
    Indikacije za upotrebu: Funkcije Explorera ili druge funkcije sustava su blokirane.
    7.Brisanje poruke prikazane tijekom WinLogona
    Windows NT i kasniji sustavi u liniji NT (2000, XP) omogućuju vam da postavite poruku koja se prikazuje tijekom pokretanja. Brojni maliciozni programi to iskorištavaju, a uništavanje zlonamjernog programa ne dovodi do uništavanja ove poruke.
    Indikacije za upotrebu: Tijekom pokretanja sustava unesena je suvišna poruka.
    8. Vraćanje postavki Explorera
    Ovaj firmver vraća niz postavki Explorera na standardne (prvo se vraćaju postavke koje je promijenio zlonamjerni softver).
    Indikacije za upotrebu: Postavke Explorera su promijenjene
    9. Uklanjanje programa za ispravljanje pogrešaka procesa sustava
    Registriranje alata za otklanjanje pogrešaka procesa sustava omogućit će vam pokretanje skrivene aplikacije, a to je ono što koriste brojni zloćudni programi
    Indikacije za upotrebu: AVZ otkriva neidentificirane programe za ispravljanje pogrešaka procesa sustava, pojavljuju se problemi s pokretanjem komponenti sustava, posebno radna površina nestaje nakon ponovnog pokretanja.
    10. Vraćanje postavki pokretanja u SafeMode
    Neki zlonamjerni softver, posebice crv Bagle, kvari postavke pokretanja sustava u zaštićenom načinu rada. Ovaj firmver vraća postavke pokretanja u zaštićenom načinu rada.
    Indikacije za upotrebu: Računalo se ne pokreće u SafeMode. Treba koristiti ovaj firmware samo u slučaju problema s dizanjem u zaštićenom načinu rada .
    11. Otključajte upravitelja zadataka
    Zlonamjerni softver koristi blokiranje upravitelja zadataka za zaštitu procesa od otkrivanja i uklanjanja. Sukladno tome, izvršavanje ovog mikroprograma uklanja zaključavanje.
    Indikacije za upotrebu: Upravitelj zadataka je blokiran; kada pokušate pozvati upravitelja zadataka, prikazuje se poruka "Administrator je blokirao upravitelja zadataka".
    12.Brisanje liste zanemarivanja uslužnog programa HijackThis

    Uslužni program HijackThis pohranjuje niz svojih postavki u registar, posebice popis iznimaka. Stoga, da biste se maskirali od HijackThis zlonamjernog softvera, dovoljno je registrirati svoj izvršne datoteke na popisu izuzetaka. U sadašnji trenutak Poznato je nekoliko zlonamjernih programa koji iskorištavaju ovu ranjivost. AVZ firmware briše popis izuzetaka uslužnog programa HijackThis

    Indikacije za upotrebu: Postoje sumnje da uslužni program HijackThis ne prikazuje sve informacije o sustavu.
    13. Čišćenje datoteke Hosts
    Čišćenje datoteke Hosts uključuje pronalaženje datoteke Hosts, uklanjanje svih značajnih redaka iz nje i dodavanje standardnog retka "127.0.0.1 localhost".
    Indikacije za upotrebu: Sumnja se da je datoteku Hosts izmijenio zlonamjerni softver. Tipični simptomi su blokiranje ažuriranja antivirusnih programa. Sadržaj datoteke Hosts možete kontrolirati pomoću upravitelja datoteka Hosts ugrađenog u AVZ.
    14. Automatska korekcija SPl/LSP postavki

    Obavlja analizu SPI postavki i, ako se otkriju pogreške, automatski ispravlja pronađene pogreške. Ovaj firmware se može ponovno pokretati neograničeni broj puta. Nakon pokretanja ovog firmvera, preporuča se ponovno pokrenuti računalo. Obratiti pažnju! Ovaj firmware se ne može pokrenuti iz sesije terminala

    Indikacije za upotrebu: Nakon uklanjanja zlonamjernog programa, izgubio sam pristup internetu.
    15. Reset SPI/LSP i TCP/IP postavki (XP+)

    Ovaj firmware radi samo na XP, Windows 2003 i Vista. Njegovo načelo rada temelji se na resetiranju i ponovnom stvaranju SPI/LSP i TCP/IP postavki pomoću standardnog uslužnog programa netsh uključenog u Windows.Obratiti pažnju! Vraćanje na tvorničke postavke trebali biste koristiti samo ako je potrebno ako imate nepopravljivih problema s pristupom internetu nakon uklanjanja zlonamjernog softvera!

    Indikacije za upotrebu: Nakon uklanjanja zlonamjernog programa, pristup Internetu i izvođenje firmware-a “14. Automatsko ispravljanje SPl/LSP postavki ne radi.
    16. Oporavak ključa za pokretanje Explorera
    Vraća ključeve registra sustava odgovorne za pokretanje Explorera.
    Indikacije za upotrebu: Tijekom pokretanja sustava, Explorer se ne pokreće, ali je moguće ručno pokrenuti explorer.exe.
    17. Otključavanje uređivača registra
    Deblokira uređivač registra uklanjanjem pravila koja sprječavaju njegovo pokretanje.
    Indikacije za upotrebu: Nije moguće pokrenuti uređivač registra; kada pokušate, prikazuje se poruka da je njegovo pokretanje blokirao administrator.
    18. Potpuno ponovno stvaranje SPI postavki
    Izvodi sigurnosna kopija SPI/LSP postavke, nakon čega ih uništava i kreira prema standardu koji se pohranjuje u bazi.
    Indikacije za upotrebu: Teško oštećenje SPI postavki koje se ne mogu popraviti skriptama 14 i 15. Koristite samo ako je potrebno!
    19. Očistite bazu podataka MountPoints
    Čisti bazu podataka MountPoints i MountPoints2 u registru. Ova operacija često pomaže kada se nakon infekcije Flash virusom diskovi ne otvaraju u Exploreru
    Da biste izvršili oporavak, morate odabrati jednu ili više stavki i kliknuti gumb "Izvrši odabrane operacije". Klikom na gumb "OK" zatvara se prozor.
    Bilješka:
    Vraćanje je beskorisno ako sustav radi trojanski konj, koji izvodi takve rekonfiguracije - prvo morate ukloniti zlonamjerni program, a zatim vratiti postavke sustava
    Bilješka:
    Da biste uklonili tragove većine otmičara, morate pokrenuti tri firmvera - “Vrati postavke pretraživanja Internet Explorera na standardne”, “Vrati pokretanje internetske stranice Explorer", "Vraćanje postavki prefiksa protokola Internet Explorera na zadane"
    Bilješka:

    Bilo koji firmware može se izvršiti nekoliko puta zaredom bez oštećenja sustava. Iznimke su “5.Vraćanje postavki radne površine” (pokretanje ovog firmvera će poništiti sve postavke radne površine i morat ćete ponovno odabrati boju i pozadinu radne površine) i “10. Vraćanje postavki pokretanja u SafeMode" (ovaj firmver ponovno stvara ključeve registra odgovorne za pokretanje u sigurnom načinu rada).

    Ako se pojavi na vašem računalu tekstualna poruka, koji kaže da su vaše datoteke šifrirane, nemojte žuriti s panikom. Koji su simptomi enkripcije datoteka? Uobičajeno proširenje mijenja se u *.vault, *.xtbl, * [e-mail zaštićen] _XO101, itd. Datoteke se ne mogu otvoriti - potreban je ključ koji se može kupiti slanjem pisma na adresu navedenu u poruci.

    Odakle ste nabavili šifrirane datoteke?

    Računalo je uhvatilo virus koji je blokirao pristup informacijama. Antivirusni programi ih često propuštaju, jer se ovaj program obično temelji na nekim bezopasnim besplatni uslužni programšifriranje. Sam virus ćete ukloniti dovoljno brzo, ali mogu nastati ozbiljni problemi s dešifriranjem informacija.

    Tehnička podrška Kaspersky Laba, Dr.Weba i drugih poznatih tvrtki koje razvijaju antivirusni softver, kao odgovor na zahtjeve korisnika za dešifriranje podataka, javlja da je to nemoguće učiniti u prihvatljivom vremenu. Postoji nekoliko programa koji mogu pokupiti kod, ali mogu raditi samo s prethodno proučenim virusima. Ako naiđete na novu modifikaciju, tada su šanse za vraćanje pristupa informacijama iznimno niske.

    Kako ransomware virus dospijeva na računalo?

    U 90% slučajeva korisnici sami aktiviraju virus na svom računalu, otvarajući nepoznata slova. Zatim se na e-mail šalje poruka s provokativnim naslovom - "Sudski poziv", "Dug po kreditu", "Obavijest porezne uprave" itd. Unutar lažnog pisma nalazi se privitak, nakon čijeg preuzimanja ransomware dolazi na računalo i počinje postupno blokirati pristup datotekama.

    Enkripcija se ne događa trenutno, tako da korisnici imaju vremena ukloniti virus prije nego što se sve informacije šifriraju. Zlonamjernu skriptu možete uništiti pomoću uslužnih programa za čišćenje Dr.Web CureIt, Kaspersky Internet Sigurnost i Malwarebytes Antimalware.

    Metode oporavka datoteka

    Ako je na vašem računalu uključena zaštita sustava, čak i nakon djelovanja ransomware virusa postoji mogućnost vraćanja datoteka u njihovo normalno stanje pomoću kopija datoteka u sjeni. Ransomware ih obično pokušava ukloniti, ali ponekad to ne uspiju zbog nedostatka administratorskih prava.

    Vraćanje prethodne verzije:

    Kako bi se prethodne verzije pohranile potrebno je omogućiti zaštitu sustava.

    Važno: zaštita sustava mora biti uključena prije nego što se ransomware pojavi, nakon čega više neće pomoći.

    1. Otvorite svojstva računala.
    2. U izborniku s lijeve strane odaberite Zaštita sustava.
    3. Odaberite pogon C i kliknite "Konfiguriraj".
    4. Odaberite vraćanje postavki i prethodnih verzija datoteka. Primijenite promjene klikom na "U redu".

    Ako ste ove korake poduzeli prije nego što se pojavio virus za šifriranje datoteka, tada ćete nakon čišćenja računala od zlonamjernog koda imati dobre šanse za oporavak podataka.

    Korištenje posebnih uslužnih programa

    Kaspersky Lab pripremio je nekoliko uslužnih programa za pomoć pri otvaranju šifriranih datoteka nakon uklanjanja virusa. Prvi dekriptor koji biste trebali isprobati je Kaspersky RectorDecryptor.

    1. Preuzmite program sa službene web stranice Kaspersky Laba.
    2. Zatim pokrenite uslužni program i kliknite "Pokreni skeniranje". Navedite stazu do bilo koje šifrirane datoteke.

    Ako zlonamjerni program nije promijenio ekstenziju datoteka, tada ih morate prikupiti u zasebnu mapu da biste ih dešifrirali. Ako je uslužni program RectorDecryptor, preuzmite još dva programa sa službene web stranice Kaspersky - XoristDecryptor i RakhniDecryptor.

    Najnoviji uslužni program tvrtke Kaspersky Lab zove se Ransomware Decryptor. Pomaže u dešifriranju datoteka nakon virusa CoinVault, koji još nije jako raširen na Runetu, ali bi uskoro mogao zamijeniti druge trojance.

    Hvala vam na pomoći u pripremi materijala za računalne majstore. servisni centar Pokreni.RF. Možete naručiti popravke laptopa i netbooka od ovih ljudi u Moskvi.

    Zlonamjerni programi uvode se u operativni sustav osobno računalo, uzrokovati značajnu štetu cjelokupnoj količini podataka. Na u trenutku Tijekom vremena programi štetočine nastaju za različite namjene, pa je njihovo djelovanje usmjereno na prilagodbu različitih struktura operacijskog sustava osobnog računala.

    Problemi s internetom i kvarovi u radu uređaja spojenih na računalo su česti, a posljedice su očite korisniku.

    Čak i ako je štetočina otkrivena i uništena, to ne isključuje gubitak informacija i druge probleme koji nastaju u naknadnom radu. Popis opcija može biti beskrajan, najčešće korisnik otkrije potpuno ili djelomično blokiranje pristupa World Wide Webu, kvar vanjskih uređaja (miš, flash kartica), praznu radnu površinu itd.

    Navedene posljedice promatraju se zbog promjena koje je program štetnik napravio u sistemskim datotekama osobnog računala. Takve promjene se ne eliminiraju uklanjanjem virusa, potrebno ih je ispraviti samostalno ili uz pomoć stručnjaka. Zapravo, rad ove vrste ne zahtijeva posebnu obuku, a svaki napredni korisnik može ga izvesti nakon proučavanja odgovarajućih uputa.

    U praksi organiziranja oporavka operativnog sustava razlikuje se nekoliko pristupa, ovisno o razlozima koji su doveli do kvara. Razmotrimo svaku od opcija u detalje. Jednostavna metoda dostupna svakom korisniku je vraćanje OS-a na točku vraćanja kada je rad osobnog računala zadovoljio zahtjeve korisnika. No vrlo često to rješenje nije zadovoljavajuće ili se iz objektivnih razloga ne može provesti.

    Kako vratiti OS ako je prijava na računalo nemoguća?

    Pokretanje System Restore nastavlja se na sljedeći način. Izbornik Start\Upravljačka ploča\Vraćanje sustava. Na ovoj adresi odabiremo točku oporavka koja nam je potrebna i pokrećemo postupak. Nakon nekog vremena posao će biti završen i računalo je spremno za normalan rad. Tehnika je sasvim primjenjiva za uklanjanje nekih vrsta virusa, budući da se promjene događaju i na razini registra. Ova opcija za vraćanje operativnog sustava smatra se najjednostavnijom i uključena je u skup standardnih Windows alata. Upute korak po korak i pomoć s detaljnim komentarima o procesu pomoći će vam da ovladate tehnikom vraćanja funkcionalnosti vašeg računala, čak i ako se korisnik ne osjeća potpuno sigurnim kao PC administrator.

    Još jedna uobičajena opcija oporavka OS-a je pokretanje postupka s vanjskog medija. Ova opcija je kompliciran nekim problemima, na primjer, trebate imati sliku sustava na flash kartici ili disku i pobrinuti se za takvu kopiju unaprijed. Osim toga, često je potrebno imati određene vještine u radu BIOS sustav. Slika operativnog sustava uključena vanjski medijinajbolja opcija u slučaju da je oporavak nemoguć jer je virus blokirao prijavu na računalo. Postoje i druge mogućnosti.

    Nemoguće je koristiti standardne Windows alate za vraćanje OS-a ako je, na primjer, prijava nemoguća ili postoje drugi razlozi koji sprječavaju izvođenje operacije u standardnom načinu rada. Situacija se može riješiti pomoću alata ERD Commander (ERDC).

    Pogledajmo situaciju korak po korak da vidimo kako program radi. Prvi korak je preuzimanje programa. Drugi korak je pokretanje alata System em Restore Wizard, uz njegovu pomoć se OS vraća na određeni položaj za oporavak.

    Svaki alat u pravilu ima nekoliko kontrolnih točaka u rezervi, au osamdeset posto slučajeva performanse osobnog računala bit će potpuno obnovljene.

    Korištenje uslužnih alata AVZ

    Alat o kojem se govori u nastavku ne zahtijeva nikakve posebne korisničke vještine za rad. Softverski proizvod razvio je Oleg Zaitsev i dizajniran je za pretraživanje i uništavanje svih vrsta virusa i zlonamjernog softvera. Ali osim glavne funkcije, uslužni program vraća većinu postavke sustava koji su napadnuti ili modificirani štetnim virusima.

    Koje probleme može riješiti predstavljeni program? Glavna stvar je vratiti sistemske datoteke i postavke koje su napali virusi. Uslužni program rješava oštećene upravljačke programe programa koji se odbijaju pokrenuti nakon oporavka. Kada se pojave problemi u preglednicima ili kada je pristup internetu blokiran i mnoge druge nevolje.

    Aktiviramo operaciju oporavka na File\System Restore i odabiremo operaciju koja je potrebna. Na slici je prikazano sučelje mikroprograma s kojima uslužni program radi;

    Kao što vidite, skup operacija predstavljen je s 21 stavkom, a naziv svake od njih objašnjava njezinu svrhu. Imajte na umu da su mogućnosti programa prilično raznolike i može se smatrati univerzalnim alatom za oživljavanje ne samo samog sustava, već i za uklanjanje posljedica virusa koji rade s podacima sustava.

    Prvi parametar koristi se ako, kao rezultat napada virusa i postupka oporavka OS-a, programi potrebni korisniku odbiju raditi. U pravilu se to događa ako je štetočina prodrla u programske datoteke i upravljačke programe i izvršila bilo kakve promjene u podacima koji su tamo zabilježeni.

    Drugi parametar je neophodan kada virusi zamijene domene prilikom unosa u tražilicu preglednika. Ova zamjena je prva razina prilagodbe interakcije između sistemskih datoteka operativnog sustava i Interneta. Takva programska funkcija, u pravilu, eliminira promjene napravljene bez traga, bez pokušaja otkrivanja, već jednostavno izlaže potpuno oblikovanje cijeli volumen podataka prefiksa i protokola, zamjenjujući ih standardnim postavkama.

    Treća opcija nastavlja postavljanje početne stranice internetskog preglednika. Kao iu prethodnom slučaju, prema zadanim postavkama program ispravlja probleme u pregledniku Internet Explorer.

    Četvrti parametar ispravlja rad tražilica i instalira standardni način rada raditi. Opet, postupak se odnosi na zadani Windows preglednik.

    Ako postoji problem vezan uz rad radne površine (pojava natpisa, slika, suvišnih unosa na njoj), aktivirajte petu točku programa. Ovakve posljedice djelovanja zlonamjernog softvera bile su vrlo popularne prije par godina i stvarale su dosta problema korisnicima, ali čak i sada je moguće da takvi prljavi trikovi prodru u operativni sustav računala.

    Šesta točka je neophodna ako je zlonamjerni program ograničio radnje korisnika prilikom izvršavanja niza naredbi. Ta ograničenja mogu biti različite prirode, a budući da su postavke pristupa pohranjene u registru, zlonamjerni softver najčešće koristi te podatke kako bi korigirao rad korisnika s njegovim računalom.

    Ako se prilikom učitavanja OS-a pojavi poruka treće strane, to znači da se zlonamjerni program uspio infiltrirati u postavke Pokretanje sustava Windows N.T. Vraćanje OS-a koji je uništio virus ne briše ovu poruku. Da biste ga uklonili, morate aktivirati sedmi parametar izbornika uslužnog programa AVZ.

    Osma opcija izbornika, kao što ime sugerira, vraća postavke Explorera.

    Ponekad se problem manifestira u obliku prekida u radu komponenti sustava, na primjer, tijekom pokretanja OS-a osobnog računala, radna površina nestaje. AVZ uslužni program provodi dijagnostiku ovih struktura i vrši potrebne prilagodbe pomoću stavke devet izbornika alata.

    Problemi s učitavanjem OS-a u sigurnom načinu rada mogu se riješiti u koraku deset. Lako je otkriti potrebu za aktiviranjem ove višeprogramske stavke uslužnog programa o kojoj se ovdje raspravlja. Pojavljuju se tijekom pokušaja rada u sigurnosnom načinu rada.

    Ako je upravitelj zadataka blokiran, morate aktivirati stavku izbornika jedanaest. Virusi u ime administratora mijenjaju aktivaciju ovog odjeljka operativnog sustava, a umjesto radnog prozora pojavljuje se poruka da je rad s upraviteljem zadataka blokiran.

    Uslužni program HijackThis koristi pohranu popisa iznimaka u registru kao jednu od svojih glavnih funkcija. Za virus je dovoljno prodrijeti u bazu podataka uslužnog programa i registrirati datoteke na popisu registra. Nakon toga se može samostalno oporavljati neograničen broj puta. Registar uslužnog programa čisti se aktiviranjem dvanaeste stavke u izborniku postavki AVZ-a.

    Sljedeća, trinaesta točka, omogućuje brisanje datoteke Hosts; ova datoteka, modificirana virusom, može uzrokovati poteškoće pri radu s mrežom, blokirati neke resurse i ometati ažuriranje baza podataka antivirusnog programa. Rad s ovom datotekom bit će detaljnije objašnjen u nastavku. Nažalost, gotovo svi virusni programi pokušavaju urediti ovu datoteku, što je prvenstveno zbog lakoće unošenja takvih promjena, a posljedice mogu biti više nego značajne i nakon uklanjanja virusa podaci uneseni u datoteku mogu biti izravan pristupnik za prodor u OS novih štetnika i špijunskog softvera.

    Ako je pristup Internetu blokiran, to obično znači da postoje pogreške u SPI postavkama. Oni će biti ispravljeni ako aktivirate stavku izbornika četrnaest. Važno je da se ova stavka postavki ne može koristiti iz sesije terminala.

    Slične funkcije uključene su u petnaestu stavku izbornika, ali je njezina aktivacija moguća samo kada radite u operativnim sustavima kao što su XP, Windows 2003, Vista. Možete koristiti ovaj multi-program ako pokušaji ispravljanja situacije s prijavom na mrežu pomoću prethodne postavke nisu donijeli željeni rezultat.

    Mogućnosti šesnaeste stavke izbornika usmjerene su na vraćanje ključeva registra sustava koji su odgovorni za pokretanje internetskog preglednika.

    Sljedeći korak u vraćanju postavki OS-a nakon napada virusa je otključavanje uređivača registra. U pravilu, vanjska manifestacija je da je nemoguće učitati program za rad s Mrežom.

    Sljedeće četiri točke preporučuju se samo ako je šteta na operativnom sustavu toliko katastrofalna da je, uglavnom, svejedno mogu li se eliminirati takvim metodama ili će zbog toga biti potrebno ponovno instalirati cijeli sustav.

    Dakle, osamnaesti paragraf rekreira početne postavke SPI. Devetnaesta stavka briše registar Mount Points /2.

    Dvadeseta točka uklanja sve statične rute. Konačno, posljednja, dvadeset prva točka briše sve DNS veze.

    Kao što možete vidjeti, mogućnosti uslužnog programa pokrivaju gotovo sva područja u koja zlonamjerni program može prodrijeti i ostaviti svoj aktivni trag, što nije tako lako otkriti.

    Budući da antivirusne aplikacije ne jamče 100% zaštitu operativnog sustava vašeg računala, preporučujemo da imate takav program u svom arsenalu antivirusnih alata. računalni virusi svih vrsta i oblika.

    Kao rezultat dezinfekcije OS-a osobnog računala, uređaji povezani s njim ne rade.

    Jedna od popularnih metoda kamuflaže špijunski softver– ovo je instalacija vlastitog virusnog drajvera uz pravi softver. U ovoj situaciji, pravi upravljački program najčešće je datoteka miša ili tipkovnice. Sukladno tome, nakon uništenja virusa, njegov trag ostaje u registru, zbog čega uređaj na koji se štetnik uspio zakačiti prestaje raditi.

    Slična situacija događa se kada postupak deinstalacije programa Kaspersky Anti-Virus ne radi ispravno. To je također zbog specifičnosti instaliranja programa, kada njegova instalacija na računalu koristi pomoćni upravljački program klmouflt. U situaciji s Kasperskyjem, ovaj se upravljački program mora pronaći i potpuno ukloniti iz sustava osobnog računala u skladu sa svim pravilima.

    Ako tipkovnica i miš odbiju funkcionirati željeni način rada, prije svega morate vratiti ključeve registra.

    Tipkovnica :
    HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Cont rol\Class\(4D36E 96B-E325-11CE-BF C1-08002BE10318)
    Gornji filtri=kbd klasa

    Miš :
    HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Cont rol\Class\(4D36E 96F-E325-11CE-BF C1-08002BE10318)
    UpperFilters=mou klasa

    Problem nedostupnih stranica

    Posljedice napada zlonamjernim softverom mogu biti nedostupnost nekih resursa na Internetu. A te su posljedice rezultat promjena koje su virusi uspjeli napraviti u sustavu. Problem se otkriva odmah ili nakon nekog vremena, ali ako se kao rezultat djelovanja programa štetnika pojavi nakon nekog vremena, neće ga biti teško ukloniti.

    Postoje dvije opcije za blokiranje, a najčešća je podešavanje host datoteke. Druga opcija je stvaranje lažnih statičkih ruta. Čak i ako se virus uništi, promjene koje je napravio na ovim alatima neće biti eliminirane.

    Dotični dokument nalazi se u sistemskoj mapi na disku C. Njegova adresa i lokacija mogu se pronaći ovdje: C:\Windows\System 32\drivers\etc\hosts. Za brzo pretraživanje obično koristite naredbeni redak iz izbornika Start.

    Ako se datoteka ne može pronaći navedenim postupkom, to može značiti sljedeće:

    — virusni program promijenio je mjesto u registru;

    — dokument datoteke ima parametar "skriveno".

    U potonjem slučaju mijenjamo karakteristike pretraživanja. Na: Mogućnosti mape / Pogled nalazimo redak "Prikaži skrivene datoteke" i označite okvir nasuprot, proširujući raspon pretraživanja.

    Datoteka hosts sadrži informacije koje pretvaraju slovo naziva domene web-mjesta u njezinu IP adresu, tako da zlonamjerni programi u nju upisuju prilagodbe koje mogu preusmjeriti korisnika na druge resurse. Ako se to dogodi, tada kada unesete adresu željene stranice, otvara se potpuno drugačija. Kako biste te promjene vratili u prvobitno stanje i ispravili ih, morate pronaći ovu datoteku i analizirati njezin sadržaj. Čak će i neiskusan korisnik moći vidjeti što je točno virus promijenio, ali ako to uzrokuje određene poteškoće, možete vratiti zadane postavke i time eliminirati sve promjene napravljene u datoteci.

    Što se tiče ispravljanja ruta, princip djelovanja je isti. Međutim, u procesu interakcije između operativnog sustava osobnog računala i Interneta, prioritet uvijek ostaje datoteka domaćina, tako da je njeno vraćanje dovoljno da se rad izvede u standardnom načinu rada.

    Poteškoća nastaje ako potrebna datoteka nemoguće pronaći jer virus mijenja svoju lokaciju u sistemskim mapama. Zatim morate ispraviti ključ registra.

    HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\serv ices\Tcpip\Param eters\DataBasePa th

    Virusi koji pripadaju skupini Win32/Vundo sofisticiraniji su od većine svojih zlonamjernih pandana kada je u pitanju transformacija host datoteka. Mijenja sam naziv datoteke, briše latinično pismo o i zamjena znaka ćiriličnim slovom. Takva datoteka više ne pretvara nazive domena web stranica u IP adrese, a čak i ako korisnik vrati ovu datoteku, rezultat rada ostat će isti. Kako pronaći originalnu datoteku? Ako postoji sumnja da je predmet koji nam treba pravi, provodimo sljedeći postupak. Prvi korak je aktiviranje načina prikaza skrivenih datoteka. Pogledajmo katalog, izgleda kao što je prikazano na slici.

    Ovdje su prikazane dvije identične datoteke, ali budući da OS ne dopušta korištenje identičnih naziva, očito je da imamo posla s lažnim dokumentom. Lako je odrediti koji je točan, a koji pogrešan. Virus stvara voluminoznu datoteku i podvrgava se brojnim prilagodbama, pa je rezultat njegove sabotaže prikazan na slici skrivena datoteka volumen 173 KB.

    Ako otvorite datoteku dokumenta, informacije u njoj sadržavat će sljedeće retke:

    31.214.145.172 vk.com - niz koji može zamijeniti IP adresu stranice

    127.0.0.1 avast.com - linija datoteke koju je napisao virus kako bi zabranio pristup web stranici antivirusnog programa

    Gore smo već napomenuli da možete također blokirati pojedinačne resurse stvaranjem netočnih ruta u tablici usmjeravanja. Pogledajmo slijed radnji da vidimo kako se situacija može riješiti.

    Ako datoteka domaćina nema zlonamjernih prilagodbi, a rad s resursom je nemoguć; Nekoliko riječi o suštini interakcije ovih alata. Ako je ispravna adaptivna adresa domene navedena u host datoteci, onda se preusmjeravanje na ovu adresu događa na postojeći resurs. U pravilu, IP adresa ne pripada rasponu adresa lokalne podmreže, pa se preusmjeravanje odvija preko pristupnika usmjerivača, što je određeno postavkama internetske veze.

    Ako prilagodite unose rute za određenu IP adresu, onda automatsko povezivanje dogodit će se na temelju ovog unosa. Pod uvjetom da ne postoji takva ruta ili pristupnik ne radi, veza se neće uspostaviti i resurs će ostati nedostupan. Dakle, virus može izbrisati unos u tablici ruta i blokirati apsolutno bilo koje web mjesto.

    Rute stvorene za određene stranice ostaju u bazi podataka HKLM registra. Ruta se ažurira kada se aktivira softverska naredba za dodavanje rute ili se podaci ručno podešavaju. Kada nema statičkih ruta, odjeljak tablice je prazan. Možete vidjeti popis podataka o usmjeravanju pomoću naredbe za ispis rute. Izgledat će ovako:

    Aktivne rute:

    Gornja tablica standardna je za računalo s jednom mrežnom karticom i postavkama mrežne veze:

    IP adresa 192.168.0.0

    maska ​​255.255.255.0

    zadani pristupnik 192.168.0.1

    Gornji unos uključuje mrežnu IP adresu s kodiranjem 192.168.0.0 i maskom podmreže s kodiranjem 255.255.255.0. Ako dešifrirate ove podatke, informacije su sljedeće. Maska uključuje cijeli volumen čvorova s ​​ekvivalentnim visokim dijelom adrese. Prema metričkom sustavu, prva tri bajta maske podmreže su ukupno 1 operativni sustavi PC (izuzetak je decimalni, gdje je vrijednost 255 i heksadecimalni, gdje je vrijednost 0*FF). Niži dio adrese primljenih čvorova je vrijednost u rasponu 1-254.

    U skladu s gore navedenim informacijama, niska adresa je kodirana - 192.168.0.0, ovaj kod je mrežna adresa. Viša adresa s kodiranjem 192.168.0.255 karakterizirana je kao adresa emitiranja. I ako prvi kod isključuje njegovu upotrebu za razmjenu podataka, onda je drugi kod namijenjen upravo za obavljanje tih funkcija. Njihovi čvorovi razmjenjuju pakete podataka koristeći rute.

    Zamislimo sljedeću konfiguraciju:

    IP adresa - 192.168.0.0

    Mrežna maska ​​- 255.255.255.0

    Pristupnik - 192.168.0.3

    Sučelje - 192.168.0.3

    metrika - 1

    Informacije se logično dekriptiraju na sljedeći način: u rasponu adresa od 192.168.0.0 - 192.168.0.255 koristimo kod kao pristupnik i sučelje za razmjenu informacija mrežna kartica(192.168.0.3). Sve to znači da se informacije prenose izravno do samog primatelja.

    Kada uvjet krajnje adrese ne odgovara navedenom rasponu 192.168.0.0-192. 168.0.255, neće biti moguće izravno prenijeti informacije. Protokol poslužitelja šalje podatke usmjerivaču koji ih prosljeđuje drugoj mreži. Ako statičke rute nisu navedene, zadana adresa usmjerivača ostaje ista kao i adresa pristupnika. Informacije se šalju na ovu adresu, zatim u mrežu i duž ruta navedenih u tablici, sve dok primatelj ne primi paket. Općenito, proces prijenosa podataka izgleda upravo ovako. Predstavimo ilustraciju unosa u standardnoj tablici usmjerivača. U primjeru postoji samo nekoliko zapisa, ali njihov broj može doseći desetke ili stotine redaka.


         Na temelju primjera podataka opisat ćemo proces preusmjeravanja na adrese internetskih izvora. Tijekom kontakta s adresama internetskih izvora koji se nalaze u navedenom rasponu od 74.55.40.0 do 74.55.40.255, kod usmjerivača jednak je mrežnom broju 192.168.0.0, te se stoga ne može koristiti u procesu razmjene informacijskih podataka. IP protokol dijagnosticira adresu (74.55.40.226) koja nije uključena u pojedinačni adresni paket lokalna mreža i pristupa registriranim statičkim rutama.

    U situaciji kada ova ruta nije registrirana, informacijski paket se šalje na identifikacijsku adresu pristupnika postavljenu prema zadanim postavkama u primjeru.

    Budući da je ruta prikazana u primjeru ruta visokog prioriteta, zahtijeva određeni pristupnik, a ne standard koji odgovara svima. Budući da ne postoji pristupnik koji zadovoljava zahtjev u tablici, poslužitelj sa mrežna adresa 74.55.40.226 ostat će nedostupan. I pod uvjetima navedenim u primjeru s kodom maske podmreže, sve adrese u rasponu 74.55.40.0 - 74.55.40.255 bit će blokirane. Upravo taj raspon uključuje mrežni put do mjesta antivirusnog softvera instaliranog na osobnom računalu, koje neće primati potrebna ažuriranja baze virusa i neće ispravno funkcionirati.

    Što je više takvih podataka u tablici rute, to je više resursa blokirano. U praksi stručnjaka virusni programi stvorili su do četiri stotine redaka ove vrste, blokirajući tako rad oko tisuću mrežnih resursa. Štoviše, vlasnike virusa ne zanima posebno činjenica da u nastojanju da zabrane neki određeni resurs, isključuju desetke drugih stranica iz mogućeg pristupa. Ovo je glavna pogreška beskrupuloznih programera, budući da broj nedostupni resursi detektira samu mogućnost blokade prijenosa podataka. Tako, na primjer, ako krug isključenja uključuje najpopularnije društvene mreže, a korisnik se ne može prijaviti na web mjesto VKontakte ili Odnoklassniki, tada se javlja sumnja u ispravan rad računala s mrežom.

    Ispravljanje situacije nije teško; u tu se svrhu koriste naredba route i tipka za brisanje. Pronalazimo lažne unose u tablici i deinstaliramo ih. Mala napomena: sve operacije su izvedive samo ako korisnik ima administratorska prava, ali virus može mijenjati rutu samo ako je infiltrirao mrežu preko administratorskog računa osobnog računala. Navedimo primjere takvih zadataka.

    route delete 74.55.40.0 - unos koji briše prvu opciju linije route;

    route delete 74.55.74.0 - unos koji briše drugu opciju retka rute.

    Broj takvih linija mora biti ukupan broj lažnih ruta.

    Ako zauzmete jednostavniji pristup postupku, tada morate koristiti operaciju preusmjeravanja izlaza. To se radi unosom zadatka route print > C:\routes.txt. Aktiviranje naredbe stvara situaciju u kojoj sistemski disk kreira se dokument datoteke pod nazivom routes.txt, koji sadrži tablicu s podacima o ruti.

    Popis tablice sadrži DOS kodove znakova. Ovi znakovi su nečitljivi i nemaju nikakvog značaja za operaciju. Dodavanjem zadatka brisanja rute na početku svake rute brišemo svaki lažni unos. Ovi izgledaju otprilike ovako:

    ruta izbrisati 84.50.0.0

    ruta izbrisati 84.52.233.0

    ruta izbrisati 84.53.70.0

    ruta izbrisati 84.53.201.0

    ruta izbrisati 84.54.46.0

    Zatim trebate promijeniti ekstenziju datoteke za zamjenu takve ekstenzije su cmd ili bat. Dvostrukim klikom desne tipke miša pokreće se nova datoteka. Zadatak možete pojednostaviti pomoću popularnog upravitelja datoteka FAR, koji radi na sljedeći način. Poziva se urednik funkcijska tipka F 4, odlikuju se posebnim oznakama desna strana zapisi rute. Korištenjem kombinacije tipki CTRL +F 7 automatski se zamjenjuju svi razmaci sa znakom sa prazna vrijednost, a razmak se pak postavlja na početnu poziciju retka. Nova kombinacija navedenih tipki postavlja zadatak brisanja rute na mjesto koje nam je potrebno.

    Kada u podatkovnoj tablici postoji mnogo lažnih ruta i njihovo ručno ispravljanje se čini dugotrajnim i zamornim procesom, preporučuje se korištenje zadatka rute zajedno s tipkom F.

    Ovaj ključ uklanja sve ne-hop rute, a također potpuno deinstalira rute s krajnjom točkom i adresom emitiranja. Prvi i zadnji imaju digitalni kod 255.255.255.255; drugi 127.0.0.0. Drugim riječima, sve lažne informacije koje je virus upisao u tablicu bit će deinstalirane. No istovremeno će biti uništeni zapisi o statičkim rutama i korisnički podaci o zadanom pristupniku, pa će ih trebati vratiti, jer će mreža ostati nedostupna. Ili možemo pratiti proces čišćenja podatkovne tablice i zaustaviti ga kada namjeravamo izbrisati zapis koji nam je potreban.

    Antivirusni program AVZ također se može koristiti za podešavanje postavki usmjerivača. Specifični multiprogram koji se bavi ovim procesom je dvadeseta stavka TCP konfiguracije.

    Posljednja opcija je blokiranje pristupa korisnika IP adresama stranica koje se koriste virusni programi– korištenje lažiranja adresa DNS poslužitelj. U ovoj se opciji povezivanje s mrežom odvija preko zlonamjernog poslužitelja. Ali takve situacije su prilično rijetke.

    Nakon završetka svih radova potrebno je ponovno pokrenuti osobno računalo.

    Još jednom zahvaljujem majstorima računalnog servisnog centra Zapuskay.RF - http://zapuskay.rf/information/territory/Kolomenskaya/ na pomoći u pripremi materijala, od kojih možete naručiti popravke prijenosnih i netbook računala u Moskvi.

    Danas ću govoriti o tome kako lokalizirati virus ako je nekako prodro u vaše računalo, kako pobijediti trojance i kako vratiti sustav nakon infekcije rootkitom ako je sve otišlo predaleko.

    Dakle, ako sumnjate da je vaše računalo zaraženo, prvo što biste trebali učiniti je slijediti ove korake:

    • odspojite računalo s interneta (isključite UTP kabel, isključite Wi-Fi);
    • odspojite sve s računala vanjski uređaji(vanjski tvrdi diskovi, flash pogoni, telefoni itd.).

    Sve ovo mora biti učinjeno kako bi se zaraženo računalo izoliralo od vanjskog svijeta. Obavezno isključite svoje računalo iz pristupa vanjskom svijetu putem interneta i lokalne interne mreže, jer će se maliciozni program gotovo sigurno pokušati proširiti na cijeli segment koji mu je dostupan.

    Osim toga, ako je zlonamjerni softver dio botnet mreže ili sadrži komponente, tada će biti neaktivan i aktiviran u trenutku kada se primi kontrolna naredba s vanjske mreže. To će nas također osigurati od curenja lokalnih podataka u mrežu, na primjer, kroz DNS tuneliranje ili slične hakerske stvari.

    Obnova registra

    Windows registar, počevši od prve verzije OS-a, ostaje kritičan važna komponenta sustava, koji u biti predstavljaju bazu podataka za pohranjivanje raznih parametara i postavki radnog okruženja, instaliranog softvera i samih Windowsa. Logično je da prekid registra ili njegovo oštećenje prijeti da OS postane neoperativan.

    Sam registar koji se otvara standardni uslužni program regedit, fizički je predstavljen s nekoliko datoteka pohranjenih u putanji %SystemRoot%\System32\config\. To su datoteke s nazivima SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT bez ekstenzija i dostupne samo sistemskim procesima NT AUTHORITY\SYSTEM, LocalSystem. Ali ako registar otvorite putem običnog uređivača, te će se datoteke pojaviti u obliku velikog hijerarhijskog stabla.

    Prva stvar koja pada na pamet je, naravno, napraviti sigurnosne kopije tih datoteka i, ako je potrebno, jednostavno zamijeniti pokvarene sigurnosnom kopijom. Ali ispod učitanog OS-a jednostavno kopiranje Ovo neće raditi, a izvoz podataka pomoću regedita možda neće raditi ispravno. Stoga, pogledajmo alate koji će nam pomoći u ovom pitanju.

    Standardni Windows alati za popravak registra

    Izvan kutije, Windows, nažalost, nema zaseban alat koji vam omogućuje izradu sigurnosnih kopija registra. Sve što sustav može pružiti je funkcionalnost zastarjelog NTBackUp-a izvorno iz ere Windows XP / 2003 Server ili u novim operativnim sustavima Windows 7, 8, 10 njegova reinkarnacija u obliku “”, koji nudi stvaranje cijele slika sustava (cijelog sustava - ne registra! ). Stoga ćemo razmotriti samo mali primjer radnji u konzoli za oporavak koje vam omogućuju ručno vraćanje registra. U biti su to operacije za zamjenu pokvarenih datoteka na zaraženom sustavu izvorne datoteke registra iz prethodno napravljene sigurnosne kopije.

    Sučelje uslužnog programa NTBacUp

    Dizanje u Live CD modu s instalacijski disk ili s lokalno instalirane konzole za oporavak (za XP/2003), morate pokrenuti sljedeće naredbe, koje je opisao sam Microsoft:

    // Stvorite sigurnosne kopije registra sustava
    md tmp
    kopiraj c:\windows\system32\config\system c:\windows\tmp\system.bak
    kopiraj c:\windows\system32\config\software c:\windows\tmp\software.bak
    kopiraj c:\windows\system32\config\sam c:\windows\tmp\sam.bak
    kopiraj c:\windows\system32\config\security c:\windows\tmp\security.bak
    kopiraj c:\windows\system32\config\default c:\windows\tmp\default.bak

    //Izbrisati pokvarene datoteke iz imenika OS sustava
    izbrišite c:\windows\system32\config\system
    izbrišite c:\windows\system32\config\software
    izbrišite c:\windows\system32\config\sam
    izbrišite c:\windows\system32\config\security
    izbrišite c:\windows\system32\config\default

    // Kopiraj radne datoteke registra iz kopija u sjeni
    kopiraj c:\windows\repair\system c:\windows\system32\config\system
    kopiraj c:\windows\repair\software c:\windows\system32\config\software
    kopiraj c:\windows\repair\sam c:\windows\system32\config\sam
    kopiraj c:\windows\repair\security c:\windows\system32\config\security
    kopiraj c:\windows\repair\default c:\windows\system32\config\default

    To je to, ponovno pokrenite stroj i pogledajte rezultat!

    Napredne metode popravka registra

    Kako doznajemo, Windowsi nemaju dostojan instrument upravljanje registrom. Stoga, pogledajmo što nam mogu ponuditi proizvođači trećih strana.


    Prozor uslužnog programa TCPView

    Popis mrežnih usluga i odgovarajućih rezerviranih portova za NT sustave može se vidjeti u datoteci %SystemRoot%\system32\drivers\etc\services - ovo je također u biti tekstualna datoteka bez ekstenzije, koja se može pregledavati bilo kojom bilježnicom.

    Prozor uslužnog programa Nirsoft CurrPorts

    I na kraju, za sve gore opisano što smo radili ručno, možete koristiti alate, npr. Ovaj uslužni program vraća ključeve registra mrežne postavke sustava sa zadanim vrijednostima. Osim toga, ona također:

    • provjerava hosts datoteku za ispravnost localhost pokazivača (mora se odnositi na adresu 127.0.0.1);
    • stvara sigurnosnu kopiju struje postavke sustava(na zahtjev korisnika);
    • onemogućuje sve mrežne adaptere i poništava njihove postavke.
    Prozor uslužnog programa WinSock XP Fix

    Izvorni alat sa grafičko sučelje, o kojem smo govorili, radi isto što i naredbe netsh int ip reset i netsh resetirati winsock. Sličan mu je alat Reset-TCPIP koji izvršava sve opisane kombinacije konzolnih naredbi pod jednim GUI-jem.

    Prozor uslužnog programa Reset-TCPIP

    Još jedan dobar besplatni alat dizajniran je za ispravljanje raznih pogrešaka povezanih s radom mreže i interneta u sustavu Windows. Uži popis njegove mogućnosti:

    • očistite i popravite host datoteku;
    • omogućiti Ethernet i bežični adapteri mreže;
    • resetirati Winsock i TCP/IP protokol;
    • očisti DNS predmemoriju, tablice usmjeravanja, očisti statičke IP veze;
    • ponovno pokrenite NetBIOS.

    Prozor uslužnog programa za popravak NetAdapter

    Live CD kao slamka spasa

    I, nastavljajući našu temu, jednostavno nismo mogli zanemariti priču o Live CD sklopovima dizajniranim za vraćanje sustava. U početku je Live CD pozicioniran kao alat za obavljanje administrativnih zadataka: naporno trenirati disk, brzo dobivanje pristupa podacima pohranjenim na diskovima i tako dalje. Sada su Live CD-ovi više poput univerzalnog pojasa za spašavanje za oživljavanje sustava u slučaju raznih padova, uključujući i nakon napad virusa. Njihova glavna prednost je što su svi alati skupljeni pod jednom haubom i mogu raditi paralelno. Ali postoji i nedostatak: da biste pokrenuli Live CD način rada, morate ponovno pokrenuti stroj, što je u nekim slučajevima za nas neprihvatljivo.

    Svi poznati antivirusni programeri imaju besplatno diskovi za pokretanje za vraćanje sustava. Ukratko ćemo ih pregledati, ali nećemo ulaziti u detalje - složili smo se na početku našeg materijala da ćemo koristiti samo one alate koji nisu antivirusni softver u svom čistom obliku.

    Pročitaj više: