Як видалити вірус з комп’ютера
Як видалити вірус з комп'ютера
ми дозволили і почалося-антивирусник постійно лається і виводить грізне попередження -очищення неможлива, при цьому комп'ютер сильно зависає і ми його аварійно вимкнули, ти напевно з таким зустрічався, допоможи ніж можеш.
Приїжджаю я до них, перша думка була-банер здирник схопили, вмикаю комп'ютер, а там ось що.
NOD32 виводить по черзі два вікна, в яких попереджає, що в оперативній пам'яті знаходиться шкідливий процес, очищення неможлива! що виходить із папки автозавантаження (Startup).
Заходжу в вікно Автозавантаження програми AnVir Task Manager і бачу вже прописаний в автозавантаженні файл з назвою QYSGFXZJ.exe, вірус однако.
Іду в папку Атозагрузка: Пуск> Все програми-> Автомат
C: \ Users \ Ім'я користувача \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup.
І ось він наш вірусний файл, намагаюся його видалити, звичайно невдало, адже він зараз важливою справою зайнятий.
Перше, що потрібно зробити в таких випадках, це запустити відновлення системи і спробувати відкотитися за допомогою раніше створеної точки відновлення назад. Намагаюся запустити відновлення системи і протягом дуже довгого часу нічого не відбувається.
До речі, вірус іноді наробить делов в групових політиках і вам не вдасться запустити відновлення системи при такому повідомленні "Відновлення системи відключено груповою політикою".
Тоді потрібно зайти в Групові політики Пуск-Виконати-gpedit.msc. ОК
Відкривається Групова політика, тут нам потрібно вибрати Конфігурація комп'ютера-Адміністративні шаблони-Система-Відновлення системи-Якщо клацнути два рази лівою кнопкою на пункті Вимкнути відновлення системи,
має з'явитися таке вікно, для нормальної роботи відновлення системи, в ньому ви повинні поставити галочку навпроти пункту "Чи не заданий" або "Відключений". Все вступить в силу після перезавантаження. Так само вам потрібно знати, що в версіях Windows Home немає Груповий політики.
Запустити відновлення системи мені так і не вдалося і я вирішив перевантажити комп'ютер і зайти в безпечний режим. У безпечному режимі можна знову спробувати видалити даний файл з автозавантаження, в більшості випадків вам це вдасться.
Але у мене нічого не виходить, мабуть випадок особливий і шкідливий файл не видаляється. Тоді йдемо до реєстру, а саме дивимося гілку:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce
У Windows 7 і Windows ХР, для всіх користувачів, програми запускаються при вході в систему залишають свої ключі в цих гілках, але в основному в першій Run. Все незнайомі ключі потрібно видалити, але тільки незнайомі, в моєму випадку в автозавантаженні присутній ключ антивірусної програми NOD32 - egui.exe, його видаляти непотрібно:
"C: \ Program Files \ ESET \ ESET Smart Security \ egui.exe" / hide / waitservice
Ще треба пройти Пуск> Виконати-> msconfig-> Автомат і прибрати галочки з усіх невідомих програм. Тут теж нічого підозрілого немає.
Так само видалити всі незнайомі файли в корені диска (С :), якщо ви побачите там файли з такою ж назвою QYSGFXZJ або схожими, спробуйте видалити їх. У корені (С :) у нас до речі незрозуміла папка QYSGFXZJ. Намагаюся видалити-видаляється.
Отже, як видалити вірус з комп'ютера. якщо навіть в безпечному режимі, нам це не вдалося або наприклад ви не змогли з якихось причин увійти в безпечний режим? Буває в Безпечний режим ви ввійдете, але там вас чекає сюрприз - наприклад не працює миша.
Якщо в безпечний режим увійти вам не вдасться, то ви можете скористатися дуже простим і перевіреним радою з іншої нашої статті Як перевірити комп'ютер на віруси безкоштовно, за допомогою диска відновлення ESET NOD32 або Dr.Web. До речі дані диски можна використовувати в якості Live CD. Або у вас вже є Live CD, спробуйте завантажитися з нього і виконати те ж саме, що і в безпечному режимі - зайти в папку Автозавантаження і видалити шкідливий файл, Працюючи в Live CD, ви можете запустити з флешки антивірусний сканер, наприклад Dr. Web CureIt.
Особисто я, коли зустрічаю таку проблему в Windows ХР, (про Windows 7 інформація нижче), навіть іноді не заходжу в безпечний режим, а використовую по-старому досконала зброя -професійний інструмент системного адміністратора ERD Commander 5.0.
- Примітка: всі можливості диска відновлення ERD Commander 5.0. описані в нашій статті ERD Commander. За допомогою нього можна відновлювати систему, правити реєстр, змінювати забутий пароль і інше. Для сучасних комп'ютерів і ноутбуків, ERD Commander 5.0 потрібен з інтегрованими SATA драйверами. Давайте завантажити з нього і подивимося як все відбудеться.
Перезавантажуємося і заходимо в BIOS, там виставляємо завантаження з дисковода. Завантажуємося з диска ERD Commander 5.0. Вибираємо перший варіант підключення до Windows ХР, тобто ми з вами зможемо працювати наприклад безпосередньо з реєстром нашої зараженої системи.
Дивимося в пункті System, а так само Адміністратор і ось будь ласка наш вірус, вже тут ми його точно видалимо.
Delete - видаляємо процес з автозапуску і все, наш вірус видалений.
Explorer - дає можливість перейти до файлу процесу.
Потім ще раз перевіряємо папку автозавантаження і там вже нічого немає.
C: \ Documents and Settings \ Адміністратор \ Головне меню \ Програми \ Автозавантаження
Заходимо на всякий випадок в кореневу папку диска (С :), там нічого підозрілого немає.
Чи не полінуємося зайти в реєстр і подивитися які програми залишили свої ключі в автозавантаженні:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
Призначити букви дискам так само як на цільової системі-Так, так краще працювати.
Йдемо відразу в папку Автозавантаження:
C: \ Users \ Ім'я користувача \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup. Видаляємо наш вірус.
Перевіряємо реєстр HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run.
Видаляємо все підозріле з кореня диска (С :), перезавантажується і перевіряємо весь комп'ютер на віруси.
Кнопка ReG-Backup V перед операцією, може зробити вам резервну копію ключів реєстру.