• Bir fidye yazılımı virüsünden sonra işletim sistemi kurtarma. Virüs bulaşmasından sonra Windows XP'yi geri yüklemek için komut dosyaları

    Beğenmek

    Beğenmek

    cıvıldamak

    Evrensel var isviçre çakısı programlar. Makalemin kahramanı tam da böyle bir "evrensel". Onun adı AVZ(Antivirüs Zaitsev). Bunun yardımıyla özgür Antivirüs ve virüsleri yakalayabilir, sistemi optimize edebilir ve sorunları çözebilirsiniz.

    AVZ'nin Özellikleri

    Bunun bir antivirüs programı olduğundan zaten bahsetmiştim. AVZ'nin tek seferlik bir antivirüs (daha doğrusu bir anti-rootkit) olarak çalışması, yardımında iyi anlatılmıştır, ancak size programın diğer tarafını göstereceğim: ayarları kontrol etme ve geri yükleme.

    AVZ ile neler "düzeltilebilir":

    • Başlangıç ​​programlarını onarın (.exe, .com, . pif dosyaları)
    • Ayarları Sıfırla İnternet Explorer standarda
    • Masaüstü Ayarlarını Geri Yükle
    • Hak kısıtlamalarını kaldırın (örneğin, bir virüs programların başlatılmasını engellediyse)
    • Oturum açmadan önce görünen başlığı veya pencereyi kaldırın
    • Herhangi bir programla çalışabilen virüsleri kaldırın
    • Görev Yöneticisi ve Kayıt Defteri Düzenleyicisi'nin engellemesini kaldırın (virüs bunların çalışmasını engellediyse)
    • Dosyayı Temizle
    • Flash sürücülerden ve disklerden otomatik çalıştırma programlarını devre dışı bırakın
    • Gereksiz dosyaları şuradan silin: sabit disk
    • Masaüstü sorunlarını düzeltme
    • Ve daha fazlası

    Güvenliği kontrol etmek için de kullanılabilir Windows ayarları(virüslere karşı daha iyi koruma sağlamak için) ve ayrıca başlatma işlemini temizleyerek sistemi optimize edin.

    AVZ indirme sayfası adresindedir.

    Program ücretsizdir.

    Öncelikle Windows'umuzu dikkatsiz eylemlerden koruyalım

    AVZ programı Çok Windows'un çalışmasını etkileyen birçok işlev. Bu tehlikeliÇünkü bir hata durumunda sorun yaşanabilir. Lütfen metni okuyun ve herhangi bir şey yapmadan önce dikkatlice yardım edin. Makalenin yazarı eylemlerinizden sorumlu değildir.

    AVZ ile dikkatsiz çalışmanın ardından "her şeyi olduğu gibi geri getirebilmek" için bu bölümü yazdım.

    Bu zorunlu bir adımdır, aslında dikkatsiz eylemler durumunda bir "geri çekilme yolu" oluşturulmasıdır - geri yükleme noktası sayesinde ayarları geri yüklemek mümkün olacaktır, Windows kayıt defteri daha önceki bir duruma.

    Windows Kurtarma, Windows ME'den başlayarak tüm Windows sürümlerinin gerekli bir bileşenidir. Fareyle birkaç kez tıklamak ve tüm sorunlardan kaçınmak mümkün olmasına rağmen, genellikle bunu hatırlamamaları ve Windows'u ve programları yeniden yüklemek için zaman kaybetmeleri üzücü.

    Hasar ciddiyse (örneğin, parçanın bir kısmı) sistem dosyaları), o zaman "Sistem Geri Yükleme" yardımcı olmayacaktır. Diğer durumlarda - Windows'u yanlış yapılandırdıysanız, kayıt defteriyle "kandırıldıysanız", Windows'un önyükleme yapmadığı bir program yüklediyseniz, AVZ programını yanlış kullandıysanız - "Sistem Geri Yükleme" yardımcı olacaktır.

    İşten sonra AVZ, klasöründe yedeklerin bulunduğu alt klasörler oluşturur:

    /destek olmak- depolanır yedeklemeler kayıt olmak.

    /Enfekte- kaldırılan virüslerin kopyaları.

    /karantina- kopyalar şüpheli dosyalar.

    AVZ çalıştırıldıktan sonra sorunlar başladıysa (örneğin, AVZ Sistem Geri Yükleme aracını düşüncesizce kullandıysanız ve İnternet çalışmayı durdurduysa) ve Kurtarma Windows sistemleri yapılan değişiklikler geri alınmadı, kayıt defteri yedeklerini klasörden açabilirsiniz destek olmak.

    Geri yükleme noktası nasıl oluşturulur

    Hadi gidelim Başlat - Denetim Masası - Sistem - Sistem Koruması:

    "Sistem" penceresinde "Sistem Koruması" seçeneğini tıklayın.

    "Oluştur" düğmesini tıklayın.

    Geri yükleme noktası oluşturma işlemi on dakika kadar sürebilir. Sonra bir pencere görünecektir:

    Geri yükleme noktası oluşturulacaktır. Bu arada, programları ve sürücüleri yüklediğinizde otomatik olarak oluşturulurlar, ancak her zaman değil. Bu nedenle, tehlikeli eylemlerden önce (sistemi kurma, temizleme), sorun durumunda öngörü konusunda kendinizi övmek için bir kez daha bir geri yükleme noktası oluşturmak daha iyidir.

    Bir geri yükleme noktası kullanarak bilgisayarınızı nasıl geri yükleyebilirsiniz?

    Sistem Geri Yüklemeyi başlatmak için iki seçenek vardır - alttan Windows'u çalıştırıyorum ve kurulum diskini kullanarak.

    Seçenek 1 - Windows başlarsa

    Hadi gidelim Başlat - Tüm Programlar - Donatılar - Sistem Araçları - Sistem Geri Yükleme:

    başlayacak Farklı bir geri yükleme noktası seçin ve bas Daha öte. Geri yükleme noktalarının bir listesi açılacaktır. İhtiyacınız olanı seçin:

    Bilgisayar otomatik olarak yeniden başlatılacaktır. Tüm ayarları yükledikten sonra kayıt defteri ve kısmı önemli dosyalar restore edilecek.

    Seçenek 2 - Windows önyükleme yapmıyorsa

    Windows 7 veya Windows 8 ile bir "kurulum" diskine ihtiyacınız var. Nereden alacağımı (veya indireceğimi) yazdım.

    Diskten önyükleme yapıyoruz (önyükleme disklerinden nasıl önyükleme yapılacağı yazılır) ve şunları seçeriz:

    Windows'u yüklemek yerine "Sistem Geri Yükleme"yi seçin

    Virüsler veya bilgisayarla yapılan beceriksiz eylemler sonrasında sistemin onarılması

    Tüm eylemlerden önce, örneğin kullanarak virüslerden kurtulun. Aksi takdirde hiçbir anlamı kalmayacak - düzeltilen ayarlar çalışan virüs tarafından tekrar "bozulacaktır".

    Programları Yeniden Başlatma

    Bir virüs herhangi bir programın başlatılmasını engellediyse AVZ size yardımcı olacaktır. Tabii ki AVZ'yi de başlatmanız gerekiyor, ancak bu oldukça kolay:

    İlk önce gidiyoruz Kontrol Paneli- Kategori hariç herhangi bir görünüm türünü ayarlayın - Klasör ayarları - Görüş- işareti kaldır Kayıtlı dosya türleri için uzantıları gizle - Tamam. Artık her dosyanın eklenti- adın son noktasından sonraki birkaç karakter. Programlar genellikle .exe Ve .com. AVZ antivirüs programını programların yasak olduğu bir bilgisayarda çalıştırmak için uzantıyı cmd veya pif olarak yeniden adlandırın:

    Daha sonra AVZ başlayacaktır. Daha sonra program penceresinin kendisinde tuşuna basın. Dosya - :

    Dikkat edilmesi gereken noktalar:

    1. Başlatma seçenekleri.exe, .com, .pif dosyalarını geri yükleyin(aslında program çalıştırma sorununu çözer)

    6. Geçerli kullanıcının tüm Politikalarını (kısıtlamalarını) kaldırın(bazı nadir durumlarda bu öğe, virüsün çok zararlı olması durumunda programların başlatılması sorununun çözülmesine de yardımcı olur)

    9. Sistem işlem hata ayıklayıcılarını kaldırma(Bu öğeyi not etmeniz son derece arzu edilir, çünkü sistemi bir antivirüs ile kontrol etseniz bile, virüsten bir şeyler kalabilir. Sistem başlatıldığında Masaüstünün görünmemesi de yardımcı olur)

    , eylemi onaylayın, "Sistem Geri Yükleme Tamamlandı" metnini içeren bir pencere görünür. Bundan sonra bilgisayarı yeniden başlatmaya devam ediyor - programların başlatılmasıyla ilgili sorun çözülecek!

    Masaüstü başlangıç ​​kurtarma

    Yeterli ortak sorun- Sistem başlatıldığında masaüstü görünmüyor.

    Koşmak Masaüstü bunu yapabilirsiniz: Ctrl + Alt + Del tuşlarına basın, Görev Yöneticisini başlatın, orada basıyoruz Dosya - Yeni görev(Koşmak…) - girmek explorer.exe:

    TAMAM- Masaüstü başlayacaktır. Ancak bu, soruna yalnızca geçici bir çözümdür - bilgisayarı bir sonraki açışınızda her şeyi tekrarlamanız gerekecektir.

    Bunu her seferinde yapmamak için program başlatma anahtarını geri yüklemeniz gerekir. kaşif("İletken", şunlardan sorumludur: standart görünüm klasör içeriği ve masaüstü işlemi). AVZ'de tuşuna basıyoruz Dosya- ve öğeyi işaretleyin

    İşaretli işlemleri gerçekleştirin, eylemi onaylayın, tuşuna basın TAMAM. Artık bilgisayarı başlattığınızda masaüstü normal şekilde başlayacaktır.

    Görev Yöneticisinin ve Kayıt Defteri Düzenleyicisinin kilidini açın

    Virüs yukarıda belirtilen iki programın başlatılmasını engellediyse, yasak AVZ program penceresinden kaldırılabilir. Sadece iki şeyi kontrol edin:

    11. Görev Yöneticisinin kilidini açın

    17. Kayıt Defteri Düzenleyicisi'nin kilidini açın

    Ve bas İşaretli işlemleri gerçekleştirin.

    İnternet ile ilgili sorunlar (Vkontakte, Odnoklassniki ve antivirüs siteleri açılmıyor)

    Sistemin gereksiz dosyalardan temizlenmesi

    Programlar AVZ bilgisayarı nasıl temizleyeceğini biliyor önemsiz dosyalar. Bilgisayarda sabit disk temizleme programı yüklü değilse, birçok olasılık olduğundan AVZ bunu yapacaktır:

    Puanlar hakkında daha fazla bilgi:

    1. Sistem önbelleğini temizle- programların hızlı başlatılması için önceden hangi dosyaların yükleneceğine ilişkin bilgilerin bulunduğu klasörün temizlenmesi. Bu seçenek işe yaramaz çünkü Windows'un kendisi oldukça başarılı bir şekilde izliyor Klasörü önceden getir ve gerektiğinde temizleyin.
    2. Windows günlük dosyalarını silin- depolanan çeşitli veritabanlarını ve dosyaları temizleyebilirsiniz çeşitli kayıtlarİşletim sisteminde meydana gelen olaylar hakkında. Bir düzine veya iki megabaytlık sabit disk alanını boşaltmanız gerekiyorsa bu seçenek kullanışlıdır. Yani, kullanmanın faydası yetersiz, seçenek işe yaramaz.
    3. Bellek dökümü dosyalarını silin- kritik bir durumda Windows hatalarıçalışmasını keser ve BSOD'u gösterir ( Mavi ekranölüm), aynı zamanda daha sonra analiz edilmek üzere çalışan programların ve sürücülerin bilgilerinin bir dosyaya kaydedilmesi özel programlar Başarısızlığın suçlusunu belirlemek için. Bu seçenek neredeyse işe yaramaz çünkü yalnızca bir düzine megabayt kazanmanıza izin veriyor boş alan. Bellek dökümü dosyalarının temizlenmesi sisteme zarar vermez.
    4. Son Belgeler Listesini Temizle- garip bir şekilde, bu seçenek Son Kullanılan Belgeler listesini temizler. Bu liste Başlat menüsündedir. Listeyi, Başlat menüsündeki bu öğeye sağ tıklayıp "Son Öğeler Listesini Temizle" seçeneğini seçerek manuel olarak da temizleyebilirsiniz. Bu seçenek kullanışlıdır: Listeyi temizlerken şunu fark ettim: son belgeler Başlat menüsünün menülerini biraz daha hızlı görüntülemesine olanak tanır. Sistem zarar görmeyecektir.
    5. TEMP Klasörünü Temizleme- C: sürücüsündeki boş alanın kaybolmasının nedenini arayanlar için kutsal kâse. Gerçek şu ki, birçok program dosyaları TEMP klasöründe geçici kullanım için saklıyor ve daha sonra "kendilerini temizlemeyi" unutuyor. Tipik bir örnek arşivleyicilerdir. Oradaki dosyaları açın ve silmeyi unutmayın. TEMP klasörünü temizlemek sisteme zarar vermez, çok fazla alan açabilir (özellikle ihmal edilen durumlarda, boş alan kazancı elli gigabayta ulaşır!).
    6. Adobe Flash player- geçici dosyaları temizleme- "flash player" dosyaları geçici kullanım için kaydedebilir. Kaldırılabilirler. Bazen (nadiren) bu seçenek Flash Player aksaklıklarıyla mücadelede yardımcı olur. Örneğin, Vkontakte web sitesinde video ve ses oynatma sorunlarıyla. Kullanımında herhangi bir sakınca yoktur.
    7. Terminal istemcisinin önbelleğini temizleme- bildiğim kadarıyla bu seçenek, Windows bileşeninin "Uzak Masaüstü Bağlantısı" adlı geçici dosyalarını temizler ( uzaktan erişim RDP aracılığıyla bilgisayarlara). Seçenek gibi görünüyor zarar vermez, on megabaytlık yer açar en iyi senaryo. Bunu kullanmanın bir anlamı yok.
    8. IIS - HTTP Hata Günlüğünü Sil- ne olduğunu açıklamak uzun sürüyor. IIS günlüğünü temizleme seçeneğini etkinleştirmemenin daha iyi olacağını söyleyeyim. Zaten ne zararı var, ne faydası.
    9. Macromedia Flash Player- öğe kopyaları « Adobe Flash Oyuncu - geçici dosyaları temizleme", ancak Flash Player'ın oldukça eski sürümlerini etkiler.
    10. Java - önbellek temizleme- sabit diskte birkaç megabayt kazanç sağlar. Java programlarını kullanmıyorum, bu nedenle seçeneği etkinleştirmenin sonuçlarını kontrol etmedim. Açmanızı tavsiye etmiyorum.
    11. Çöpü boşaltma- Bu eşyanın amacı isminden kesinlikle bellidir.
    12. Sistem güncellemesi yükleme günlüklerini silin- Windows bir günlük tutar yüklü güncellemeler. Bu seçeneğin etkinleştirilmesi günlüğü temizler. Bu seçenek işe yaramaz çünkü kazanılacak boş alan yoktur.
    13. Protokolü Sil Windows güncelleme - önceki paragrafa benzer, ancak diğer dosyalar silinir. Ayrıca bir şeytan kullanışlı seçenek.
    14. MountPoints veritabanını temizleyin- Bir flash sürücüyü veya sabit sürücüyü bağlarken Bilgisayar penceresinde bunlarla birlikte simgeler oluşturulmazsa, bu seçenek yardımcı olabilir. Yalnızca flash sürücüleri ve diskleri bağlarken sorun yaşıyorsanız açmanızı tavsiye ederim.
    15. Internet Explorer - önbelleği temizle- Internet Explorer'ın geçici dosyalarını temizler. Seçenek güvenli ve kullanışlıdır.
    16. Microsoft Office - önbelleği temizle- geçici dosyaları temizler Microsoft programları Ofis - Word, Excel, PowerPoint ve daha fazlası. Microsoft Office'im olmadığı için güvenlik seçeneklerini kontrol edemiyorum.
    17. CD Yazma Sisteminin Önbelleğini Temizleme- disklere yazmak için hazırladığınız dosyaları silmenize olanak tanıyan kullanışlı bir seçenek.
    18. temizlik sistem klasörü SICAKLIK- kullanıcının TEMP klasörünün aksine (5. maddeye bakın), bu klasörü temizlemek her zaman güvenli değildir ve genellikle biraz yer açar. Açmanızı tavsiye etmiyorum.
    19. MSI - Config.Msi klasörünü temizleme- bu klasörde saklanır çeşitli dosyalar yazılım yükleyicileri tarafından oluşturulmuştur. Yükleyiciler işlerini doğru şekilde tamamlamadıysa klasör büyüktür; bu nedenle Config.Msi klasörünün temizlenmesi mantıklıdır. Ancak sizi uyaralım; .msi yükleyicilerini kullanan programları (örneğin, Microsoft Office) kaldırırken sorunlar yaşanabilir.
    20. Görev zamanlayıcı günlüklerini temizle- Zamanlayıcı Windows görevleri Tamamlanan görevlerle ilgili bilgilerin kaydedildiği bir günlük tutar. Bu öğeyi eklemenizi önermiyorum çünkü hiçbir faydası yok, ancak sorun yaratacaktır - Zamanlayıcı Windows işleri oldukça hatalı bir bileşen.
    21. Windows kurulum protokollerini silin- yer kazanmak önemsizdir, silmenin bir anlamı yoktur.
    22. Windows - simge önbelleğini temizle- kısayollarla ilgili sorunlarınız varsa kullanışlıdır. Örneğin Masaüstü göründüğünde simgeler hemen görünmez. Bu seçeneğin etkinleştirilmesi sistem kararlılığını etkilemez.
    23. Google Chrome- önbelleği temizleçok kullanışlı bir seçenektir. Google Chrome, sitelerin daha hızlı açılabilmesi için sayfaların kopyalarını bu amaç için belirlenmiş bir klasörde saklar (sayfalar İnternet üzerinden indirilmek yerine sabit diskten yüklenir). Bazen bu klasörün boyutu yarım gigabayta ulaşır. Temizleme, sabit disk alanında yer açmak açısından faydalıdır; ne Windows ne de Google Chrome kararlılığı etkilemez.
    24. Mozilla Firefox- CrashReports klasörünü temizleme- her zaman Firefox tarayıcısı bir sorun oluşur ve çöker, rapor dosyaları oluşturulur. Bu seçenek rapor dosyalarını siler. Boş alan kazanımı birkaç düzine megabayta ulaşıyor, yani bu seçeneğin pek bir anlamı yok, ama var. Windows ve Mozilla Firefox'un kararlılığı etkilenmez.

    Bağlı olarak yüklü programlar, puan sayısı farklı olacaktır. Örneğin, eğer kuruluysa Opera tarayıcısıönbelleğini de temizleyebilirsiniz.

    Başlangıç ​​programları listesini temizleme

    Bilgisayarın başlatılmasını ve hızını artırmanın kesin bir yolu, otomatik çalıştırma listesini temizlemektir. Eğer gereksiz programlar başlamayacaksa, bilgisayar yalnızca daha hızlı açılmakla kalmayacak, aynı zamanda daha hızlı çalışacaktır - arka planda çalışan programları ortadan kaldırmayacak olan serbest bırakılan kaynaklar nedeniyle.

    AVZ, Windows'ta programların başlatıldığı hemen hemen tüm boşlukları görüntüleyebilir. Otomatik çalıştırma listesini Araçlar - Otomatik Çalıştırma Yöneticisi menüsünde görüntüleyebilirsiniz:

    Sıradan bir kullanıcının bu kadar güçlü bir işlevselliğe kesinlikle hiçbir faydası yoktur, bu yüzden ısrar ediyorum her şeyi kapatmayın. Yalnızca iki noktaya bakmak yeterlidir - Klasörleri otomatik çalıştır Ve koşmak*.

    AVZ, yalnızca kullanıcınız için değil, diğer tüm profiller için de otomatik başlatmayı görüntüler:

    Bölümde koşmak* bölümde bulunan programları devre dışı bırakmamak daha iyidir HKEY_USERS- bu, diğer kullanıcı profillerinin çalışmasını bozabilir ve işletim sistemi. Bölümde Klasörleri otomatik çalıştır ihtiyacınız olmayan her şeyi kapatabilirsiniz.

    Yeşil renkle işaretlenen çizgiler antivirüs tarafından bilindiği gibi tanınır. Bu her ikisini de içerir sistem programları Windows ve yabancı programlar dijital imzayla.

    Diğer tüm programlar siyah renkle işaretlenmiştir. Bu, bu tür programların virüs veya benzeri bir şey olduğu anlamına gelmez; yalnızca tüm programların dijital olarak imzalanmadığı anlamına gelir.

    Programın adını görebilmeniz için ilk sütunu genişletmeyi unutmayın. Her zamanki işareti kaldırma işlemi, programın otomatik çalıştırılmasını geçici olarak devre dışı bırakacaktır (daha sonra tekrar işaretleyebilirsiniz), öğeyi seçip siyah çarpı işareti olan düğmeye basmak, girişi sonsuza kadar silecektir (veya program kendini tekrar otomatik çalıştırmaya yazana kadar).

    Şu soru ortaya çıkıyor: Neyin devre dışı bırakılabileceği ve neyin devre dışı bırakılabileceği nasıl belirlenir? İki çözüm var:

    Öncelikle sağduyu var: programın .exe dosyasının adına göre bir karar verebilirsiniz. Örneğin, Skype programı kurulum sırasında şunun için bir giriş oluşturur: otomatik başlatma bilgisayarınızı açtığınızda. İhtiyacınız yoksa skype.exe ile biten kutunun işaretini kaldırın. Bu arada, birçok program (Skype dahil) kendilerini başlangıçtan kaldırabilir, programın ayarlarında ilgili öğenin işaretini kaldırmanız yeterlidir.

    İkinci olarak, program hakkında bilgi almak için internette arama yapabilirsiniz. Alınan bilgilere dayanarak, otomatik çalıştırmadan kaldırılıp kaldırılmayacağına karar vermeye devam ediyor. AVZ, noktalar hakkında bilgi bulmayı kolaylaştırır: öğeye sağ tıklayın ve favori arama motorunuzu seçin:

    Gereksiz programları devre dışı bırakarak, bilgisayarınızın başlatılmasını gözle görülür şekilde hızlandıracaksınız. Bununla birlikte, her şeyi arka arkaya devre dışı bırakmak istenmez - bu, düzen göstergesini kaybedeceğiniz, antivirüsü devre dışı bırakacağınız vb.

    Yalnızca kesin olarak bildiğiniz programları devre dışı bırakın; otomatik çalıştırmada bunlara ihtiyacınız yoktur.

    Sonuç

    Prensip olarak makalede yazdıklarım mikroskopla çivi çakmaya benziyor - AVZ programı bunun için uygun Windows optimizasyonları ancak genel olarak karmaşıktır ve güçlü araç en fazlasını gerçekleştirmek için uygun farklı görevler. Ancak AVZ'yi sonuna kadar kullanabilmek için Windows'u iyice bilmeniz gerekir, böylece küçükten başlayabilirsiniz - yani yukarıda anlattığım şeylerle.

    Herhangi bir sorunuz veya yorumunuz varsa, makalelerin altında bana yazabileceğiniz bir yorum bloğu bulunmaktadır. Yorumları takip ediyorum ve size en kısa sürede cevap vermeye çalışacağım.

    İlgili Mesajlar:

    Beğenmek

    Beğenmek

    Petya'nın Ukrayna'ya gitmesinin üzerinden bir hafta geçti. Genel olarak dünya çapında elliden fazla ülke bu şifreleme virüsünden muzdaripti ancak kitlesel siber saldırıların %75'i Ukrayna'yı vurdu. Sistemlerinin tehlikeye girdiğini ilk bildirenler arasında, ülke çapındaki hükümet ve finans kurumları da etkilendi. hacker saldırısı Ukrenergo ve Kievenergo oldu. Petya.A virüsü, M.E.Doc muhasebe programını kullanarak ona nüfuz etti ve onu engelledi. Bu yazılım, Ukrayna'daki çeşitli kurumlar arasında çok popülerdi ve ölümcül hale geldi. Sonuç olarak Petya virüsünden sonra bazı şirketlerin sistemi geri yüklemesi uzun zaman aldı. Bazıları, fidye yazılımı virüsünden 6 gün sonra ancak dün çalışmaya devam etmeyi başardı.

    Petya virüsünün hedefi

    Çoğu fidye yazılımı virüsünün amacı gasptır. Kurbanın bilgisayarındaki bilgileri şifrelerler ve şifrelenmiş verilere erişimi yeniden sağlayacak bir anahtar elde etmek için kurbandan para talep ederler. Ancak dolandırıcılar her zaman sözlerini tutmazlar. Bazı fidye yazılımları şifresi çözülecek şekilde tasarlanmamıştır ve Petya virüsü de bunlardan biridir.

    Bu üzücü haber Kaspersky Lab uzmanları tarafından bildirildi. Bir fidye yazılımı virüsünden sonra verileri kurtarmak için benzersiz bir virüs yükleme tanımlayıcısı gerekir. Ancak yeni virüs durumunda, hiçbir şekilde bir tanımlayıcı oluşturmuyor, yani kötü amaçlı yazılımın yaratıcıları, Petya virüsünden sonra bilgisayarı geri yükleme seçeneğini bile düşünmediler.

    Ancak aynı zamanda kurbanlar, sistemi geri yüklemek için 300 doların bitcoin olarak nereye transfer edileceğinin belirtildiği adresin belirtildiği bir mesaj aldı. Bu gibi durumlarda uzmanlar bilgisayar korsanlarına yardım edilmesini önermiyor ancak yine de "Petya"nın yaratıcıları büyük bir siber saldırının ardından 2 gün içinde 10.000 dolardan fazla kazanmayı başardılar. Ancak uzmanlar, virüsün diğer mekanizmalarından farklı olarak bu mekanizma yeterince düşünülmediği için asıl görevlerinin gasp olmadığından eminler. Buradan Petya virüsünün amacının küresel işletmelerin çalışmalarını istikrarsızlaştırmak olduğu varsayılabilir. Ayrıca bilgisayar korsanlarının aceleye getirilmiş ve parayı alma kısmı hakkında yeterince düşünmemiş olmaları da tamamen mümkündür.

    Petya virüsünden sonra PC kurtarma

    Ne yazık ki Petya'ya tamamen virüs bulaştığında bilgisayardaki veriler kurtarılamaz. Ancak yine de, şifreleyicinin verileri tamamen şifrelemek için zamanı yoksa, Petya virüsünden sonra bilgisayarın kilidini açmanın bir yolu var. 2 Temmuz'da resmi Cyberpolice web sitesinde kamuoyuna duyuruldu.

    Üç tür enfeksiyon vardır Petya virüsü

    - PC'deki tüm bilgiler tamamen şifrelenmiştir, ekranda gasp edilen bir pencere görüntülenir;
    - PC verileri kısmen şifrelenmiştir. Şifreleme işlemi kesintiye uğradı dış faktörler(yiyecek dahil);
    - PC'ye virüs bulaştı ancak MFT tablosu şifreleme işlemi başlatılmadı.

    İlk durumda her şey kötüdür - sistem kurtarılamaz. En azından şimdilik.
    Son iki seçenekte durum düzeltilebilir.
    Kısmen şifrelenmiş verileri kurtarmak için Windows yükleme diskini yüklemeniz önerilir:

    Eğer Sabit disk Fidye yazılımı virüsünden zarar görmemişse, önyükleme işletim sistemi dosyaları görecek ve MBR kurtarma işlemini başlatacaktır:

    Her biri için Windows sürümleri bu sürecin kendine has nüansları var.

    Windows XP

    Kurulum diskini yükledikten sonra ekranda “Windows XP Professional Ayarları” penceresi görüntülenir, burada “kurtarma konsolunu kullanarak Windows XP'yi geri yüklemek için R tuşuna basın” seçeneğini seçmeniz gerekir. R tuşuna bastıktan sonra kurtarma konsolu yüklenmeye başlayacaktır.

    Cihazlarda kurulu bir işletim sistemi varsa ve C sürücüsünde bulunuyorsa bir bildirim görünecektir:
    "1: C:\WINDOWS hangi Windows'un bir kopyası oturum açmak için kullanılmalı mı? Buna göre "1" ve "Enter" tuşuna basmak gerekiyor.
    Sonra görünecektir: "Yönetici şifresini girin". Şifreyi girin ve "Enter" tuşuna basın (şifre yoksa "Enter" tuşuna basın).
    Sistem istemi görünmelidir: C:\WINDOWS>, fixmbr yazın.

    Daha sonra "UYARI" görünecektir.
    Doğrulama için Yeni giriş MBR, "y" tuşuna basmanız gerekiyor.
    Ardından bir bildirim görünecektir "Yeni bir ana önyükleme kaydı Açık fiziksel disk\Aygıt\Sabitdisk0\Bölüm0."
    Ve: "Yeni ana önyükleme kaydı başarıyla oluşturuldu."

    Windows Vista'da:

    Burada durum daha basit. İşletim sistemini önyükleyin, dili ve klavye düzenini seçin. Ardından ekranda "Bilgisayarınızı onarın" görünecek ve "İleri" seçeneğini seçmeniz gereken bir menü görünecektir. Bootrec /FixMbr girmeniz gereken komut satırına tıklamanız gereken, geri yüklenen sistemin parametrelerini içeren bir pencere açılacaktır.
    Bundan sonra, işlemin tamamlanmasını beklemeniz gerekir, her şey yolunda giderse bir onay mesajı görünecektir - "Enter" tuşuna basın ve bilgisayar yeniden başlamaya başlayacaktır. Tüm.

    Windows 7:

    Kurtarma işlemi Vista'ya benzer. Dili ve klavye düzenini seçtikten sonra işletim sistemini seçin ve ardından "İleri"ye tıklayın. Yeni pencerede "Windows'u başlatırken sorunları çözmeye yardımcı olabilecek kurtarma araçlarını kullan" öğesini seçin.
    Diğer tüm eylemler Vista'ya benzer.

    Windows 8 ve 10:

    İşletim sistemini önyükleyin, beliren pencerede Bilgisayarınızı onarın>sorun gider seçeneğini seçin, burada komut satırına tıklayarak bootrec /FixMbr yazın. İşlem tamamlandıktan sonra "Enter" tuşuna basın ve cihazınızı yeniden başlatın.

    İşlemden sonra MBR kurtarma başarıyla tamamlandı (Windows sürümünden bağımsız olarak), diski bir antivirüs ile taramanız gerekir.
    Şifreleme işleminin bir virüs tarafından başlatılması durumunda Rstudio gibi dosya kurtarma yazılımlarını kullanabilirsiniz. Bunları kopyaladıktan sonra çıkarılabilir medya, sistemi yeniden yüklemeniz gerekir.
    Acronis gibi önyükleme sektörüne yazılan veri kurtarma programlarını kullanmanız durumunda gerçek görüntü O zaman "Petya"nın bu sektörü etkilemediğinden emin olabilirsiniz. Bu da sistemi yeniden yüklemeden çalışır duruma getirebileceğiniz anlamına gelir.

    Bir hata bulursanız lütfen metnin bir kısmını vurgulayın ve tıklayın. Ctrl+Enter.

    Anti-virüs programları, kötü amaçlı yazılımları algılayıp kaldırsa bile her zaman sistemin tam işlevselliğini geri yüklemez. Çoğu zaman, bir virüsü kaldırdıktan sonra, bir bilgisayar kullanıcısı boş bir masaüstüne, İnternet'e tam erişim eksikliğine (veya bazı sitelere erişimin engellenmesine), çalışmayan bir fareye vb. Bunun nedeni genellikle kötü amaçlı yazılım tarafından değiştirilen bazı sistem veya kullanıcı ayarlarının bozulmadan kalmasıdır.

    Yardımcı program ücretsizdir, kurulum gerektirmeden çalışır, şaşırtıcı derecede işlevseldir ve çeşitli durumlarda bana yardımcı oldu. Bir virüs, kural olarak, sistem kayıt defterinde değişiklikler yapar (bunu başlangıca eklemek, program başlatma parametrelerini değiştirmek vb.). Sistemi derinlemesine araştırmamak ve bir virüsün izlerini manuel olarak düzeltmemek için, AVZ'de bulunan "sistem geri yükleme" işlemini kullanmalısınız (yardımcı program bir antivirüs olarak çok ama çok iyi olmasına rağmen, diskleri kontrol etmek bile iyi bir fikirdir) yardımcı programla virüsler için).

    Kurtarmayı başlatmak için yardımcı programı çalıştırın. Ardından Dosya - Sistem Geri Yükleme'ye tıklayın.

    ve önümüzde böyle bir pencere açılacak

    ihtiyacımız olan onay kutularını işaretleyin ve "İşaretli işlemleri gerçekleştir" i tıklayın

    1.Başlatma seçenekleri.exe, .com, .pif dosyalarını geri yükleyin
    Bu ürün yazılımı, sistemin yanıtını geri yükler. .exe dosyaları, com, pif, scr.
    Kullanım endikasyonları: Virüsü kaldırdıktan sonra programlar çalışmayı durdurur.
    2. Internet Explorer protokolü önek ayarlarını standarda sıfırlayın
    Bu ürün yazılımı, Internet Explorer'daki protokol önek ayarlarını geri yükler
    Kullanım endikasyonları: www.yandex.ru gibi bir adres girdiğinizde bu adres www.seque.com/abcd.php?url=www.yandex.ru gibi bir şeyle değiştirilir.
    3.Kurtarma başlangıç ​​sayfasıİnternet Explorer
    Bu ürün yazılımı Internet Explorer'daki başlangıç ​​sayfasını geri yükler
    Kullanım endikasyonları: başlangıç ​​sayfası değişikliği
    4.Internet Explorer arama ayarlarını varsayılana sıfırlayın
    Bu ürün yazılımı Internet Explorer'daki arama ayarlarını geri yükler
    Kullanım endikasyonları: IE'de "Ara" düğmesini tıkladığınızda, bazı yabancı sitelere çağrı var
    5.Masaüstü ayarlarını geri yükleyin
    Bu ürün yazılımı masaüstü ayarlarını geri yükler. Geri yükleme, tüm aktif ActiveDesctop öğelerinin, duvar kağıtlarının silinmesini, masaüstü ayarlarından sorumlu menüdeki kilitlerin kaldırılmasını içerir.
    Kullanım endikasyonları:"Görüntü Özellikleri" penceresindeki masaüstü ayarları sekmeleri kayboldu, masaüstünde gereksiz yazılar veya çizimler görüntüleniyor
    6.Mevcut kullanıcının tüm Politikalarının (kısıtlamalarının) kaldırılması
    Windows, İlkeler adı verilen bir kullanıcı eylemi kısıtlama mekanizması sağlar. Bu teknoloji, ayarların kayıt defterinde saklanması ve oluşturulmasının veya değiştirilmesinin kolay olması nedeniyle birçok kötü amaçlı yazılım tarafından kullanılır.
    Kullanım endikasyonları: Dosya Gezgini işlevleri veya diğer sistem işlevleri engellenir.
    7. WinLogon sırasında görüntülenen mesajın kaldırılması
    Windows NT ve NT satırındaki (2000, XP) sonraki sistemler, başlatma sırasında görüntülenen mesajı ayarlamanıza olanak tanır. Bu, bir dizi kötü amaçlı program tarafından kullanılır ve imha kötü amaçlı yazılım mesajın yok edilmesine neden olmaz.
    Kullanım endikasyonları: Sistem önyüklemesi sırasında yabancı bir mesaj verilir.
    8. Explorer ayarlarını geri yükleyin
    Bu ürün yazılımı, bir dizi Dosya Gezgini ayarını varsayılan ayarlara sıfırlar (kötü amaçlı yazılım tarafından değiştirilen ayarlar ilk sıfırlanır).
    Kullanım endikasyonları: Gezgin ayarları değiştirildi
    9. Sistem işlem hata ayıklayıcılarını kaldırma
    Bir sistem işlemi hata ayıklayıcısının kaydedilmesi, bir dizi kötü amaçlı program tarafından kullanılan uygulamanın görünmez bir şekilde başlatılmasına olanak tanır.
    Kullanım endikasyonları: AVZ, tanınmayan sistem süreci hata ayıklayıcılarını ve başlatma sorunlarını tespit ediyor sistem bileşenleriözellikle yeniden başlatmanın ardından masaüstü kaybolur.
    10.Güvenli Mod'da önyükleme ayarlarını geri yükleyin
    Bagle solucanı gibi bazı kötü amaçlı yazılımlar, Korumalı Mod'da sistem önyükleme ayarlarını bozar. Bu ürün yazılımı, korumalı modda önyükleme ayarlarını geri yükler.
    Kullanım endikasyonları: Bilgisayar güvenli modda (SafeMode) önyükleme yapmıyor. Bu ürün yazılımı kullanılmalıdır yalnızca korumalı modda önyüklemede sorun olması durumunda .
    11.Görev Yöneticisinin Kilidini Aç
    Görev Yöneticisi engellemesi, kötü amaçlı yazılımlar tarafından, süreçleri tespit edilmekten ve kaldırılmaktan korumak için kullanılır. Buna göre bu mikro programın çalıştırılması kilidi kaldırır.
    Kullanım endikasyonları: Görev Yöneticisi engellendi, görev yöneticisini aramaya çalıştığınızda "Görev Yöneticisi yönetici tarafından engellendi" mesajı görüntüleniyor.
    12. HijackThis Yoksayma Listesini Temizleme

    HijackThis yardımcı programı, bir dizi ayarını, özellikle de istisnaların bir listesini kayıt defterinde saklar. Bu nedenle, kendisini HijackThis'ten gizlemek için kötü amaçlı yazılımın yalnızca yürütülebilir dosyalar dışlama listesinde. Şu anda bir dizi kötü amaçlı programın bu güvenlik açığından yararlandığı bilinmektedir. AVZ Firmware, HijackThis yardımcı programının hariç tutma listesini temizler

    Kullanım endikasyonları: HijackThis yardımcı programının sistemle ilgili tüm bilgileri görüntülemediğine dair şüpheler.
    13. Temizlik ana bilgisayar dosyası
    Hosts dosyasını temizlemek, Hosts dosyasını bulmak, içindeki tüm önemli satırları kaldırmak ve standart "127.0.0.1 localhost" satırını eklemekten ibarettir.
    Kullanım endikasyonları: Hosts dosyasının kötü amaçlı yazılım tarafından değiştirildiğine dair şüpheler. Tipik belirtiler anti-virüs yazılımı güncellemelerinin engellenmesidir. AVZ'de yerleşik Hosts dosya yöneticisini kullanarak Hosts dosyasının içeriğini kontrol edebilirsiniz.
    14. SPl/LSP ayarlarının otomatik düzeltilmesi

    SPI ayarlarının analizini gerçekleştirir ve hata bulunması durumunda bulunan hataları otomatik olarak düzeltir. Bu ürün yazılımı sınırsız sayıda yeniden çalıştırılabilir. Bu ürün yazılımını çalıştırdıktan sonra bilgisayarınızı yeniden başlatmanız önerilir. Not! Bu ürün yazılımı bir terminal oturumundan çalıştırılamaz

    Kullanım endikasyonları: Kötü amaçlı yazılım kaldırıldıktan sonra İnternet erişimi kesildi.
    15. SPI/LSP ve TCP/IP ayarlarını sıfırlayın (XP+)

    Bu ürün yazılımı yalnızca XP, Windows 2003 ve Vista'da çalışır. Çalışma prensibi, SPI / LSP ve TCP / IP ayarlarının sıfırlanması ve yeniden oluşturulmasına dayanmaktadır. standart yardımcı program netsh Windows'a dahildir.Not! Fabrika ayarlarına sıfırlamayı yalnızca, kötü amaçlı yazılımları kaldırdıktan sonra İnternet erişiminde kurtarılamaz sorunlarla karşılaşırsanız kullanmalısınız!

    Kullanım endikasyonları: Kötü amaçlı programı kaldırdıktan sonra, İnternet erişimi ve ürün yazılımının yürütülmesi “14. SPl/LSP ayarlarının otomatik düzeltilmesi" çalışmıyor.
    16. Explorer başlatma anahtarını geri yükleme
    Dosya Gezgini'nin başlatılmasından sorumlu sistem kayıt defteri anahtarlarını geri yükler.
    Kullanım endikasyonları: Explorer sistem önyüklemesi sırasında başlamaz ancak explorer.exe'yi manuel olarak başlatmak mümkündür.
    17. Kayıt Defteri Düzenleyicisi'nin kilidini açın
    Çalışmasını engelleyen ilkeyi kaldırarak Kayıt Defteri Düzenleyicisi'nin kilidini açar.
    Kullanım endikasyonları: Kayıt Defteri Düzenleyicisi başlatılamıyor; denerken, başlatılmasının yönetici tarafından engellendiğini belirten bir mesaj görüntüleniyor.
    18. Yeniden inşayı tamamla SPI ayarları
    Gerçekleştirir destek olmak SPI / LSP ayarları, ardından bunları yok eder ve veritabanında saklanan standarda göre oluşturur.
    Kullanım endikasyonları: SPI ayarlarında, 14 ve 15 numaralı komut dosyaları tarafından onarılamayan ciddi hasar. Sadece gerekiyorsa başvurun!
    19. Temel MountPoint'leri temizleyin
    Kayıt defterindeki MountPoints ve MountPoints2 veritabanını temizler. Bu işlem genellikle Flash virüsü bulaştıktan sonra disklerin Explorer'da açılamaması durumunda yardımcı olur
    Kurtarmayı gerçekleştirmek için bir veya daha fazla öğeyi seçip "İşaretli işlemleri gerçekleştir" düğmesini tıklamalısınız. Tamam düğmesine tıklamak pencereyi kapatır.
    Bir notta:
    Sistemde bu tür yeniden yapılandırmalar gerçekleştiren bir Truva atı programı çalışıyorsa geri yükleme işe yaramaz; önce kötü amaçlı programı kaldırmanız ve ardından sistem ayarlarını geri yüklemeniz gerekir.
    Bir notta:
    Çoğu Korsanın izlerini ortadan kaldırmak için üç ürün yazılımı çalıştırmanız gerekir - "Internet Explorer arama ayarlarını standarda sıfırla", "Internet Explorer başlangıç ​​sayfasını geri yükle", "Internet Explorer protokol önek ayarlarını standarda sıfırla"
    Bir notta:

    Herhangi bir ürün yazılımı, sisteme zarar vermeden arka arkaya birkaç kez çalıştırılabilir. İstisnalar şunlardır: "5. Masaüstü ayarlarını geri yükleme" (bu ürün yazılımının çalıştırılması tüm masaüstü ayarlarını sıfırlayacaktır ve masaüstü renklendirmesini ve duvar kağıdını yeniden seçmeniz gerekecektir) ve "10. SafeMode'da önyükleme ayarlarını geri yükleme” (bu ürün yazılımı, güvenli modda önyüklemeden sorumlu kayıt defteri anahtarlarını yeniden oluşturur).

    Virüsleri kaldırmak ve sistemi geri yüklemek için mükemmel bir program AVZ'dir (Zaitsev Antivirus). Bağlantıları oluşturduktan sonra turuncu butona tıklayarak AVZ'yi indirebilirsiniz.Virüs indirmeyi engelliyorsa anti-virüs paketinin tamamını indirmeyi deneyin!

    AVZ'nin temel özellikleri virüs tespiti ve kaldırılmasıdır.

    AVZ anti-virüs yardımcı programı aşağıdakileri tespit etmek ve kaldırmak için tasarlanmıştır:

    • SpyWare ve AdWare modülleri - yardımcı programın ana amacı budur
    • Çevirici (Trojan.Dialer)
    • Truva atları
    • BackDoor modülleri
    • Ağ ve posta solucanları
    • TrojanSpy, TrojanDownloader, TrojanDropper

    Yardımcı program, TrojanHunter ve LavaSoft Ad-aware 6 programlarının doğrudan bir analogudur. Programın birincil görevi, casus yazılım temizleme Ve Truva atları.

    Özellikler AVZ yardımcı programları(tipik imza tarayıcısının yanı sıra):

    • Sezgisel sistem ürün yazılımını kontrol eder. Firmware, kayıt defterinin, diskteki ve bellekteki dosyaların analizine dayanarak bilinen SpyWare'leri ve virüsleri dolaylı işaretlerle arar.
    • Güvenli dosyaların güncellenmiş veritabanı. On binlerce sistem dosyasının ve bilinen güvenli işlemlerin dosyalarının dijital imzalarını içerir. Veritabanı tüm AVZ sistemlerine bağlıdır ve "dost/düşman" prensibiyle çalışır - güvenli dosyalar karantinaya alınmaz, silinme ve uyarılar onlar için engellenir, veritabanı bir anti-rootkit, bir dosya arama sistemi ve çeşitli tarafından kullanılır analizörler. Özellikle yerleşik süreç yöneticisi, güvenli süreçleri ve hizmetleri renklerle vurgular; diskteki dosyaların aranması, bilinen dosyaları aramanın dışında bırakabilir (bu, diskte Truva atlarını ararken çok faydalıdır);
    • Dahili Rootkit tespit sistemi. RootKit araması, temel çalışmalara dayanan imzalar uygulanmadan gerçekleşir. sistem kütüphaneleri fonksiyonlarını engellemek için. AVZ yalnızca RootKit'i tespit etmekle kalmaz, aynı zamanda UserMode RootKit'in işlemi için ve KernelMode RootKit'in sistem düzeyinde çalışmasını doğru şekilde engeller. RootKit muhalefeti her şeyi kapsıyor servis fonksiyonları AVZ, sonuç olarak AVZ tarayıcısı maskelenmiş işlemleri algılayabilir, kayıt defteri arama sistemi maskelenmiş anahtarları "görür" vb. Anti-rootkit, RootKit tarafından maskelenen işlemleri ve hizmetleri tespit eden bir analizör ile donatılmıştır. Bana göre RootKit karşı eylem sisteminin ana özelliklerinden biri, Win9X'te çalışabilirliğidir (Win9X platformunda çalışan RootKit'in bulunmadığına dair yaygın görüş son derece hatalıdır - yüzlerce Truva atının, API işlevlerini maskelemek için API işlevlerine müdahale ettiği bilinmektedir). varlığını çarpıtmak API çalışması işlevleri veya kullanımlarını izleme). Diğer bir özellik ise Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1 altında çalışan evrensel KernelMode RootKit algılama ve engelleme sistemidir.
    • Keylogger ve Trojan DLL dedektörü. Keylogger ve Trojan DLL'lerinin aranması, imza veri tabanı kullanılmadan sistemin analizine dayanmaktadır; bu, daha önce bilinmeyen Trojan DLL'lerinin ve Keylogger'ın güvenilir bir şekilde tespit edilmesini mümkün kılar;
    • Nöroanalizör. İmza analizörüne ek olarak AVZ, şüpheli dosyaları bir sinir ağı kullanarak analiz etmenize olanak tanıyan bir nöroemülatör içerir. Şu anda keylogger dedektöründe sinir ağı kullanılıyor.
    • Winsock SPI/LSP ayarlarının yerleşik analizörü. Ayarları analiz etmenize, tanılamanıza olanak tanır olası hatalar kurulumda ve otomatik tedaviyi gerçekleştirin. Otomatik teşhis ve tedavi olanağı acemi kullanıcılar için faydalıdır (LSPFix gibi yardımcı programlarda otomatik tedavi yoktur). SPI/LSP'yi manuel olarak incelemek için programda özel bir LSP/SPI ayar yöneticisi bulunur. Winsock SPI/LSP analizörünün çalışması bir anti-rootkit'ten etkilenir;
    • Süreçlerin, hizmetlerin ve sürücülerin yerleşik yöneticisi. Keşfedilmek üzere tasarlandı çalışan süreçler ve yüklü kitaplıklar, çalışan hizmetler ve sürücüler. Süreç yöneticisinin çalışması anti-rootkit'ten etkilenir (sonuç olarak rootkit tarafından maskelenen süreçleri "görür"). Süreç yöneticisi AVZ güvenli dosyalar veritabanına bağlanır; tanınan kasa ve sistem dosyaları renkli olarak vurgulanır;
    • Diskteki dosyaları aramak için yerleşik yardımcı program. Bir dosyayı çeşitli kriterlere göre aramanıza olanak tanır; arama sisteminin yetenekleri, sistem aramasının yeteneklerinden daha üstündür. Arama sisteminin çalışması, anti-rootkit'ten etkilenir (sonuç olarak, arama, rootkit tarafından maskelenen dosyaları "görür" ve bunları silebilir), filtre, AVZ tarafından aşağıdaki gibi tanımlanan dosyaları arama sonuçlarından hariç tutmanıza olanak tanır: güvenli. Arama sonuçları bir metin protokolü olarak mevcuttur ve tablo formu bir grup dosyayı daha sonra silmek veya karantinaya almak üzere işaretleyebileceğiniz
    • Kayıt defterinde veri aramak için yerleşik yardımcı program. Belirli bir desene göre anahtarları ve parametreleri aramanıza olanak tanır; arama sonuçları, bir metin protokolü biçiminde ve birkaç anahtarın dışa aktarma veya silme için işaretlenebildiği bir tablo biçiminde mevcuttur. Arama sisteminin çalışması, anti-rootkit'ten etkilenir (sonuç olarak, arama, rootkit tarafından maskelenen kayıt defteri anahtarlarını "görür" ve bunları silebilir)
    • Açık TCP/UDP bağlantı noktalarının yerleşik analizörü. Anti-rootkit'ten etkilenir, Windows XP'de her bağlantı noktası için bağlantı noktasını kullanan işlem görüntülenir. Analizör, bilinen Truva Atı/Arka Kapı bağlantı noktaları ve bilinen sistem hizmetlerinden oluşan güncellenmiş bir veritabanına güvenir. Truva atı bağlantı noktalarının aranması, ana sistem kontrol algoritmasına dahil edilir; şüpheli bağlantı noktaları tespit edildiğinde, günlükte hangi Truva atlarının bu bağlantı noktasını kullanma eğiliminde olduğunu gösteren uyarılar görüntülenir.
    • Dahili analizör ortak kaynaklar, ağ oturumları ve ağ üzerinden açılan dosyalar. Win9X ve Nt/W2K/XP'de çalışır.
    • Dahili analizör İndirildi Program dosyaları(DPF) - tüm AVZ sistemlerine bağlı DPF öğelerini görüntüler.
    • Sistem kurtarma ürün yazılımı. Bellenim geri yüklemeleri gerçekleştirir İnternet ayarları Explorer, program başlatma seçenekleri ve diğerleri sistem parametreleri kötü amaçlı yazılım tarafından bozulmuş. Restorasyon manuel olarak başlatılır, geri yüklenecek parametreler kullanıcı tarafından belirlenir.
    • Sezgisel dosya silme. Özü, tedavi sırasında kaldırılmış olması gerçeğinde yatmaktadır. kötü amaçlı dosyalar ve bu seçenek etkinleştirildiğinde, sınıfları, BHO, IE ve Explorer uzantılarını, AVZ, Winlogon, SPI / LSP vb. için mevcut tüm otomatik çalıştırma türlerini kapsayan sistemin otomatik bir incelemesi gerçekleştirilir. Silinen bir dosyaya ilişkin bulunan tüm referanslar otomatik olarak temizlenir ve tam olarak neyin temizlendiğine ve günlüğe nereye girildiğine ilişkin bilgiler. Bu temizlik için sistem arıtma mikroprogram motoru aktif olarak kullanılmaktadır;
    • Arşivleri kontrol ediyorum. 3.60 sürümünden itibaren AVZ, arşivlerin ve bileşik dosyaların taranmasını destekler. Arşivler şu anda kontrol ediliyor. Posta biçimi, RAR, CAB, GZIP, TAR; e-postalar ve MHT dosyaları; CHM arşivleri
    • NTFS akışlarını kontrol etme ve işleme. NTFS akışlarının kontrol edilmesi, sürüm 3.75'ten beri AVZ'ye dahil edilmiştir
    • Kontrol komut dosyaları. Yöneticinin, kullanıcının bilgisayarında belirli bir dizi işlemi gerçekleştiren bir komut dosyası yazmasına olanak tanır. Komut dosyaları AVZ'yi kullanmanıza olanak tanır Şirket ağı, sistem önyüklemesi sırasında başlatılması da dahil.
    • Süreç Analizörü. Analizör sinir ağlarını ve analiz donanım yazılımını kullanır, gelişmiş analiz maksimum buluşsal düzeyde etkinleştirildiğinde etkinleştirilir ve bellekteki şüpheli süreçleri aramak üzere tasarlanmıştır.
    • AVZGuard sistemi. Kaldırılması zor kötü amaçlı yazılımlara karşı savaşmak üzere tasarlanan AVZ'ye ek olarak, diğer casus yazılım önleme ve virüsten koruma programları gibi kullanıcıya özel uygulamaları da koruyabilir.
    • Sistem doğrudan erişim Kilitli dosyalarla çalışmak için diske. FAT16/FAT32/NTFS üzerinde çalışır, NT serisinin tüm işletim sistemlerinde desteklenir, tarayıcının kilitli dosyaları analiz etmesine ve bunları karantinaya almasına olanak tanır.
    • AVZPM süreci ve sürücü izleme sürücüsü. İşlemlerin başlangıcını ve bitişini takip etmek ve sürücülerin yüklenmesini/boşaltılmasını izlemek, maskelenen sürücüleri aramak ve DKOM rootkit'leri tarafından oluşturulan süreçleri ve sürücüleri tanımlayan yapılardaki bozulmaları tespit etmek üzere tasarlanmıştır.
    • Önyükleme Temizleyici sürücüsü. KernelMode'dan sistemi temizlemek (dosyaları, sürücüleri ve hizmetleri, kayıt defteri anahtarlarını kaldırmak) için tasarlanmıştır. Temizleme işlemi hem bilgisayarı yeniden başlatma sürecinde hem de tedavi sırasında gerçekleştirilebilir.

    Sistem ayarlarını geri yükleme.

    • Başlatma seçenekleri.exe .com .pif dosyasını onarın
    • IE ayarlarını sıfırla
    • Masaüstü Ayarlarını Geri Yükleme
    • Tüm kullanıcı kısıtlamalarının kaldırılması
    • Winlogon'da bir mesajı silme
    • Dosya Gezgini Ayarlarını Geri Yükleme
    • Sistem işlemi hata ayıklayıcılarını kaldırma
    • Güvenli Mod Önyükleme Ayarlarını Geri Yükleme
    • Görev Yöneticisinin Kilidini Aç
    • Ana bilgisayar dosyasını temizleme
    • SPI/LSP Ayarlarını Düzeltme
    • SPI/LSP ve TCP/IP ayarlarını sıfırlayın
    • Kayıt Defteri Düzenleyicisinin Kilidini Açma
    • MountPoints anahtarlarını temizleme
    • DNS sunucularını değiştirme
    • IE/EDGE sunucusu için proxy ayarını kaldırma
    • Google Kısıtlamalarını Kaldırma


    Programın araçları:

    • Süreç Yöneticisi
    • Servis ve Sürücü Yöneticisi
    • Çekirdek alanı modülleri
    • Dahili DLL Yöneticisi
    • Kayıt Arama
    • Dosya araması
    • Çereze göre ara
    • Başlangıç ​​Yöneticisi
    • Tarayıcı uzantısı yöneticisi
    • Kontrol Paneli Uygulama Yöneticisi (cpl)
    • Dosya Gezgini Uzantı Yöneticisi
    • Yazdırma Uzantısı Yöneticisi
    • Görev Zamanlayıcı Yöneticisi
    • Protokol ve işleyici yöneticisi
    • DPF yöneticisi
    • Aktif Kurulum Yöneticisi
    • Winsock SPI Yöneticisi
    • Ana Bilgisayar Dosya Yöneticisi
    • TCP/UDP bağlantı noktası yöneticisi
    • Genel Müdür ağ kaynakları ve ağ bağlantıları
    • Bir dizi sistem yardımcı programı
    • Bir dosyayı güvenli dosyalar veritabanına göre kontrol etme
    • Bir dosyayı Microsoft Güvenlik Kataloğuna göre kontrol etme
    • Dosyaların MD5 toplamlarını hesaplama

    İşte bilgisayarınızı çeşitli enfeksiyonlardan kurtarmak için oldukça büyük bir set!

    Benim en iyi arkadaş beni virüslerin ciddi şekilde yürüdüğü bir netbook'u görmeye getirdi ve benden sistemi hayvanat bahçesinden temizlememe yardım etmemi istedi. İlk defa kötü amaçlı yazılımların geliştirilmesinde kendi gözlerimle komik bir dal gördüm: “fidye yazılımı”. Bu tür programlar işletim sisteminin bazı işlevlerini engeller ve kilit açma kodunu almak için SMS mesajı göndermenizi gerektirir. Tedavinin o kadar da önemsiz olmadığı ortaya çıktı ve bu hikayenin belki birilerinin bazı sinir hücrelerini kurtarabileceğini düşündüm. Tedavi sırasında ihtiyaç duyulan tüm sitelere ve yardımcı programlara bağlantılar sağlamaya çalıştım.

    İÇİNDE bu durum virüs bir anti-virüs gibi davrandı İnternet programı Güvenlik ve K207815200'den 4460'a SMS gönderilmesi gerekiyor. Kaspersky Lab web sitesinde fidye yazılımı yanıt kodları oluşturmanıza olanak tanıyan bir sayfa vardır: support.kaspersky.ru/viruses/deblocker

    Bununla birlikte, kodun tanıtılmasından sonra işletim sistemi işlevleri engellenmeye devam etti ve herhangi bir anti-virüs programının başlatılması, anti-virüsün çalışmasını özenle taklit eden bir virüs penceresinin anında açılmasına yol açtı:

    Önyükleme girişimleri güvenli modlar tamamen aynı sonuca yol açtı. Her şey için şifrelerin bulunması da meseleyi daha da karmaşık hale getirdi. Hesaplar yöneticiler boştu ve yöneticilerin ağda boş parolayla oturum açması, ilke tarafından varsayılan olarak devre dışı bırakıldı.
    Şu adresten indirmem gerekiyordu: Flash bellek disk (bir netbook'un tanımı gereği bir disk sürücüsü yoktur). Önyüklenebilir bir USB sürücüsü oluşturmanın en kolay yolu:
    1. Diski NTFS'de biçimlendirin
    2. Bölümü aktif hale getirin (disk bölümü -> disk x'i seçin -> x bölümünü seçin -> aktif)
    3. Vista/Windows 2008/Windows 7 dağıtımındaki \boot\bootsect.exe yardımcı programını kullanın: bootect /nt60 X: /mbr
    4. Tüm dağıtım dosyalarını kopyalayın (benim Windows dağıtımı 2008) bir USB diske. Her şey yüklenebilir.

    İşletim sistemini kurmamıza gerek olmadığı, ancak virüsleri tedavi ettiğimiz için, bir dizi ücretsiz tedaviyi (AVZ, CureIt) ve yardımcı yardımcı programları (ileriye baktığımda, Mark Russinovich'ten Streams'e ihtiyacım vardı) ve Far'ı diske kopyalıyoruz. Netbook'u yeniden başlatıyoruz, BIOS'u USB'den önyükleme yapacak şekilde ayarlıyoruz.

    Windows 2008 yükleyicisi yüklendi, dil seçimini kabul ediyoruz, Şimdi yükle ve ardından Shift + F10 tuşlarına basın. Bir pencere belirir Komut satırı buradan başlatabiliriz antiviral ajanlar ve sistem sürücüsünde enfeksiyon olup olmadığına bakın. Burada bir zorlukla karşılaştım, CureIt NTFS ile çalışma hatasına küfrederek sistemi mavi ölüm ekranına düşürdü ve AVZ her ne kadar çalışsa da hiçbir şey bulamadı. Görünüşe göre virüs çok çok taze. Tek ipucu, dosyalardan biri için ek bir NTSF akışında yürütülebilir kodun bulunduğunu belirten bir AVZ mesajıdır. Windows dizini. Bu bana garip ve şüpheli geldi, çünkü çok özel durumlarda ek NTFS akışları kullanılıyor ve normal makinelerde çalıştırılabilir hiçbir şeyin orada saklanmaması gerekiyor.

    Bu yüzden Akışlar yardımcı programını (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) Mark'tan indirmem ve bu akışı silmem gerekiyordu. Boyutu 126464 bayttı, tıpkı virüsün sisteme takılan flash sürücülere yerleştirdiği dll dosyaları gibi.

    Daha sonra Far'ın yardımıyla tüm alanı aradım. sistem diski aynı boyuttaki dosyalar için son 2-3 gün içinde oluşturulmuş 5 veya 6 şüpheli dosya daha bulundu. Aynı şekilde kaldırıldılar. Bundan sonra CureIt çalışmayı başardı (görünüşe göre ek konulara rastladı) ve iki truva atını daha başarıyla temizledi :)

    Yeniden başlatmanın ardından her şey çalıştı, ek çalıştırmalar virüs tarayıcıları hiçbir şey bulunamadı. AVZ'nin yardımıyla işletim sisteminin işlevlerini sınırlayan politikalar geri yüklendi. Bir arkadaşıma, özellikle de çok sayıda ücretsiz antivirüs kullanmanın ne kadar önemli olduğu konusunda katı bir öneride bulunuldu (

    Devamını oku: