Як видалити вірус з комп'ютера (Безпека)

Лист перший. Привіт, я до вас з проблемою, а саме-як видалити вірус з комп'ютера, на одному сайті скачала курсову, стала відкривати файл і замість програми Microsoft Office Word, запустилася якась установка. Тут же антивірусна програма видала попередження про виявлену загрозу, що виходить із папки
C: \ Users \ Моє ім'я користувача \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
Як я зрозуміла, папка Start Menu, це папка автозавантаження. Не дивлячись на те, що комп'ютер став жахливо гальмувати, я зайшла в цю папку і побачила дивний файл з назвою QJFGSXETY, у файлу атрибут прихований. Спроба видалити файл закінчилася невдачею. Завантажилася в безпечному режимі, але і там його видалити не вийшло і перейменувати (що б потім видалити після перезавантаження) теж. Намагалася використати точки відновлення, але вийшло повідомлення "Відновлення системи відключено груповою політикою". На цьому мої хакерські знання закінчилися, сиджу ось без комп'ютера і читаю ваші статті. Що робити-то, якщо можна покроково. Марина. м Суздаль

Лист другий. Ніяк не можу видалити вірус з комп'ютера, спочатку він прописався в автозавантаженні, самостійно видалити не зміг, навіть в безпечному режимі, комп'ютер моторошно довго завантажувався і при роботі гальмував, скористався порадою зі статті Як перевірити комп'ютер на віруси безкоштовно і скачав диск порятунку ESET NOD32 ( його до речі, можна використовувати в якості простого Live CD, зручна річ, рекомендую). Перевірив їм весь комп'ютер, 5 шкідливих програм знайшов, годину сидів чекав, перезавантажився і вірусу наче й не було, але зрадів рано, пропав інтернет, в мережевих підключеннях жовтий трикутник і пише -мережна підключення обмежена або відсутня. Що робити, значить вірус до кінця я не видалив? Федір.

Як видалити вірус з комп'ютера

Примітка: Друзі, дана стаття підходить для операційних систем Windows 8, Windows 7 і Windows ХР. Так само ще інформація для Вас: - Якщо ви заразили свій комп'ютер вірусом, то можете відразу перевірити його безкоштовними антивірусними утилітами Kaspersky Virus Removal Tool або Dr.Web CureIt, в більшості випадків це повинно допомогти. Ще у нас є цілий розділ, який постійно поповнюється новими статтями, обов'язково зайдіть сюди - Все статті на тему видалення вірусів і банерів тут.

Такі ж проблеми, попалися мені кілька днів тому, попросив мене однокласник встановити йому пару безкоштовних програм і антивирусник ESET NOD32, який придбав на оф. сайті. Крім NOD32, ми встановили безкоштовну програму контролюючу автозагрузку-AnVir Task Manager, ще створили на всякий випадок образ системи і диск відновлення, подякував він мене, на тому й розійшлися.

Через день, мій знайомий дзвонить стурбований і каже. Слухай старий, доньці в інтернеті на пошту лист прийшов, ми його відкрили, там начебто листівка, з днем народження вітають, хоча день народження вже пройшов давно, крім листівки ще був файл, ми і натиснули на нього, тут же AnVir Task Manager вивів вікно , в якому сказав, що якась програма з дивною назвою і значком системного файлу, хоче пройти в автозавантаження,

ми дозволили і почалося, антивирусник постійно лається і виводить грізне попередження - Очищення неможлива, при цьому комп'ютер сильно зависає і ми його аварійно вимкнули, ти напевно з таким зустрічався, допоможи ніж можеш.

Приїжджаю я до них, перша думка була - банер здирник схопили, вмикаю комп'ютер, а там ось що.
NOD32 виводить по черзі два вікна, в яких попереджає, що в оперативній пам'яті знаходиться шкідливий процес, очищення неможлива! що виходить із папки автозавантаження (Startup).

У Windows 7 папка автозавантаження знаходиться за адресою:
C: \ Users \ Ім'я користувача \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
До речі в Windows XP папка автозавантаження розташована майже також:
C: \ Documents and Settings \ Адміністратор \ Головне меню \ Програми \ Автозавантаження
AnVir Task Manager показує завантаження процесора 93%.

Заходжу в вікно Автозавантаження, програми AnVir Task Manager і бачу вже прописаний в автозавантаженні файл з назвою QYSGFXZJ.exe, вірус проте.

Іду в папку Автозавантаження: Пуск> Все програми-> Автомат

Або по іншому папка Автозавантаження розташована за адресою:

C: \ Users \ Ім'я користувача \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
І ось він наш вірусний файл, намагаюся його видалити, звичайно невдало, адже він зараз важливою справою зайнятий.

Перше, що потрібно зробити в таких випадках, це запустити відновлення системи і спробувати відкотитися за допомогою раніше створеної точки відновлення назад. Намагаюся запустити відновлення системи і протягом дуже довгого часу нічого не відбувається.
До речі, вірус іноді наробить делов в групових політиках і вам не вдасться запустити відновлення системи при такому повідомленні "Відновлення системи відключено груповою політикою".
Тоді потрібно зайти в Групові політики Пуск-Виконати-gpedit.msc. ОК

Відкривається Групова політика, тут нам потрібно вибрати Конфігурація комп'ютера-Адміністративні шаблони-Система-Відновлення системи-Якщо клацнути два рази лівою кнопкою на пункті Вимкнути відновлення системи,

має з'явитися таке вікно, для нормальної роботи відновлення системи, в ньому ви повинні поставити галочку навпроти пункту "Чи не заданий" або "Відключений". Все вступить в силу після перезавантаження. Так само вам потрібно знати, що в версіях Windows Home немає Груповий політики.

Запустити відновлення системи мені так і не вдалося і я вирішив перевантажити комп'ютер і зайти в безпечний режим. У безпечному режимі можна знову спробувати видалити даний файл з автозавантаження, в більшості випадків вам це вдасться.

Але у мене нічого не виходить, мабуть випадок особливий і шкідливий файл не видаляється. Тоді йдемо до реєстру, а саме дивимося гілку:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
У Windows 7 і Windows XP, для всіх користувачів, програми запускаються при вході в систему залишають свої ключі в цих гілках, але в основному в першій Run. Все незнайомі ключі потрібно видалити, але тільки незнайомі, в моєму випадку в автозавантаженні присутній ключ антивірусної програми NOD32 - egui.exe, його видаляти непотрібно:
"C: \ Program Files \ ESET \ ESET Smart Security \ egui.exe" / hide / waitservice

Ще треба пройти Пуск> Виконати-> msconfig-> Автомат і прибрати галочки з усіх невідомих програм. Тут теж нічого підозрілого немає.

Так само видалити всі незнайомі файли в корені диска (С :), якщо ви побачите там файли з такою ж назвою QYSGFXZJ або схожими, спробуйте видалити їх. У корені (С :) у нас до речі незрозуміла папка QYSGFXZJ. Намагаюся видалити-видаляється.

Отже, як видалити вірус з комп'ютера, якщо навіть в безпечному режимі, нам це не вдалося або наприклад ви не змогли з якихось причин увійти в безпечний режим? Буває в Безпечний режим ви ввійдете, але там вас чекає сюрприз - наприклад не працює миша.

Якщо в безпечний режим увійти вам не вдасться, то ви можете скористатися дуже простим і перевіреним радою з іншої нашої статті Як перевірити комп'ютер на віруси безкоштовно, за допомогою диска відновлення ESET NOD32 або Dr.Web. До речі дані диски можна використовувати в якості Live CD. Або у вас вже є Live CD, спробуйте завантажитися з нього і виконати те ж саме, що і в безпечному режимі - зайти в папку Автозавантаження і видалити шкідливий файл, Працюючи в Live CD, ви можете запустити з флешки антивірусний сканер, наприклад Dr. Web CureIt.
Особисто я, коли зустрічаю таку проблему в Windows ХР, (про Windows 7 інформація нижче), навіть іноді не заходжу в безпечний режим, а використовую по-старому досконала зброя -професійний інструмент системного адміністратора ERD Commander 5.0.

Примітка: всі можливості диска відновлення ERD Commander 5.0. описані в нашій статті ERD Commander. За допомогою нього можна відновлювати систему, правити реєстр, змінювати забутий пароль і інше. Для сучасних комп'ютерів і ноутбуків, ERD Commander 5.0 потрібен з інтегрованими SATA драйверами. Давайте завантажити з нього і подивимося як все відбудеться.

Перезавантажуємося і заходимо в BIOS, там виставляємо завантаження з дисковода. Завантажуємося з диска ERD Commander 5.0. Вибираємо перший варіант підключення до Windows ХР, тобто ми з вами зможемо працювати наприклад безпосередньо з реєстром нашої зараженої системи.

Звичайний Live CD, такої можливості вам не дасть. До речі якщо вибрати другий варіант (None), то ERD Commander буде працювати без підключення до системи, тобто як простий Live CD і тоді багато можливостей ERD, такі як відновлення системи, перегляд об'єктів автозапуску, журналу подій системи і ін. Вам буде не доступний . Але навіть з нього іноді виходить витягти користь.

Чи не багато не звичний з початку робочий стіл, але це не страшно, ще раз скажу, що опис всіх інструментів ERD, є в нашій статті ERD Commander.

Йдемо відразу до Адміністративного інструмент Autoruns.

Дивимося в пункті System, а так само Адміністратор і ось будь ласка наш вірус, вже тут ми його точно видалимо.

Delete - видаляємо процес з автозапуску і все, наш вірус видалений.
Explorer - дає можливість перейти до файлу процесу.
Потім ще раз перевіряємо папку автозавантаження і там вже нічого немає.

C: \ Documents and Settings \ Адміністратор \ Головне меню \ Програми \ Автозавантаження
Заходимо на всякий випадок в кореневу папку диска (С :), там нічого підозрілого немає.

Чи не полінуємося зайти в реєстр і подивитися які програми залишили свої ключі в автозавантаженні:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Ну ось ми і видалили вірус з Windows ХР, після нормального завантаження, варто перевірити весь комп'ютер на присутність вірусів.
А як бути з Windows 7 - можете запитати ви, якщо ми в цій операційній системі схопимо вірус і не зможемо видалити його в безпечному режимі. По-перше ви можете скористатися дисками порятунку (посилання на статтю вище). По-друге використовувати простий Live CD або як я професійний інструмент -диск відновлення Microsoft Diagnostic and Recovery Toolset. Повна інформація як застосовувати цей інструмент, наприклад при видаленні баннера- вимагача викладена в статті "Як видалити банер". Тут же скажу, що це такий же інструмент як і ERD Commander, тільки створений він в першу чергу для Windows 7. За допомогою нього так само можна відновлювати систему, змінювати реєстр, проводити операції з жорстким диском, змінювати забутий пароль і багато іншого.
Завантажуємося з даного диска MS DaRT 6.5. наш комп'ютер.

Призначити букви дискам так само як на цільової системі-Так, так краще працювати.

далі

вибираємо Провідник

Йдемо відразу в папку Автозавантаження:
C: \ Users \ Ім'я користувача \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup. Видаляємо наш вірус.

Перевіряємо реєстр HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.

Видаляємо все підозріле з кореня диска (С :), перезавантажується і перевіряємо весь комп'ютер на віруси.

Ну і найостанніше. Після видалення вірусу в Windows XP, у вас можливо не буде функціонувати інтернет, це відбувається через порушення, які вносить вірус в мережеві параметри. Допомогти тут зможе іноді перевстановлення драйверів мережевої карти або в більшості випадків, випробувана багато раз утиліта WinSockFix, яка як раз ці параметри виправляє. Завантажити її можна на оф. сторінці програми http://www.winsockfix.nl