Programy antywirusowe, nawet podczas wykrywania i usuwania złośliwego oprogramowania, nie zawsze przywracają pełną funkcjonalność systemu. Często po usunięciu wirusa użytkownik komputera dostaje pusty pulpit, całkowity brak dostępu do Internetu (lub blokowanie dostępu do niektórych witryn), niedziałającą myszkę itp. Jest to zwykle spowodowane faktem, że niektóre ustawienia systemu lub użytkownika zmienione przez złośliwe oprogramowanie pozostały nienaruszone.

Narzędzie jest bezpłatne, działa bez instalacji, jest zaskakująco funkcjonalne i pomogło mi w różnych sytuacjach. Wirus z reguły dokonuje zmian w rejestrze systemowym (dodając go do uruchamiania, modyfikując parametry uruchamiania programu itp.). Aby nie zagłębiać się w system i ręcznie naprawiać śladów wirusa, należy skorzystać z dostępnej w AVZ operacji „przywracania systemu” (chociaż narzędzie jest bardzo, bardzo dobre jako antywirus, dobrym pomysłem jest nawet sprawdzenie dysków dla wirusów za pomocą narzędzia).

Aby rozpocząć odzyskiwanie, uruchom narzędzie. Następnie kliknij Plik - Przywracanie systemu

i takie okno się przed nami otworzy

zaznacz pola wyboru, których potrzebujemy i kliknij „Wykonaj zaznaczone operacje”

To oprogramowanie przywraca odpowiedź systemu na pliki exe, com, pif, scr.

Wskazania do stosowania: po usunięciu wirusa programy przestają działać.

To oprogramowanie przywraca ustawienia prefiksu protokołu w przeglądarce Internet Explorer

Wskazania do stosowania: po wpisaniu adresu takiego jak www.yandex.ru jest on zastępowany przez coś takiego jak www.seque.com/abcd.php?url=www.yandex.ru

To oprogramowanie przywraca stronę startową w przeglądarce Internet Explorer

Wskazania do stosowania: zmiana strony startowej

To oprogramowanie przywraca ustawienia wyszukiwania w przeglądarce Internet Explorer

Wskazania do stosowania: Po kliknięciu przycisku „Szukaj” w IE następuje wywołanie obcej witryny

To oprogramowanie przywraca ustawienia pulpitu. Przywrócenie polega na usunięciu wszystkich aktywnych elementów ActiveDesctop, tapet, usunięciu blokad w menu odpowiedzialnym za ustawienia pulpitu.

Wskazania do stosowania: Zniknęły zakładki ustawień pulpitu w oknie „Właściwości wyświetlania”, na pulpicie są wyświetlane obce napisy lub rysunki

System Windows udostępnia mechanizm ograniczania działań użytkownika o nazwie Zasady. Ta technologia jest używana przez wiele złośliwych programów, ponieważ ustawienia są przechowywane w rejestrze i można je łatwo tworzyć lub modyfikować.

Wskazania do stosowania: Funkcje Eksploratora plików lub inne funkcje systemowe są zablokowane.

Windows NT i kolejne systemy w linii NT (2000, XP) pozwalają ustawić komunikat wyświetlany podczas uruchamiania. Jest to wykorzystywane przez wiele szkodliwych programów, a zniszczenie szkodliwego programu nie prowadzi do zniszczenia tej wiadomości.

Wskazania do stosowania: Podczas uruchamiania systemu pojawia się dodatkowy komunikat.

To oprogramowanie układowe resetuje szereg ustawień Eksploratora plików do ustawień domyślnych (ustawienia zmienione przez złośliwe oprogramowanie są resetowane jako pierwsze).

Wskazania do stosowania: Zmieniono ustawienia Eksploratora

Zarejestrowanie debuggera procesów systemowych pozwoli na niewidoczne uruchamianie aplikacji, co jest wykorzystywane przez wiele szkodliwych programów.

Wskazania do stosowania: AVZ wykrywa nierozpoznane debuggery procesów systemowych, problemy z uruchamianiem komponentów systemu, w szczególności pulpit znika po ponownym uruchomieniu.

Niektóre złośliwe oprogramowanie, takie jak robak Bagle, uszkadza ustawienia uruchamiania systemu w trybie chronionym. To oprogramowanie wewnętrzne przywraca ustawienia rozruchu w trybie chronionym.

Wskazania do stosowania: .

Blokowanie Menedżera zadań jest używane przez złośliwe oprogramowanie do ochrony procesów przed wykryciem i usunięciem. W związku z tym wykonanie tego mikroprogramu usuwa blokadę.

Wskazania do stosowania: Zablokowany menedżer zadań, przy próbie połączenia się z menedżerem zadań wyświetlany jest komunikat „Menedżer zadań został zablokowany przez administratora”.

Narzędzie HijackThis przechowuje w rejestrze szereg swoich ustawień, w szczególności listę wykluczeń. Dlatego, aby ukryć się przed HijackThis, złośliwe oprogramowanie musi jedynie zarejestrować swoje pliki wykonywalne na liście wykluczeń. Obecnie wiadomo, że wiele szkodliwych programów wykorzystuje tę lukę. Oprogramowanie sprzętowe AVZ czyści listę wykluczeń narzędzia HijackThis

Wskazania do stosowania: Podejrzenia, że ​​narzędzie HijackThis nie wyświetla wszystkich informacji o systemie.

13. Porządkowanie pliku Hosts

Czyszczenie pliku Hosts sprowadza się do znalezienia pliku Hosts, usunięcia z niego wszystkich istotnych linii i dodania standardowej linii „127.0.0.1 localhost”.

Wskazania do stosowania: Podejrzenia, że plik hosts zmodyfikowane przez złośliwe oprogramowanie. Typowe symptomy to blokowanie aktualizacji oprogramowania antywirusowego. Możesz kontrolować zawartość pliku Hosts za pomocą menedżera plików Hosts wbudowanego w AVZ.

Przeprowadza analizę ustawień SPI i, jeśli zostaną znalezione błędy, automatycznie je poprawia. To oprogramowanie układowe można ponownie uruchamiać nieograniczoną liczbę razy. Zaleca się ponowne uruchomienie komputera po uruchomieniu tego oprogramowania.

Wskazania do stosowania: Dostęp do Internetu został utracony po usunięciu złośliwego oprogramowania.

To oprogramowanie działa tylko na XP, Windows 2003 i Vista. Jego zasada działania opiera się na resetowaniu i odtwarzaniu ustawień SPI/LSP i TCP/IP za pomocą standardowego narzędzia netsh dołączonego do systemu Windows. Notatka! Zresetuj do ustawień fabrycznych tylko wtedy, gdy to konieczne, jeśli masz nieodwracalne problemy z dostępem do Internetu po usunięciu złośliwego oprogramowania!

Wskazania do stosowania: Po usunięciu szkodliwego programu dostęp do Internetu i wykonanie oprogramowania „14. Automatyczna korekta ustawień Spl/LSP” nie działa.

Przywraca klucze rejestru systemowego odpowiedzialne za uruchomienie Eksploratora plików.

Wskazania do stosowania: Eksplorator nie uruchamia się podczas uruchamiania systemu, ale możliwe jest ręczne uruchomienie programu explorer.exe.

Odblokowuje Edytor rejestru, usuwając zasadę, która uniemożliwia jego uruchomienie.

Wskazania do stosowania: Nie można uruchomić Edytora rejestru, podczas próby wyświetla się komunikat informujący, że jego uruchomienie zostało zablokowane przez administratora.

Wykonuje kopię zapasową ustawień SPI/LSP, następnie niszczy je i tworzy zgodnie ze standardem zapisanym w bazie danych.

Wskazania do stosowania:

Czyści bazę danych MountPoints i MountPoints2 w rejestrze. Operacja ta często pomaga w przypadku, gdy po infekcji wirusem Flash nie można otworzyć dysków w Eksploratorze

Aby przeprowadzić odzyskiwanie, musisz wybrać jeden lub więcej elementów i kliknąć przycisk „Wykonaj zaznaczone operacje”. Kliknięcie przycisku OK zamyka okno.

Notatka:

Odzyskiwanie jest bezużyteczne, jeśli w systemie działa trojan, który przeprowadza takie rekonfiguracje - musisz najpierw usunąć złośliwy program, a następnie przywrócić ustawienia systemu

Notatka:

Aby wyeliminować ślady większości porywaczy, musisz uruchomić trzy oprogramowanie układowe - "Zresetuj ustawienia wyszukiwania Internet Explorer do standardowych", "Przywróć stronę startową Internet Explorer", "Zresetuj ustawienia prefiksu protokołu Internet Explorer do standardowych"

Notatka:

Każde oprogramowanie układowe można uruchomić kilka razy z rzędu bez uszkodzenia systemu. Wyjątkami są „5. Przywracanie ustawień pulpitu” (działanie tego oprogramowania spowoduje zresetowanie wszystkich ustawień pulpitu i będziesz musiał ponownie wybrać kolorystykę i tapetę pulpitu) oraz „10. Przywracanie ustawień rozruchu w trybie awaryjnym” (to oprogramowanie układowe odtwarza klucze rejestru odpowiedzialne za rozruch w trybie awaryjnym).

Tak jak

Tak jak

ćwierkać

Są programy uniwersalne, takie jak nóż szwajcarski. Bohater mojego artykułu jest właśnie takim „uniwersałem”. Jego imię to AVZ(Antywirus Zajcew). Z pomocą tego darmowy Możesz złapać antywirusa i wirusy, zoptymalizować system i naprawić problemy.

Funkcje AVZ

Mówiłem już o tym, że jest to program antywirusowy w. Działanie AVZ jako jednorazowego programu antywirusowego (a dokładniej anty-rootkita) jest dobrze opisane w jego pomocy, ale pokażę ci drugą stronę programu: sprawdzanie i przywracanie ustawień.

Co można „naprawić” za pomocą z pomocą AVZ:

• Napraw programy startowe (pliki .exe, .com, .pif)
• Zresetuj ustawienia Internet Explorera do domyślnych
• Przywróć ustawienia pulpitu
• Usuń ograniczenia praw (na przykład, jeśli wirus zablokował uruchamianie programów)
• Usuń baner lub okno, które pojawia się przed zalogowaniem
• Usuń wirusy, które mogą działać z dowolnym programem
• Odblokuj Menedżera zadań i Edytor rejestru (jeśli wirus uniemożliwił ich uruchomienie)
• Wyczyść plik
• Wyłącz automatyczne uruchamianie programów z dysków flash i dysków
• Usuń niepotrzebne pliki z twardy dysk
• Napraw problemy z pulpitem
• I wiele więcej

Może być również używany do sprawdzania bezpieczeństwa ustawień systemu Windows (w celu lepszej ochrony przed wirusami), a także do optymalizacji systemu poprzez czyszczenie uruchamiania.

Znajduje się strona pobierania AVZ.

Program jest bezpłatny.

Najpierw chrońmy nasz Windows przed nieostrożnymi działaniami

Program AVZ ma bardzo wiele funkcji wpływających na działanie systemu Windows. to niebezpieczny, ponieważ w przypadku błędu mogą wystąpić kłopoty. Przeczytaj uważnie tekst i pomóż, zanim cokolwiek zrobisz. Autor artykułu nie ponosi odpowiedzialności za Twoje działania.

Aby móc „zwrócić wszystko tak, jak było” po nieostrożnej pracy z AVZ, napisałem ten rozdział.

Jest to obowiązkowy krok, w rzeczywistości tworzenie „odwrotu” w przypadku nieostrożnych działań - dzięki punktowi przywracania możliwe będzie przywrócenie ustawień, rejestru systemu Windows do wcześniejszego stanu.

Odzyskiwanie systemu Windows jest wymaganym składnikiem wszystkich wersji systemu Windows, począwszy od systemu Windows ME. Szkoda, że ​​zwykle o tym nie pamiętają i marnują czas na ponowną instalację systemu Windows i programów, chociaż udało się po prostu kliknąć kilka razy myszą i uniknąć wszelkich problemów.

Jeśli uszkodzenie jest poważne (na przykład niektóre pliki systemowe zostały usunięte), Przywracanie systemu nie pomoże. W innych przypadkach - jeśli nieprawidłowo skonfigurujesz system Windows, "oszukasz" rejestr, zainstalowałeś program, z którego system Windows się nie uruchamia, niepoprawnie użyłeś programu AVZ - "Przywracanie systemu" powinno pomóc.

Po pracy AVZ tworzy podfoldery z kopiami zapasowymi w swoim folderze:

/utworzyć kopię zapasową- tam przechowywane są kopie zapasowe rejestru.

/Zainfekowany- kopie usuniętych wirusów.

/kwarantanna- kopie podejrzanych plików.

Jeśli problemy zaczęły się po uruchomieniu AVZ (na przykład bezmyślnie użyłeś narzędzia AVZ System Restore i Internet przestał działać), a funkcja przywracania systemu Windows nie cofnęła dokonanych zmian, możesz otworzyć kopie zapasowe rejestru z folderu utworzyć kopię zapasową.

Jak utworzyć punkt przywracania

Chodźmy do Start - Panel sterowania - System - Ochrona systemu:

Kliknij „Ochrona systemu” w oknie „System”.

Naciśnij przycisk „Utwórz”.

Proces tworzenia punktu przywracania może potrwać do dziesięciu minut. Następnie pojawi się okno:

Zostanie utworzony punkt przywracania. Nawiasem mówiąc, są one tworzone automatycznie podczas instalowania programów i sterowników, ale nie zawsze. Dlatego przed niebezpiecznymi czynnościami (konfiguracja, czyszczenie systemu) lepiej jeszcze raz utworzyć punkt przywracania, aby pochwalić się za dalekowzroczność w razie problemów.

Jak przywrócić komputer za pomocą punktu przywracania

Istnieją dwie opcje uruchamiania Przywracania systemu - z poziomu systemu Windows i przy użyciu płyty instalacyjnej.

Opcja 1 - jeśli Windows się uruchomi

Chodźmy do Start - Wszystkie programy - Akcesoria - Narzędzia systemowe - Przywracanie systemu:

zacznie się Wybierz inny punkt przywracania i naciśnij Dalej. Otworzy się lista punktów przywracania. Wybierz ten, którego potrzebujesz:

Komputer automatycznie uruchomi się ponownie. Po pobraniu wszystkie ustawienia, jego rejestr i niektóre ważne pliki zostaną przywrócone.

Opcja 2 — jeśli system Windows nie uruchamia się

Potrzebujesz dysku "instalacyjnego" z Windows 7 lub Windows 8. Skąd go pobrać (lub pobrać), pisałem.

Uruchamiamy system z dysku (jak napisano uruchamianie z dysków startowych) i wybieramy:

Wybierz „Przywracanie systemu” zamiast instalować system Windows

Naprawa systemu po wirusach lub nieudolnych działaniach z komputerem

Przed wszystkimi działaniami pozbądź się wirusów, na przykład używając. W przeciwnym razie nie będzie to miało sensu - poprawione ustawienia zostaną ponownie "zepsute" przez uruchomionego wirusa.

Ponowne uruchamianie programów

Jeśli wirus zablokował uruchamianie jakichkolwiek programów, AVZ ci pomoże. Oczywiście musisz również uruchomić sam AVZ, ale jest to całkiem proste:

Najpierw idziemy do Panel sterowania- ustaw dowolny typ widoku, z wyjątkiem kategorii - Ustawienia folderów - Pogląd- odznacz Ukryj rozszerzenia dla zarejestrowanych typów plików - OK. Teraz każdy plik ma rozbudowa- kilka znaków po ostatniej kropce w nazwie. Programy zwykle .exe oraz .com. Aby uruchomić program antywirusowy AVZ na komputerze, na którym programy są zabronione, zmień nazwę rozszerzenia na cmd lub pif:

Wtedy rozpocznie się AVZ. Następnie w samym oknie programu naciśnij Plik - :

Punkty, na które należy zwrócić uwagę:

1. Przywróć pliki uruchamiania options.exe, .com, .pif(faktycznie rozwiązuje problem z uruchomionymi programami)

6. Usuń wszystkie zasady (ograniczenia) bieżącego użytkownika(w niektórych rzadkich przypadkach ta pozycja pomaga również rozwiązać problem z uruchamianiem programów, jeśli wirus jest bardzo szkodliwy)

9. Usuwanie debugerów procesów systemowych(bardzo pożądane jest odnotowanie tego elementu, ponieważ nawet jeśli sprawdziłeś system za pomocą programu antywirusowego, coś może pozostać z wirusa. Pomaga również, jeśli Pulpit nie pojawia się po uruchomieniu systemu)

Potwierdzamy akcję, pojawia się okno z tekstem „Przywracanie systemu zakończone”. Następnie pozostaje ponownie uruchomić komputer - problem z uruchamianiem programów zostanie rozwiązany!

Odzyskiwanie uruchamiania komputera stacjonarnego

Wystarczająco powszechny problem- Pulpit nie pojawia się podczas uruchamiania systemu.

Biegać Pulpit możesz to zrobić: naciśnij Ctrl + Alt + Del, uruchom Menedżera zadań, tam wciskamy Plik - Nowe zadanie (Uruchom...) - wejść explorer.exe:

OK- Uruchomi się pulpit. Ale to tylko tymczasowe rozwiązanie problemu - następnym razem, gdy włączysz komputer, będziesz musiał wszystko powtórzyć.

Aby nie robić tego za każdym razem, musisz przywrócić klawisz uruchamiania programu poszukiwacz(„Explorer”, który odpowiada za standardowe przeglądanie zawartości folderów i pracę Pulpitu). W AVZ naciskamy Plik- i zaznacz przedmiot

Wykonaj zaznaczone operacje, potwierdź czynność, naciśnij OK. Teraz po uruchomieniu komputera pulpit uruchomi się normalnie.

Odblokuj Menedżera zadań i Edytor rejestru

Jeśli wirus zablokował uruchomienie dwóch wyżej wymienionych programów, zakaz można usunąć za pomocą okna programu AVZ. Sprawdź tylko dwie rzeczy:

11. Odblokuj Menedżera zadań

17. Odblokuj Edytor rejestru

I naciśnij Wykonaj zaznaczone operacje.

Problemy z Internetem (Vkontakte, Odnoklassniki i witryny antywirusowe nie otwierają się)

Czyszczenie systemu z niepotrzebnych plików

Programy AVZ może wyczyścić komputer z niepotrzebnych plików. Jeśli program do czyszczenia dysku twardego nie jest zainstalowany na komputerze, zrobi to AVZ, ponieważ istnieje wiele możliwości:

Więcej o punktach:

1. Wyczyść pamięć podręczną systemu Prefetch- czyszczenie folderu z informacją o tym, które pliki należy wcześniej załadować, aby szybko uruchomić programy. Ta opcja jest bezużyteczna, ponieważ sam system Windows z powodzeniem monitoruje folder Prefetch i czyści go w razie potrzeby.
2. Usuń pliki dziennika systemu Windows- możesz wyczyścić różne bazy danych i pliki, które przechowują różne zapisy zdarzeń występujących w systemie operacyjnym. Ta opcja jest przydatna, jeśli chcesz zwolnić kilkanaście lub dwa megabajty miejsca na dysku twardym. Oznacza to, że korzyści z używania są skąpe, opcja jest bezużyteczna.
3. Usuń pliki zrzutu pamięci- w przypadku wystąpienia błędów krytycznych Windows przestaje działać i wyświetla BSOD (niebieski ekran śmierci), jednocześnie zapisując informacje o uruchomione programy oraz sterowniki do pliku w celu dalszej analizy przez specjalne programy w celu zidentyfikowania sprawcy awarii. Ta opcja jest prawie bezużyteczna, ponieważ pozwala wygrać tylko dziesięć megabajtów wolnego miejsca. Wyczyszczenie plików zrzutu pamięci nie uszkadza systemu.
4. Wyczyść listę ostatnich dokumentów- co dziwne, opcja czyści listę Ostatnie dokumenty. Ta lista znajduje się w menu Start. Listę można również wyczyścić ręcznie, klikając prawym przyciskiem myszy ten element w menu Start i wybierając opcję „Wyczyść listę ostatnich elementów”. Przydatna opcja: zauważyłem, że wyczyszczenie listy ostatnich dokumentów pozwala menu Start wyświetlać menu nieco szybciej. System nie zostanie uszkodzony.
5. Czyszczenie folderu TEMP- Święty Graal dla tych, którzy szukają przyczyny zniknięcia wolnego miejsca na dysku C:. Faktem jest, że w folderze TEMP wiele programów przechowuje pliki do tymczasowego użytku, zapominając później o „posprzątaniu po sobie”. Typowym przykładem są archiwizatory. Rozpakuj tam pliki i zapomnij usunąć. Wyczyszczenie folderu TEMP nie szkodzi systemowi, może zwolnić dużo miejsca (w szczególnie zaniedbanych przypadkach zysk na wolnej przestrzeni sięga pięćdziesięciu gigabajtów!).
6. Adobe Flash Player - czyszczenie plików tymczasowych- "flash player" może zapisywać pliki do tymczasowego użytku. Można je usunąć. Czasami (rzadko) opcja pomaga w zwalczaniu usterek Flash Playera. Na przykład z problemami z odtwarzaniem wideo i audio na stronie Vkontakte. Nie ma nic złego w używaniu.
7. Czyszczenie pamięci podręcznej klienta terminala- o ile wiem, ta opcja czyści tymczasowe pliki składnika Windows o nazwie „Podłączenie pulpitu zdalnego” (zdalny dostęp do komputerów za pośrednictwem protokołu RDP). Opcja wygląda na to nie szkodzi, zwalnia miejsce w najlepszym przypadku z kilkunastu megabajtów. Nie ma sensu go używać.
8. IIS — Usuń dziennik błędów HTTP- długo wyjaśniam, co to jest. Powiem tylko, że lepiej nie włączać opcji czyszczenia dziennika IIS. W każdym razie nie szkodzi, ani nie przynosi korzyści.
9. Macromedia Flash Player- duplikaty przedmiotów „Adobe Flash Player — czyszczenie plików tymczasowych”, ale dotyczy raczej starych wersji programu Flash Player.
10. Java - czyszczenie pamięci podręcznej- daje zysk o kilka megabajtów na dysku twardym. Nie korzystam z programów Java, więc nie sprawdzałem konsekwencji włączenia opcji. Nie polecam go włączać.
11. Opróżnianie kosza- przeznaczenie tego przedmiotu jest absolutnie jasne z jego nazwy.
12. Usuń dzienniki instalacji aktualizacji systemu- Windows prowadzi dziennik zainstalowane aktualizacje. Włączenie tej opcji powoduje wyczyszczenie dziennika. Ta opcja jest bezużyteczna, ponieważ nie ma wolnego miejsca na wygraną.
13. Usuń protokół Windows Update- podobnie jak w poprzednim akapicie, ale inne pliki są usuwane. Również demona przydatna opcja.
14. Wyczyść bazę danych MountPoints- jeśli ikony z nimi nie są tworzone w oknie Komputer podczas podłączania dysku flash lub dysku twardego, ta opcja może pomóc. Radzę go włączyć tylko wtedy, gdy masz problemy z podłączeniem dysków flash i dysków.
15. Internet Explorer - wyczyść pamięć podręczną- czyści pliki tymczasowe Internet Explorera. Opcja jest bezpieczna i użyteczna.
16. Microsoft Office - wyczyść pamięć podręczną- czyści pliki tymczasowe programów Microsoft Office - Word, Excel, PowerPoint i inne. Nie mogę sprawdzić opcji zabezpieczeń, ponieważ nie mam pakietu Microsoft Office.
17. Czyszczenie pamięci podręcznej systemu nagrywania płyt CD- przydatna opcja, która pozwala usunąć pliki, które przygotowałeś do wypalenia na płytach.
18. Czyszczenie folderu systemowego TEMP- w przeciwieństwie do folderu TEMP użytkownika (patrz punkt 5), wyczyszczenie tego folderu nie zawsze jest bezpieczne i zazwyczaj zwalnia trochę miejsca. Nie polecam go włączać.
19. MSI - czyszczenie folderu Config.Msi- ten folder zawiera różne pliki utworzone przez instalatory programów. Folder jest duży, jeśli instalatory nie zakończyły poprawnie swojej pracy, więc wyczyszczenie folderu Config.Msi jest uzasadnione. Należy jednak pamiętać — mogą wystąpić problemy z odinstalowaniem programów korzystających z instalatorów .msi (na przykład pakietu Microsoft Office).
20. Wyczyść dzienniki harmonogramu zadań- Harmonogram zadań systemu Windows prowadzi dziennik, w którym zapisuje informacje o zakończonych zadaniach. Nie polecam włączania tej pozycji, ponieważ nie przynosi to żadnych korzyści, ale spowoduje to problemy - Harmonogram zadań Windows jest raczej błędnym komponentem.
21. Usuń protokoły konfiguracji systemu Windows- wygranie miejsca jest nieistotne, nie ma sensu usuwać.
22. Windows - wyczyść pamięć podręczną ikon- przydatne, jeśli masz problemy ze skrótami. Na przykład, gdy pojawia się Pulpit, ikony nie pojawiają się od razu. Włączenie tej opcji nie wpłynie na stabilność systemu.
23. Google Chrome - wyczyść pamięć podręczną to bardzo przydatna opcja. Google Chrome przechowuje kopie stron w wyznaczonym do tego folderze, aby szybciej otwierać strony (strony ładowane są z dysku twardego zamiast pobierać przez Internet). Czasami rozmiar tego folderu sięga pół gigabajta. Czyszczenie jest przydatne, ponieważ pozwala zwolnić miejsce na dysku twardym — ani system Windows, ani Google Chrome nie wpływają na stabilność.
24. Mozilla Firefox — czyszczenie folderu CrashReports- za każdym razem, gdy pojawia się problem z przeglądarką Firefox i ulega awarii, generowane są pliki raportów. Ta opcja usuwa pliki raportu. Zysk wolnego miejsca sięga kilkudziesięciu megabajtów, to znaczy, że opcja nie ma sensu, ale jest. Nie ma to wpływu na stabilność systemu Windows i Mozilla Firefox.

W zależności od zainstalowane programy, liczba punktów będzie inna. Na przykład, jeśli jest zainstalowany Przeglądarka Opera, możesz też wyczyścić jego pamięć podręczną.

Czyszczenie listy programów startowych

Pewnym sposobem na przyspieszenie uruchamiania i szybkości komputera jest wyczyszczenie listy automatycznego uruchamiania. Jeśli niepotrzebne programy nie uruchomią się, to komputer nie tylko szybciej się włączy, ale też będzie działał szybciej - dzięki uwolnionym zasobom, które nie zostaną zabrane przez programy działające w tle.

AVZ jest w stanie wyświetlić prawie wszystkie luki w systemie Windows, przez które uruchamiane są programy. Możesz wyświetlić listę automatycznego uruchamiania w menu Narzędzia - Menedżer automatycznego uruchamiania:

Zwykły użytkownik nie ma absolutnie żadnego pożytku z tak potężnej funkcjonalności, więc zachęcam nie wyłączaj wszystkiego. Wystarczy spojrzeć tylko na dwa punkty - Foldery automatycznego uruchamiania oraz biegać*.

AVZ wyświetla autostart nie tylko dla użytkownika, ale także dla wszystkich innych profili:

W rozdziale biegać* lepiej nie wyłączać programów znajdujących się w sekcji HKEY_USERS- może to zakłócić działanie innych profili użytkowników i samego systemu operacyjnego. W rozdziale Foldery automatycznego uruchamiania możesz wyłączyć wszystko, czego nie potrzebujesz.

Linie zaznaczone na zielono są rozpoznawane przez program antywirusowy jako znane. Dotyczy to zarówno programów systemu Windows, jak i obce programy z podpisem cyfrowym.

Wszystkie inne programy są zaznaczone na czarno. Nie oznacza to, że takie programy są wirusami lub czymś podobnym, tylko że nie wszystkie programy są podpisane cyfrowo.

Nie zapomnij rozciągnąć szerzej pierwszej kolumny, aby zobaczyć nazwę programu. Zwykłe odznaczenie tymczasowo wyłączy automatyczne uruchamianie programu (możesz następnie zaznaczyć to ponownie), wybranie elementu i naciśnięcie przycisku z czarnym krzyżykiem usunie wpis na zawsze (lub do momentu, gdy program zapisze się z powrotem do automatycznego uruchamiania).

Powstaje pytanie: jak ustalić, co można wyłączyć, a co nie? Istnieją dwa rozwiązania:

Po pierwsze, zdrowy rozsądek: po nazwie pliku .exe programu możesz podjąć decyzję. Na przykład, Program Skype przy instalacji tworzy wpis dla automatyczny start po włączeniu komputera. Jeśli go nie potrzebujesz, odznacz pole kończące się na skype.exe. Nawiasem mówiąc, wiele programów (w tym Skype) może samodzielnie usunąć się z uruchamiania, wystarczy odznaczyć odpowiedni element w ustawieniach samego programu.

Po drugie, możesz przeszukać Internet w poszukiwaniu informacji o programie. Na podstawie otrzymanych informacji pozostaje zdecydować, czy usunąć go z automatycznego uruchamiania, czy nie. AVZ ułatwia znajdowanie informacji o punktach: wystarczy kliknąć prawym przyciskiem myszy element i wybrać ulubioną wyszukiwarkę:

Wyłączając niepotrzebne programy, zauważalnie przyspieszysz uruchamianie komputera. Jednak niepożądane jest wyłączanie wszystkiego z rzędu - jest to obarczone faktem, że stracisz wskaźnik układu, wyłączysz program antywirusowy itp.

Wyłącz tylko te programy, które znasz na pewno - nie potrzebujesz ich w autorun.

Wynik

W zasadzie to, o czym pisałem w artykule, jest zbliżone do wbijania gwoździ pod mikroskopem - program AVZ nadaje się do optymalizacji systemu Windows, ale ogólnie jest złożonym i potężnym narzędziem, nadającym się do wykonywania różnych zadań. Aby jednak w pełni korzystać z AVZ, musisz dokładnie znać system Windows, więc możesz zacząć od małych rzeczy - a mianowicie od tego, co opisałem powyżej.

Jeśli masz jakieś pytania lub uwagi - pod artykułami znajduje się blok komentarzy, w którym możesz do mnie napisać. Śledzę komentarze i postaram się odpowiedzieć jak najszybciej.

Powiązane posty:

Tak jak

Tak jak

Porozmawiamy o najprostszych sposobach neutralizacji wirusów, w szczególności tych, które blokują pulpit użytkownika Windows 7 (rodzina wirusów Trojan.Winlock). Takie wirusy różnią się tym, że nie ukrywają swojej obecności w systemie, a wręcz przeciwnie, demonstrują to, utrudniając jak najbardziej wykonywanie jakichkolwiek czynności, z wyjątkiem wpisania specjalnego „kodu odblokowującego”, dla którego rzekomo wymagane jest przekazanie napastnikom określonej kwoty poprzez wysłanie SMS-a lub doładowanie konta telefonu komórkowego przez terminal płatniczy. Cel jest tu tylko jeden - sprawić, by użytkownik zapłacił, a czasem całkiem przyzwoite pieniądze. Wyświetlane jest okno z groźnym ostrzeżeniem o blokowaniu komputera za korzystanie z nielicencjonowanego oprogramowania lub odwiedzanie niechcianych stron i coś innego, zwykle w celu przestraszenia użytkownika. Ponadto wirus nie pozwala na wykonywanie żadnych działań w działaniu Środowisko Windows- blokuje naciskanie specjalnych kombinacji klawiszy w celu wywołania menu przycisku Start, polecenia Uruchom, Menedżera zadań itp. Nie można przesunąć wskaźnika myszy poza okno wirusa. Z reguły ten sam obraz obserwuje się podczas ładowania systemu Windows w trybie awaryjnym. Sytuacja wydaje się beznadziejna, zwłaszcza jeśli nie ma innego komputera, możliwości rozruchu do innego systemu operacyjnego lub z nośników wymiennych (LIVE CD, ERD Commander, skaner antywirusowy). Niemniej jednak w zdecydowanej większości przypadków istnieje wyjście.

Nowe technologie zaimplementowane w Windows Vista / Windows 7 znacznie utrudniły złośliwemu oprogramowaniu infiltrację i przejęcie pełnej kontroli nad systemem, a także zapewniają użytkownikom dodatkowe możliwości stosunkowo łatwego pozbycia się ich, nawet bez oprogramowania antywirusowego (oprogramowania). Mówimy o możliwości uruchomienia systemu w trybie awaryjnym z obsługą wiersza poleceń i uruchomienia z niego oprogramowania do monitorowania i odzyskiwania. Oczywiście z przyzwyczajenia, ze względu na dość słabą implementację tego trybu w poprzednich wersjach systemów operacyjnych z rodziny Windows, wielu użytkowników po prostu z niego nie korzysta. Ale na próżno. W wiersz poleceń Windows 7 nie ma znanego pulpitu (który może zostać zablokowany przez wirusa), ale można uruchomić większość programów - edytor rejestru, menedżer zadań, narzędzie przywracania systemu itp.

Usuwanie wirusa poprzez przywrócenie systemu do punktu przywracania

Wirus to zwykły program i nawet jeśli znajduje się na dysku komputera, ale nie ma możliwości automatycznego uruchomienia się po uruchomieniu systemu i zalogowaniu się użytkownika, to jest tak samo nieszkodliwy jak np. zwykły plik tekstowy. Jeśli problem blokowania automatycznego uruchamiania złośliwego oprogramowania został rozwiązany, zadanie pozbycia się złośliwego oprogramowania można uznać za zakończone. Główną metodą automatycznego uruchamiania wykorzystywaną przez wirusy są specjalnie spreparowane wpisy rejestru, które są tworzone podczas wstrzykiwania do systemu. Jeśli usuniesz te wpisy, wirus może zostać uznany za zneutralizowany. Najprostszym sposobem jest wykonanie przywracania systemu z punktu kontrolnego. Punkt kontrolny to kopia ważnych plików systemowych przechowywana w specjalnym katalogu („Informacje o woluminie systemowym”) i zawierająca między innymi kopie plików rejestru systemu Windows. Wykonanie przywracania systemu do punktu przywracania, którego data utworzenia poprzedza infekcję wirusem, pozwala uzyskać stan rejestru systemowego bez wpisów wprowadzonych przez wprowadzonego wirusa i tym samym wykluczyć jego automatyczne uruchomienie, tj. pozbyć się infekcji nawet bez korzystania z oprogramowania antywirusowego. W ten sposób można w prosty i szybki sposób pozbyć się infekcji systemu większością wirusów, także tych blokujących pulpit Windows. Oczywiście, wirus blokujący, który wykorzystuje na przykład modyfikację sektorów rozruchowych dysku twardego (wirus MBRLock) nie może zostać usunięty w ten sposób, ponieważ przywrócenie systemu do punktu przywracania nie wpływa na rekordy rozruchowe dysku i nie będzie możliwe uruchom system Windows w trybie awaryjnym z obsługą wiersza poleceń, ponieważ wirus jest ładowany przed bootloaderem systemu Windows. Aby pozbyć się takiej infekcji, będziesz musiał uruchomić komputer z innego nośnika i przywrócić zainfekowane rekordy rozruchowe. Jednak takich wirusów jest stosunkowo niewiele iw większości przypadków można pozbyć się infekcji, przywracając system do punktu przywracania.

1. Na samym początku pobierania naciśnij przycisk F8. Na ekranie pojawi się menu programu ładującego Windows z możliwymi opcjami uruchamiania systemu

2. Wybierz opcję rozruchu systemu Windows - „Tryb awaryjny z obsługą wiersza poleceń”

Po zakończeniu pobierania i rejestracji użytkownika zamiast zwykłego pulpitu systemu Windows zostanie wyświetlone okno procesora poleceń cmd.exe

3. Uruchom narzędzie „Przywracanie systemu”, dla którego musisz wpisać rstrui.exe w wierszu poleceń i naciśnij ENTER.

Przełącz tryb na „Wybierz inny punkt przywracania” i w kolejnym oknie zaznacz pole „Pokaż inne punkty przywracania”

Po wybraniu punktu przywracania systemu Windows możesz wyświetlić listę programów, których dotyczy problem, podczas przywracania systemu:

Lista programów, których dotyczy problem, to lista programów, które zostały zainstalowane po utworzeniu punktu przywracania systemu i które mogą wymagać ponownej instalacji, ponieważ w rejestrze nie będą skojarzone z nimi wpisy.

Po kliknięciu przycisku „Zakończ” rozpocznie się proces odzyskiwania systemu. Po zakończeniu system Windows uruchomi się ponownie.

Po ponownym uruchomieniu na ekranie zostanie wyświetlony komunikat o powodzeniu lub niepowodzeniu przywracania, a jeśli się powiedzie, system Windows powróci do stanu odpowiadającego dacie utworzenia punktu przywracania. Jeśli blokada pulpitu nie zatrzyma się, możesz skorzystać z bardziej zaawansowanej metody przedstawionej poniżej.

Usuwanie wirusa bez przywracania systemu do punktu przywracania

Możliwe, że system z różnych przyczyn nie posiada danych punktu przywracania, procedura przywracania zakończyła się błędem lub wycofanie nie dało pozytywnego wyniku. W takim przypadku możesz użyć narzędzia diagnostycznego konfiguracji systemu MSCONFIG.EXE. Podobnie jak w poprzednim przypadku, musisz uruchomić system Windows w trybie awaryjnym z obsługą wiersza poleceń i w oknie interpretera wiersza poleceń cmd.exe wpisz msconfig.exe i naciśnij ENTER

Na karcie Ogólne możesz wybrać następujące tryby uruchamiania systemu Windows:

Po uruchomieniu systemu uruchomione zostaną tylko niezbędne usługi systemowe i programy użytkownika.
Selektywne uruchomienie- umożliwia ręczne ustawienie listy usług systemowych i programów użytkownika, które zostaną uruchomione podczas procesu uruchamiania.

Aby wyeliminować wirusa, najłatwiejszym sposobem jest użycie uruchomienia diagnostycznego, gdy narzędzie samo określi zestaw automatycznie uruchamianych programów. Jeśli w tym trybie wirus przestanie blokować pulpit, musisz przejść do następnego kroku - aby określić, który z programów jest wirusem. Aby to zrobić, możesz użyć trybu uruchamiania selektywnego, który pozwala włączyć lub wyłączyć uruchamianie. programy indywidualne w trybie ręcznym.

Zakładka „Usługi” umożliwia włączenie lub wyłączenie uruchamiania usług systemowych, w ustawieniach których typ uruchamiania jest ustawiony na „Automatyczny”. Niezaznaczone pole przed nazwą usługi oznacza, że ​​nie zostanie ona uruchomiona podczas procesu uruchamiania systemu. W dolnej części okna narzędzia MSCONFIG znajduje się pole do ustawienia trybu „Nie pokazuj usług Microsoft”, po włączeniu wyświetlane będą tylko usługi innych firm.

Zwracam uwagę, że prawdopodobieństwo infekcji systemu przez wirusa zainstalowanego jako usługa systemowa ze standardowymi ustawieniami zabezpieczeń w środowisku Windows Vista / Windows 7 jest bardzo małe i będziesz musiał szukać śladów wirusa w lista automatycznie uruchamianych programów użytkownika (zakładka „Uruchamianie”).

Podobnie jak w zakładce Usługi, możesz włączyć lub wyłączyć automatyczne uruchamianie dowolnego programu, który pojawia się na liście wyświetlanej przez MSCONFIG. Jeśli wirus zostanie aktywowany w systemie przez automatyczne uruchomienie go za pomocą specjalnych kluczy rejestru lub zawartości folderu Autostart, to za pomocą msconfig można go nie tylko zneutralizować, ale także określić ścieżkę i nazwę zainfekowanego pliku.

Narzędzie msconfig to proste i wygodne narzędzie do konfigurowania automatycznego uruchamiania usług i aplikacji uruchamianych w standardowy sposób dla systemów operacyjnych z rodziny Windows. Jednak często zdarza się, że autorzy wirusów stosują sztuczki, które pozwalają złośliwemu oprogramowaniu działać bez użycia standardowych punktów automatycznego uruchamiania. Najprawdopodobniej możesz pozbyć się takiego wirusa, korzystając z metody opisanej powyżej, aby przywrócić system do punktu przywracania. Jeśli wycofanie nie jest możliwe, a użycie msconfig nie doprowadziło do pozytywnego wyniku, możesz skorzystać z bezpośredniej edycji rejestru.

W trakcie walki z wirusem użytkownik często musi wykonać twardy reset poprzez zresetowanie (Reset) lub wyłączenie zasilania. Może to prowadzić do sytuacji, w której system uruchamia się normalnie, ale nie dochodzi do rejestracji użytkownika. Komputer „zawiesza się” z powodu naruszenia logicznej struktury danych w niektórych plikach systemowych, co ma miejsce w przypadku nieprawidłowego zamknięcia pracy. Aby rozwiązać problem, w taki sam sposób, jak w poprzednich przypadkach, możesz uruchomić komputer w trybie awaryjnym z obsługą wiersza poleceń i uruchomić polecenie sprawdzenia dysku systemowego

chkdsk C: /F - sprawdź dysk C: z korektą wykrytych błędów (przełącznik /F)

Ponieważ dysk systemowy jest zajęty podczas uruchamiania programu chkdsk usługi systemowe i aplikacji, program chkdsk nie może mieć do niego wyłącznego dostępu w celu wykonywania testów. Dlatego przy kolejnym ponownym uruchomieniu systemu użytkownikowi zostanie wyświetlony komunikat ostrzegawczy i prośba o wykonanie testu. Po udzieleniu odpowiedzi Y, informacje zostaną wprowadzone do rejestru, aby upewnić się, że sprawdzanie dysku zostanie uruchomione po ponownym uruchomieniu systemu Windows. Po zakończeniu weryfikacji informacje te są usuwane i następuje normalne ponowne uruchomienie systemu Windows bez interwencji użytkownika.

Wyeliminuj możliwość uruchomienia wirusa za pomocą edytora rejestru.

Aby uruchomić edytor rejestru, tak jak w poprzednim przypadku, musisz uruchomić system Windows w trybie awaryjnym z obsługą wiersza poleceń, wpisz regedit.exe w oknie interpretera wiersza poleceń i naciśnij ENTER Windows 7, ze standardowymi ustawieniami zabezpieczeń systemu, jest chroniony przed wiele metod uruchamiania szkodliwych programów wykorzystywanych do poprzednie wersje systemy operacyjne firmy Microsoft. Instalacja przez wirusy ich sterowników i usług, rekonfiguracja usługi WINLOGON z podłączeniem ich własnych modułów wykonywalnych, naprawa kluczy rejestru związanych ze wszystkimi użytkownikami itp. - wszystkie te metody w środowisku Windows 7 albo nie działają, albo wymagają tak poważnej pracy koszty, których praktycznie nie ponoszą. Z reguły zmiany w rejestrze, które pozwalają na uruchomienie wirusa, są wykonywane tylko w kontekście uprawnień, które istnieją dla bieżącego użytkownika, tj. pod kluczem HKEY_CURRENT_USER

Aby zademonstrować najprostszy mechanizm blokowania pulpitu za pomocą podmiany powłoki użytkownika (powłoki) i niemożności użycia narzędzia MSCONFIG do wykrycia i usunięcia wirusa, możesz przeprowadzić następujący eksperyment - zamiast wirusa możesz samodzielnie poprawić dane rejestru w celu uzyskania np. wiersza poleceń zamiast pulpitu . Znajomy pulpit jest tworzony przez Eksploratora Windows (program Explorer.exe) działającego jako powłoka użytkownika. Świadczą o tym wartości parametru Shell w kluczach rejestru

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon — dla wszystkich użytkowników.
- dla bieżącego użytkownika.

Parametr Shell to ciąg znaków z nazwą programu, który będzie używany jako powłoka, gdy użytkownik zaloguje się do systemu. Zazwyczaj nie ma parametru powłoki w kluczu dla bieżącego użytkownika (w skrócie HKEY_CURRENT_USER lub HKCU), a używana jest wartość z klucza rejestru dla wszystkich użytkowników (w skrócie HKEY_LOCAL_MACHINE\ lub HKLM).

Tak wygląda klucz rejestru HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ze standardową instalacją Windows 7

Jeśli dodasz do tej sekcji parametr ciągu Shell, który przyjmuje wartość „cmd.exe”, to następnym razem, gdy bieżący użytkownik zaloguje się do systemu, zamiast standardowej powłoki użytkownika opartej na Eksploratorze, zostanie uruchomiona powłoka cmd.exe uruchomiony i zamiast zwykłego pulpitu Windows zostanie wyświetlone okno wiersza polecenia .

Oczywiście każdy złośliwy program może zostać uruchomiony w ten sposób, a użytkownik zamiast pulpitu otrzyma baner pornograficzny, bloker i inne nieczystości.
Dokonywanie zmian w kluczu dla wszystkich użytkowników (HKLM...) wymaga uprawnień administratora, więc programy antywirusowe zwykle modyfikują ustawienia klucza rejestru bieżącego użytkownika (HKCU...)

Jeśli w ramach kontynuacji eksperymentu uruchomisz narzędzie msconfig, możesz upewnić się, że cmd.exe nie znajduje się na liście automatycznie uruchamianych programów jako powłoka użytkownika. Przywrócenie systemu oczywiście pozwoli przywrócić pierwotny stan rejestru i pozbyć się automatycznego uruchomienia wirusa, ale jeśli z jakiegoś powodu jest to niemożliwe, pozostaje tylko bezpośrednia edycja rejestru. Aby powrócić do standardowego pulpitu wystarczy usunąć parametr Shell lub zmienić jego wartość z „cmd.exe” na „explorer.exe” i ponownie zarejestrować użytkownika (wylogować się i ponownie zalogować) lub uruchomić ponownie. Edycję rejestru można przeprowadzić, uruchamiając edytor rejestru regedit.exe z wiersza poleceń lub korzystając z narzędzia konsoli REG.EXE. Przykład wiersza poleceń, aby usunąć opcję Shell:

REG usuń "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Powyższy przykład zmiany powłoki użytkownika jest zdecydowanie jedną z najczęstszych sztuczek stosowanych przez wirusy w środowisku systemu operacyjnego Windows 7. Dość wysoki poziom bezpieczeństwa przy standardowych ustawieniach systemu nie pozwala złośliwemu oprogramowaniu na dostęp do kluczy rejestru, które były używane do infekowania w systemie Windows XP i wcześniejszych wersjach. Nawet jeśli bieżący użytkownik jest członkiem grupy Administratorzy, dostęp do ogromnej większości ustawień rejestru wykorzystywanych do infekcji wymaga uruchomienia programu jako administrator. Z tego powodu złośliwe oprogramowanie modyfikuje klucze rejestru, do których ma dostęp bieżący użytkownik (sekcja HKCU...). Drugim ważnym czynnikiem jest trudność zapisywania plików programu w katalogach systemowych. Z tego powodu większość wirusów w środowisku Windows 7 wykorzystuje uruchamianie plików wykonywalnych (.exe) z katalogu plików tymczasowych (Temp) bieżącego użytkownika. Analizując punkty automatycznego uruchamiania programów w rejestrze, przede wszystkim należy zwrócić uwagę na programy znajdujące się w katalogu plików tymczasowych. Zwykle jest to katalog C:\UŻYTKOWNICY\nazwa użytkownika\AppData\Local\Temp. Dokładną ścieżkę katalogu plików tymczasowych można wyświetlić w panelu sterowania we właściwościach systemu - „Zmienne środowiskowe”. Lub w wierszu poleceń:

nastaw temperaturę
lub
echo %temp%

Ponadto wyszukiwanie w rejestrze ciągu znaków odpowiadających nazwie katalogu plików tymczasowych lub zmiennej %TEMP% może służyć jako dodatkowe narzędzie do wykrywania wirusów. Programy prawne nigdy nie uruchamiaj automatycznie z katalogu TEMP.

Aby uzyskać pełną listę możliwych automatycznych punktów startowych, wygodnie jest skorzystać ze specjalnego programu Autoruns z pakietu SysinternalsSuite.

Najłatwiejszy sposób na usunięcie blokerów z rodziny MBRLock

Złośliwe programy mogą przejąć kontrolę nad komputerem nie tylko infekując system operacyjny, ale także modyfikując wpisy sektora rozruchowego dysku, z którego się uruchamia. Wirus zastępuje dane sektora rozruchowego aktywnej partycji swoim kodem programu, tak aby zamiast systemu Windows ładowany był prosty program, który wyświetlałby komunikat ransomware żądający pieniędzy dla oszustów. Ponieważ wirus przejmuje kontrolę jeszcze przed uruchomieniem systemu, istnieje tylko jeden sposób na obejście go - uruchomienie z innego nośnika (CD/DVD, dysk zewnętrzny itp.) w dowolnym systemie operacyjnym, w którym możliwe jest przywrócenie kodu programu sektory rozruchowe. Najłatwiejszym sposobem jest użycie Live CD / Live USB, które są zwykle udostępniane bezpłatnie użytkownikom przez większość firm antywirusowych (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk itp.). Oprócz odzyskiwania sektorów rozruchowych, produkty te mogą również wykonywać i sprawdzać system plików pod kątem złośliwego oprogramowania oraz usuwać lub leczyć zainfekowane pliki. Jeśli nie jest możliwe skorzystanie z tej metody, możesz po prostu pobrać dowolną wersję systemu Windows PE (dysk instalacyjny, dysk odzyskiwania awaryjnego ERD Commander), który umożliwia przywrócenie normalnego rozruchu systemu. Zwykle wystarczy nawet prosta możliwość dostępu do wiersza poleceń i wykonania polecenia:

bootsect /nt60 /mbr

bootsect /nt60 /mbr E:> - przywróć sektory rozruchowe dysku E: Powinna użyć litery dysku używanego jako urządzenie rozruchowe systemu uszkodzonego przez wirusa.

lub dla Windows starszych niż Windows Vista

bootsect /nt52 /mbr

Narzędzie bootsect.exe może znajdować się nie tylko w katalogach systemowych, ale także na dowolnym nośniku wymiennym, może być uruchamiane w dowolnym systemie operacyjnym z rodziny Windows i umożliwia przywracanie kodu programu sektorów rozruchowych bez wpływu na tabelę partycji i plik system. Przełącznik /mbr zwykle nie jest potrzebny, ponieważ przywraca kod programu głównego rekordu rozruchowego MBR, którego wirusy nie modyfikują (być może jeszcze nie modyfikują).

Proste i wygodne narzędzie AVZ, które nie tylko może pomóc, ale także wie, jak przywrócić system. Dlaczego jest to konieczne?

Faktem jest, że po inwazji wirusów (zdarza się, że AVZ zabija ich tysiące), niektóre programy odmawiają działania, ustawienia gdzieś zniknęły, a system Windows jakoś nie działa całkiem poprawnie.

Najczęściej w takim przypadku użytkownicy po prostu ponownie instalują system. Ale jak pokazuje praktyka, nie jest to wcale konieczne, ponieważ za pomocą tego samego narzędzia AVZ możesz przywrócić prawie każdy uszkodzone programy i dane.

Aby uzyskać wyraźniejszy obraz, przedstawiam pełną listę tego, co może przywrócić AVZ.

Materiał pochodzi z przewodnika do AVZ - http://www.z-oleg.com/secur/avz_doc/ (skopiuj i wklej w pasku adresu przeglądarki).

Baza danych zawiera obecnie następujące oprogramowanie układowe:

1. Przywróć pliki uruchamiania opcji.exe, .com, .pif

To oprogramowanie przywraca odpowiedź systemu na pliki exe, com, pif, scr.

Wskazania do stosowania: po usunięciu wirusa programy przestają działać.

2. Zresetuj ustawienia prefiksu protokołu Internet Explorer do standardowych

To oprogramowanie przywraca ustawienia prefiksu protokołu w przeglądarce Internet Explorer

Wskazania do stosowania: po wpisaniu adresu takiego jak www.yandex.ru jest on zastępowany przez coś takiego jak www.seque.com/abcd.php?url=www.yandex.ru

3. Przywracanie strony startowej Internet Explorer

To oprogramowanie przywraca stronę startową w przeglądarce Internet Explorer

Wskazania do stosowania: zmiana strony startowej

4. Zresetuj ustawienia wyszukiwania Internet Explorera do domyślnych

To oprogramowanie przywraca ustawienia wyszukiwania w przeglądarce Internet Explorer

Wskazania do stosowania: Po kliknięciu przycisku „Szukaj” w IE następuje wywołanie obcej witryny

5. Przywróć ustawienia pulpitu

To oprogramowanie przywraca ustawienia pulpitu.

Przywrócenie polega na usunięciu wszystkich aktywnych elementów ActiveDesctop, tapet, usunięciu blokad w menu odpowiedzialnym za ustawienia pulpitu.

Wskazania do stosowania: Zniknęły zakładki ustawień pulpitu w oknie „Właściwości wyświetlania”, na pulpicie są wyświetlane obce napisy lub rysunki

6.Usunięcie wszystkich zasad (ograniczeń) bieżącego użytkownika

System Windows udostępnia mechanizm ograniczania działań użytkownika o nazwie Zasady. Ta technologia jest używana przez wiele złośliwych programów, ponieważ ustawienia są przechowywane w rejestrze i można je łatwo tworzyć lub modyfikować.

Wskazania do stosowania: Funkcje Eksploratora plików lub inne funkcje systemowe są zablokowane.

7. Usuwanie wiadomości wyświetlanej podczas WinLogon

Windows NT i kolejne systemy w linii NT (2000, XP) pozwalają ustawić komunikat wyświetlany podczas uruchamiania.

Jest to wykorzystywane przez wiele szkodliwych programów, a zniszczenie szkodliwego programu nie prowadzi do zniszczenia tej wiadomości.

Wskazania do stosowania: Podczas uruchamiania systemu pojawia się dodatkowy komunikat.

8. Przywróć ustawienia eksploratora

To oprogramowanie układowe resetuje szereg ustawień Eksploratora plików do ustawień domyślnych (ustawienia zmienione przez złośliwe oprogramowanie są resetowane jako pierwsze).

Wskazania do stosowania: Zmieniono ustawienia Eksploratora

9. Usuwanie debugerów procesów systemowych

Zarejestrowanie debuggera procesów systemowych pozwoli na niewidoczne uruchamianie aplikacji, co jest wykorzystywane przez wiele szkodliwych programów.

Wskazania do stosowania: AVZ wykrywa nierozpoznane debuggery procesów systemowych, problemy z uruchamianiem komponentów systemu, w szczególności pulpit znika po ponownym uruchomieniu.

10. Przywróć ustawienia rozruchu w trybie awaryjnym

Niektóre złośliwe oprogramowanie, takie jak robak Bagle, uszkadza ustawienia uruchamiania systemu w trybie chronionym.

To oprogramowanie wewnętrzne przywraca ustawienia rozruchu w trybie chronionym. Wskazania do stosowania: Komputer nie uruchamia się w trybie awaryjnym (SafeMode). To oprogramowanie musi być używane tylko w przypadku problemów z uruchomieniem w trybie chronionym .

11. Odblokuj Menedżera zadań

Blokowanie Menedżera zadań jest używane przez złośliwe oprogramowanie do ochrony procesów przed wykryciem i usunięciem. W związku z tym wykonanie tego mikroprogramu usuwa blokadę.

Wskazania do stosowania: Zablokowany menedżer zadań, przy próbie połączenia się z menedżerem zadań wyświetlany jest komunikat „Menedżer zadań został zablokowany przez administratora”.

12. Usuwanie przejęcia tej listy ignorowanych

Narzędzie HijackThis przechowuje w rejestrze szereg swoich ustawień, w szczególności listę wykluczeń. Dlatego, aby ukryć się przed HijackThis, złośliwe oprogramowanie musi jedynie zarejestrować swoje pliki wykonywalne na liście wykluczeń.

Obecnie wiadomo, że wiele szkodliwych programów wykorzystuje tę lukę. Oprogramowanie sprzętowe AVZ czyści listę wykluczeń narzędzia HijackThis

Wskazania do stosowania: Podejrzenia, że ​​narzędzie HijackThis nie wyświetla wszystkich informacji o systemie.

13. Porządkowanie pliku Hosts

Czyszczenie pliku Hosts sprowadza się do znalezienia pliku Hosts, usunięcia z niego wszystkich istotnych linii i dodania standardowej linii „127.0.0.1 localhost”.

Wskazania do stosowania: Podejrzenia, że ​​plik Hosts został zmodyfikowany przez złośliwe oprogramowanie. Typowe symptomy to blokowanie aktualizacji oprogramowania antywirusowego.

Możesz kontrolować zawartość pliku Hosts za pomocą menedżera plików Hosts wbudowanego w AVZ.

14. Automatyczna korekta ustawień Spl/LSP

Przeprowadza analizę ustawień SPI i, jeśli zostaną znalezione błędy, automatycznie je poprawia.

To oprogramowanie układowe można ponownie uruchamiać nieograniczoną liczbę razy. Zaleca się ponowne uruchomienie komputera po uruchomieniu tego oprogramowania. Notatka! Tego oprogramowania nie można uruchomić z sesji terminala

Wskazania do stosowania: Dostęp do Internetu został utracony po usunięciu złośliwego oprogramowania.

15. Zresetuj ustawienia SPI/LSP i TCP/IP (XP+)

To oprogramowanie działa tylko na XP, Windows 2003 i Vista. Jego zasada działania opiera się na resetowaniu i odtwarzaniu ustawień SPI/LSP i TCP/IP za pomocą standardowego narzędzia netsh dołączonego do systemu Windows.

Notatka! Zresetuj do ustawień fabrycznych tylko wtedy, gdy to konieczne, jeśli masz nieodwracalne problemy z dostępem do Internetu po usunięciu złośliwego oprogramowania!

Wskazania do stosowania: Po usunięciu szkodliwego programu dostęp do Internetu i wykonanie oprogramowania „14. Automatyczna korekta ustawień Spl/LSP” nie działa.

16. Przywracanie klawisza uruchamiania Eksploratora

Przywraca klucze rejestru systemowego odpowiedzialne za uruchomienie Eksploratora plików.

Wskazania do stosowania: Eksplorator nie uruchamia się podczas uruchamiania systemu, ale możliwe jest ręczne uruchomienie programu explorer.exe.

17. Odblokuj Edytor rejestru

Odblokowuje Edytor rejestru, usuwając zasadę, która uniemożliwia jego uruchomienie.

Wskazania do stosowania: Nie można uruchomić Edytora rejestru, podczas próby wyświetla się komunikat informujący, że jego uruchomienie zostało zablokowane przez administratora.

18. Pełne odtworzenie ustawień SPI

Wykonuje kopię zapasową ustawień SPI/LSP, następnie niszczy je i tworzy zgodnie ze standardem zapisanym w bazie danych.

Wskazania do stosowania: Poważne uszkodzenia ustawień SPI, nienaprawialne przez skrypty 14 i 15. Aplikuj tylko w razie potrzeby!

19. Wyczyść punkty mocowania podstawy

Czyści bazę danych MountPoints i MountPoints2 w rejestrze. Operacja ta często pomaga w przypadku, gdy po infekcji wirusem Flash nie można otworzyć dysków w Eksploratorze

Aby przeprowadzić odzyskiwanie, musisz wybrać jeden lub więcej elementów i kliknąć przycisk „Wykonaj zaznaczone operacje”. Kliknięcie przycisku OK zamyka okno.

Notatka:

Odzyskiwanie jest bezużyteczne, jeśli w systemie działa trojan, który przeprowadza takie rekonfiguracje - musisz najpierw usunąć złośliwy program, a następnie przywrócić ustawienia systemu

Notatka:

Aby wyeliminować ślady większości porywaczy, musisz uruchomić trzy oprogramowanie układowe - "Zresetuj ustawienia wyszukiwania Internet Explorer do standardowych", "Przywróć stronę startową Internet Explorer", "Zresetuj ustawienia prefiksu protokołu Internet Explorer do standardowych"

Notatka:

Każde oprogramowanie układowe można uruchomić kilka razy z rzędu bez uszkodzenia systemu. Wyjątki - „5.

Przywróć ustawienia pulpitu” (uruchomienie tego oprogramowania spowoduje zresetowanie wszystkich ustawień pulpitu i będziesz musiał ponownie wybrać kolor i tapetę pulpitu) i „10.

Przywracanie ustawień rozruchu w trybie awaryjnym” (to oprogramowanie układowe odtwarza klucze rejestru odpowiedzialne za rozruch w trybie awaryjnym).

Aby rozpocząć odzyskiwanie, najpierw pobierz, rozpakuj i uruchom pożytek. Następnie kliknij Plik - Przywracanie systemu. Przy okazji możesz też zrobić

Zaznacz pola, których potrzebujesz i kliknij Rozpocznij operacje. Wszyscy czekają na realizację :-)

W kolejnych artykułach omówimy bardziej szczegółowo problemy, które pomoże nam rozwiązać odzyskiwanie oprogramowania układowego avz. Życzę ci szczęścia.

Przywracanie systemu to specjalna funkcja AVZ, która umożliwia przywrócenie wielu Ustawienia systemowe uszkodzony przez złośliwe oprogramowanie.

Oprogramowanie sprzętowe do odzyskiwania systemu jest przechowywane w antywirusowej bazie danych i aktualizowane w razie potrzeby.

Zalecenie: Przywracanie systemu powinno być używane tylko w sytuacji, gdy istnieje dokładne zrozumienie, że jest to wymagane. Przed użyciem zaleca się wykonanie kopii zapasowej lub punktu przywracania systemu.

Uwaga: Operacje przywracania systemu zapisują dane automatycznej kopii zapasowej jako pliki REG w katalogu Backup folderu roboczego AVZ.

Baza danych zawiera obecnie następujące oprogramowanie układowe:

1. Przywróć pliki uruchamiania opcji.exe, .com, .pif

To oprogramowanie przywraca odpowiedź systemu na pliki exe, com, pif, scr.

Wskazania do stosowania: po usunięciu wirusa programy przestają działać.

Możliwe zagrożenia: minimalne, ale zalecane

2. Zresetuj ustawienia prefiksu protokołu Internet Explorer do standardowych

To oprogramowanie przywraca ustawienia prefiksu protokołu w przeglądarce Internet Explorer

Wskazania do stosowania: po wpisaniu adresu takiego jak www.yandex.ru jest on zastępowany przez coś takiego jak www.seque.com/abcd.php?url=www.yandex.ru

Możliwe zagrożenia: minimalny

3. Przywracanie strony startowej Internet Explorer

To oprogramowanie przywraca stronę startową w przeglądarce Internet Explorer

Wskazania do stosowania: zmiana strony startowej

Możliwe zagrożenia: minimalny

4. Zresetuj ustawienia wyszukiwania Internet Explorera do domyślnych

To oprogramowanie przywraca ustawienia wyszukiwania w przeglądarce Internet Explorer

Wskazania do stosowania: Po kliknięciu przycisku „Szukaj” w IE następuje wywołanie obcej witryny

Możliwe zagrożenia: minimalny

5. Przywróć ustawienia pulpitu

To oprogramowanie przywraca ustawienia pulpitu. Przywrócenie polega na usunięciu wszystkich aktywnych elementów ActiveDesctop, tapet, usunięciu blokad w menu odpowiedzialnym za ustawienia pulpitu.

Wskazania do stosowania: Zniknęły zakładki ustawień pulpitu w oknie „Właściwości: wyświetlanie”, na pulpicie są wyświetlane obce napisy lub rysunki

Możliwe zagrożenia: ustawienia użytkownika zostaną usunięte, pulpit powróci do widoku domyślnego

6.Usunięcie wszystkich zasad (ograniczeń) bieżącego użytkownika

System Windows udostępnia mechanizm ograniczania działań użytkownika o nazwie Zasady. Ta technologia jest używana przez wiele złośliwych programów, ponieważ ustawienia są przechowywane w rejestrze i można je łatwo tworzyć lub modyfikować.

Wskazania do stosowania: Funkcje Eksploratora plików lub inne funkcje systemowe są zablokowane.

Możliwe zagrożenia: dla systemów operacyjnych różne wersje istnieją polityki domyślne, a resetowanie polityk do niektórych wartości domyślnych nie zawsze jest optymalne. Aby naprawić często zmieniane problemy ze złośliwym oprogramowaniem zasady powinny korzystać z niezawodnego kreatora rozwiązywania problemów

7. Usuwanie wiadomości wyświetlanej podczas WinLogon

Windows NT i kolejne systemy w linii NT (2000, XP) pozwalają ustawić komunikat wyświetlany podczas uruchamiania. Jest to wykorzystywane przez wiele szkodliwych programów, a zniszczenie szkodliwego programu nie prowadzi do zniszczenia tej wiadomości.

Wskazania do stosowania: Podczas uruchamiania systemu pojawia się dodatkowy komunikat.

Możliwe zagrożenia: Nie

8. Przywróć ustawienia eksploratora

To oprogramowanie układowe resetuje szereg ustawień Eksploratora plików do ustawień domyślnych (ustawienia zmienione przez złośliwe oprogramowanie są resetowane jako pierwsze).

Wskazania do stosowania: Zmieniono ustawienia Eksploratora

Możliwe zagrożenia: są minimalne, najbardziej charakterystyczne dla złośliwego oprogramowania uszkodzenie ustawień jest wykrywane i naprawiane przez Kreatora rozwiązywania problemów.

9. Usuwanie debugerów procesów systemowych

Zarejestrowanie debuggera procesów systemowych pozwoli na niewidoczne uruchamianie aplikacji, co jest wykorzystywane przez wiele szkodliwych programów.

Wskazania do stosowania: AVZ wykrywa nierozpoznane debuggery procesów systemowych, problemy z uruchamianiem komponentów systemu, w szczególności pulpit znika po ponownym uruchomieniu.

Możliwe zagrożenia: są minimalne, możliwe jest zakłócenie działania programów korzystających z debuggera w uzasadnionych celach (np. zastąpienie standardowego menedżera zadań)

10. Przywróć ustawienia rozruchu w trybie awaryjnym

Niektóre złośliwe oprogramowanie, takie jak robak Bagle, uszkadza ustawienia uruchamiania systemu w trybie chronionym. To oprogramowanie wewnętrzne przywraca ustawienia rozruchu w trybie chronionym.

Wskazania do stosowania: Komputer nie uruchamia się w trybie awaryjnym (SafeMode). To oprogramowanie musi być używane tylko w przypadku problemów z uruchomieniem w trybie chronionym.

Możliwe zagrożenia: wysoki, ponieważ przywrócenie konfiguracji domyślnej nie gwarantuje, że tryb bezpieczny zostanie naprawiony. W obszarze Zabezpieczenia Kreator rozwiązywania problemów znajduje i naprawia określone uszkodzone wpisy ustawień trybu awaryjnego

11. Odblokuj Menedżera zadań

Blokowanie Menedżera zadań jest używane przez złośliwe oprogramowanie do ochrony procesów przed wykryciem i usunięciem. W związku z tym wykonanie tego mikroprogramu usuwa blokadę.

Wskazania do stosowania: Zablokowany menedżer zadań, przy próbie połączenia się z menedżerem zadań wyświetlany jest komunikat „Menedżer zadań został zablokowany przez administratora”.

Możliwe zagrożenia: kreator rozwiązywania problemów

12. Usuwanie przejęcia tej listy ignorowanych

Narzędzie HijackThis przechowuje w rejestrze szereg swoich ustawień, w szczególności listę wykluczeń. Dlatego, aby ukryć się przed HijackThis, złośliwe oprogramowanie musi jedynie zarejestrować swoje pliki wykonywalne na liście wykluczeń. Obecnie wiadomo, że wiele szkodliwych programów wykorzystuje tę lukę. Oprogramowanie sprzętowe AVZ czyści listę wykluczeń narzędzia HijackThis

Wskazania do stosowania: Podejrzenia, że ​​narzędzie HijackThis nie wyświetla wszystkich informacji o systemie.

Możliwe zagrożenia: minimalne, pamiętaj, że ustawienia ignorowania HijackThis zostaną usunięte

13. Porządkowanie pliku Hosts

Wyczyszczenie pliku Hosts sprowadza się do znalezienia pliku Hosts, usunięcia z niego wszystkich istotnych wierszy i dodania standardowego ciągu „127.0.0.1 localhost”.

Wskazania do stosowania: Podejrzenia, że ​​plik Hosts został zmodyfikowany przez złośliwe oprogramowanie. Typowe symptomy to blokowanie aktualizacji oprogramowania antywirusowego. Możesz kontrolować zawartość pliku Hosts za pomocą menedżera plików Hosts wbudowanego w AVZ.

Możliwe zagrożenia:średniej, zauważ, że plik Hosts może zawierać przydatne wpisy

14. Automatyczna korekta ustawień Spl/LSP

Przeprowadza analizę ustawień SPI i, jeśli zostaną znalezione błędy, automatycznie je poprawia. To oprogramowanie układowe można ponownie uruchamiać nieograniczoną liczbę razy. Zaleca się ponowne uruchomienie komputera po uruchomieniu tego oprogramowania. Notatka! Tego oprogramowania nie można uruchomić z sesji terminala

Wskazania do stosowania: Dostęp do Internetu został utracony po usunięciu złośliwego oprogramowania.

Możliwe zagrożenia:średni, przed uruchomieniem zaleca się wykonanie kopii zapasowej

15. Zresetuj ustawienia SPI/LSP i TCP/IP (XP+)

To oprogramowanie działa tylko na XP, Windows 2003 i Vista. Jego zasada działania opiera się na resetowaniu i odtwarzaniu ustawień SPI/LSP i TCP/IP za pomocą standardowego narzędzia netsh dołączonego do systemu Windows. Szczegółowe informacje na temat resetowania ustawień można znaleźć w bazie wiedzy Microsoft — http://support.microsoft.com/kb/299357

Wskazania do stosowania: Po usunięciu szkodliwego programu utracono dostęp do Internetu, a wykonanie oprogramowania „14. Automatyczna korekta ustawień Spl/LSP” nie działa.

Możliwe zagrożenia: wysoki, przed rozpoczęciem zaleca się wykonanie kopii zapasowej

16. Przywracanie klawisza uruchamiania Eksploratora

Przywraca klucze rejestru systemowego odpowiedzialne za uruchomienie Eksploratora plików.

Wskazania do stosowania: Eksplorator nie uruchamia się podczas uruchamiania systemu, ale możliwe jest ręczne uruchomienie programu explorer.exe.

Możliwe zagrożenia: minimalny

17. Odblokuj Edytor rejestru

Odblokowuje Edytor rejestru, usuwając zasadę, która uniemożliwia jego uruchomienie.

Wskazania do stosowania: Nie można uruchomić Edytora rejestru, podczas próby wyświetla się komunikat informujący, że jego uruchomienie zostało zablokowane przez administratora.

Możliwe zagrożenia: minimalne, podobne sprawdzenie wykonuje kreator rozwiązywania problemów

18. Pełne odtworzenie ustawień SPI

Wykonuje kopię zapasową ustawień SPI/LSP, następnie niszczy je i tworzy zgodnie ze standardem zapisanym w bazie danych.

Wskazania do stosowania: Poważne uszkodzenia ustawień SPI, nienaprawialne przez skrypty 14 i 15.

Notatka! Zresetuj do ustawień fabrycznych tylko wtedy, gdy to konieczne, jeśli masz nieodwracalne problemy z dostępem do Internetu po usunięciu złośliwego oprogramowania!Zastosuj tę operację tylko w razie potrzeby, w przypadku, gdy inne metody odzyskiwania SPI nie pomogły !

Możliwe zagrożenia: bardzo wysoki, przed uruchomieniem zaleca się wykonanie kopii zapasowej!

19. Wyczyść punkty mocowania podstawy

Czyści bazę danych MountPoints i MountPoints2 w rejestrze.

Wskazania do stosowania: Operacja ta często pomaga w przypadku, gdy po infekcji wirusem Flash nie można otworzyć dysków w Eksploratorze

Możliwe zagrożenia: minimalny

20. Usuń trasy statyczne

Usuwa wszystkie trasy statyczne.

Wskazania do stosowania: Ta operacja pomaga, jeśli niektóre witryny są blokowane przez nieprawidłowe trasy statyczne.

Możliwe zagrożenia:średni. Należy zauważyć, że niektórzy dostawcy usług internetowych mogą wymagać do działania niektórych usług tras statycznych, a po takim usunięciu będą one musiały zostać przywrócone zgodnie z instrukcjami na stronie internetowej dostawcy usług internetowych.

21. Zastąp DNS wszystkich połączeń Google Public DNS

Zastępuje wszystkie adaptery sieciowe serwera DNS w konfiguracji publicznym DNS od Google. Pomaga, jeśli trojan zastąpił DNS swoim własnym.

Wskazania do stosowania: Podszywanie się pod DNS przez złośliwe oprogramowanie.

Możliwe zagrożenia:średni. Należy pamiętać, że nie wszyscy dostawcy umożliwiają korzystanie z innego systemu DNS niż ich własny.

Aby wykonać odzyskiwanie, musisz wybrać jeden lub więcej elementów i kliknąć przycisk „Wykonaj wybrane operacje”. Kliknięcie przycisku „OK” zamyka okno.

Notatka:

Odzyskiwanie jest bezużyteczne, jeśli w systemie działa trojan, który przeprowadza takie rekonfiguracje - musisz najpierw usunąć złośliwy program, a następnie przywrócić ustawienia systemu

Notatka:

Aby wyeliminować ślady większości porywaczy, musisz uruchomić trzy oprogramowanie układowe - "Przywróć domyślne ustawienia wyszukiwania Internet Explorera", "Przywróć stronę startową Internet Explorera", "Przywróć domyślne ustawienia prefiksu protokołu Internet Explorera"

Notatka:

Każdy z mikroprogramów może być wykonywany kilka razy z rzędu bez znacznego uszkodzenia systemu. Wyjątkami są „5. Przywracanie ustawień pulpitu” (to oprogramowanie układowe zresetuje wszystkie ustawienia pulpitu i będziesz musiał ponownie wybrać kolorystykę i tapetę pulpitu) oraz „10. Przywracanie ustawień rozruchu w trybie awaryjnym” (to oprogramowanie układowe odtwarza klucze rejestru odpowiedzialne za uruchamianie do tryb bezpieczny), a także 15 i 18 (zresetuj i odtwórz ustawienia SPI).

16.08.2019

dedykowane AVZ, chcę podzielić się z wami większą wiedzą na temat możliwości tego wspaniałego narzędzia.

Dzisiaj porozmawiamy o narzędziach do odzyskiwania systemu, które często mogą uratować życie komputera po zainfekowaniu wirusami i innymi okropnościami życia, a także rozwiązać szereg problemów systemowych, które pojawiają się w wyniku pewnych błędów.
Przyda się każdemu.

wprowadzający

Zanim przejdziemy dalej, tradycyjnie chcę zaproponować dwa formaty materiału, a mianowicie: format wideo lub tekst. Wideo tutaj:

Cóż, tekst jest poniżej. Przekonaj się, która opcja jest Ci bliższa.

Ogólny opis funkcjonalności programu

Jakie są te narzędzia do odzyskiwania? Jest to zestaw mikroprogramów i skryptów, które pomagają wrócić do warunki pracy niektóre funkcje systemu. Który na przykład? Powiedzmy, że wróć lub edytor rejestru, wyczyść plik hosts lub zresetuj ustawienia IE. Ogólnie podaję w całości i z opisem (żeby nie wymyślać koła na nowo):

• 1. Przywróć pliki uruchamiania options.exe, .com, .pif
  Wskazania do stosowania: po usunięciu wirusa programy przestają działać.
• 2. Zresetuj ustawienia prefiksu protokołu Internet Explorer do domyślnych
  Wskazania do użycia: po wpisaniu adresu takiego jak www.yandex.ru jest on zastępowany przez coś takiego jak www.seque.com/abcd.php?url=www.yandex.ru
• 3. Przywracanie strony startowej Internet Explorer
  Wskazania do stosowania: wymiana strony startowej
• 4. Zresetuj ustawienia wyszukiwania Internet Explorera do domyślnych
  Wskazania do użycia: Po kliknięciu przycisku „Szukaj” w IE uzyskuje się dostęp do zewnętrznej witryny
• 5. Przywróć ustawienia pulpitu
  To oprogramowanie przywraca ustawienia pulpitu. Przywrócenie polega na usunięciu wszystkich aktywnych elementów ActiveDesctop, tapet, usunięciu blokad w menu odpowiedzialnym za ustawienia pulpitu.
  Wskazania do użycia: Zniknęły zakładki ustawień pulpitu w oknie „Właściwości ekranu”, na pulpicie są wyświetlane obce napisy lub rysunki
• 6. Usuń wszystkie zasady (ograniczenia) aktualny użytkownik.
  Wskazania do użycia: Funkcje eksploratora lub inne funkcje systemu są zablokowane.
• 7. Usuwanie wiadomości wyświetlanej podczas WinLogon
  Windows NT i kolejne systemy w linii NT (2000, XP) pozwalają ustawić komunikat wyświetlany podczas uruchamiania. Jest to wykorzystywane przez wiele szkodliwych programów, a zniszczenie szkodliwego programu nie prowadzi do zniszczenia tej wiadomości.
  Wskazania do użycia: Podczas uruchamiania systemu pojawia się dodatkowy komunikat.
• 8. Przywracanie ustawień Eksploratora plików
  Wskazania do stosowania: Zmienione ustawienia eksploratora
• 9. Usuwanie debugerów procesów systemowych
  
  Wskazania do stosowania: AVZ wykrywa nierozpoznane debuggery procesów systemowych, problemy z uruchamianiem komponentów systemu, w szczególności pulpit znika po ponownym uruchomieniu.
• 10. Przywracanie ustawień rozruchu do trybu awaryjnego
  Niektóre złośliwe oprogramowanie, takie jak robak Bagle, uszkadza ustawienia uruchamiania systemu w trybie chronionym. To oprogramowanie wewnętrzne przywraca ustawienia rozruchu w trybie chronionym.
  Wskazania do użycia: Komputer nie uruchamia się w trybie awaryjnym (SafeMode). Używaj tego oprogramowania tylko w przypadku problemów z uruchamianiem w trybie chronionym.
• 11. Odblokuj Menedżera zadań
  Wskazania do użycia: Blokowanie menedżera zadań, przy próbie wywołania menedżera zadań wyświetlany jest komunikat „Menedżer zadań został zablokowany przez administratora”.
• 12. Usuwanie przejęcia tej listy ignorowanych
  Narzędzie HijackThis przechowuje w rejestrze szereg swoich ustawień, w szczególności listę wykluczeń. Dlatego, aby ukryć się przed HijackThis, złośliwe oprogramowanie musi jedynie zarejestrować swoje pliki wykonywalne na liście wykluczeń. Obecnie wiadomo, że wiele szkodliwych programów wykorzystuje tę lukę. Oprogramowanie sprzętowe AVZ czyści listę wykluczeń narzędzia HijackThis
  Wskazania do użycia: Podejrzenia, że ​​narzędzie HijackThis nie wyświetla wszystkich informacji o systemie.
• 13. Porządkowanie pliku Hosts
  Wyczyszczenie pliku Hosts sprowadza się do znalezienia pliku Hosts, usunięcia z niego wszystkich istotnych wierszy i dodania standardowego ciągu „127.0.0.1 localhost”.
  Wskazania do użycia: Podejrzenia, że ​​plik Hosts został zmodyfikowany przez szkodliwy program. Typowe symptomy to blokowanie aktualizacji oprogramowania antywirusowego. Możesz kontrolować zawartość pliku Hosts za pomocą menedżera plików Hosts wbudowanego w AVZ.
• 
  Przeprowadza analizę ustawień SPI i, jeśli zostaną znalezione błędy, automatycznie je poprawia. To oprogramowanie układowe można ponownie uruchamiać nieograniczoną liczbę razy. Zaleca się ponowne uruchomienie komputera po uruchomieniu tego oprogramowania. Notatka! Tego oprogramowania nie można uruchomić z sesji terminala
  Wskazania do użycia: Po usunięciu szkodliwego programu utracono dostęp do Internetu.
• 
  To oprogramowanie działa tylko na XP, Windows 2003 i Vista. Jego zasada działania opiera się na resetowaniu i odtwarzaniu ustawień SPI/LSP i TCP/IP za pomocą standardowego narzędzia netsh dołączonego do systemu Windows. Szczegółowe informacje na temat resetowania ustawień można znaleźć w bazie wiedzy Microsoft — Uwaga! Zresetuj do ustawień fabrycznych tylko wtedy, gdy to konieczne, jeśli masz nieodwracalne problemy z dostępem do Internetu po usunięciu złośliwego oprogramowania!
  Wskazania do stosowania: Po usunięciu szkodliwego programu utracono dostęp do Internetu i nie działa wykonanie oprogramowania układowego „14. Automatyczna korekta ustawień Spl/LSP”.
• 
  Wskazania do użycia: Podczas uruchamiania systemu explorer nie uruchamia się, ale możliwe jest ręczne uruchomienie explorer.exe.
• 
  Wskazania do użycia: Nie można uruchomić edytora rejestru, podczas próby wyświetla się komunikat, że jego uruchomienie zostało zablokowane przez administratora.
• 
  Wskazania do stosowania: Poważne uszkodzenia ustawień SPI, nienaprawialne przez skrypty 14 i 15. Używaj tylko w razie potrzeby!
• 
  Czyści bazę danych MountPoints i MountPoints2 w rejestrze.
  Wskazania do użycia: Operacja ta często pomaga w przypadku, gdy po infekcji wirusem Flash nie można otworzyć dysków w Eksploratorze
• Na notatce:
  Na notatce:
  Aby wyeliminować ślady większości porywaczy, musisz uruchomić trzy oprogramowanie układowe - "Przywróć domyślne ustawienia wyszukiwania Internet Explorera", "Przywróć stronę startową Internet Explorera", "Przywróć domyślne ustawienia prefiksu protokołu Internet Explorera"
  Na notatce:
  Każde oprogramowanie układowe można uruchomić kilka razy z rzędu bez uszkodzenia systemu. Wyjątkami są „5. Przywróć ustawienia pulpitu” (praca z tym oprogramowaniem spowoduje zresetowanie wszystkich ustawień pulpitu i będziesz musiał ponownie wybrać kolor pulpitu i tapetę) oraz „10. Przywróć ustawienia rozruchu w trybie awaryjnym” (to oprogramowanie odtwarza klucze rejestru odpowiedzialne za uruchamianie w trybie awaryjnym).

Pomocne, prawda?
Teraz o tym, jak używać.

Pobierz uruchom, użyj

Właściwie wszystko jest proste.

1. Ściąganie stąd(lub z innego miejsca) narzędzie antywirusowe AVZ.
2. Rozpakuj archiwum w dogodnym dla Ciebie miejscu
3. Podążamy za folderem, w którym rozpakowaliśmy program i tam go uruchamiamy avz.exe.
4. W oknie programu wybierz "Plik" - "Przywracanie systemu".
5. Zaznacz pola wyboru przy żądanych elementach i kliknij przycisk. Wykonaj zaznaczone operacje".
6. Czekamy i cieszymy się z wyniku.

Oto rzeczy.

Posłowie

Muszę powiedzieć, że działa z hukiem i eliminuje szereg niepotrzebnych gestów. Że tak powiem, wszystko jest pod ręką, szybko, prosto i sprawnie.

Dziękuję za uwagę;)

Dziękuję mistrzom serwisu komputerowego Zapuskay.RF za pomoc w przygotowaniu materiału. U tych facetów możesz zamówić naprawę laptopów i netbooków w Moskwie.

Złośliwe programy wprowadzane do systemu operacyjnego komputera osobistego powodują znaczne szkody w całej ilości danych. W tym momencie programy szkodników są tworzone do różnych celów, więc ich działania mają na celu korygowanie różnych struktur systemu operacyjnego komputera osobistego.

Powszechnymi i oczywistymi konsekwencjami dla użytkownika są problemy z Internetem, zakłócenia w pracy urządzeń podłączonych do komputera.

Nawet jeśli szkodnik został wykryty i zniszczony, nie wyklucza to utraty informacji i innych problemów, które pojawiają się w późniejszej pracy. Możesz wymieniać opcje bez końca, najczęściej użytkownik znajduje całkowite lub częściowe zablokowanie dostępu do sieci WWW, awarię urządzeń zewnętrznych (mysz, karta flash), pusty pulpit i tak dalej.

Wymienione konsekwencje są obserwowane ze względu na zmiany wprowadzone przez program szkodników w plikach systemowych komputera osobistego. Takie zmiany nie są eliminowane wraz z eliminacją wirusa, należy je skorygować niezależnie lub skorzystać z pomocy specjalistów. W rzeczywistości tego rodzaju praca nie wymaga specjalnego przeszkolenia, a każdy zaawansowany użytkownik może ją wykonać po zapoznaniu się z odpowiednią instrukcją.

W praktyce organizowania odzyskiwania systemu operacyjnego istnieje kilka podejść, w zależności od przyczyn, które doprowadziły do ​​niepowodzenia. Rozważmy szczegółowo każdą z opcji. Łatwym sposobem dostępnym dla każdego użytkownika jest przywrócenie systemu operacyjnego do punktu przywracania, gdy działanie komputera osobistego spełnia wymagania użytkownika. Jednak bardzo często to rozwiązanie jest niezadowalające lub z obiektywnych przyczyn niemożliwe jest jego wdrożenie.

Jak przywrócić system operacyjny, jeśli logowanie do komputera nie jest możliwe?

Uruchamianie przywracania systemu jest następujące. Menu Start \ Panel sterowania \ Przywracanie systemu. Pod tym adresem wybierz potrzebny nam punkt odzyskiwania i rozpocznij proces. Po chwili praca zostanie zakończona i komputer będzie gotowy do normalnej pracy. Technika ta jest dość przydatna do eliminowania niektórych typów wirusów, ponieważ zmiany zachodzą również na poziomie rejestru. Ta opcja przywracania systemu operacyjnego jest uważana za najprostszą i jest zawarta w zestawie standardowych narzędzi systemu Windows. Instrukcje krok po kroku i pomoc ze szczegółowymi komentarzami na temat procesu pomogą Ci opanować metodę przywracania sprawności komputera, nawet jeśli użytkownik nie czuje się całkowicie pewny siebie jako administrator komputera.

Inną powszechną opcją odzyskiwania systemu operacyjnego jest uruchomienie procedury z nośnika zewnętrznego. Ta opcja jest skomplikowana w niektórych punktach, na przykład musisz mieć obraz systemu na karcie flash lub dysku i zawczasu zadbać o posiadanie takiej kopii. Ponadto często konieczne jest posiadanie pewnych umiejętności w pracy z systemem BIOS. Obraz systemu operacyjnego na nośniku zewnętrznym jest najlepszą opcją, jeśli odzyskanie nie jest możliwe, ponieważ wirus zablokował komputerowi dostęp do systemu. Są inne opcje.

Nie można użyć standardowych narzędzi systemu Windows do przywrócenia systemu operacyjnego, jeśli na przykład logowanie nie jest możliwe lub istnieją inne przyczyny uniemożliwiające wykonanie operacji w trybie standardowym. Sytuację rozwiązuje się za pomocą narzędzia ERD Commander (ERDC).

Jak działa program, przeanalizujemy sytuację po kolei. Pierwszym krokiem jest pobranie programu. Drugim krokiem jest uruchomienie narzędzia Kreator przywracania systemu, z jego pomocą system operacyjny jest przywracany do określonej pozycji przywracania.

Z reguły każde narzędzie ma kilka punktów kontrolnych w magazynie, a w osiemdziesięciu procentach wydajność komputera osobistego zostanie całkowicie przywrócona.

Korzystanie z narzędzi AVZ

Omówione poniżej narzędzie nie wymaga od użytkownika żadnych specjalnych umiejętności i zdolności. Oprogramowanie zostało opracowane przez Olega Zaitseva i jest przeznaczone do wyszukiwania i niszczenia wszystkich rodzajów wirusów i złośliwego oprogramowania. Ale oprócz głównej funkcji narzędzie przywraca większość ustawień systemu, które zostały zaatakowane lub zmienione przez wirusy złośliwego oprogramowania.

Jakie problemy może rozwiązać prezentowany program? Najważniejsze jest przywrócenie plików i ustawień systemowych, które zostały zaatakowane przez wirusy. Narzędzie radzi sobie z uszkodzonymi sterownikami programu, które odmawiają uruchomienia po odzyskaniu. W przypadku problemów z działaniem przeglądarek lub w przypadku zablokowania dostępu do Internetu i wielu innych problemów.

Aktywujemy operację przywracania w Plik \ Przywracanie systemu i wybieramy operację, która jest potrzebna. Rysunek przedstawia interfejs mikroprogramów, z którymi współpracuje narzędzie, podamy opis każdego z nich.

Jak widać, zbiór operacji reprezentowany jest przez 21 pozycji, a nazwa każdej z nich wyjaśnia jego przeznaczenie. Należy pamiętać, że możliwości programu są dość zróżnicowane i można go uznać za uniwersalne narzędzie do reanimacji nie tylko samego systemu, ale także eliminacji konsekwencji wirusów pracujących z danymi systemowymi.

Pierwszy parametr jest używany, jeśli konsekwencje ataku wirusa i procedury odzyskiwania systemu operacyjnego odmawiają działania programów niezbędnych dla użytkownika. Z reguły dzieje się tak, gdy szkodnik przeniknął do plików i sterowników programów i dokonał jakichkolwiek zmian w zapisanych tam informacjach.

Drugi parametr jest niezbędny, gdy wirusy dokonały zamiany domen podczas wpisywania ich do wyszukiwarki przeglądarki. Taka substytucja jest pierwszym poziomem dostosowania interakcji między plikami systemowymi systemu operacyjnego a Internetem. Taka funkcja programu z reguły eliminuje wprowadzone zmiany bez śladu, bez próby ich wykrycia, ale po prostu poprzez całkowite sformatowanie całej ilości danych przedrostka i protokołu, zastępując je standardowymi ustawieniami.

Trzeci parametr wznawia konfigurację strony startowej przeglądarki internetowej. Podobnie jak w poprzednim przypadku program domyślnie naprawia problemy przeglądarki Internet Explorer.

Czwarty parametr reguluje pracę wyszukiwarki i ustawia standardowy tryb pracy. Ponownie procedura dotyczy przeglądarki instalowanej domyślnie przez system Windows.

W przypadku problemu związanego z funkcjonowaniem pulpitu (wyświetlanie się na nim banerów, obrazków, obcych wpisów) aktywowana jest piąta pozycja programu. Takie konsekwencje działania szkodliwych programów były bardzo popularne kilka lat temu i powodowały wiele problemów dla użytkowników, ale nawet teraz takie brudne sztuczki mogą przeniknąć do systemu operacyjnego komputera.

Szósty punkt jest konieczny, jeśli złośliwe oprogramowanie ograniczyło działania użytkownika podczas wykonywania wielu poleceń. Ograniczenia te mogą mieć różny charakter, a ponieważ ustawienia dostępu są przechowywane w rejestrze, szkodliwe programy najczęściej wykorzystują te informacje w celu dostosowania pracy użytkownika na komputerze.

Jeśli podczas uruchamiania systemu operacyjnego pojawia się komunikat innej firmy, oznacza to, że złośliwy program był w stanie przeniknąć do opcji uruchamiania systemu Windows NT. Przywracanie systemu operacyjnego, które zabiło wirusa, nie usuwa tego komunikatu. Aby go usunąć, musisz aktywować siódmy parametr menu narzędzia AVZ.

Ósma opcja menu, jak sama nazwa wskazuje, przywraca ustawienia Eksploratora.

Czasami problem objawia się w postaci przerw w działaniu komponentów systemu, na przykład podczas uruchamiania systemu operacyjnego PC znika pulpit. Narzędzie AVZ diagnozuje te struktury i dokonuje niezbędnych korekt za pomocą pozycji dziewiątej w menu narzędzi.

Problemy z uruchamianiem systemu operacyjnego w trybie awaryjnym są rozwiązywane przez punkt dziesiąty. Łatwo jest wykryć potrzebę aktywacji tej pozycji multiprogramu rozważanego tutaj narzędzia. Są one pokazywane przy wszelkich próbach wykonywania pracy w trybie bezpieczeństwa.

Jeśli menedżer zadań jest zablokowany, należy aktywować jedenasty element menu. Wirusy w imieniu administratora wprowadzają zmiany w aktywacji tej sekcji systemu operacyjnego i zamiast okna roboczego pojawia się komunikat informujący, że praca z menedżerem zadań jest zablokowana.

Narzędzie HijackThis, jako jedna z jego głównych funkcji, wykorzystuje przechowywanie listy wykluczeń w rejestrze. W przypadku wirusa wystarczy przeniknąć do bazy danych narzędzia i zarejestrować pliki na liście rejestru. Następnie może samoczynnie naprawiać się nieograniczoną liczbę razy. Rejestr narzędzia jest czyszczony poprzez aktywację dwunastego elementu menu ustawień AVZ.

Kolejny, trzynasty punkt, pozwala wyczyścić plik Hosts, plik ten zmodyfikowany przez wirusa może powodować trudności w pracy z siecią, blokować niektóre zasoby oraz zakłócać aktualizację baz danych programów antywirusowych. Praca z tym plikiem zostanie omówiona bardziej szczegółowo poniżej. Niestety prawie wszystkie programy antywirusowe starają się edytować ten plik, co wynika po pierwsze z prostoty dokonywania takich zmian, a konsekwencje mogą być więcej niż znaczące, a po usunięciu wirusów informacje wprowadzone do pliku mogą zostać bezpośrednia brama do penetracji nowych szkodników i szpiegów systemu operacyjnego.

Jeśli dostęp do Internetu jest zablokowany, oznacza to z reguły błędy w ustawieniach SPI. Ich korekta nastąpi, jeśli aktywujesz czternastą pozycję menu. Ważne jest, aby ten element ustawień nie mógł być używany z sesji terminala.

Podobne funkcje zawiera piętnasta pozycja menu, ale jej aktywacja jest możliwa tylko przy pracy w takich systemach operacyjnych jak XP, Windows 2003, Vista. Możesz użyć tego multiprogramu, jeśli próby naprawienia sytuacji poprzez wejście do sieci przy użyciu poprzedniego ustawienia nie przyniosły pożądanego rezultatu.

Możliwości szesnastej pozycji menu mają na celu przywrócenie systemowych kluczy rejestru, które odpowiadają za uruchomienie przeglądarki internetowej.

Kolejnym krokiem w pracy przywracania ustawień systemu operacyjnego po ataku wirusa jest odblokowanie edytora rejestru. Z reguły manifestacja zewnętrzna - nie można pobrać programu do pracy z siecią.

Poniższe cztery punkty są zalecane tylko wtedy, gdy uszkodzenia systemu operacyjnego są tak katastrofalne, że w zasadzie nie ma znaczenia, czy zostaną one wyeliminowane za pomocą takich metod, czy w rezultacie konieczna będzie ponowna instalacja całego systemu.

Tak więc osiemnasty akapit odtwarza oryginalne ustawienia SPI. Dziewiętnasta pozycja czyści rejestr Mount Points /2.

Dwudziesta pozycja usuwa wszystkie trasy statyczne. Wreszcie ostatni, dwudziesty pierwszy element usuwa wszystkie połączenia DNS.

Jak widać, prezentowane możliwości narzędzia obejmują prawie wszystkie obszary, do których może przeniknąć szkodliwy program i pozostawić swój aktywny ślad, co nie jest tak łatwe do wykrycia.

Ponieważ aplikacje antywirusowe nie gwarantują 100% ochrony systemu operacyjnego komputera, zalecamy posiadanie takiego programu w swoim arsenale narzędzi do zwalczania wirusów komputerowych wszelkiego rodzaju i formach.

W wyniku leczenia PC OS podłączone do niego urządzenia nie działają.

Jednym z popularnych sposobów ukrywania oprogramowania szpiegującego jest zainstalowanie własnego sterownika antywirusowego oprócz prawdziwego oprogramowania. W tej sytuacji rzeczywistym sterownikiem jest najczęściej plik myszy lub klawiatury. W związku z tym po zniszczeniu wirusa jego ślad pozostaje w rejestrze, z tego powodu urządzenie, do którego szkodnik mógł się dołączyć, przestaje działać.

Podobną sytuację obserwuje się w przypadku nieprawidłowej pracy w procesie usuwania Kaspersky Anti-Virus. Wiąże się to również ze specyfiką instalacji programu, gdy do jego instalacji na komputerze wykorzystywany jest pomocniczy sterownik klmouflt. W sytuacji z Kaspersky, ten sterownik musi zostać znaleziony i całkowicie usunięty z systemu komputera osobistego zgodnie ze wszystkimi zasadami.

Jeśli klawiatura i mysz nie działają w żądanym trybie, pierwszym krokiem jest przywrócenie kluczy rejestru.

Klawiatura :
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Control\Class\(4D36E 96B-E325-11CE-BF C1-08002BE10318)
UpperFilters=klasa kbd

Mysz :
HKEY_LOCAL_MACHI NE\SYSTEM\Curren tControlSet\Control\Class\(4D36E 96F-E325-11CE-BF C1-08002BE10318)
UpperFilters=mou class

Problem niedostępnych stron

Konsekwencją ataku złośliwego oprogramowania może być niedostępność niektórych zasobów w Internecie. A te konsekwencje są wynikiem zmian, które wirusy zdołały wprowadzić w systemie. Problem jest wykrywany natychmiast lub po pewnym czasie, ale jeśli w wyniku działań programów szkodników ujawni się po pewnym czasie, nie będzie trudno go wyeliminować.

Istnieją dwie opcje blokowania, a najczęstszą jest aktualizacja pliku hosts. Drugą opcją jest tworzenie fałszywych tras statycznych. Nawet jeśli wirus zostanie zabity, zmiany wprowadzone w tych narzędziach nie zostaną usunięte.

Dokument, o którym mowa, znajduje się w folderze systemowym na dysku C. Jego adres i lokalizację można znaleźć tutaj: C:\Windows\System 32\drivers\etc\hosts . Aby szybko wyszukać, z reguły użyj wiersza poleceń z menu Start.

Jeśli pliku nie można znaleźć przy użyciu określonej procedury, może to oznaczać, że:

Program wirusowy zmienił swoją lokalizację w rejestrze;

Plik dokumentu ma opcję „ukrytą”.

W tym drugim przypadku zmieniamy charakterystykę wyszukiwania. Pod adresem: Opcje folderów / Widok znajdujemy wiersz „Pokaż ukryte pliki” i ustawiamy etykietę naprzeciwko, rozszerzając zakres wyszukiwania.

Plik hosts zawiera informacje o konwersji dosłownej nazwy domeny witryny na jej adres IP, więc złośliwe oprogramowanie zapisuje w nim poprawki, które mogą przekierować użytkownika do innych zasobów. Jeśli tak się stanie, to po wpisaniu adresu żądanej witryny otwiera się zupełnie inna. Aby przywrócić te zmiany do pierwotnego stanu i je naprawić, musisz znaleźć ten plik i przeanalizować jego zawartość. Nawet niedoświadczony użytkownik będzie mógł zobaczyć, co dokładnie naprawiło wirusa, ale jeśli spowoduje to pewne trudności, możesz przywrócić ustawienia domyślne, eliminując w ten sposób wszystkie zmiany wprowadzone w pliku.

Jeśli chodzi o korygowanie tras, zasada działania jest taka sama. Jednak w procesie interakcji między systemem operacyjnym PC a Internetem priorytet zawsze pozostaje w pliku hosts, więc przywrócenie go wystarczy, aby praca była wykonywana w trybie standardowym.

Trudność pojawia się, jeśli żądany plik nie można znaleźć, ponieważ wirus zmienia swoją lokalizację w folderach systemowych. Następnie musisz naprawić klucz rejestru.

HKEY_LOCAL_MACHI NE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath

Wirusy należące do grupy Win32/Vundo są sprytniejsze niż większość ich złośliwych kuzynów, jeśli chodzi o przekształcanie plików hostów. Zmieniają samą nazwę pliku, usuwając łacińską literę o i zastępując znak cyrylicą. Taki plik nie jest już zaangażowany w konwersję nazw domen witryn na adresy IP, a nawet jeśli użytkownik przywróci ten plik, wynik pracy pozostanie taki sam. Jak znaleźć prawdziwy plik? W przypadku wątpliwości, czy przedmiot, którego potrzebujemy, jest prawdziwy, wykonujemy następującą procedurę. Pierwszym krokiem jest aktywacja trybu wyświetlania ukrytych plików. Przeglądamy katalog, wygląda tak, jak pokazano na rysunku.

Oto dwa identyczne pliki, ale ponieważ system operacyjny nie pozwala na używanie identycznych nazw, oczywiste jest, że mamy do czynienia z fałszywym dokumentem. Ustalenie, które z nich jest poprawne, a które nie, jest łatwe. Wirus tworzy obszerny plik i liczne poprawki, więc wynik jego sabotażu jest pokazany na rysunku. ukryty plik 173 KB.

Jeśli otworzysz plik dokumentu, zawarte w nim informacje będą zawierać następujące wiersze:

31.214.145.172 vk.com - ciąg znaków, który może zastąpić adres IP strony

127.0.0.1 avast.com — linia pliku napisana przez wirusa w celu uniemożliwienia dostępu do strony programu antywirusowego

Zauważyliśmy już powyżej, że możliwe jest również blokowanie poszczególnych zasobów poprzez tworzenie niepoprawnych tras w tablicy routingu. Jak rozwiązać sytuację, rozważ kolejność działań.

Jeśli plik hosts nie zawiera złośliwych modyfikacji i nie można pracować z zasobem, problem leży w tabeli tras. Kilka słów o istocie interakcji tych narzędzi. Jeśli w pliku hosts określono poprawny adres domeny adaptacyjnej, nastąpi przekierowanie na ten adres do istniejącego zasobu. Z reguły adres IP nie należy do zakresu adresów podsieci lokalnej, dlatego przekierowanie odbywa się przez bramę routera, którą określają ustawienia połączenia internetowego.

Jeśli dostosujesz wpisy trasy dla określonego adresu IP, automatyczne połączenie zostanie nawiązane na podstawie tego wpisu. Jeśli nie ma takiej trasy lub brama nie działa, połączenie nie powiedzie się, a zasób pozostanie niedostępny. W ten sposób wirus może usunąć wpis w tabeli tras i zablokować absolutnie każdą witrynę.

Trasy utworzone dla określonych witryn pozostają w bazie danych rejestru HKLM. Aktualizacja tras ma miejsce, gdy polecenie programu dodawania trasy jest aktywowane lub dane są poprawiane ręcznie. Gdy nie ma tras statycznych, sekcja tabeli jest pusta. Listę danych routingu można wyświetlić za pomocą polecenia route print. Wyrenderuję to w ten sposób:

Aktywne trasy:

Powyższa tabela jest standardem dla komputera PC z pojedynczą kartą sieciową i ustawieniami połączenia sieciowego:

Adres IP 192.168.0.0

maska ​​255.255.255.0

brama domyślna 192.168.0.1

Powyższy wpis zawiera adres IP sieci, kod 192.168.0.0 oraz maskę podsieci, kod 255.255.255.0. Jeśli odszyfrujesz te dane, informacje są następujące. Maska obejmuje cały zakres węzłów z równoważną częścią adresu wyższego rzędu. Zgodnie z systemem metrycznym, pierwsze trzy bajty maski podsieci to 1 we wszystkich systemach operacyjnych komputerów PC (wyjątki to dziesiętny, gdzie wartość wynosi 255, i szesnastkowy, gdzie wartość to 0*FF). Dolny koniec odebranego adresu hosta to wartość z zakresu 1-254.

Zgodnie z przedstawioną powyżej informacją, najniższy adres ma kodowanie - 192.168.0.0, ten kod jest adresem sieciowym. Adres wyższego rzędu, zakodowany 192.168.0.255, jest scharakteryzowany jako adres rozgłoszeniowy. A jeśli pierwszy kod wyklucza jego użycie do wymiany danych, to drugi kod jest przeznaczony tylko do wykonywania tych funkcji. Ich węzły wymieniają pakiety danych za pomocą tras.

Wyobraź sobie następującą konfigurację:

Adres IP - 192.168.0.0

Maska sieci - 255.255.255.0

Brama - 192.168.0.3

Interfejs - 192.168.0.3

Metryczne - 1

Informacje są dekodowane logicznie w następujący sposób: w zakresie adresów od 192.168.0.0 - 192.168.0.255 do wymiany informacji jako brama i interfejs używamy kodu karta sieciowa(192.168.0.3). Wszystko to sprawia, że ​​informacja trafia bezpośrednio do adresata.

Gdy warunek adresu końcowego nie pasuje do podanego zakresu 192.168.0.0-192. 168.0.255, bezpośrednie przesyłanie informacji nie będzie możliwe. Protokół serwera przesyła dane do routera, który przekazuje je do innej sieci. Jeśli nie określono tras statycznych, domyślny adres routera pozostaje taki sam jak adres bramy. Informacje są przesyłane pod ten adres, następnie do sieci i trasami określonymi w tabeli, aż do odebrania pakietu przez adresata. Ogólnie proces przenoszenia danych wygląda tak. Wyobraźmy sobie ilustrację wpisów w standardowej tablicy routerów. W przykładzie jest tylko kilka wpisów, ale ich liczba może sięgać dziesiątek lub setek wierszy.

Na przykładowych danych opiszemy proces przekierowania na adresy zasobu internetowego w. Podczas kontaktu z adresami zasobów internetowych znajdującymi się w określonym zakresie od 74.55.40.0 do 74.55.40.255, kod routera jest równy numerowi sieci 192.168.0.0, a zatem nie może być wykorzystany w procesie wymiany danych informacyjnych. Protokół IP diagnozuje adres (74.55.40.226), który nie jest zawarty w pakiecie adresów pojedynczej sieci lokalnej i odnosi się do wyznaczonych tras statycznych.

W sytuacji, gdy ta trasa nie jest określona, ​​pakiet informacyjny jest wysyłany na adres identyfikacyjny bramy ustawiony w domyślnym przykładzie.

Ponieważ trasa pokazana w przykładzie ma wysoki priorytet, wymaga konkretnej bramy, a nie standardu, który pasuje do wszystkich. Ponieważ nie ma bramy spełniającej żądanie w tabeli, serwer o adresie sieciowym 74.55.40.226 pozostanie poza zasięgiem. I na warunkach opisanych w przykładzie z kodem maski podsieci, wszystkie adresy z zakresu 74.55.40.0 - 74.55.40.255 zostaną zablokowane. To właśnie ten zakres obejmuje ścieżkę sieciową do witryny oprogramowania antywirusowego zainstalowanego na komputerze osobistym, która nie otrzyma niezbędnych aktualizacji bazy wirusów i nie będzie działać poprawnie.

Im więcej takich danych w tabeli tras, tym więcej zasobów jest blokowanych. W praktyce specjalistów programy wirusowe tworzyły do ​​czterystu linii tego typu, blokując w ten sposób pracę około tysiąca zasobów sieciowych. Co więcej, właściciele wirusów nie są szczególnie zainteresowani faktem, że w celu zablokowania określonego zasobu wykluczają dziesiątki innych witryn z możliwego dostępu. To główny błąd programistów pozbawionych skrupułów, ponieważ ilość niedostępnych zasobów ujawnia samą możliwość zablokowania przesyłania danych. Na przykład, jeśli najpopularniejsze portale społecznościowe, a użytkownik nie może wejść na stronę VKontakte lub Odnoklassniki, pojawia się podejrzenie dotyczące prawidłowego działania komputera z siecią.

Naprawienie sytuacji nie jest trudne, służy do tego polecenie trasa i klawisz usuwania. Znajdujemy fałszywe wpisy w tabeli i odinstalowujemy. Mała uwaga, wszystkie operacje są wykonalne tylko wtedy, gdy użytkownik ma prawa administratora, ale wirus może również wprowadzać zmiany na trasie tylko wtedy, gdy przeniknął do sieci rachunek administrator komputera osobistego. Podajemy przykłady takich zadań.

route delete 74.55.40.0 - wpis usuwający pierwszą wersję linii trasy;

route delete 74.55.74.0 — wpis usuwający drugą wersję ciągu trasy.

Liczba takich linii powinna być całkowitą liczbą fałszywych tras.

Jeżeli podejście do procedury jest prostsze, konieczne jest zastosowanie operacji przekierowania wyjścia. Odbywa się to poprzez wprowadzenie zadania route print > C:\routes.txt. Aktywacja polecenia stwarza sytuację, w której dysk systemowy tworzony jest dokument pliku o nazwie route.txt, który zawiera tabelę z danymi tras.

Lista tabeli zawiera kody znaków DOS. Znaki te są nieczytelne i nie mają znaczenia dla operacji. Dodając zadanie usuwania trasy na początku każdej trasy, usuwamy każdy fałszywy wpis. Wyglądają one tak:

trasa usuń 84.50.0.0

trasa usuń 84.52.233.0

trasa usuń 84.53.70.0

trasa usuń 84.53.201.0

trasa usuń 84.54.46.0

Następnie musisz zmienić rozszerzenie pliku, opcje zastąpienia takiego rozszerzenia to cmd lub bat. Nowy plik jest uruchamiany przez dwukrotne kliknięcie prawym przyciskiem myszy. Możesz uprościć zadanie za pomocą popularnego menedżera plików FAR, który działa w następujący sposób. Wywoływany edytor klawisz funkcyjny F 4, podświetla prawą stronę rekordu trasy specjalnym oznaczeniem. Używając kombinacji klawiszy CTRL + F 7, wszystkie spacje są automatycznie zamieniane na znak z pustą wartością, a spacja z kolei jest ustawiana w pozycji początkowej wiersza. Nowa kombinacja określonych klawiszy ustawia zadanie usuwania trasy do miejsca, którego potrzebujemy.

Gdy w tabeli danych jest dużo fałszywych tras i ich ręczne poprawianie wydaje się być długim i żmudnym procesem, zaleca się użycie zadania trasy razem z klawiszem F.

Ten przełącznik usuwa wszystkie trasy inne niż węzłowe, a także całkowicie odinstalowuje trasy z punktem końcowym i adresem rozgłoszeniowym. Pierwszy i ostatni mają kod cyfrowy 255.255.255.255; drugi 127.0.0.0. Innymi słowy, wszystkie fałszywe informacje zapisane w tabeli przez wirusa zostaną odinstalowane. Ale jednocześnie rekordy tras statycznych napisane przez samego użytkownika i dane głównej bramy zostaną zniszczone, więc będą musiały zostać przywrócone, ponieważ sieć pozostanie niedostępna. Lub monitoruj proces czyszczenia tabeli danych i zatrzymaj go, jeśli zamierzasz usunąć potrzebny nam rekord.

Program antywirusowy AVZ można również wykorzystać do dostosowania ustawień routera. Konkretny multiprogram zaangażowany w ten proces to dwudziesty element konfiguracji TCP.

Ostatnią opcją blokowania dostępu użytkownika do adresów IP witryn, które są wykorzystywane przez programy antywirusowe, jest fałszowanie adresów. Serwery DNS. W takim przypadku połączenie z siecią odbywa się za pośrednictwem złośliwego serwera. Ale takie sytuacje są dość rzadkie.

Po zachowaniu całej pracy konieczne jest ponowne uruchomienie komputera osobistego.

Jeszcze raz dziękujemy za pomoc w przygotowaniu materiału dla mistrzów serwisu komputerowego Zapuskay.RF - http://launch.rf/information/territory/Kolomenskaya/, u których można zamówić naprawy laptopów i netbooków w Moskwie.

Odzyskiwanie zaszyfrowanych plików- to problem, z którym boryka się duża liczba użytkowników komputery osobiste które padły ofiarą różnych wirusów ransomware. Liczba szkodliwych programów w tej grupie jest bardzo duża i rośnie z każdym dniem. Niedawno natknęliśmy się na dziesiątki opcji ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt itp.

Oczywiście możesz odzyskać zaszyfrowane pliki po prostu postępując zgodnie z instrukcjami, które twórcy wirusa pozostawiają na zainfekowanym komputerze. Ale najczęściej koszt odszyfrowania jest bardzo wysoki, trzeba też wiedzieć, że niektóre wirusy szyfrujące szyfrują pliki w taki sposób, że później po prostu nie da się ich odszyfrować. I oczywiście po prostu nieprzyjemnie jest płacić za przywrócenie własnych plików.

Sposoby na bezpłatne odzyskanie zaszyfrowanych plików

Istnieje kilka sposobów na odzyskanie zaszyfrowanych plików za pomocą całkowicie darmowych i sprawdzonych programów, takich jak ShadowExplorer i PhotoRec. Przed i podczas odzyskiwania staraj się jak najmniej korzystać z zainfekowanego komputera, dzięki czemu zwiększysz swoje szanse na pomyślne odzyskanie plików.

Opisane poniżej instrukcje należy wykonać krok po kroku, jeśli coś Ci nie wyszło, to PRZESTAŃ, poproś o pomoc pisząc komentarz do tego artykułu lub tworząc nowy temat na naszym.

1. Usuń wirusa ransomware

Kaspersky Virus Removal Tool i Malwarebytes Anti-malware mogą wykrywać różne typy aktywnych wirusów ransomware i z łatwością usuwać je z komputera, ALE nie mogą odzyskać zaszyfrowanych plików.

1.1. Usuń ransomware za pomocą Kaspersky Virus Removal Tool

Naciśnij przycisk Skanowanie aby rozpocząć skanowanie komputera w poszukiwaniu oprogramowania ransomware.

Poczekaj na zakończenie tego procesu i usuń znalezione złośliwe oprogramowanie.

1.2. Usuń ransomware za pomocą Malwarebytes Anti-malware

Pobierz program. Po zakończeniu pobierania uruchom pobrany plik.

Procedura aktualizacji programu rozpocznie się automatycznie. Kiedy się skończy, naciśnij przycisk Uruchom sprawdzanie. Malwarebytes Anti-malware rozpocznie skanowanie komputera.

Natychmiast po zakończeniu skanowania komputera Malwarebytes Anti-malware otworzy listę znalezionych składników wirusa ransomware.

Naciśnij przycisk Usuń zaznaczone do czyszczenia komputera. Podczas usuwania złośliwego oprogramowania Malwarebytes Anti-malware może wymagać ponownego uruchomienia komputera w celu kontynuowania procesu. Potwierdź to, wybierając Tak.

Po ponownym uruchomieniu komputera, Malwarebytes Anti-malware automatycznie kontynuuje proces leczenia.

2. Odzyskaj zaszyfrowane pliki za pomocą ShadowExplorer

ShadowExplorer to małe narzędzie, które umożliwia przywracanie kopii w tle plików, które są tworzone automatycznie przez system operacyjny. system Windows(7-10). Umożliwi to przywrócenie pierwotnego stanu zaszyfrowanych plików.

Pobierz program. Program znajduje się w archiwum zip. Dlatego kliknij prawym przyciskiem myszy pobrany plik i wybierz Wyodrębnij wszystko. Następnie otwórz folder ShadowExplorerPortable.

Uruchom ShadowExplorer. Wybierz potrzebny dysk i datę utworzenia kopii w tle, odpowiednio numery 1 i 2 na poniższym rysunku.

Kliknij prawym przyciskiem myszy katalog lub plik, którego kopię chcesz przywrócić. Z wyświetlonego menu wybierz opcję Eksportuj.

Na koniec wybierz folder, do którego zostanie skopiowany odzyskany plik.

3. Odzyskaj zaszyfrowane pliki za pomocą PhotoRec

PhotoRec to darmowy program przeznaczony do odzyskiwania skasowanych i utraconych plików. Za jego pomocą możesz przywrócić oryginalne pliki, które wirusy ransomware usunęły po utworzeniu ich zaszyfrowanych kopii.

Pobierz program. Program znajduje się w archiwum. Dlatego kliknij prawym przyciskiem myszy pobrany plik i wybierz Wyodrębnij wszystko. Następnie otwórz folder testdisk.

Znajdź QPhotoRec_Win na liście plików i uruchom go. Otworzy się okno programu, w którym zostaną pokazane wszystkie partycje dostępnych dysków.

Z listy partycji wybierz partycję zawierającą zaszyfrowane pliki. Następnie kliknij przycisk Formaty plików.

Domyślnie program jest ustawiony na odzyskiwanie wszystkich typów plików, ale aby przyspieszyć pracę, zaleca się pozostawienie tylko tych typów plików, które chcesz odzyskać. Po dokonaniu wyboru naciśnij przycisk OK.

Na dole okna QPhotoRec znajdź przycisk Przeglądaj i kliknij go. Musisz wybrać katalog, w którym zostaną zapisane odzyskane pliki. Wskazane jest użycie dysku, który nie zawiera zaszyfrowanych plików wymagających odzyskania (możesz użyć dysku flash USB lub dysku zewnętrznego).

Aby rozpocząć procedurę wyszukiwania i przywracania oryginalnych kopii zaszyfrowanych plików, kliknij przycisk Wyszukaj. Ten proces trwa dość długo, więc bądź cierpliwy.

Po zakończeniu wyszukiwania kliknij przycisk Zakończ. Teraz otwórz folder wybrany do zapisania odzyskanych plików.

Folder będzie zawierał katalogi o nazwach recup_dir.1, recup_dir.2, recup_dir.3 i tak dalej. Im więcej plików znajdzie program, tym więcej będzie katalogów. Aby znaleźć potrzebne pliki, sprawdź wszystkie katalogi jeden po drugim. Aby ułatwić znalezienie potrzebnego pliku, między duża liczba przywrócone, skorzystaj z wbudowanego systemu wyszukiwania Windows (według zawartości pliku), a także nie zapomnij o funkcji sortowania plików w katalogach. Jako parametr sortowania można wybrać datę modyfikacji pliku, ponieważ QPhotoRec próbuje przywrócić tę właściwość podczas przywracania pliku.

Wirus to rodzaj złośliwego oprogramowania, które penetruje obszary pamięci systemowej, kod innych programów i sektory rozruchowe. Jest w stanie usunąć ważne dane z dysku twardego, dysku USB lub karty pamięci.

Większość użytkowników nie wie, jak odzyskać pliki po ataku wirusa. W tym artykule chcemy Ci powiedzieć, jak to zrobić w szybki i łatwy sposób. Mamy nadzieję, że te informacje będą dla Ciebie przydatne. Istnieją dwie główne metody łatwego usunięcia wirusa i odzyskania usuniętych danych po ataku wirusa.

Usuń wirusa za pomocą wiersza poleceń

1) Kliknij przycisk „Start”. Wpisz CMD w pasku wyszukiwania. Zobaczysz „Wiersz polecenia” u góry wyskakującego okna. Naciśnij enter.

2) Uruchom wiersz polecenia i wpisz: „attrib –h –r –s /s /d nazwa_sterownika\*.*”

Po tym kroku system Windows rozpocznie odzyskiwanie zainfekowanego przez wirusa dysku twardego, karty pamięci lub USB. Zakończenie procesu zajmie trochę czasu.

Aby rozpocząć odzyskiwanie systemu Windows, kliknij przycisk „Start”. Wpisz Przywróć w pasku wyszukiwania. W następnym oknie kliknij „Rozpocznij przywracanie systemu” → „Dalej” i wybierz żądany punkt przywracania.

Innym wariantem ścieżki jest „Panel sterowania” → „System” → „Ochrona systemu”. Pojawi się okno przygotowania do odzyskiwania. Następnie komputer uruchomi się ponownie i pojawi się komunikat „Przywracanie systemu zakończone pomyślnie”. Jeśli to nie rozwiązało problemu, spróbuj przywrócić do innego punktu przywracania. To wszystko, co można powiedzieć o drugiej metodzie.

Magic Partition Recovery: przywracanie brakujących plików i folderów po ataku wirusa

Aby uzyskać niezawodne odzyskiwanie plików usuniętych przez wirusy, użyj Magic Partition Recovery. Program opiera się na bezpośrednim dostępie niskiego poziomu do dysku. Dlatego ominie blokowanie wirusów i odczyta wszystkie twoje pliki.

Pobierz i zainstaluj program, a następnie przeanalizuj dysk, pendrive lub kartę pamięci. Po analizie program wyświetla listę folderów na wybranym dysku. Po wybraniu odpowiedniego folderu po lewej stronie możesz go wyświetlić w prawej sekcji.

Dzięki temu program zapewnia możliwość przeglądania zawartości dysku w taki sam sposób, jak w standardowym Eksploratorze Windows. Oprócz istniejących plików zostaną wyświetlone usunięte pliki i foldery. Zostaną one oznaczone specjalnym czerwonym krzyżykiem, co znacznie ułatwi odzyskanie usuniętych plików.

Jeśli utraciłeś swoje pliki po ataku wirusa, Magic Partition Recovery pomoże Ci przywrócić wszystko bez większego wysiłku.

Proste i wygodne narzędzie AVZ, które nie tylko może pomóc, ale także wie, jak przywrócić system. Dlaczego jest to konieczne?

Faktem jest, że po inwazji wirusów (zdarza się, że AVZ zabija ich tysiące), niektóre programy odmawiają działania, ustawienia gdzieś zniknęły, a system Windows jakoś nie działa całkiem poprawnie.

Najczęściej w takim przypadku użytkownicy po prostu ponownie instalują system. Ale jak pokazuje praktyka, nie jest to wcale konieczne, ponieważ za pomocą tego samego narzędzia AVZ można przywrócić prawie wszystkie uszkodzone programy i dane.

Aby uzyskać wyraźniejszy obraz, przedstawiam pełną listę tego, co może przywrócić AVZ.

Materiał pochodzi z przewodnika do AVZ - http://www.z-oleg.com/secur/avz_doc/ (skopiuj i wklej w pasku adresu przeglądarki).

Baza danych zawiera obecnie następujące oprogramowanie układowe:

1. Przywróć pliki uruchamiania opcji.exe, .com, .pif

To oprogramowanie przywraca odpowiedź systemu na pliki exe, com, pif, scr.

Wskazania do stosowania: po usunięciu wirusa programy przestają działać.

2. Zresetuj ustawienia prefiksu protokołu Internet Explorer do standardowych

To oprogramowanie przywraca ustawienia prefiksu protokołu w przeglądarce Internet Explorer

Wskazania do stosowania: po wpisaniu adresu takiego jak www.yandex.ru jest on zastępowany przez coś takiego jak www.seque.com/abcd.php?url=www.yandex.ru

3. Przywracanie strony startowej Internet Explorer

To oprogramowanie przywraca stronę startową w przeglądarce Internet Explorer

Wskazania do stosowania: zmiana strony startowej

4. Zresetuj ustawienia wyszukiwania Internet Explorera do domyślnych

To oprogramowanie przywraca ustawienia wyszukiwania w przeglądarce Internet Explorer

Wskazania do stosowania: Po kliknięciu przycisku „Szukaj” w IE następuje wywołanie obcej witryny

5. Przywróć ustawienia pulpitu

To oprogramowanie przywraca ustawienia pulpitu.

Przywrócenie polega na usunięciu wszystkich aktywnych elementów ActiveDesctop, tapet, usunięciu blokad w menu odpowiedzialnym za ustawienia pulpitu.

Wskazania do stosowania: Zniknęły zakładki ustawień pulpitu w oknie „Właściwości wyświetlania”, na pulpicie są wyświetlane obce napisy lub rysunki

6.Usunięcie wszystkich zasad (ograniczeń) bieżącego użytkownika

System Windows udostępnia mechanizm ograniczania działań użytkownika o nazwie Zasady. Ta technologia jest używana przez wiele złośliwych programów, ponieważ ustawienia są przechowywane w rejestrze i można je łatwo tworzyć lub modyfikować.

Wskazania do stosowania: Funkcje Eksploratora plików lub inne funkcje systemowe są zablokowane.

7. Usuwanie wiadomości wyświetlanej podczas WinLogon

Windows NT i kolejne systemy w linii NT (2000, XP) pozwalają ustawić komunikat wyświetlany podczas uruchamiania.

Jest to wykorzystywane przez wiele szkodliwych programów, a zniszczenie szkodliwego programu nie prowadzi do zniszczenia tej wiadomości.

Wskazania do stosowania: Podczas uruchamiania systemu pojawia się dodatkowy komunikat.

8. Przywróć ustawienia eksploratora

To oprogramowanie układowe resetuje szereg ustawień Eksploratora plików do ustawień domyślnych (ustawienia zmienione przez złośliwe oprogramowanie są resetowane jako pierwsze).

Wskazania do stosowania: Zmieniono ustawienia Eksploratora

9. Usuwanie debugerów procesów systemowych

Zarejestrowanie debuggera procesów systemowych pozwoli na niewidoczne uruchamianie aplikacji, co jest wykorzystywane przez wiele szkodliwych programów.

Wskazania do stosowania: AVZ wykrywa nierozpoznane debuggery procesów systemowych, problemy z uruchamianiem komponentów systemu, w szczególności pulpit znika po ponownym uruchomieniu.

10. Przywróć ustawienia rozruchu w trybie awaryjnym

Niektóre złośliwe oprogramowanie, takie jak robak Bagle, uszkadza ustawienia uruchamiania systemu w trybie chronionym.

To oprogramowanie wewnętrzne przywraca ustawienia rozruchu w trybie chronionym. Wskazania do stosowania: Komputer nie uruchamia się w trybie awaryjnym (SafeMode). To oprogramowanie musi być używane tylko w przypadku problemów z uruchomieniem w trybie chronionym .

11. Odblokuj Menedżera zadań

Blokowanie Menedżera zadań jest używane przez złośliwe oprogramowanie do ochrony procesów przed wykryciem i usunięciem. W związku z tym wykonanie tego mikroprogramu usuwa blokadę.

Wskazania do stosowania: Zablokowany menedżer zadań, przy próbie połączenia się z menedżerem zadań wyświetlany jest komunikat „Menedżer zadań został zablokowany przez administratora”.

12. Usuwanie przejęcia tej listy ignorowanych

Narzędzie HijackThis przechowuje w rejestrze szereg swoich ustawień, w szczególności listę wykluczeń. Dlatego, aby ukryć się przed HijackThis, złośliwe oprogramowanie musi jedynie zarejestrować swoje pliki wykonywalne na liście wykluczeń.

Obecnie wiadomo, że wiele szkodliwych programów wykorzystuje tę lukę. Oprogramowanie sprzętowe AVZ czyści listę wykluczeń narzędzia HijackThis

Wskazania do stosowania: Podejrzenia, że ​​narzędzie HijackThis nie wyświetla wszystkich informacji o systemie.

13. Porządkowanie pliku Hosts

Czyszczenie pliku Hosts sprowadza się do znalezienia pliku Hosts, usunięcia z niego wszystkich istotnych linii i dodania standardowej linii „127.0.0.1 localhost”.

Wskazania do stosowania: Podejrzenia, że ​​plik Hosts został zmodyfikowany przez złośliwe oprogramowanie. Typowe symptomy to blokowanie aktualizacji oprogramowania antywirusowego.

Możesz kontrolować zawartość pliku Hosts za pomocą menedżera plików Hosts wbudowanego w AVZ.

14. Automatyczna korekta ustawień Spl/LSP

Przeprowadza analizę ustawień SPI i, jeśli zostaną znalezione błędy, automatycznie je poprawia.

To oprogramowanie układowe można ponownie uruchamiać nieograniczoną liczbę razy. Zaleca się ponowne uruchomienie komputera po uruchomieniu tego oprogramowania. Notatka! Tego oprogramowania nie można uruchomić z sesji terminala

Wskazania do stosowania: Dostęp do Internetu został utracony po usunięciu złośliwego oprogramowania.

15. Zresetuj ustawienia SPI/LSP i TCP/IP (XP+)

To oprogramowanie działa tylko na XP, Windows 2003 i Vista. Jego zasada działania opiera się na resetowaniu i odtwarzaniu ustawień SPI/LSP i TCP/IP za pomocą standardowego narzędzia netsh dołączonego do systemu Windows.

Notatka! Zresetuj do ustawień fabrycznych tylko wtedy, gdy to konieczne, jeśli masz nieodwracalne problemy z dostępem do Internetu po usunięciu złośliwego oprogramowania!

Wskazania do stosowania: Po usunięciu szkodliwego programu dostęp do Internetu i wykonanie oprogramowania „14. Automatyczna korekta ustawień Spl/LSP” nie działa.

16. Przywracanie klawisza uruchamiania Eksploratora

Przywraca klucze rejestru systemowego odpowiedzialne za uruchomienie Eksploratora plików.

Wskazania do stosowania: Eksplorator nie uruchamia się podczas uruchamiania systemu, ale możliwe jest ręczne uruchomienie programu explorer.exe.

17. Odblokuj Edytor rejestru

Odblokowuje Edytor rejestru, usuwając zasadę, która uniemożliwia jego uruchomienie.

Wskazania do stosowania: Nie można uruchomić Edytora rejestru, podczas próby wyświetla się komunikat informujący, że jego uruchomienie zostało zablokowane przez administratora.

18. Pełne odtworzenie ustawień SPI

Wykonuje kopię zapasową ustawień SPI/LSP, następnie niszczy je i tworzy zgodnie ze standardem zapisanym w bazie danych.

Wskazania do stosowania: Poważne uszkodzenia ustawień SPI, nienaprawialne przez skrypty 14 i 15. Aplikuj tylko w razie potrzeby!

19. Wyczyść punkty mocowania podstawy

Czyści bazę danych MountPoints i MountPoints2 w rejestrze. Operacja ta często pomaga w przypadku, gdy po infekcji wirusem Flash nie można otworzyć dysków w Eksploratorze

Aby przeprowadzić odzyskiwanie, musisz wybrać jeden lub więcej elementów i kliknąć przycisk „Wykonaj zaznaczone operacje”. Kliknięcie przycisku OK zamyka okno.

Notatka:

Odzyskiwanie jest bezużyteczne, jeśli w systemie działa trojan, który przeprowadza takie rekonfiguracje - musisz najpierw usunąć złośliwy program, a następnie przywrócić ustawienia systemu

Notatka:

Aby wyeliminować ślady większości porywaczy, musisz uruchomić trzy oprogramowanie układowe - "Zresetuj ustawienia wyszukiwania Internet Explorer do standardowych", "Przywróć stronę startową Internet Explorer", "Zresetuj ustawienia prefiksu protokołu Internet Explorer do standardowych"

Notatka:

Każde oprogramowanie układowe można uruchomić kilka razy z rzędu bez uszkodzenia systemu. Wyjątki - „5.

Przywróć ustawienia pulpitu” (uruchomienie tego oprogramowania spowoduje zresetowanie wszystkich ustawień pulpitu i będziesz musiał ponownie wybrać kolor i tapetę pulpitu) i „10.

Przywracanie ustawień rozruchu w trybie awaryjnym” (to oprogramowanie układowe odtwarza klucze rejestru odpowiedzialne za rozruch w trybie awaryjnym).

Aby rozpocząć odzyskiwanie, najpierw pobierz, rozpakuj i uruchom pożytek. Następnie kliknij Plik - Przywracanie systemu. Przy okazji możesz też zrobić

Zaznacz pola, których potrzebujesz i kliknij Rozpocznij operacje. Wszyscy czekają na realizację :-)

W kolejnych artykułach omówimy bardziej szczegółowo problemy, które pomoże nam rozwiązać odzyskiwanie oprogramowania układowego avz. Życzę ci szczęścia.

Świetny program do usuwania wirusów i przywracania systemu - AVZ (Zaitsev Antivirus). Możesz pobrać AVZ, klikając pomarańczowy przycisk po wygenerowaniu linków.A jeśli wirus zablokuje pobieranie, spróbuj pobrać cały pakiet antywirusowy!

Główne cechy AVZ to wykrywanie i usuwanie wirusów.

Narzędzie antywirusowe AVZ jest przeznaczone do wykrywania i usuwania:

• Moduły SpyWare i AdWare - to główne przeznaczenie narzędzia
• Dialer (Trojan.Dialer)
• trojany
• Moduły BackDoor
• Robaki sieciowe i pocztowe
• TrojanSpy, TrojanDownloader, TrojanDropper

Narzędzie jest bezpośrednim odpowiednikiem programów TrojanHunter i LavaSoft Ad-aware 6. Podstawowym zadaniem programu jest usuwanie programów szpiegujących i trojanów.

Funkcje narzędzia AVZ (oprócz typowego skanera podpisów) to:

• System heurystyczny sprawdza oprogramowanie układowe. Firmware wyszukuje znane programy szpiegujące i wirusy za pomocą znaków pośrednich - na podstawie analizy rejestru, plików na dysku iw pamięci.
• Zaktualizowana baza danych bezpiecznych plików. Zawiera podpisy cyfrowe dziesiątek tysięcy plików systemowych i plików znanych bezpiecznych procesów. Baza danych jest połączona ze wszystkimi systemami AVZ i działa na zasadzie „przyjaciel/wróg” - bezpieczne pliki nie są poddawane kwarantannie, ich usuwanie i ostrzeżenia są blokowane, baza danych jest używana przez program antyrootkit, system wyszukiwania plików i różne analizatory. W szczególności wbudowany menedżer procesów wyróżnia kolorem bezpieczne procesy i usługi, wyszukiwanie plików na dysku może wykluczyć znane pliki z wyszukiwania (co jest bardzo przydatne podczas wyszukiwania trojanów na dysku);
• Wbudowany system wykrywania rootkitów. Poszukiwanie RootKit przebiega bez użycia sygnatur opartych na badaniu podstawowych bibliotek systemowych w celu przechwycenia ich funkcji. AVZ może nie tylko wykryć RootKit, ale także poprawnie zablokować działanie UserMode RootKit dla swojego procesu oraz KernelMode RootKit na poziomie systemu. Środki zaradcze RootKit dotyczą wszystkich funkcji usługi AVZ, w wyniku czego skaner AVZ może wykrywać zamaskowane procesy, system wyszukiwania rejestru „widzi” zamaskowane klucze itp. Antyrootkit jest wyposażony w analizator, który wykrywa procesy i usługi zamaskowane przez RootKit. Moim zdaniem jedną z głównych cech systemu przeciwdziałania RootKit jest jego wydajność w Win9X (powszechna opinia o braku RootKitów działających na platformie Win9X jest głęboko błędna - znane są setki trojanów, które przechwytują funkcje API w celu zamaskowania ich obecności , aby zakłócić działanie funkcji API lub monitorować ich wykorzystanie). Kolejną cechą jest uniwersalny system wykrywania i blokowania KernelMode RootKit, który działa pod Windows NT, Windows 2000 pro/server, XP, XP SP1, XP SP2, Windows 2003 Server, Windows 2003 Server SP1
• Wykrywacz keyloggerów i trojanów DLL. Wyszukiwanie keyloggerów i trojanów DLL opiera się na analizie systemu bez użycia bazy danych sygnatur, co umożliwia niezawodne wykrywanie wcześniej nieznanych trojanów DLL i keyloggerów;
• Neuroanalizator. Oprócz analizatora sygnatur AVZ zawiera neuroemulator, który pozwala analizować podejrzane pliki za pomocą sieci neuronowej. Obecnie w detektorze keyloggerów wykorzystywana jest sieć neuronowa.
• Wbudowany analizator ustawień Winsock SPI/LSP. Umożliwia analizę ustawień, zdiagnozowanie ewentualnych błędów w ustawieniach oraz wykonanie automatycznego leczenia. Możliwość automatycznej diagnostyki i leczenia jest przydatna dla początkujących użytkowników (w narzędziach typu LSPFix nie ma automatycznego leczenia). Aby ręcznie studiować SPI/LSP, program posiada specjalny menedżer ustawień LSP/SPI. Na działanie analizatora Winsock SPI/LSP ma wpływ program antyrootkit;
• Wbudowany menedżer procesów, usług i sterowników. Zaprojektowany do badania uruchomionych procesów i załadowanych bibliotek, uruchomionych usług i sterowników. Antyrootkit ma wpływ na działanie menedżera procesów (w rezultacie „widzi” procesy zamaskowane przez rootkita). Menedżer procesów jest połączony z bazą danych plików sejfów AVZ, rozpoznane pliki sejfów i plików systemowych są wyróżnione kolorem;
• Wbudowane narzędzie do wyszukiwania plików na dysku. Umożliwia wyszukiwanie pliku według różnych kryteriów, możliwości systemu wyszukiwania przewyższają możliwości wyszukiwania systemowego. Antyrootkit ma wpływ na działanie systemu wyszukiwania (w rezultacie wyszukiwanie „widzi” pliki zamaskowane przez rootkita i może je usunąć), filtr pozwala wykluczyć z wyników wyszukiwania pliki zidentyfikowane przez AVZ jako bezpieczny. Wyniki wyszukiwania są dostępne w postaci dziennika tekstowego i tabeli, w której można oznaczyć grupę plików do późniejszego usunięcia lub poddania kwarantannie
• Wbudowane narzędzie do wyszukiwania danych w rejestrze. Umożliwia wyszukiwanie kluczy i parametrów według zadanego wzorca, wyniki wyszukiwania dostępne są w postaci protokołu tekstowego oraz w postaci tabeli, w której można zaznaczyć kilka kluczy do eksportu lub usunięcia. Antyrootkit ma wpływ na działanie systemu wyszukiwania (w rezultacie wyszukiwanie „widzi” klucze rejestru zamaskowane przez rootkita i może je usunąć)
• Wbudowany analizator otwartych portów TCP/UDP. Ma na niego wpływ program antyrootkit, w systemie Windows XP dla każdego portu wyświetlany jest proces wykorzystujący port. Analizator opiera się na zaktualizowanej bazie danych znanych portów trojanów/backdoorów i znanych usług systemowych. Wyszukiwanie portów trojanów jest zawarte w głównym algorytmie sprawdzania systemu — po wykryciu podejrzanych portów w protokole wyświetlane są ostrzeżenia wskazujące, które trojany mają tendencję do używania tego portu
• Wbudowany analizator zasobów współdzielonych, sesji sieciowych i plików otwieranych przez sieć. Działa w Win9X i Nt/W2K/XP.
• Wbudowany analizator Downloaded Program Files (DPF) - wyświetla elementy DPF, podłączone do wszystkich systemów AVZ.
• Oprogramowanie układowe do odzyskiwania systemu. Oprogramowanie układowe przywraca ustawienia przeglądarki Internet Explorer, opcje uruchamiania programów i inne ustawienia systemu uszkodzone przez złośliwe oprogramowanie. Przywracanie jest uruchamiane ręcznie, parametry do przywrócenia określa użytkownik.
• Heurystyczne usuwanie plików. Jego istotą jest to, że jeśli złośliwe pliki zostały usunięte podczas leczenia i ta opcja jest włączona, to wykonywane jest automatyczne badanie systemu obejmujące klasy, rozszerzenia BHO, IE i Explorer, wszystkie rodzaje autorun dostępne dla AVZ, Winlogon, SPI / LSP itp. . Wszystkie znalezione odniesienia do usuniętego pliku są automatycznie usuwane, a informacje o tym, co dokładnie zostało usunięte i gdzie wpisano do dziennika. Do tego czyszczenia aktywnie wykorzystywany jest silnik mikroprogramu leczenia systemu;
• Sprawdzanie archiwów. Począwszy od wersji 3.60 AVZ obsługuje skanowanie archiwów i plików złożonych. Archiwa są obecnie sprawdzane. Format ZIP, RAR, KABINA, GZIP, TAR; e-maile i pliki MHT; Archiwa CHM
• Sprawdzanie i obróbka strumieni NTFS. Sprawdzanie strumieni NTFS jest zawarte w AVZ od wersji 3.75
• Skrypty sterujące. Umożliwia administratorowi napisanie skryptu wykonującego zestaw określonych operacji na komputerze użytkownika. Skrypty umożliwiają korzystanie z AVZ w sieci firmowej, w tym jego uruchamianie podczas uruchamiania systemu.
• Analizator procesów. Analizator korzysta z sieci neuronowych i oprogramowania do analizy, jest włączony, gdy zaawansowana analiza jest włączona na maksymalnym poziomie heurystycznym i jest przeznaczony do wyszukiwania podejrzanych procesów w pamięci.
• System AVZGuard. Zaprojektowany do walki z trudnym do usunięcia złośliwym oprogramowaniem, oprócz AVZ, może chronić aplikacje określone przez użytkownika, takie jak inne programy antyszpiegowskie i antywirusowe.
• System bezpośredniego dostępu do dysku do pracy z zablokowanymi plikami. Działa na FAT16/FAT32/NTFS, jest obsługiwany na wszystkich systemach operacyjnych z linii NT, pozwala skanerowi analizować zablokowane pliki i umieszczać je w kwarantannie.
• Proces AVZPM i sterownik monitorowania sterowników. Przeznaczony do śledzenia rozpoczynania i zatrzymywania procesów oraz ładowania/rozładowywania sterowników w celu wyszukiwania sterowników maskujących i wykrywania zniekształceń w strukturach opisujących procesy i sterowniki tworzone przez rootkity DKOM.
• Sterownik Boot Cleaner. Przeznaczony do czyszczenia systemu (usuwania plików, sterowników i usług, kluczy rejestru) z KernelMode. Operację czyszczenia można przeprowadzić zarówno w trakcie ponownego uruchamiania komputera, jak i podczas zabiegu.

Przywracam ustawienia systemowe.

• Napraw opcje uruchamiania.exe .com .pif
• Zresetuj ustawienia IE
• Przywracanie ustawień pulpitu
• Usunięcie wszystkich ograniczeń użytkownika
• Usuwanie wiadomości w Winlogon
• Przywracanie ustawień Eksploratora plików
• Usuwanie debugerów procesów systemowych
• Przywracanie ustawień rozruchu w trybie awaryjnym
• Odblokuj Menedżera zadań
• Czyszczenie pliku hosta
• Naprawianie ustawień SPI/LSP
• Zresetuj ustawienia SPI/LSP i TCP/IP
• Odblokowanie Edytora Rejestru
• Usuwanie kluczy MountPoints
• Wymiana serwerów DNS
• Usuwanie ustawień proxy dla serwera IE/EDGE
• Usuwanie ograniczeń Google

Narzędzia programowe:

• Kierownik procesu
• Menedżer serwisu i kierowcy
• Moduły przestrzeni jądra
• Wewnętrzny menedżer DLL
• Wyszukiwanie w rejestrze
• Wyszukiwanie plików
• Szukaj według plików cookie
• Menedżer uruchamiania
  
• Menedżer rozszerzeń przeglądarki
• Menedżer apletów panelu sterowania (cpl)
• Menedżer rozszerzeń Eksploratora plików
• Menedżer rozszerzeń drukowania
• Menedżer harmonogramu zadań
• Menedżer protokołu i obsługi
• Menedżer DPF
• Menedżer aktywnej konfiguracji
• Winsock Menedżer SPI
• Menedżer plików hosta
• Menedżer portów TCP/UDP
• Menedżer udziałów sieciowych i połączeń sieciowych
• Zestaw narzędzi systemowych
• Sprawdzanie pliku w bezpiecznej bazie danych
• Sprawdzanie pliku w katalogu Microsoft Security Catalog
• Obliczanie sum MD5 plików
  

Oto dość duży zestaw do ratowania komputera przed różnymi infekcjami!

Nowoczesne antywirusy zyskały różne dodatkowe funkcje tak bardzo, że niektórzy użytkownicy mają pytania podczas ich używania. W tej lekcji opowiemy Ci o wszystkich kluczowych funkcjach antywirusa AVZ.

Przyjrzyjmy się bliżej praktycznym przykładom tego, czym jest AVZ. Na uwagę przeciętnego użytkownika zasługują następujące funkcje.

Sprawdzanie systemu pod kątem wirusów

Każdy program antywirusowy powinien być w stanie wykryć złośliwe oprogramowanie na komputerze i poradzić sobie z nim (wylecz lub usuń). Oczywiście ta funkcja jest również obecna w AVZ. Zobaczmy w praktyce, czym jest taka kontrola.

1. Zaczynamy AVZ.
2. Na ekranie pojawi się małe okno narzędziowe. W obszarze zaznaczonym na poniższym zrzucie ekranu znajdziesz trzy zakładki. Wszystkie dotyczą procesu wyszukiwania luk w komputerze i zawierają różne opcje.



3. Na pierwszej karcie "Obszar wyszukiwania" musisz zaznaczyć te foldery i partycje dysku twardego, które chcesz przeskanować. Nieco niżej zobaczysz trzy linie, które pozwalają włączyć dodatkowe opcje. Umieszczamy znaki przed wszystkimi pozycjami. Umożliwi to wykonanie specjalnej analizy heurystycznej, przeskanowanie dodatkowych uruchomionych procesów i zidentyfikowanie nawet potencjalnie niebezpiecznego oprogramowania.



4. Następnie przejdź do zakładki "Typy plików". Tutaj możesz wybrać, które dane narzędzie ma skanować.
5. Jeśli robisz zwykłą kontrolę, to wystarczy sprawdzić przedmiot „Potencjalnie niebezpieczne pliki”. Jeśli wirusy zakorzeniły się głęboko, powinieneś wybrać "Wszystkie pliki".
6. AVZ, oprócz zwykłych dokumentów, z łatwością skanuje archiwa, czym nie może się pochwalić wiele innych antywirusów. W tej zakładce po prostu włącza się lub wyłącza ten czek. Zalecamy odznaczenie pola wyboru obok wiersza sprawdzania dużych archiwów, jeśli chcesz osiągnąć maksymalny wynik.
7. W sumie twoja druga zakładka powinna wyglądać tak.



8. Przejdźmy do ostatniej sekcji. "Opcje wyszukiwania".
9. Na samej górze zobaczysz pionowy suwak. Przesuń go do góry. Umożliwi to narzędziu reagowanie na wszystkie podejrzane obiekty. Ponadto zawieramy sprawdzanie interceptorów API i RootKit, wyszukiwanie keyloggerów oraz sprawdzanie ustawień SPI/LSP. Ogólny widok ostatniej zakładki powinien wyglądać mniej więcej tak.



10. Teraz musisz skonfigurować działania, które AVZ podejmie po wykryciu określonego zagrożenia. Aby to zrobić, musisz najpierw zaznaczyć pole obok wiersza „Wykonaj zabieg” w prawym obszarze okna.



11. W przeciwieństwie do każdego rodzaju zagrożenia, zalecamy ustawienie parametru "Usuwać". Jedynymi wyjątkami są groźby tego typu narzędzie do hakowania. Tutaj zalecamy pozostawienie parametru "Leczyć". Zaznacz również pola obok dwóch wierszy znajdujących się pod listą zagrożeń.



12. Drugi parametr umożliwi narzędziu skopiowanie niebezpiecznego dokumentu do wyznaczonej lokalizacji. Następnie możesz wyświetlić całą zawartość, a następnie bezpiecznie usunąć. Ma to na celu wykluczenie z listy zainfekowanych danych tych, które w rzeczywistości nie są zainfekowane (aktywatory, generatory kluczy, hasła itd.).
13. Gdy wszystkie ustawienia i parametry wyszukiwania są ustawione, możesz rozpocząć samo skanowanie. Aby to zrobić, kliknij odpowiedni przycisk. "Początek".



14. Rozpocznie się proces weryfikacji. Jej postępy będą wyświetlane w specjalnym obszarze "Protokół".
15. Po pewnym czasie, zależnym od ilości sprawdzanych danych, skanowanie zostanie zakończone. W dzienniku pojawi się komunikat informujący o zakończeniu operacji. W tym miejscu zostanie również wskazany całkowity czas poświęcony na analizę plików, a także statystyki skanowania i wykrytych zagrożeń.



16. Klikając przycisk, który jest zaznaczony na poniższym obrazku, możesz zobaczyć w osobnym oknie wszystkie podejrzane i niebezpieczne obiekty, które zostały wykryte przez AVZ podczas skanowania.



17. W tym miejscu zostanie wskazana ścieżka do niebezpiecznego pliku, jego opis i typ. Jeśli umieścisz znacznik wyboru obok nazwy takiego oprogramowania, możesz przenieść je do kwarantanny lub nawet usunąć z komputera. Po zakończeniu operacji naciśnij przycisk OK na dnie.



18. Po wyczyszczeniu komputera możesz zamknąć okno programu.

Funkcje systemu

Oprócz standardowego sprawdzania złośliwego oprogramowania AVZ może wykonywać wiele innych funkcji. Przyjrzyjmy się tym, które mogą być przydatne dla przeciętnego użytkownika. W głównym menu programu na samej górze kliknij linię "Plik". W efekcie pojawi się menu kontekstowe, które zawiera wszystkie dostępne funkcje pomocnicze.

Pierwsze trzy linie odpowiadają za uruchamianie, zatrzymywanie i wstrzymywanie skanowania. Są to odpowiedniki odpowiednich przycisków w menu głównym AVZ.

Badania systemowe

Ta funkcja pozwoli narzędziu zebrać wszystkie informacje o twoim systemie. Nie chodzi mi o część techniczną, ale o sprzęt. Takie informacje obejmują listę procesów, różnych modułów, plików systemowych i protokołów. Po kliknięciu linii „Badania systemowe”, pojawi się osobne okno. W nim możesz określić, jakie informacje powinien gromadzić AVZ. Po zaznaczeniu wszystkich niezbędnych pól wyboru, powinieneś kliknąć przycisk "Początek" na dnie.


Otworzy się okno zapisywania. W nim możesz wybrać lokalizację dokumentu za pomocą dokładna informacja, a także określ nazwę samego pliku. Pamiętaj, że wszystkie informacje zostaną zapisane jako plik HTML. Otwiera się w dowolnej przeglądarce internetowej. Po określeniu ścieżki i nazwy zapisanego pliku należy kliknąć przycisk "Ratować".


W efekcie rozpocznie się proces skanowania systemu i zbierania informacji. Na samym końcu narzędzie wyświetli okno, w którym zostaniesz poproszony o natychmiastowe przejrzenie wszystkich zebranych informacji.

Przywracanie systemu

Korzystając z tego zestawu funkcji, możesz przywrócić elementy systemu operacyjnego do ich pierwotnej postaci i zresetować różne ustawienia. Najczęściej złośliwe oprogramowanie próbuje zablokować dostęp do Edytora Rejestru, Menedżera Zadań i zapisać jego wartości w dokumencie systemowym Hosts. Możesz odblokować takie elementy za pomocą opcji "Przywracanie systemu". Aby to zrobić, po prostu kliknij nazwę samej opcji, a następnie zaznacz czynności, które należy wykonać.


Następnie musisz nacisnąć przycisk „Wykonaj zaznaczone operacje” na dole okna.

Na ekranie pojawi się okno z prośbą o potwierdzenie akcji.


Po chwili zobaczysz komunikat o zakończeniu wszystkich zadań. Po prostu zamknij to okno, klikając przycisk OK.

Skrypty

Na liście parametrów związanych z pracą ze skryptami w AVZ znajdują się dwie linie - „Skrypty standardowe” oraz „Uruchom skrypt”.

Kliknięcie linii „Skrypty standardowe” otworzysz okno z listą gotowych skryptów. Wszystko, co musisz zrobić, to zaznaczyć te, które chcesz uruchomić. Następnie kliknij przycisk na dole okna. "Biegać".


W drugim przypadku uruchomisz edytor skryptów. Tutaj możesz napisać go samodzielnie lub pobrać ze swojego komputera. Nie zapomnij nacisnąć przycisku po napisaniu lub pobraniu "Biegać" w tym samym oknie.

Aktualizacja bazy danych

Ta pozycja jest najważniejsza z listy. Klikając na odpowiednią linię, otworzysz okno aktualizacji bazy danych AVZ.

Nie zalecamy zmiany ustawień w tym oknie. Zostaw wszystko tak, jak jest i naciśnij przycisk "Początek".


Po chwili na ekranie pojawi się komunikat informujący o zakończeniu aktualizacji bazy danych. Musisz tylko zamknąć to okno.

Przeglądanie zawartości folderów kwarantanny i zainfekowanych

Klikając te linie na liście opcji, możesz wyświetlić wszystkie potencjalnie niebezpieczne pliki, które AVZ znalazło podczas skanowania systemu.

W otwartych oknach możesz trwale usunąć takie pliki lub przywrócić je, jeśli tak naprawdę nie stanowią zagrożenia.


Należy pamiętać, że w celu umieszczenia podejrzanych plików w tych folderach należy zaznaczyć odpowiednie pola wyboru w ustawieniach skanowania systemu.

To ostatnia opcja z tej listy, której może potrzebować przeciętny użytkownik. Jak sama nazwa wskazuje, opcje te umożliwiają zapisanie wstępnej konfiguracji programu antywirusowego (metoda wyszukiwania, tryb skanowania itd.) na komputerze, a także pobranie jej z powrotem.

Podczas zapisywania wystarczy określić nazwę pliku, a także folder, w którym chcesz go zapisać. Podczas ładowania konfiguracji po prostu wybierz żądany plik z ustawieniami i kliknij przycisk "Otwarty".

Wyjście

Wydawałoby się, że to oczywisty i dobrze znany przycisk. Warto jednak wspomnieć, że w niektórych sytuacjach - gdy zostanie wykryte szczególnie niebezpieczne oprogramowanie - AVZ blokuje wszystkie metody własnego zamykania, z wyjątkiem tego przycisku. Innymi słowy, nie będziesz mógł zamknąć programu za pomocą skrótu klawiaturowego. „Alt+F4” lub klikając na banalny krzyż w rogu. Dzieje się tak, aby wirusy nie mogły zakłócać prawidłowego działania AVZ. Ale klikając ten przycisk, możesz na pewno zamknąć program antywirusowy, jeśli to konieczne.

Oprócz opisanych opcji na liście znajdują się również inne, ale najprawdopodobniej nie będą one potrzebne zwykłym użytkownikom. Dlatego nie skupialiśmy się na nich. Jeśli nadal potrzebujesz pomocy w korzystaniu z funkcji nieopisanych, napisz o tym w komentarzach. I idziemy dalej.

Lista usług

Aby zobaczyć pełną listę usług oferowanych przez AVZ, musisz kliknąć linię "Usługa" na samej górze programu.

Podobnie jak w poprzedniej sekcji, omówimy tylko te, które mogą być przydatne dla przeciętnego użytkownika.

Kierownik procesu

Klikając na pierwszą linię z listy, otworzysz okno „Menedżer procesów”. W nim możesz zobaczyć listę wszystkich plików wykonywalnych, które są uruchomione na komputerze lub laptopie w danym momencie. W tym samym oknie możesz przeczytać opis procesu, poznać jego producenta i pełną ścieżkę do samego pliku wykonywalnego.


Możesz również zakończyć określony proces. W tym celu wystarczy wybrać z listy żądany proces, a następnie kliknąć odpowiedni przycisk w postaci czarnego krzyżyka po prawej stronie okna.


Ta usługa jest doskonałym zamiennikiem standardowego Menedżera zadań. Usługa nabiera szczególnej wartości w sytuacjach, gdy jest "Menadżer zadań" zablokowany przez wirusa.

Menedżer serwisu i kierowcy

To druga usługa na ogólnej liście. Klikając na linię o tej samej nazwie, otworzysz okno do zarządzania usługami i sterownikami. Możesz przełączać się między nimi za pomocą specjalnego przełącznika.

W tym samym oknie każdej pozycji towarzyszy opis samej usługi, status (włączony lub wyłączony), a także lokalizacja pliku wykonywalnego.


Możesz wybrać żądany element, po czym będziesz mieć opcje włączenia, wyłączenia lub całkowite usunięcie serwis/kierowca. Te przyciski znajdują się w górnej części obszaru roboczego.

Menedżer autostartu

Ta usługa pozwoli Ci w pełni skonfigurować ustawienia automatycznego uruchamiania. Co więcej, w przeciwieństwie do standardowych menedżerów, na tej liście znajdują się również moduły systemowe. Klikając linię o tej samej nazwie, zobaczysz następujące.


Aby wyłączyć wybrany element, wystarczy odznaczyć pole obok jego nazwy. Ponadto istnieje możliwość całkowitego usunięcia niezbędnego wpisu. Aby to zrobić, po prostu wybierz żądaną linię i kliknij przycisk w postaci czarnego krzyża u góry okna.

Należy pamiętać, że usuniętej wartości nie można zwrócić. Dlatego należy bardzo uważać, aby nie usunąć ważnych wpisów startowych systemu.

Menedżer plików hosta

Wspomnieliśmy nieco powyżej, że wirus czasami zapisuje własne wartości do pliku systemowego Zastępy niebieskie. W niektórych przypadkach złośliwe oprogramowanie blokuje również dostęp do niego, dzięki czemu nie można poprawić wprowadzonych zmian. Ta usługa pomoże Ci w takich sytuacjach.

Klikając na liście w wierszu pokazanym na powyższym obrazku, otworzysz okno menedżera. Nie możesz tutaj dodawać własnych wartości, ale możesz usunąć istniejące. Aby to zrobić, wybierz żądaną linię lewym przyciskiem myszy, a następnie kliknij przycisk usuwania, który znajduje się w górnej części obszaru roboczego.


Następnie pojawi się małe okno, w którym musisz potwierdzić akcję. Aby to zrobić, po prostu naciśnij przycisk "TAk".


Gdy wybrana linia zostanie usunięta, wystarczy zamknąć to okno.

Uważaj, aby nie usunąć tych wierszy, których celu nie znasz. Do pliku Zastępy niebieskie może przepisać ich wartości nie tylko wirusy, ale także inne programy.

Narzędzia systemowe

Dzięki AVZ możesz także uruchamiać najpopularniejsze narzędzia systemowe. Możesz zobaczyć ich listę, jeśli najedziesz kursorem myszy na linię z odpowiednią nazwą.


Klikając na nazwę konkretnego narzędzia, uruchomisz je. Następnie możesz dokonać zmian w rejestrze (regedit), skonfigurować system (msconfig) lub sprawdzić pliki systemowe (sfc).

To wszystkie usługi, o których chcieliśmy wspomnieć. Początkujący użytkownicy raczej nie będą potrzebować menedżera protokołów, rozszerzeń i innych dodatkowych usług. Takie funkcje są bardziej odpowiednie dla bardziej zaawansowanych użytkowników.

AVZGuard

Ta funkcja została opracowana w celu zwalczania najbardziej przebiegłych wirusów, których nie można usunąć standardowymi metodami. Po prostu dodaje złośliwe oprogramowanie do listy niezaufanego oprogramowania, któremu nie wolno wykonywać swoich operacji. Aby włączyć tę funkcję, musisz kliknąć linię AVZGuard w górnym regionie AVZ. W rozwijanym polu kliknij element „Włącz AVZGuard”.

Pamiętaj, aby zamknąć wszystkie aplikacje innych firm przed włączeniem tej funkcji, w przeciwnym razie zostaną one również uwzględnione na liście niezaufanego oprogramowania. W przyszłości działanie takich aplikacji może zostać zakłócone.

Wszystkie programy oznaczone jako zaufane będą chronione przed usunięciem lub modyfikacją. A praca niezaufanego oprogramowania zostanie zawieszona. Umożliwi to bezpieczne usunięcie niebezpiecznych plików za pomocą standardowego skanowania. Następnie należy z powrotem wyłączyć AVZGuard. Aby to zrobić, ponownie kliknij tę samą linię u góry okna programu, a następnie kliknij przycisk, aby wyłączyć funkcję.

AVZPM

Technologia wymieniona w nazwie będzie monitorować wszystkie uruchomione, zatrzymane i zmodyfikowane procesy/sterowniki. Aby z niego skorzystać, musisz najpierw włączyć odpowiednią usługę.

Kliknij linię AVZPM w górnej części okna.
W rozwijanym menu kliknij linię „Zainstaluj sterownik zaawansowanego monitorowania procesów”.


W ciągu kilku sekund zostaną zainstalowane niezbędne moduły. Teraz, gdy zostaną wykryte zmiany w dowolnych procesach, otrzymasz powiadomienie. Jeśli nie potrzebujesz już takiego monitorowania, wystarczy kliknąć linię zaznaczoną na obrazku poniżej w poprzednim polu rozwijanym. Spowoduje to zwolnienie wszystkich procesów AVZ i usunięcie wcześniej zainstalowanych sterowników.

Należy pamiętać, że przyciski AVZGuard i AVZPM mogą być szare i nieaktywne. Oznacza to, że zainstalowałeś system operacyjny x64. Niestety wspomniane narzędzia nie działają w systemie operacyjnym z taką głębią bitową.

Ten artykuł doszedł do logicznego zakończenia. Próbowaliśmy powiedzieć, jak korzystać z najpopularniejszych funkcji w AVZ. Jeśli po przeczytaniu tej lekcji nadal masz pytania, możesz je zadać w komentarzach do tego posta. Chętnie zwrócimy uwagę na każde pytanie i postaramy się udzielić jak najbardziej szczegółowej odpowiedzi.